- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

IT-Grundschutz: Was sind die Kronjuwelen im Datenschutz?

Auf dem 14. Deutschen IT-Sicherheitskongress wurde die geplante Modernisierung des IT-Grundschutzes vorgestellt. Zu dem neuen Ansatz gehört ein vereinfachtes Vorgehen bei der Bestimmung der Schutzmaßnahmen, was den Prozess insgesamt beschleunigen soll – wichtig auch für das Konzept der Datensicherheit.

Neue Technologien, neue Formen der IT-Nutzung und immer neue Angriffsformen machen die Planung und Durchführung der Maßnahmen für die Datensicherheit nicht gerade einfacher. Was alles an IT-Sicherheitsmaßnahmen möglich ist, zeigt zum Beispiel ein Blick in den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Aktuell hat der IT-Grundschutz etwa 4500 Druckseiten zu bieten, ein schneller Blick wird also nicht reichen. Tatsächlich ist es sehr aufwändig, ein umfassendes Konzept für die IT-Sicherheitsmaßnahmen zu erstellen. Aber auch wenn man bekanntlich keine 100-prozentige IT-Sicherheit erreichen kann, muss man alle Maßnahmen ergreifen, die für den Schutzbedarf der Daten erforderlich sind und deren Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.

Lesen Sie dazu auch IT-Grundschutz-Kataloge: Praxis-Leitlinien für Datensicherheit [1]

Zugang zur Datensicherheit muss einfacher werden

Der diesjährige IT-Sicherheitskongress des BSI in Bonn hat nicht nur die Komplexität der aktuellen Gefährdungslage dargestellt und diskutiert. Auch die Schwierigkeiten der Unternehmen bei der Risikoanalyse und Definition der Schutzmaßnahmen waren ein Thema. Viele Unternehmen sind mit der Konzeption ihrer Datensicherheit überfordert und brauchen deshalb lange, bis sie ein entsprechendes Konzept realisiert haben.

Das muss sich ändern, denn andernfalls kommt die Datensicherheit vielfach zu spät. Wie das Bundesamt für Sicherheit in der Informationstechnik erklärt, soll der IT-Grundschutz modernisiert werden, um einen leichteren Zugang zu den BSI-Empfehlungen bieten zu können. Auch das Vorgehensmodell an sich wird eine Vereinfachung erfahren, die auch für Sie als Datenschutzbeauftragten nützlich sein kann.

IT-Grundschutz betrachtet Einstieg ins Sicherheitskonzept neu

Die Vereinfachung, die einen schnelleren Einstieg in die Datensicherheit bieten soll, kann die übliche Risikoanalyse und die Definition aller notwendigen IT-Sicherheitsmaßnahmen nicht ersetzen, weder im IT-Grundschutz noch bei Ihrem Vorgehen als DSB, aber das soll auch gar nicht so sein. Stattdessen geht es um eine Hinführung zum Sicherheitskonzept in dieser Form:

Der Blick auf die „Kronjuwelen“ und die Top-Risiken

Eine weitere Änderung im Vorgehen ist ebenso sinnvoll: Bisher hat der IT-Grundschutz des BSI

vorgesehen. Dieser klassische Ansatz ist natürlich weiterhin gültig. Doch bereits ein Ansatz bestehend aus der Umsetzung der Erst- und Basisschutzmaßnahmen ohne vorherige Risikoanalyse und ohne ausgefeilte Ermittlung des Schutzbedarfs hilft weiter, so das BSI – nicht als dauerhafter Ersatz, aber als zeitnaher Einstieg.

Trotzdem sollten die größten Schwachstellen und die wichtigsten Daten im Fokus bleiben: Der sogenannte Kronjuwelen-Ansatz sieht vor, dass zum einen die Erstmaßnahmen umgesetzt werden, dies aber ergänzt wird durch den Schutz der besonders sensiblen Daten. Die Überlegung, welche Daten besonders wichtig und bedroht sind, sollte also in keinem Fall fehlen.

Die aktuelle Checkliste zum aktuellen Ansatz im IT-Grundschutz des Bundesamts hilft Ihnen dabei, die neuen Ideen bei der Konzeption der Datensicherheit auszuprobieren, um damit einen schnellen Erfolg zu erzielen. Parallel sollte dann der Aufbau des üblichen Datensicherheitskonzeptes stattfinden. Aber die oftmals lange Zeit bis zur Fertigstellung des vollständigen Konzepts lässt sich so überbrücken.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.