Gratis
17. Juni 2020 - Datenschutz und Datensicherheit

IT-Grundschutz: Praxis-Leitlinien für Datensicherheit

Drucken

Gerade bei der Datensicherheit suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.

IT-Grundschutz-Kataloge bieten Unterstützung bei Datensicherheit Der IT-Grundschutz bietet Orientierung, welche Sicherheitsmaßnahmen nötig sind (Bild: NicoElNino / iStock / Thinkstock)

Der IT-Grundschutz

Den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit 1994. Seitdem entwickelt das BSI sein Standardwerk für Informationssicherheit ständig weiter.

Das BSI ist die nationale Cyber-Sicherheitsbehörde. Es sieht seinen Auftrag darin, Informationssicherheit in der Digitalisierung zu gestalten durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.

Das Amt ist also nicht nur für Behörden Anlaufstelle, sondern auch für Unternehmen und Bürger.

Datensicherheit umzusetzen, ist für Unternehmen nicht einfach. Neben den Aufsichtsbehörden für den Datenschutz bietet daher das BSI Unterstützung dabei, geeignete technisch-organisatorische Maßnahmen (TOM) zu finden.

 Geeignete technische und organisatorische Maßnahmen

Was fordert das Datenschutzrecht von Unternehmen bei der Datensicherheit? Um die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen, müssen Unternehmen wirksame geeignete technische und organisatorische Maßnahmen auswählen und umsetzen.

Zu berücksichtigen sind dabei

  • der Stand der Technik,
  • die Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
  • die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Das sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR), um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist.

Das IT-Grundschutz-Kompendium

Die grundlegende Veröffentlichung des IT-Grundschutzes ist das IT-Grundschutz-Kompendium.

Das Kompendium enthält in der Ausgabe 2020 ganze 96 Bausteine zu den unterschiedlichsten Aspekten der IT-Sicherheit.

Darin enthalten sind

  • die Bausteine der IT (wie ISMS: Sicherheitsmanagement, ORP: Organisation und Personal, CON: Konzeption und Vorgehensweisen, OPS: Betrieb),
  • die elementaren Gefährdungen (wie Datenverlust, Ressourcenmangel, Feuer),
  • die Anleitung zur Migration (Umstellung auf den modernisierten IT-Grundschutz) und
  • Umsetzungshinweise. Sie beschreiben, wie Verantwortliche die Anforderungen der Bausteine umsetzen und erläutern im Detail geeignete Sicherheitsmaßnahmen.

Die BSI-Standards

Neben dem IT-Grundschutz-Kompendium gibt es die BSI-Standards. Sie sind ebenfalls ein wichtiger Bestandteil des IT-Grundschutzes.

Die BSI-Standards umfassen die Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit.

Welche Standards des BSI gibt es? Und welcher Standard ist wofür geeignet?

  • BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit
    Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS).
  • BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise
    Der Standard empfiehlt, dreistufig vorzugehen. Er unterschiedet die Basis-, die Standard- und die Kern-Absicherung.
  • BSI-Standard 200-3 zum Risikomanagement
    Dieser BSI-Standard stellt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt dar.
  • Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit
    Der Leitfaden bietet einen Einstieg zum Aufbau eines ISMS in einer Institution. Er wendet sich in erster Linie an kleine und mittelständische Unternehmen und Behörden.

Die Mindeststandards Bund des BSI

Über das IT-Grundschutz-Kompendium und die BSI-Standards hinaus sollten Unternehmen auch einen Blick auf die  sogenannten Mindeststandards Bund werfen.

Sie sind zwar jeweils in Verbindung mit dem BSI-Gesetz zu sehen und wenden sich an die Behörden des Bundes. Doch sie bieten Unternehmen ebenfalls Orientierung im Bereich Datensicherheit.

Entsprechende Mindeststandards gibt es inzwischen für Mobile Device Management (MDM), für die Nutzung externer Cloud-Dienste, für Protokollierung und Detektion, für Schnittstellenkontrollen und für sichere Web-Browser, um nur einige Beispiele zu nennen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.