IT-Grundschutz des BSI bietet Orientierung

Grundlegende Überarbeitung

von - 18.01.2018
Auch das BSI hat diese Schwierigkeiten erkannt und deswegen die Axt an den IT-Grundschutz gelegt. Herausgekommen ist im Herbst 2017 eine neue Version, die nur noch etwa 1.300 Seiten umfasst und wie bisher kostenlos als PDF heruntergeladen werden kann. Das sind aber immer noch sehr viele Informationen und Foitzick mag deswegen auch jetzt noch nicht von einem schmalen Werk sprechen. Er vergleicht die Arbeit des Bundesamts stattdessen mit der eines Gärtners, der einen Baum zurechtstutzt. „Der Baum ist gut, aber nach einer gewissen Zeit ufert er so aus, dass man es nicht mehr schafft, alles frisch zu halten.“ Die Änderungen hält er also für sinnvoll, trotzdem geht er davon aus, dass sie „sicher die eine oder andere Träne hinterlassen haben“.
Besonders gut gefällt Foitzick, dass sich die Grundschutzkataloge in der neuen Version „nicht mehr auf sich selbst beschränken“. Man habe beim BSI akzeptiert, dass man „keinen Monolithen mehr bauen kann, sondern dass man Teil eines Sicherheitsnetzwerks ist“. Es werde jetzt deswegen wesentlich mehr auf andere Quellen verlinkt als früher. Ein Vorgehen, das Foitzick als „absolut notwendig“ bezeichnet. „Wir sind in keiner Welt mehr, in der jemand ein allein stehendes Wissenskompendium bauen kann“, ergänzt der BSI-Kenner. Insbesondere die vielen neuen Verweise auf Empfehlungen der Hersteller hebt er positiv hervor.

Sinnvolle Änderungen

Auch Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, bezeichnet Änderungen wie die neuen „Verweise auf andere Ausarbeitungen“ als „sehr sinnvoll“. Außerdem hebt sie hervor, dass neue Themenfelder wie Industrie 4.0 aufgenommen wurden und es nun ein „gestuftes Einstiegsmodell“ gebe. Foitzick ergänzt, dass man ja nicht immer sofort eine Zertifizierung anstreben müsse. Seiner Ansicht nach gibt es „kein freies Werk auf dem Markt, das so detaillierte und gute technische Vorschläge zur Umsetzung von Informationstechnik macht“. Das gehe so weit, dass ein IT-Leiter nachschlagen könne, worauf er aus Sicherheitssicht bei Türen für Server-Räume achten sollte. Auch vor Gericht würden die Grundschutzkataloge oft als „Common Sense“ verstanden und man könne damit belegen, nicht fahrlässig gehandelt zu haben.
Den Umfang des Materials findet auch Marit Hansen auf den ersten Blick abschreckend. „Doch es ist hilfreich, wenn konkrete Maßnahmen so detailliert beschrieben werden, wie man es in der Praxis braucht.“ Zudem werde es einfacher, da nicht jede Maßnahme und nicht jede Empfehlung die eigenen Verfahren betreffe.
Severin Rast
Severin Rast
Business-Unit-Leiter IT-Security ­Consulting bei Infodas
www.infodas.de
Foto: Infodas
„Der IT-Grundschutz bietet praxisnahe Hilfsmittel und Methodiken, die schnell zu einer Erhöhung der Informations­sicherheit führen.“
Severin Rast von Infodas weist auf die unterschiedlichen Wege zum Ziel hin, die es nun gebe. „Die Möglichkeit des Einstiegs über Basis- und Kernabsicherung wird das Erreichen der Standardabsicherung für viele Organisationen vereinfachen“, so Rast. Die neuen Bausteine seien kompakter und effizienter geworden. So ließen sich jetzt „noch mehr Ansätze für maßgeschneiderte Lösungen“ finden. Der IT-Grundschutz biete „am Ende nicht nur ein angesehenes und belastbares Zertifikat für ein ISMS, sondern auf dem Weg dahin praxisnahe Hilfsmittel und Methodiken, die schnell zu einer Erhöhung der tatsächlichen Informationssicherheit führen können“.
Das BSI habe viel getan, gerade KMUs den Einstieg zu erleichtern. „Dennoch sind ein grundlegendes Verständnis für technische und organisatorische IT-Sicherheit, geeignete Managementprozesse und die unternehmensweite Sensibilisierung für die Notwendigkeit von Informationssicherheit nach wie vor Voraussetzungen, die in vielen Firmen erst noch geschaffen werden müssen“, betont Rast. Die neuen BSI-Standards und das IT-Grundschutzkompendium böten ein solides Gesamtpaket mit vielen Infos für IT-Sicherheitsbeauftragte.
Die Datenschutzbeauftragte Marit Hansen ist da etwas skeptischer. Einige KMUs seien gut aufgestellt, was IT und Informationssicherheit betreffe, andere könnten dies nicht aus dem Stand leisten. „Wichtig ist mir, dass immer dort, wo hohe Risiken durch die Datenverarbeitung entstehen können, Datenschutz und Informationssicherheit nicht vernachlässigt werden dürfen“, mahnt Hansen. Die Größe einer Firma dürfe bei „risikoträchtigen Informations-Systemen“ keine Rolle spielen. Auch kleine Organisationen müssten kritische Bereiche im Griff haben und Risiken vermeiden.
Verwandte Themen