Zum Inhalt springen
en
Von Steffen Schmack am 06.05.2021 IT Security

„BSI IT-Grundschutz, Fluch oder Segen?“ – ein Statement

Der BSI IT-Grundschutz, der deutsche Standard zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) in einem Unternehmen oder einer Institution, ist nicht zuletzt durch das IT-Sicherheitsgesetz und die damit verbundene KRITIS-Verordnung für Unternehmen, die sogenannte kritische Infrastrukturen betreiben, stärker in den Focus der allgemeinen Wahrnehmung gelangt.

Oft wird er mit Merkmalen wie „sperrig, schlecht handhabbar, praxisfern, aufwendig“ verbunden, ein Audit als lästige Pflicht empfunden. Sind diese Beschreibungen gerechtfertigt?

Sicherheit ist „unbequem und aufwendig“

Sicherheitsbetrachtungen generell, ob für ein einzelnes Produkt oder ein Unternehmen, bedeuten stets zusätzlichen Aufwand über die gewollte Funktionalität des Produktes oder den „Normalbetrieb“ eines Unternehmens hinaus. Sicherheit zu gewährleisten, ist mitunter auch unbequem, weil Beschränkungen oder zusätzliche Aktionen der „einfachen“ Umsetzung entgegenstehen.

Hinzu kommt, dass Sicherheit kein inhaltlich beschränktes Thema und keine „Einmalveranstaltung“ ist. Die Firewall, die das Unternehmen installiert, ist für sich allein genauso unwirksam wie eine singuläre Sicherheitsschulung für die Mitarbeitenden. Erst im komplexen Zusammenspiel diverser Faktoren lässt sich ein gewisses Sicherheitsniveau erreichen und danach aufrechterhalten.

Methodik und Systematik bieten Hilfestellung

Trotz der Individualität eines Unternehmens oder einer Institution sind mit einem gewissen Abstraktionsgrad doch überall ähnliche Fragestellungen zu klären und Maßnahmen daraus abzuleiten, um dieses Sicherheitsniveau zu gewährleisten. Damit diese Überlegungen nicht jede’r für sich allein und immer wieder neu anstellen muss, gibt es Standards, die diese allgemeingültig formulieren. Mit einem Vorgehensmodell und als Sammlung von Erfahrungswerten können sie dem Einzelnen helfen, effektiv zu Lösungen zu gelangen.

Unter dem ISO-Standard 27001 finden sich diese auf internationaler Ebene, der BSI IT-Grundschutz baut auf ihm auf und erweitert ihn.

IT-Grundschutz ist, was man daraus macht

Wo der internationale Standard insgesamt allgemeiner und abstrakter formuliert und damit dem Umsetzenden größere „Freiheiten“ lässt, ist der IT-Grundschutz erheblich detaillierter und konkreter in seinen Anforderungen. Das muss kein Nachteil sein – die stärkere Granularität ist nicht als Gängelung, sondern (insbesondere für den Einstieg) als Erleichterung zu verstehen. Der IT-Grundschutz bietet quasi eine Handreichung, wo die ISO 27001 eigene Kreativität erwartet.

Abgesehen von Unternehmen, für die eine Zertifizierung verpflichtend ist, spricht nichts gegen die Einführung des IT-Grundschutzes als Methodik, ohne dessen Ergebnisse sofort extern verifizieren zu lassen. Später kann dies als zusätzliche Bestätigung des eigenen Vorgehens ergänzt werden.

Um den Aufwand für die zweifellos zu leistenden Arbeiten zu verringern, gibt es neben dem Vorgehensmodell der vollumfänglichen Standardabsicherung:

  • die Basis-Absicherung, die sich durch eine geringe Betrachtungstiefe der grundlegenden Geschäftsprozesse auszeichnet und damit vor allem eine geringere Einstiegshürde darstellt (für diese kann nach Prüfung ein offizielles Testat ausgestellt werden),
  • die Kernabsicherung, die sich auf die als besonders kritisch eingeschätzten Geschäftsprozesse beschränkt und dadurch „schlanker“ ist (diese ist ebenfalls zertifizierungsfähig).

Als Fazit ist der BSI IT-Grundschutz als ein Hilfsmittel, ein Handwerkszeug zu verstehen, das – richtig eingesetzt – durch seine Methodik und Systematik erlaubt, die komplexe Herausforderung „Sicherheit“ im Unternehmen zu bewältigen. Die SPIRIT/21 kann Sie hierbei nicht nur in der Theorie beraten, sondern vor allem auch mit umfassenden Erfahrungen aus der Praxis die Umsetzung begleiten.

Für weitergehende Details eignet sich der Einstieg über die Webseiten des BSI.

Steffen Schmack

Senior Consultant Security

Steffen ist unser Erfahrungsträger zum Thema Sicherheit, der sich sowohl in der Theorie als auch in der Umsetzung, auf Ebene der Produkte als auch bei deren Anwendung auskennt.

Steffen Schmack