BSI stellt modernisierten Grundschutz vor
Generalüberholung
Vier Jahre dauerte das Modernisierungsprojekt für den IT-Grundschutz, den das BSI auf der IT-Security-Messe it-sa in Nürnberg in seinen wesentlichen Elementen vorgestellt hat.
Das große Projekt des Bundesamtes für Sicherheit in der Informationstechnik (BSI), den über zehn Jahre alten IT-Grundschutz zu modernisieren, ist abgeschlossen (alle Standards sowie weitere Informationen sind über den Sammellink ix.de/ix1712082 zu finden). Der bisherige IT-Grundschutz bestand aus dem im Standard BSI 100-1 beschriebenen Informationssicherheitsmanagementsystem (ISMS), dem Erstellen eines IT-Sicherheitskonzepts in BSI 100-2 sowie aus einer Risikoanalyse, bei der eine Variante zur Umsetzung in BSI 100-3 dargestellt war (Abbildung 1). Der vierte, noch zu aktualisierende Standard BSI 100-4 behandelt das Notfallmanagement. Die Nummerierung wurde beibehalten, statt 100-x heißen die modernisierten Versionen nun 200-x.
Die Standards: moderner und internationaler
Während BSI 100-1 bereits stark am internationalen Standard ISO 27001 ausgerichtet war, erfüllten BSI 100-2 mit einer einzigen Vorgehensweise für das IT-Sicherheitskonzept und die etwas akademisch anmutende Risikoanalyse aus BSI 100-3 die heutigen Bedürfnisse der Anwender in Behörden und Unternehmen nicht mehr.
Daher enthält BSI 200-1 kaum wesentliche Neuerungen, sondern wurde nur aktualisiert und auf den modernisierten IT-Grundschutz ausgerichtet. Er stellt nach wie vor die ISO-Standards der 2700x-Reihe sowie andere Frameworks und Quellen vor, um den Verantwortlichen für ein ISMS diese Informationen an einer Stelle zugänglich zu machen. Die Anzahl der Standards und der weiteren Quellen hat sich etwas erhöht, entsprechend der internationalen Weiterentwicklung der Informationssicherheit.
In der Folge leitet der BSI-Standard aus diesen internationalen Vorgaben und Hilfsmitteln den IT-Grundschutz als Ausprägung des BSI her. Des Weiteren weisen die Autoren des Dokuments hier auf die nötigen Managementprinzipien und die Ressourcen zum Betrieb eines ISMS hin.
Der Kern des Grundschutzes
In BSI 200-2, der das Kernelement des IT-Grundschutz-ISMS bildet und das Sicherheitskonzept enthält, wurde die ursprüngliche Vorgehensweise zu dessen Erstellung überarbeitet. Diese nennt sich nun Standard-Absicherung. Auch wurde sie durch zwei weitere Einstiegsmöglichkeiten (Basis- und Kernabsicherung) ergänzt. Dazu flossen sowohl Hinweise der Anwender als auch aktuelle Entwicklungen der Informationssicherheit ein. Während der Standard mögliche Wege zum Erstellen eines Sicherheitskonzepts skizziert und zahlreiche Beispiele für Anwender bereithält, sind die Anforderungen zu einzelnen Sicherheitsbereichen im IT-Grundschutz-Kompendium enthalten.
BSI 200-2 wurde aufgrund der weiteren Einstiegsmöglichkeiten mit einer Vorphase für die Auswahl einer Vorgehensweise versehen. Die einzelnen Kapitel erläutern die Phasen der jeweiligen Methode ausführlich. Überdies geht der BSI-Standard auf die neue Struktur in einem erweiterten Schichtenmodell sowie die Struktur der neuen Bausteine und Umsetzungshinweise ein. Die frühere ergänzende Sicherheitsanalyse haben die Autoren komplett als Hinweis in das Kapitel „Zielsetzung“ in den Standard BSI 200-3 verlagert, er entfällt als bisheriger Abschluss beim Erstellen des Sicherheitskonzeptes. Eine detailliertere Darstellung der Neuerungen findet sich in [1].
BSI 200-3 erläutert zunächst die Begriffe, die sich auch in internationalen Normen wiederfinden. Außerdem verweist er nun auf die Kriterien, nach denen man ein angemessenes Risikomanagementsystem aufbauen kann. In der Folge beschreibt er die auf dem BSI-Sicherheitskonzept und dem IT-Grundschutz-Kompendium basierende 4-Schritt-Risikoanalyse.
Diese Risikoanalyse beruht nun vollständig auf der Verwendung der elementaren Gefährdungen (G.0), da die individuellen Gefährdungskataloge im neuen IT-Grundschutz nicht mehr vorhanden sind. Zur Auswahl einer relevanten G.0-Gefährdung im Zusammenhang mit einem möglichen Zielobjekt oder einer möglichen Ressource werden umfangreichere Erläuterungen gegeben als bisher. Das BSI folgt nun umfassend dem internationalen Ansatz, Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe zu klassifizieren. Im Anhang von BSI 200-3 befindet sich ein Abschnitt zum sogenannten Risikoappetit, also den Einflussfaktoren, anhand derer Risiken im Kontext der jeweiligen Organisation bewertet werden. Der Anhang stellt einen direkten Bezug zur internationalen Norm ISO/IEC 31000 her.
Ein Hinweis zum Standard BSI 100-4 Notfallmanagement: Dieser wird nach aktuellem Stand noch 2018 überarbeitet, sodass vermutlich spätestens Anfang 2019 eine modernisierte Version 200-4 vorliegen wird.