IT-Grundschutz – diesen Begriff hört man häufig im Kontext Security, aber wissen Sie, worum es dabei konkret geht?
Im Februar 2023 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Ausgabe 2023 des IT-Grundschutz-Kompendiums veröffentlicht, wieder ein sehr umfangreiches Werk von über 850 Seiten. In 2024 wurde keine neue Version herausgegeben. Wir geben einen Überblick über den Aufbau und die Inhalte und erläutern, warum der IT-Grundschutz auch für Unternehmen relevant ist, die keine Zertifizierung anstreben.
Kernthema des IT-Grundschutzes: Informationssicherheit
Zielsetzung: Digitalisierung sicher umsetzen
Durch die Digitalisierung wird auch die industrielle Kommunikation mit komplex verlaufenden Datenströmen zunehmend über intelligente vernetzte Systeme realisiert. Das bringt viele Vorteile für die gesamte Wertschöpfungskette mit sich, aber gleichzeitig auch eine Zunahme der Risiken.
Die Digitalisierung wird im Vorwort des IT-Grundschutz-Kompendium 2021 als eines der „drängenden Themen der Gegenwart für Wirtschaft und Verwaltung“ bezeichnet. Ihr Erfolg hängt entscheidend davon ab, wie gut es gelingt, die Kernprozesse in den Unternehmen wirksam und beständig gegen die Risiken und Gefahren abzusichern. Nur dann kann sich aus der Digitalisierung ein nachhaltiger Nutzen für die Gesellschaft ergeben.
Cyberkriminalität
In einem Unternehmen verlaufen umfangreiche Datenströme durch alle Bereiche von der untersten Ebene im Shopfloor bis zur Unternehmensebene, wo mittels ERP-Systeme (Enterprise Ressource Planning) die Ressourcenplanung und -steuerung erfolgt.
In vernetzten Supply Chains werden zusätzlich Daten und Informationen über externe Zugänge auch über Unternehmensgrenzen hinweg ausgetauscht. Dadurch erweitern sich die Angriffsvektoren in den Netzwerken ganz erheblich. Was sich für Unternehmen als riesige Herausforderung darstellt, ist für Cyberkriminelle eine Chance, die zu nutzen oft nur allzu leicht ist.
Die Netzwerke von Unternehmen sind durch eine Vielzahl von Schwachstellen anfällig für Störungen, die sich ausbreiten und schlimmstenfalls zu Anlagenstillständen führen können. Cyberkriminalität wird immer professioneller organisiert, auch weil Ransomware-Attacken zu einem äußerst lukrativen Geschäft geworden sind. Je größer der Kreis der Betroffenen ist, desto größer ist die Beute. Unzureichend gesicherte IT-Infrastrukturen in verteilten Supply Chains bieten dafür ideale Einfallstore.
Die Bedrohungslage gestaltet sich zunehmend dynamisch, was die wirksame Gegenwehr zu einem permanenten Wettlauf gegen die Zeit macht. Experten sagen seit Jahren eine Zunahme der Cyberkriminalität voraus und sie behalten damit recht. Im BSI-Lagebericht wird die konstante Entwicklung regelmäßig mit eindrucksvollen Zahlen belegt.
Technische Innovation trifft unsichere Bestandsanlagen
Der Einsatz neuer Technologien in Industrieumgebungen erschwert eine wirksame Absicherung zusätzlich. Im Automationsumfeld trifft eine ständig wachsende Komplexität der IT-Systeme auf fehlende Strukturen, begrenzte Ressourcen und unzureichendes Know-how für Security-Anforderungen. Der anhaltende Fachkräftemangel wirkt sich in diesem Bereich besonders problematisch aus.
Der Betrieb der IT-Infrastrukturen in OT-Bereichen wurde, anders als in der klassischen IT, nicht fortlaufend professionalisiert. Das macht die zunehmende Vernetzung in Industrieumgebungen zu einem großen Sicherheitsrisiko für die Anlagenverfügbarkeit. In ungesicherten Netzten sind immer mehr moderne IIoT-Geräte mit Brownfield-Anlagen verbunden, die keine eigenen Ressourcen für Sicherheitsfunktionalität haben. Dass die Bestandsinfrastrukturen nicht robust genug für den Einsatz neuer Technologien sind, gefährdet den Nutzen, der sich daraus ergeben soll und damit auch die Nachhaltigkeit der Investitionen.
Für die Wirksamkeit von Maßnahmen ist es entscheidend, dass Security schon ab der Planungsphase gedacht wird und auch den Betrieb von Prozessen und Systemen einschließt.
Staatliche Hilfestellung für eine Herkulesaufgabe
Die Herausforderungen, die sich aus der Anforderung für Informationssicherheit ergeben, betreffen alle Unternehmen und alle Bereiche eines Unternehmens. Weil viele, vor allem kleinere und mittlere Unternehmen (KMU), damit überfordert sind und weil das Gelingen der Aufgabe für die Gesellschaft von großer Bedeutung ist, kommt Hilfestellung und Orientierung von staatlicher Seite: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfüllt als nationale Cybersicherheitsbehörde die im §3 des BSI-Gesetzes folgendermaßen beschriebene Aufgabe:
„Das Bundesamt fördert Sicherheit in der Informationstechnik mit dem Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten.“
Seit 1994 verfolgt das BSI mit dem IT-Grundschutz das Ziel, die Informationssysteme von „Institutionen aller Arten und Größen“ ausreichend zu schützen, um sie widerstandsfähig gegen aktuelle Bedrohungen zu machen. Über eine systematische und ganzheitliche Herangehensweise werden Maßnahmen für Informationssicherheit aufgebaut, aufrechterhalten und weiterentwickelt. Bei der Umsetzung ist der Stand der Technik entscheidend.
Die Betrachtung relevanter Themen im IT-Grundschutz erfolgt methodisch und bezieht die Bereiche Technik, Infrastruktur, Personal und Organisation ein.
Für den Aufbau eines ISMS (Information Security Management System), das für Netzbetreiber und Betreiber von Energieanlagen gemäß Energiewirtschaftsgesetz obligatorisch ist, ist der IT-Grundschutz die maßgebliche Leitlinie. Die Methodik ist jedoch auch modular anwendbar. Unternehmen können diejenigen Teile, die für ihre spezifische Sicherheitsbetrachtung relevant sind, auswählen und umsetzen. In IT-Grundschutz-Profilen sind praxisorientierte Anleitungen für Sicherheitsprozesse in bestimmten Branchen mit ähnlichen Sicherheitsanforderungen verfügbar. Das macht die Anwendung für kleine und mittlere Unternehmen einfacher.
Vor dem Hintergrund politischer Entwicklungen wie dem IT-Sicherheitsgesetz und der Veränderungen der Bedrohungslage wird der IT-Grundschutz regelmäßig modernisiert und in aktualisierten Ausgaben veröffentlicht.
„Informationssicherheit ist ein Prozess, der IT-Grundschutz der bewährter Begleiter.“
BSI-Website: BSI – IT-Grundschutz (bund.de)
Für wen ist der IT-Grundschutz relevant?
Im IT-Grundschutz adressiert das BSI Verantwortliche in Unternehmen, Behörden und Institutionen jeder Größe, die Leitlinien für ganzheitliche Informationssicherheit suchen und sich dabei am Stand der Technik orientieren wollen oder müssen.
Der Stand der Technik ist im IT-Grundschutz-Kompendium wie folgt definiert:
„Anforderungen und Maßnahmen, die den Stand der Technik abbilden, entsprechen dem, was zum jeweiligen Zeitpunkt einerseits technisch fortschrittlich und anderseits in der Praxis als geeignet erwiesen haben.“
- Für Bundesbehörden ist die Umsetzung des IT-Grundschutzes verbindlich.
- Für Industrieunternehmen ergeben sich unterschiedliche Ausgangspositionen für die Umsetzung:
Betreiber von Kritischen Infrastrukturen
Wer die definierten Schwellenwerte in der KRITIS-Verordnung erreicht, der unterliegt der Regulation durch das IT-Sicherheitsgesetz. In diesen Betrieben müssen IT-Infrastrukturen, die für die Leistungserbringung erforderlich sind, wirksam nach dem Stand der Technik abgesichert sein. Ein regelmäßiger Nachweis gegenüber dem BSI ist dafür obligatorisch.
Wird die Absicherung nach dem IT-Grundschutz umgesetzt, so ist dies ein hinreichender Beleg für die Anforderung. Eine andere Möglichkeit, bei den erforderlichen Sicherheitsmaßnahmen den Stand der Technik zu belegen, ist eine Umsetzung nach branchenspezifischen Sicherheitsstandards B3S.
Zielsetzung ISMS und Zertifizierung
In bestimmten Branchen und Marktsegmenten ist der Aufbau eines ISMS und eine Zertifizierung nach der weltweit anerkannten Norm ISO 27001 eine Anforderung, der sich Unternehmen stellen müssen, um am Markt wettbewerbsfähig zu blieben. Die Orientierung am IT-Grundschutz ist für solche Unternehmen ein praktikabler Weg zur ISO 27001-Zertifizierung.
Security als Marktanforderung
Aber auch wenn eine Zertifizierung nicht das Ziel eines Unternehmens ist, so hat die Ausrichtung am IT-Grundschutz Vorteile. Security wird systematisch und methodisch auf einer soliden Grundlage aufgebaut und nachhaltig umgesetzt. In Segmenten, wo Security-Kompetenz zur neuen Marktanforderung wird, ist die Umsetzung relevanter Teile aus dem IT-Grundschutz ein Gütesiegel, mit dem Unternehmen Vertrauen im Markt aufbauen können.
Kontext Versicherungen und Haftungsfragen
Auch im Hinblick auf Haftungsfragen und die einschlägigen Anforderungen der Versicherer ist eine Orientierung am IT-Grundschutz relevant. Unternehmen weisen damit nach, dass sie die erforderlichen Anstrengungen unternehmen, um Geschäftsprozesse wirksam zu schützen und dabei die Schutzmaßnahmen an anerkannten Vorgaben ausrichten.
Inhalte des IT-Grundschutzes
Der IT-Grundschutz beschreibt elementare Gefährdungen für die Informationssicherheit in Unternehmen und gibt konkrete Anforderungen für einen sicheren Zustand nach dem Stand der Technik vor. In den Umsetzungshinweisen werden praxiserprobte Empfehlungen geliefert, wie ein wirksamer Schutz durch geeignete Maßnahmen für jeden einzelnen Bereich erreicht werden kann.
Bestandteile des IT-Grundschutz sind die BSI-Standards und das IT-Grundschutz-Kompendium.
Die BSI-Standards
In den BSI-Standards wird mit Bezug auf das IT-Grundschutz-Kompendium beschrieben, wie ein ISMS für spezifische Anwendungsfälle aufgebaut, eingesetzt und erhalten wird. Weitere Inhalte behandeln Risikomanagement, Notfallmanagement und Business Continuity-Management..
IT-Systeme sind laut BSI-Standards ausdrücklich auch ICS (Industrial Control Systems) und IoT-Komponenten.
Die BSI-Standards sind kompatibel zur ISO/IEC 27001, einer internationalen Norm, die sich mit dem Management von Informationssicherheit befasst, ebenso wie zur ISO/IEC 22301 für Business Continuity Management Systeme. Während die ISO-Normen allgemein formuliert sind, bildet der BSI-Standard 200-2 die Grundlage, auf der der IT-Grundschutz praxisorientierte Hilfestellung zur Umsetzung von Anforderungen gibt, die in den genannten ISO-Normen gefordert sind.
BSI-Standard 100-4: Notfallmanagement
Der BSI-Standard 100-4 beschreibt eine systematische Vorgehensweise zum Aufbau eines Notfallmanagements. Im Fokus steht die Stärkung der Ausfallsicherheit sowie Maßnahmen, um den Geschäftsbetrieb nach einem Vorfall aufrechtzuerhalten oder schnell wieder aufnehmen zu können.
BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
Der BSI-Standard 200-1 beschreibt allgemeine Anforderungen, Bestandteile und Erfolgsfaktoren für ein ISMS. Außerdem sind entsprechende Aufgaben für die Führungsebene vorgegeben, in deren Verantwortung die Erstellung von Leitlinien für die Informationssicherheit fällt.
Die Auswahl von Schutzzielen und die Festlegung einer geeigneten Sicherheitsstrategie wird ebenso thematisiert, wie wirksame Sicherheitsmaßnahmen und -konzepte für die operative Ebene. Außerdem zeigt der Standard 200-1, der als „grundlegender Rahmen für ein Informationssicherheitsmanagementsystem“ gestaltet ist, wie ein etabliertes Schutzniveau aufrechterhalten und weiter verbessert werden kann.
BSI-Standard 200-2: IT-Grundschutz-Methodik
Der BSI-Standard 200-2 behandelt systematische Wege zur praktischen Einführung eines ISMS in eine bestehende Organisation und gibt vor, wie es betrieben und verbessert werden kann. Damit kann ein ISMS aufgebaut oder ein bestehendes ISMS bewertet werden.
Die Methodik zum Management von Informationssicherheit baut auf dem BSI-Standard 200-1 auf. Der Standard 200-2 ist Grundlage einer ISO 27001-Zertifizierung nach IT-Grundschutz.
In der IT-Grundschutz-Methodik gibt es drei Abstufungen für die Absicherung:
- Basis-Absicherung: bietet einen schnellen Einstieg in die IT-Grundschutz-Methodik für eine grundlegende Absicherung aller Geschäftsprozesse.
- Standard-Absicherung: Das Sicherheitsniveau der Geschäftsprozesse wird speziell auf die Institution oder das Unternehmen angepasst.
- Kern-Absicherung: Fokus auf der vorrangigen Absicherung der kritischen Geschäftsprozesse mit besonders hohem Schutzbedarf
BSI-Standard 200-3: Risikomanagement
Der BSI-Standard 200-3 bietet eine Methodik zur Erstellung einer Risikoanalyse auf Basis des IT-Grundschutzes.
BSI-Standard 200-4: Business Continuity Management
Der modernisierte BSI-Standard 200-4 beschreibt den Aufbau eines BCMS: Business Continuity Management System.
Das IT-Grundschutz-Kompendium
Das BSI veröffentlicht regelmäßig im Februar den IT-Grundschutz in einer aktualisierten Ausgabe des IT-Grundschutz-Kompendiums (vormals IT-Grundschutz-Katalog), „DAS zentrale Arbeitswerkzeug für Informationssicherheit“.
Bei der Erarbeitung und Aktualisierung der Inhalte soll möglichst viel Expertise und Praxisbezug einfließen. Deswegen informiert das BSI jeweils auf öffentlichen Kanälen, wenn Entwürfe für Dokumente für die nächste Ausgabe des IT-Grundschutz-Kompendium einsehbar sind. Anwender aus Wirtschaft, Wissenschaft und öffentlicher Verwaltung können Expertenwissen einbringen und die Entwürfe kommentieren. Wichtige und nützliche Aspekte fließen in die Formulierung der Dokumente der neuen Ausgabe ein.
Die Fachtexte im IT-Grundschutz decken zehn thematisch gegliederte Schichten für Prozesse und Systeme ab. Diese zeigen Anwendern auf, was konkret zu tun ist, um Informationssicherheit in bestimmten Bereichen ihres Unternehmens aufzubauen, aufrechtzuerhalten oder zu verbessern.
Die derzeit 111 verfügbaren Dokumente für die einzelnen Schichten heißen Bausteine und behandeln typische Bereiche und Aspekte, die für jede Institution relevant sind.
Anforderungen für verschiedene Ausgangspositionen
Im IT-Grundschutz-Kompendium sind vereinheitlichte Anforderungen für die Absicherung von Geschäftsprozessen, IT-Systemen, Anwendungen, Kommunikationsverbindungen und Räumen für zwei Ausgangspositionen beschrieben:
- “IT-Grundschutz-Modell eines bereits realisierten Informationsverbunds” für einen Vergleich des Ist-Zustandes mit einem Soll-Zustand
- “IT-Grundschutz-Modell eines geplanten Informationsverbunds” für Planzwecke, eine Umsetzung entsprechend der vorgegebenen Sicherheitsanforderungen zu realisieren.
In der Praxis ergeben sich beispielsweise bei der Erweiterung von Systemen oder Anlagen auch Anwendungsbereiche, die aus beiden Modellen bestehen.
Bausteine des IT-Grundschutz-Kompendiums
Das IT-Grundschutz-Kompendium beschreibt zunächst elementare Gefährdungen unterschiedlichster Arten, wie Naturkatastrophen, Fehlfunktionen von Geräten oder Systemen, Identitätsdiebstahl und viele andere. Danach folgen die Prozess-Bausteine und die System-Bausteine, die thematisch untergliedert alle für den Bereich relevanten Sicherheitsaspekte schrittweise beleuchten.
Prozess-Bausteine gelten für einen gesamten oder für große Teile eines Informationsverbundes:
- ISMS: Sicherheitsmanagement
- ORP: Organisation und Personal
- CON: Konzeption und Vorgehensweise
- OPS: Betrieb
- DER: Detektion und Reaktion
System-Bausteine werden für einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet:
- APP: Anwendungen
- SYS: IT-Systeme
- IND: Industrielle IT
- NET: Netze und Kommunikation
- INF: Infrastruktur
Aufbau der Bausteine
Jeder Baustein besteht aus einem allgemeinen Teil, der das Thema und die Zielsetzung beschreibt, der Erläuterung der Gefährdungslage, konkreten differenzierten Anforderungen
- Basis-Anforderungen (müssen umgesetzt werden)
- Standard-Anforderungen (sollen umgesetzt werden)
- Anforderungen bei erhöhtem Schutzbedarf (Schutzniveau über dem Stand der Technik)
und weiterführenden Informationen und Anlagen.
Das IT-Grundschutz-Kompendium liefert außerdem Beschreibungen für Rollen und Zuständigkeiten und ein ausführliches Glossar.
Damit liefert der IT-Grundschutz eine systematische Vorgehensweise, bei der im Baukastenprinzip diejenigen Bausteine ausgewählt werden können, die für die konkrete Sicherheitsbetrachtung relevant sind.
Praktische Anwendung
Ein Unternehmen, das sich am IT-Grundschutz orientiert, um beispielsweise für die IT-Infrastruktur seiner Produktionsbereiche einen ausreichenden Schutz aufzubauen oder aufrechtzuerhalten, nutzt dafür unterschiedliche thematisch passende Bausteine aus dem IT-Grundschutz-Kompendium:
Die relevanten IND-Bausteine unterstützen bei der Absicherung der Prozessleit- und Automatisierungstechnik, der ICS-Komponenten und der Produktionsnetze.
Zu beachten sind außerdem die einschlägigen APP-Bausteine für Client-Anwendungen, Verzeichnisdienste, Netzbasierte Dienste, Business-Anwendungen und für die Kommunikation über E-Mail und Groupware.
Darüber hinaus sind die Anforderungen aus den SYS-Bausteinen für Server, Desktop-Systeme, Mobile Devices und für sonstige Systeme umzusetzen.
NET-Bausteine decken alle relevanten Themen rund um sichere Netzarchitektur, Netzkomponenten und Funknetze und Telekommunikation ab.
Weil Produktion zumeist innerhalb eines Gebäudes mit technischer Ausstattung und Arbeitsplätzen stattfindet, sind die relevanten INF-Bausteine für die Infrastruktur zu berücksichtigen. Die im IT-Grundschutz-Kompendium 2022 neu hinzugekommen Bausteine INF.13 Technisches Gebäudemanagement und INF.14 Gebäudeautomation stellen wir Ihnen in einem separaten Artikel vor.
Ganzheitliche Security deckt nicht nur technische Maßnahmen ab. In die Sicherheitsbetrachtung müssen auch organisatorische und personelle Aspekte einfließen, die die prozessualen Bausteine thematisieren.
Fazit
Der IT-Grundschutz ist ein praktikables Werkzeug für Unternehmen, um Informationssicherheit in allen Bereichen aufzubauen, aufrechtzuerhalten und zu verbessern. Mit den IT-Grundschutz-Profilen und dem IT-Grundschutz-Kompendium können auch kleinere und mittlere Unternehmen ihr Sicherheitsniveau einschätzen und darauf aufbauend geeignete Maßnahmen für eine Basis-Absicherung umsetzen.
Speziell für industrielle Umgebungen liefern Industrienormen wie beispielsweise die IEC 62443 oder NIST 800-82 sowie andere einschlägige Standards praxisnahe Vorgehensweisen für die Etablierung von Security in OT-Bereichen.
Checkliste: Angriffserkennung in KRITIS Betrieben
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.