Erst einmal grundsätzlich: Was gilt es am neu überarbeiteten IT-Grundschutz, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) dieses Jahr herausgegeben hat, zu beachten?
Das BSI hat den IT-Grundschutz auf Basis der langjährigen Anwendungspraxis grundsätzlich überarbeitet und weiterentwickelt. Die Methodik der neuen IT-Grundschutz-Version lässt sich nun deutlich einfacher anwenden und erleichtert mit ihren Einstiegsstufen die Einführung und Ausgestaltung in Organisationen. Die Umstellung der Grundschutz-Kataloge auf das Grundschutz-Kompendium verschlankt und verbessert die Inhalte strukturell. Allerdings benötigt der Anwender nun ein tieferes Verständnis der Zusammenhänge zwischen Gefährdungen, Risiken und Maßnahmen.
Insbesondere für die Bedürfnisse kleinerer und mittelständischer Organisationen ist der neue IT-Grundschutz jetzt ein probates Mittel, um schnell und effektiv eine Basis-Absicherung zu erreichen.
Große Unternehmen und Konzerne haben bereits immens in ihre IT-Sicherheit investiert. Manch eines hat bereits sogar einen eigenen Chief Information Security Officer (CISO) angeheuert. Dieser kümmert sich ausschließlich um die Sicherheit der laufenden Informationssysteme. Können diese Unternehmen überhaupt noch neue Informationen aus dem Grundschutz ziehen? Plakativ gefragt: Ist IT-Sicherheit nur mit dem Grundschutz des BSI möglich – oder haben wir es hier möglicherweise mit altem Wein in neuen Schläuchen zu tun?
Das Thema „Informationssicherheit“ ist nicht starr und unveränderlich, sondern ist mit dem Ziel verbunden, Informationswerte und Prozesse von Organisationen adäquat zu schützen. Aus diesem Grund muss es sich flexibel an den jeweiligen Bedarf anpassen. Neben einer Interpretation von Standards müssen dafür auch die zugrundeliegenden Normen weiterentwickelt werden. Dies ist aktuell mit der Neuauflage des BSI-Grundschutzes geschehen.
Dasselbe gilt auch für die weiteren Normen der Informationssicherheit. Die ISO 27001 beispielsweise ist seit ihrer Erstauflage 2005 etwa alle drei Jahre aktualisiert worden. Die CISOs oder IT-Sibes der Organisationen sind also gut beraten, sich eingehend mit den jeweiligen Normveränderungen zu beschäftigen.
Im gleichen Kontext sollten sie sich auch über aktuelle Angriffs-Szenarien sowie technische und organisatorische Schutzmaßnahmen informieren. Denn durch die fortschreitende Digitalisierung und Vernetzung aller Unternehmensprozesse steigt die Abhängigkeit von der IT und damit auch die Gefahr, dass IT-Bedrohungsszenarien zu realen Risiken werden.
Ein gutes Beispiel hierfür ist die potenzielle Gefährdung von Persönlichkeitsrechten durch die unbefugte Verarbeitung personenbezogener Daten. Um diesem Problem zu begegnen, wurde die Europäische Datenschutzgrundverordnung geschaffen. Damit sie technisch wirksam wird, greift die Verordnung auf Maßnahmen der Informationssicherheit zurück. Es handelt sich also nicht um alten Wein in neuen Schläuchen, obwohl natürlich das Thema „Absicherung von in Organisationen vorhandenen Werten“ gleich geblieben ist. Vielmehr ist der neue IT-Grundschutz eine angemessene Antwort auf eine komplexer gewordene Anforderungs- und Bedrohungslage, der Unternehmen und Behörden mit all ihren Geschäftsprozessen ausgesetzt sind.
Allein das Inhaltsverzeichnis des IT-Grundschutzes zählt vier Seiten. Das gesamte Dokument umfasst 840 Seiten und wird jährlich aktualisiert. Wie gehen Unternehmen diese Sisyphos-Aufgabe an ohne zu verzweifeln?
Beim Aufbau eines Informationssicherheitsprozesses kommt es darauf an, den Einstieg zu schaffen. Dafür muss das Management von Unternehmen diesen Prozess auch unterstützen und es müssen finanzielle Mittel zur Verfügung stehen.
Wenn diese Voraussetzungen erfüllt sind, sollte der erste Schritt zum Aufbau eines Informationssicherheitsmanagmentsystems (ISMS) nicht zu groß sein. Im alten Grundschutz, dessen Gesamtwerk eine Länge von mehr als 5.000 Seiten umfasste, war der Einstieg sehr schwer und langwierig. Mit der neuen Grundschutz-Version ist jetzt diese Hürde aufgrund geschickt gewählter Einstiegsstufen entschärft.
Es ist nicht erforderlich, sich mit den von Ihnen erwähnten 840 Seiten des Gesamtdokuments zu beschäftigen, sondern Organisationen können sich zuerst auf die für sie essentiellen Aspekte konzentrieren. Wenn die Basisstrukturen eines ISMS erst einmal etabliert sind, wird es während des Systembetriebs und im Zuge der Weiterentwicklung deutlich einfacher das anzustrebende Sicherheitsniveau zu erreichen – ohne vom Gesamtumfang des IT-Grundschutzes abgeschreckt zu werden.
Auch das BSI macht einen Vorschlag zur Priorisierung der Bausteine und Prozesse. Können Sicherheitsbeauftragte in Unternehmen dieser Reihenfolge gefahrlos folgen, ohne dass essenzielle Bausteine möglicherweise erst nach Jahren implementiert werden?
In die BSI-Vorschläge zur Priorisierung sind langjährige Erfahrungen aus der Praxis und der Auswertung von Informationssicherheitsvorfällen eingeflossen. Insofern sind sie ein guter Anhaltspunkt, um wichtige Aufgaben zuerst angehen zu können.
Setzen große Organisationen und komplexe IT-Verbünde den IT-Grundschutz um, kann es jedoch sinnvoll sein, relativ frühzeitig ein Verfahren zur Risikoeinschätzung zu etablieren. Dabei können sich Unternehmen auf die Empfehlungen des BSI-Standards 200-3 stützen.
Eine ebenfalls passende Option kann eine Risikomanagement-Methode darstellen, die in der Organisation bereits etabliert ist. Diese muss dann gegebenenfalls noch um Informationssicherheitsrisiken erweitert werden. Der Geltungsbereich sollte dann die IT-Systeme, Prozesse und Komponenten, die im Wirkungsbereich des ISMS vorhanden sind, abdecken – auch wenn diese an Dritte ausgelagert wurden. Mithilfe der Risikoeinschätzung können die nötigen Maßnahmen priorisiert und die Umsetzungsreihenfolge festgelegt werden.
Hier gilt: Die Maßnahmen, die die höchsten Risiken betreffen, sollten zuerst umgesetzt werden. Auch Maßnahmen mit großer Wirkungsbreite und die schnell umsetzbar sind (sogenannte Quick-Wins) sollten auf der Priorisierungsliste weit oben stehen.
Neben dem IT-Grundschutz bietet das BSI noch einen sog. BSI-Standard an. Dieser verkürzt die umfangreichen Forderungen aus dem Grundschutz-Katalog für kleine und mittlere Unternehmen. Ist das ausreichend?
Ihre Frage zielt vermutlich auf die vom BSI angeregten Grundschutz-Profile ab, die für definierte Branchen oder Organisationen erstellt werden. Diese können im Sinne eines Muster-Sicherheitskonzepts wie eine Schablone angewendet werden.
Wichtig ist allerdings, dass die Rahmenbedingungen vergleichbar sind. Bei Organisationen mit ähnlicher geschäftlicher Ausrichtung oder Branchenzugehörigkeit ist dies regelmäßig der Fall. Mittels dieser Schablone werden in diesem Fall relevante Aspekte der Risikoanalyse benannt und eine Auswahl an Anforderungen vorgegeben, die umzusetzen sind. Sie erlauben gerade bei kleinen oder mittleren Unternehmen eine modulare Erhöhung des Sicherheitsniveaus.
Diese Verfahrensweise umfasst nicht alle möglichen Risiken, die bei einer Organisation auftreten können. Sie ersetzt auf keinen Fall das selbstständige Denken und die Einschätzung über die Vollständigkeit und Relevanz von Maßnahmen. Es ist jedoch in jedem Falle besser, Muster-Sicherheitskonzepte zur Anwendung zu bringen als das Thema „Informationssicherheit“ in einem unbekannten, unbearbeiteten und undefinierten Status zu belassen.
Die ISO 27001-Zertifizierung soll mit beiden, IT-Grundschutz und BSI-Standard möglich sein. Warum also überhaupt den Grundschutz implementieren?
Für die Implementierung des IT-Grundschutzes spricht, dass es für die Bundesverwaltung in Deutschland verpflichtend ist, die durch das BSI vorgegebenen Standards umzusetzen. Diesem Beispiel folgen dann oft auch Organisationen der öffentlichen Verwaltung auf Landes- oder Kommunalebene.
Ein weiterer Vorteil ist, dass die Methodik zum Aufbau eines ISMS nach IT-Grundschutz detailliert ausgearbeitet ist und – stark vereinfacht gesagt – wie ein Kochrezept umgesetzt werden kann. Um eine Basis-Absicherung zu erreichen, müssen keine komplexen Prozesse zu Risikoanalyse und -management eingeführt werden. Es genügt im Grunde die Umsetzung der Sicherheitsmaßnahmen, die dem IT-Verbund zugeordnet sind.
Ob IT-Grundschutz oder ISO 27001 – für welche der Zertifizierungen Unternehmen sich letztlich entscheiden, sollten sie von den eigenen operativen Herausforderungen und den Anforderungen ihrer Stakeholder abhängig machen. Für ein international agierendes Industrieunternehmen kann es also deutlich sinnvoller sein, ein ISMS auf Basis der ISO 27001 aufzubauen.
Nehmen wir an, mein Unternehmen sei bereits ISO 270001 zertifiziert und die Erneuerung steht an. Wie sinnvoll ist es, sich mit dem IT-Grundschutz vorzubereiten?
Wenn eine Erneuerung einer bereits bestehenden ISO 27001-Zertifzierung ansteht, dann ist es nur in den seltensten Fällen sinnvoll, sich mit dem IT-Grundschutz vorzubereiten.
Unternehmen sollten vielmehr die Inhalte der zur Zertifizierung heranzuziehenden Norm gut kennen und diese in den einzelnen Aspekten prüfbar umsetzen.
Wenn bereits eine Zertifizierung vorliegt, ist auch ein Wechsel zwischen ISO 27001 und IT-Grundschutz häufig nicht zu empfehlen. Sinnvoll ist es jedoch, gute Aspekte aus beiden Standards miteinander zu verbinden. So werden oftmals die Maßnahmen, die im IT-Grundschutz ausformuliert sind, zur Erfüllung der ISO 27001-Controls herangezogen.
Wie gehen Sie bei msg vor, wenn Sie ein Unternehmen zum Aufbau eines effektiven IT-Grundschutzes beraten?
Der erste und wichtigste Schritt ist es, die Sicherheitsbedürfnisse einer Organisation zu verstehen und richtig einzuordnen. Dafür führen wir am Anfang unserer Tätigkeiten einen Workshop mit Führungskräften, Spezialisten und Stakeholdern der betreffenden Organisation durch.
Auf Basis dieser Erkenntnisse werden die wesentlichen Rahmenbedingungen zur Ausgestaltung und zum Aufbau des ISMS festgelegt. Danach erstellen wir eine Projekt- und Umsetzungsplanung.
Die Projektschritte richten sich nach Art, Abfolge und Umfang der zu erreichenden zeitlichen Vorgaben sowie dem Schutzbedarf der zu schützenden Assets, der angestrebten Form der Absicherung (Basis, Kern, Standard), der Notwendigkeit weiterführender Risikoanalysen und natürlich auch nach Organisationstyp und -größe.
Insofern sind Projekte zur Informationssicherheit immer sehr individuell. Sie können jedoch relativ kurzfristig und schlank umgesetzt werden, wenn vorhandene Grundschutzprofile zur Anwendung kommen.
Im Generellen richtet sich unser Vorgehen nach den vom BSI herausgegebenen Leitfäden, um die jeweils angestrebte Absicherung zu erreichen. Bestandteil sind immer eine Modellierung nach IT-Grundschutz, die Ermittlung konkreter umzusetzender Maßnahmen und die Durchführung des IT-Grundschutz-Checks. Im weiteren Verlauf werden die Maßnahmen realisiert und das ISMS in Kraft gesetzt. Die anschließende Weiterentwicklung und bedarfsorientierte Ausgestaltung der Maßnahmen hängen dann vom angestrebten Sicherheitsniveau und von der entsprechenden Priorisierung der Projektschritte ab.
Vielen herzlichen Dank für die Beantwortung der Fragen, Herr Westphal!
Jens Westphal verantwortet als Bereichsleiter das Thema Informationssicherheit für die Branche Public Sector bei msg. Er verfügt über mehr als 20 Jahre branchenübergreifende Erfahrungen in der Beratung von Organisationen und ist ausgewiesener Spezialist für Aufbau und Betrieb von Informationssicherheitsmanagementsystemen nach ISO 27001 oder IT-Grundschutz.