/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Mit dem BSI-Standard 200-2 stellt das BSI eine Methodik für ein effektives Management von Infor­mationssicherheit zur Verfügung. Diese kann an die Anforderungen von Institutionen verschiedenster Art und Größe angepasst werden. Im BSI-Standard 200-2 wird dies über die drei Vorgehensweisen„Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“ realisiert.
Die Methodik baut auf dem BSI-Standard 200-1 Managementsysteme ffr die Informationssicherheit (ISMS) (siehe [BSI1]) und damit auch auf ISO 27001 [27001] auf. In diesem Dokument wird aufgezeigt, wie der im BSI-Standard 200-1 vorgestellte grundlegende Rahmen für ein Informationssicherheitsma­nagementsystem durch IT-Grundschutz konkretisiert wird. Ein Managementsystem für die Informati­onssicherheit (ISMS) ist das geplante und organisierte Vorgehen, um ein angemessenes Sicherheits­niveau für die Informationssicherheit zu erzielen und aufrechtzuerhalten.
Der IT-Grundschutz ist ein etablierter Standard zum Aufbau und zur Aufrechterhaltung eines ange­messenen Schutzes aller Informationen einer Institution. Die vom BSI kontinuierlich weiterentwickelte Methodik bietet sowohl Anleitungen für den Aufbau eines ISMS als auch eine umfassende Basis für
die Risikoanalyse, die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung eines angemessenen Grades an Informationssicherheit.
• Im Rahmen der Modernisierung des IT-Grundschutzes wurden neben der Standard-Absicherung die Vorgehensweisen zur Ba­sis-Absicherung und Kern-Absicherung eingefügt.

1.3 Adressatenkreis

Eines der wichtigsten Ziele des IT-Grundschutzes ist es, den Aufwand im Informationssicherheitspro­zess zu reduzieren. Dazu werden bekannte Ansätze und Methoden zur Verbesserung der Informationssicherheit gebündelt und kontinuierlich aktualisiert. Ergänzend veröffentlicht das BSI im IT-Grund­schutz-Kompendium Bausteine mit konkreten Sicherheitsanforderungen für typische Geschäftspro­zesse, Anwendungen, Systeme, Kommunikationsverbindungen und Räume, die nach Bedarf in der eigenen Institution eingesetzt werden können. Im IT-Grundschutz werden alle Bereiche einer Institu­tion betrachtet, dazu gehören Produktion und Fertigung mit Industrial Control Systems (ICS) ebenso wie Komponenten aus dem Bereich des Internet of Things (IoT).
Durch die Umsetzung von organisatorischen, personellen, infrastrukturellen und technischen Sicher­heitsanforderungen wird mit der Vorgehensweise „Standard-Absicherung“ ein Sicherheitsniveau für die betrachteten Geschäftsprozesse erreicht, das für den normalen Schutzbedarf angemessen und ausreichend ist, um geschäftsrelevante Informationen zu schützen. Bei der Umsetzung der Vorge­hensweise „Basis-Absicherung“ wird ein Sicherheitsniveau erreicht, das zwar deutlich unter dem der Standard-Absicherung liegt, aber eine gute Grundlage für ISMS-Einsteiger bietet. Mit der Vorge­hensweise „Kern-Absicherung“ können besonders schützenswerte Informationen und Geschäfts­prozesse vorrangig abgesichert werden.
Die IT-Grundschutz-Methodik wird regelmäßig erweitert und an die aktuellen Entwicklungen ange­passt, die sich durch neue Prozesse, Normen und Regularien, vor allem aber durch die stetig fortschrei­tende Digitalisierung ergeben. Aufgrund des engen Erfahrungsaustauschs mit den Anwendern des IT-Grundschutzes fließen stetig neue Anforderungen und Aspekte in die Veröffentlichungen ein. Die Anwender können daher mit aktuellen Empfehlungen an einem ISMS für ihre Institution arbeiten und typische Sicherheitsprobleme schnell identifizieren und beheben.
1.3 Adressatenkreis
Der BSI-Standard 200-2 richtet sich primär an Sicherheitsverantwortliche, -beauftragte, -experten, -berater und alle Interessierten, die mit dem Management von Informationssicherheit betraut sind.
Er ist zugleich eine sinnvolle Grundlage für IT- und ICS-Verantwortliche, Führungskräfte und Projekt­manager, die dafür Sorge tragen, dass Aspekte der Informationssicherheit in ihrer Institution bzw. in ihren Projekten ausreichend berücksichtigt werden.
Der IT-Grundschutz bietet Institutionen jeder Größe und Sparte eine kosteneffektive und zielführende Methode zum Aufbau und zur Umsetzung der für sie angemessenen Informationssicherheit. Der Be­griff „Institution“ wird im folgenden Text für Unternehmen, Behörden und sonstige öffentliche oder private Organisationen verwendet.
IT-Grundschutz kann sowohl von kleinen als auch großen Institutionen eingesetzt werden. Dabei soll­te aber beachtet werden, dass alle Empfehlungen im Kontext der jeweiligen Institution betrachtet werden sollten und an die jeweiligen Rahmenbedingungen angepasst werden müssten.
Im IT-Grundschutz gilt die Voraussetzung, dass die Informations- und Kommunikationstechnik ebenso wie die vorhandene industrielle Steuerungs- und Automatisierungstechnik von Fachpersonal admi­nistriert wird, dass es also einen IT-Betrieb mit klar definierten Rollen gibt. Dieser kann von einem einzelnen Administrator bis hin zu einer oder mehreren IT-Abteilungen reichen. Davon ausgehend werden die verschiedenen Aktivitäten im Sicherheitsprozess beschrieben.

1.4 Anwendungsweise
Im BSI-Standard 200-1 Managementsysteme ffr Informationssicherheit (ISMS) wird beschrieben, mit welchen Methoden Informationssicherheit in einer Institution generell initiiert und gesteuert werden kann. Der vorliegende BSI-Standard 200-2 bietet konkrete Hilfestellungen, wie ein Managementsys­tem für die Informationssicherheit Schritt für Schritt eingeführt werden kann: Im Fokus stehen hier somit einzelne Phasen dieses Prozesses sowie bewährte Best-Practice-Lösungen.
Des Weiteren bietet dieser Standard die Möglichkeit einer Zertifizierung an. Damit kann eine Institu­tion nicht nur die Umsetzung von IT-Grundschutz, sondern auch die Qualität des eigenen ISMS mit­hilfe eines ISO 27001-Zertifikates auf Basis von IT-Grundschutz nachweisen. Das Zertifikat dient zu­gleich anderen Institutionen als Kriterium, um sich über den Reifegrad eines ISMS einer anderen In­stitution informieren zu können.
Eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz kann auch als Sicherheitsanfor­derung für mögliche Kooperationspartner verwendet werden, um das erforderliche Niveau an Infor­mationssicherheit bei der anderen Institution zu definieren.
Auch wenn als Grundlage für das ISMS eine andere Methodik angewendet wird, ist es trotzdem möglich, vom IT-Grundschutz zu profitieren. So bietet der IT-Grundschutz auch Lösungsansätze für einzelne Aufgabenstellungen, beispielsweise für die Erstellung von Konzepten oder die Durchführung von Revisionen und Zertifizierungen im Bereich der Informationssicherheit. Je nach Anwendungsbe­reich bilden bereits einzelne Bausteine, Umsetzungshinweise oder weitere Hilfsmittel, die der IT-Grundschutz zur Verfügung stellt, hilfreiche Grundlagen für die Arbeit des Sicherheitsmanage­ments.
1.5
Aufbau des BSI-Standards 200-2
Kapitel 2 enthält die wichtigsten Schritte für die Einführung eines ISMS sowie der Erstellung einer Sicherheitskonzeption.
In Kapitel 3 wird beschrieben, wie die grundlegende Phase der Initiierung des Informationssicherheits­prozesses aussehen kann und welche Hintergrundinformationen erforderlich sind, um eine fundierte Entscheidung über die für die Institution geeignete Vorgehensweise zur Absicherung ihrer Informa­tionen und Geschäftsprozesse zu treffen. Als wesentliche Grundlage für die weiteren Aktivitäten ist eine Leitlinie zur Informationssicherheit zu erstellen.
Für den Sicherheitsprozess müssen geeignete Organisationsstrukturen aufgebaut und ein funktionie­rendes Sicherheitsmanagement muss eingerichtet werden, siehe Kapitel 4.
Im Rahmen eines funktionierenden Sicherheitsprozesses müssen diverse Dokumentationen erstellt werden. Was hierbei zu beachten ist, wird in Kapitel 5 näher beschrieben.
Kapitel 6 veranschaulicht, wie vorzugehen ist, wenn als Vorgehensweise die Basis-Absicherung ausgewählt wurde. Die Basis-Absicherung verfolgt das Ziel, als Einstieg in den IT-Grundschutz zunächst eine breite, grundlegende Erst-Absicherung über alle Geschäftsprozesse bzw. Fachverfahren einer

Die IT-Grundschutz-Methodik bietet ein umfangreiches Gerüst für ein ISMS und ist auf die individu­ellen Rahmenbedingungen einer Institution anzupassen, damit ein geeignetes Managementsystem für die Informationssicherheit aufgebaut werden kann. Für einen kontinuierlichen und effektiven Pro­zess der Informationssicherheit ist es entscheidend, eine ganze Reihe von Aktionen durchzuführen.
Hierfür liefern die IT-Grundschutz-Methodik und das IT-Grundschutz-Kompendium zentrale Hinweiseund praktische Umsetzungshilfen.

1.5 Aufbau des BSI-Standards 200-2 Institution hinweg zu erzielen. Nach der Festlegung des Geltungsbereichs muss eine Auswahl und Zuordnung der IT-Grundschutz-Bausteine erfolgen und die Reihenfolge ihrer Anwendung festgelegt werden. Mit einem IT-Grundschutz-Check wird geprüft, inwieweit die Basis-Anforderungen bereits umgesetzt sind. Anschließend müssen konkrete Maßnahmen zur Erfüllung der offenen Anforderun­gen abgeleitet und umgesetzt werden. Durch die Auswahl einer der nachfolgenden Vorgehensweisen sollte das so erreichte Sicherheitsniveau aufrechterhalten und verbessert werden.
Wie ein vorgezogener Schutz der essenziellen Assets nach IT-Grundschutz mit der Kern-Absicherung erzielt werden kann, wird in Kapitel 7 verdeutlicht. Die Vorgehensweise orientiert sich dabei stark an den Schritten der Vorgehensweise zur Standard-Absicherung, die im darauffolgenden Kapitel 8 näher beschrieben werden soll.
Kapitel 8 widmet sich demnach der Vorgehensweise zur Standard-Absicherung. Dabei wird aufge­zeigt, wie zunächst die Grundinformationen über einen Informationsverbund erhoben werden und diese durch Gruppenbildung reduziert werden können. Anschließend muss ausgehend von den Ge­schäftsprozessen der Schutzbedarf für Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume festgestellt werden. Aus den Empfehlungen des IT-Grundschutz-Kompendiums müssen ferner die für den jeweiligen Informationsverbund passenden Bausteine und Anforderungen ausgewählt, also die Modellierung nach IT-Grundschutz durchgeführt werden. Aus den gewählten Anfor­derungen erfolgt die Ableitung von Sicherheitsmaßnahmen. Vor der Realisierung von Sicherheitsmaß­nahmen müssen vorhandene und zusätzliche Sicherheitsmaßnahmen, die beispielsweise durch die Risikoanalyse auf der Basis von IT-Grundschutz gemäß BSI-Standard 200-3 (siehe [BSI3]) ermittelt wur­den, in das Sicherheitskonzept integriert werden.
Wie die Umsetzung der identifizierten und konsolidierten Sicherheitsmaßnahmen durchgeführt wer­den sollte, wird anschließend in Kapitel 9 beschrieben.
Die wesentliche Aufgabe eines ISMS ist es, die Aufrechterhaltung der Informationssicherheit zu ge­währleisten und diese fortlaufend zu verbessern. Dieses Thema wird in Kapitel 10 vertiefend behan­delt.
Die Vorgehensweisen nach IT-Grundschutz und das IT-Grundschutz-Kompendium werden nicht nur für die Sicherheitskonzeption, sondern auch als Referenzen im Sinne eines Sicherheitsstandards ver­wendet. Durch eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz kann eine Institution nach innen und außen hin dokumentieren, dass sie sowohl ISO 27001 als auch den IT-Grundschutz in der erforderlichen Tiefe umgesetzt hat. Kapitel 11 liefert einen kurzen Überblick darüber, welche Schritte hierfür notwendig sind, und erläutert abschließend, welche Bedingungen für eine erfolgrei­che Zertifizierung erfüllt werden müssen.