Entdeckt, erklärt
Mit dem IT-Grundschutz gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen eine Methodik an die Hand, mit der sie ihre Daten, Systeme und Informationen ganzheitlich absichern und erfolgreich ein Managementsystem für Informationssicherheit (ISMS) implementieren können.
Individuelles Angebot anfordernDer IT-Grundschutz ist eine durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte, systematische Vorgehensweise, mit der Unternehmen und Behörden ein passgenaues Informationssicherheits-Managementsystem (ISMS) aufbauen und langfristig etablieren können.
Dabei verfolgt der IT-Grundschutz einen ganzheitlichen Ansatz zur Informationssicherheit, der neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen in den Blick nimmt.
Der IT-Grundschutz setzt sich zusammen aus:
BSI-Standard 200-1
Definiert grundlegende Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
- Komponenten eines ISMS
- Aufgaben der Leitungsebene
BSI-Standard 200-2
Etabliert 3 Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:
- Basis-Absicherung
- Standard-Absicherung
- Kern-Absicherung
BSI-Standard 200-3
Stellt ein vereinfachtes Verfahren zur Risikoanalyse dar
- Risikobezogene Arbeitsschritte bei der Umsetzung des IT-Grundschutzes
Definiert grundlegende Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
Etabliert 3 Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:
Stellt ein vereinfachtes Verfahren zur Risikoanalyse dar
Bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in einer Behörde oder einem Unternehmen aufzubauen & erfolgreich zu etablieren
Sowohl der IT-Grundschutz als auch die ISO 27001 zielen darauf ab, die IT-Sicherheit in Unternehmen sowie Behörden zu erhöhen. Dennoch gibt es Unterschiede zwischen den beiden Standards.
Der IT-Grundschutz ist für Unternehmen nicht direkt verpflichtend. Teilweise gibt es jedoch gesetzliche Regelungen, die ein implementiertes ISMS nach ISO 27001 oder nach IT-Grundschutz verlangen. Beispiele hierfür stellen die Anforderungen der NIS-2-Richtlinie, der BSI-Kritisverordnung oder der DiGAV dar.
Ein Mindestmaß an IT-Sicherheit ist mit Blick auf die zunehmende Cyberbedrohungslage aber auch grundsätzlich ratsam, um Ausfällen, finanziellen Schäden oder Reputationsverlusten vorzubeugen. Hier bietet der IT-Grundschutz Organisationen eine sehr gute Hilfestellung, um die eigene IT-Sicherheit zu verbessern.
IT-Grundschutz-Profile enthalten die einzelnen Schritte eines Sicherheitsprozesses für einen definierten Anwendungsbereich, z.B. für Branchen oder Sekoren. Dabei dienen sie als Schablonen, die Unternehmen nutzen können, um ihre Geschäftsprozesse mit reduziertem Aufwand effektiv abzusichern.
Eine Übersicht über die aktuellen IT-Grundschutz-Profile finden Sie auf der Seite des BSI.
Ja, der IT-Grundschutz deckt auch das Thema Datenschutz ab, jedoch nicht in dem Umfang wie es beispielsweise für die Datenschutz-Grundverordnung (DSGVO) erforderlich ist. Unternehmen, die den IT-Grundschutz implementieren, können von den enthaltenen Sicherheitsmaßnahmen profitieren, müssen allerdings noch weitere Datenschutzanforderungen berücksichtigen.
Die IT-Grundschutz-Methodik besteht aus 10 verschiedenen Bausteinen, die die wichtigsten Anforderungen und Empfehlungen zur Absicherung einzelner sowie komplexer Systeme und Prozesse beinhalten. Anwender:innen können gezielt die Bausteine wählen, die für ihre Organisation relevant sind. Die aktuelle Edition 2023 wurde im Februar 2023 veröffentlicht.
OPS.1.1.1 Allgemeiner IT-Betrieb
OPS.1.1.2 Ordnungsgemäße IT-Administration
OPS.1.1.3 Patch- und Änderungsmanagement
OPS.1.1.4 Schutz vor Schadprogrammen
OPS.1.1.5 Protokollierung
OPS.1.1.6 Software-Tests und -Freigaben
OPS.1.1.7 Systemmanagement
OPS.1.2.2 Archivierung
OPS.1.2.4 Telearbeit
OPS.1.2.5 Fernwartung
OPS.1.2.6 NTP -Zeitsynchronisation
OPS.2.2 Cloud-Nutzung
OPS.2.3 Nutzung von Outsourcing
OPS.3.2 Anbieten von Outsourcing
APP.1.1 Office-Produkte
APP.1.2 Webbrowser
APP.1.4 Mobile Anwendung (Apps)
APP.2.1 Allgemeiner Verzeichnisdienst
APP.2.2 Active Directory Domain Services
APP.2.3 OpenLDAP
APP.3.1 Webanwendungen und Webservices
APP.3.2 Webserver
APP.3.3 Fileserver
APP.3.4 Samba
APP.3.6 DNS-Server
APP.4.2 SAP-ERP-System
APP.4.3 Relationale Datenbanksysteme
APP.4.4 Kubernetes
APP.4.6 SAP ABAP-Programmierung
APP.5.2 Microsoft Exchange und Outlook
APP.5.3 Allgemeiner E-Mail-Client und -Server
APP.5.4 Unified Communications und Collaboration
APP.6 Allgemeine Software
APP.7 Entwicklung von Individualsoftware
SYS.1.1 Allgemeiner Server
SYS.1.2.2 Windows Server 2012
SYS.1.2.3 Windows Server
SYS.1.3 Server unter Linux und Unix
SYS.1.5 Virtualisierung
SYS.1.6 Containerisierung
SYS.1.7 IBM Z
SYS.1.8 Speicherlösungen
SYS.1.9 Terminalserver
SYS.2.1 Allgemeiner Client
SYS.2.2.3 Clients unter Windows
SYS.2.3 Clients unter Linux und Unix
SYS.2.4 Clients unter macOS
SYS.2.5 Client-Virtualisierung
SYS.2.6 Virtual Desktop Infrastructure
SYS.3.1 Laptops
SYS.3.2.1 Allgemeine Smartphones und Tablets
SYS.3.2.2 Mobile Device Management (MDM)
SYS.3.2.3 iOS (for Enterprise)
SYS.3.2.4 Android
SYS.3.3 Mobiltelefon
SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
SYS.4.3 Eingebettete Systeme
SYS.4.4 Allgemeines IoT-Gerät
SYS.4.5 Wechseldatenträger
INF.1 Allgemeines Gebäude
INF.2 Rechenzentrum sowie Serverraum
INF.5 Raum sowie Schrank für technische Infrastruktur
INF.6 Datenträgerarchiv
INF.7 Büroarbeitsplatz
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum
INF.11 Allgemeines Fahrzeug
INF.12 Verkabelung
INF.13 Technisches Gebäudemanagement
INF.14 Gebäudeautomation