## Einleitung
BSI IT-Grundschutz ist Deutschlands umfassende Methodik für Informationssicherheit, entwickelt und gepflegt vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Er ist seit Jahrzehnten ein Eckpfeiler der Informationssicherheit in der deutschen öffentlichen Verwaltung und kritischen Infrastruktur.
Im Gegensatz zu ISO 27001, das prinzipienbasiert ist und viele Implementierungsdetails der Organisation überlässt, bietet Grundschutz hochdetaillierte, präskriptive Leitlinien. Das Grundschutz-Kompendium enthält Hunderte spezifischer Empfehlungen, die in Bausteinen organisiert sind und alles von der Serverraumsicherheit bis zum mobilen Gerätemanagement abdecken.
## Die Grundschutz-Methodik
BSI Grundschutz folgt einem strukturierten Ansatz mit drei Qualifikationsstufen:
### Basis-Absicherung
Die Einstiegsstufe, konzipiert für Organisationen, die gerade mit systematischer Informationssicherheit beginnen. Sie umfasst grundlegende Sicherheitsmaßnahmen und hilft dabei, eine Basislinie zu etablieren. Hier sollten die meisten KMUs beginnen.
### Standard-Absicherung
Die empfohlene Stufe für die meisten Organisationen. Sie beinhaltet eine vollständige Sicherheitsbewertung auf Basis des Grundschutz-Kompendiums und ist auf ISO 27001 abgestimmt. Organisationen können auf dieser Stufe eine kombinierte ISO 27001-Zertifizierung „auf Basis von IT-Grundschutz“ anstreben.
### Kern-Absicherung
Ein fokussierter Ansatz, der sich auf die kritischsten Geschäftsprozesse und Assets der Organisation konzentriert. Nützlich, wenn Ressourcen begrenzt sind und die Kronjuwelen zuerst geschützt werden müssen.
## Das Grundschutz-Kompendium verstehen
Das Grundschutz-Kompendium ist das Herzstück der Methodik. Es enthält Bausteine, die in 10 Schichten organisiert sind:
- **ISMS**. Informationssicherheitsmanagement
- **ORP**. Organisation und Personal
- **CON**. Konzepte und Vorgehensweisen
- **OPS**. Betrieb (IT-Betrieb, Fremdbetrieb)
- **DER**. Detektion und Reaktion
- **APP**. Anwendungen (Web, E-Mail, Datenbanken, Verzeichnisdienste)
- **SYS**. IT-Systeme (Server, Clients, mobile Geräte, IoT)
- **IND**. Industrielle IT / OT-Systeme
- **NET**. Netze (Architektur, Firewalls, VPN, WLAN)
- **INF**. Infrastruktur (Gebäude, Rechenzentren, Arbeitsbereiche)
Jeder Baustein enthält:
- Eine Beschreibung des Themas und seiner Relevanz
- Gefährdungsszenarien spezifisch für diesen Baustein
- Anforderungen auf drei Ebenen: Basis, Standard und Erhöht
- Querverweise auf andere verwandte Bausteine
## Schritt für Schritt: Ihr Grundschutz-Projekt starten
### Schritt 1: Informationsverbund definieren
Ihr Informationsverbund entspricht dem ISMS-Anwendungsbereich in ISO 27001. Er definiert, welche Geschäftsprozesse, IT-Systeme, Anwendungen, Netze und physischen Standorte abgedeckt werden.
Für ein erstes Projekt beginnen Sie fokussiert. Eine einzelne Abteilung oder ein kritischer Geschäftsprozess ist handhabarer als der Versuch, die gesamte Organisation auf einmal abzudecken.
### Schritt 2: Strukturanalyse durchführen
Erstellen Sie eine Übersicht aller Komponenten in Ihrem Informationsverbund:
- Geschäftsprozesse und ihre Abhängigkeiten
- Anwendungen und IT-Dienste
- IT-Systeme (Server, Clients, Netzgeräte)
- Kommunikationsverbindungen und Netzsegmente
- Physische Standorte (Gebäude, Räume)
Gruppieren Sie ähnliche Komponenten, um die Analyse handhabbar zu halten. Haben Sie beispielsweise 50 identische Arbeitsplätze, können diese als eine Gruppe behandelt werden.
### Schritt 3: Schutzbedarfsfeststellung
Bestimmen Sie für jede Komponente den Schutzbedarf in drei Dimensionen:
- **Vertraulichkeit**. Was passiert, wenn Informationen offengelegt werden?
- **Integrität**. Was passiert, wenn Informationen verändert werden?
- **Verfügbarkeit**. Was passiert, wenn das System nicht verfügbar ist?
Bewerten Sie jede Dimension als normal, hoch oder sehr hoch basierend auf der potenziellen Geschäftsauswirkung.
### Schritt 4: Modellierung
Ordnen Sie die geeigneten Bausteine Ihren Komponenten zu. Zum Beispiel:
- Ein Linux-Server erhält Bausteine für SYS.1.1 (Allgemeiner Server) und SYS.1.3 (Linux-Server)
- Ihr Büro erhält INF.1 (Allgemeines Gebäude) und INF.7 (Büroarbeitsplatz)
- Ihre Webanwendung erhält APP.3.1 (Webanwendungen)
Das BSI stellt einen Modellierungsleitfaden bereit, der empfiehlt, welche Bausteine auf welche Komponententypen anzuwenden sind.
### Schritt 5: IT-Grundschutz-Check
Arbeiten Sie für jeden anwendbaren Baustein die Anforderungen durch und bewerten Sie Ihren Umsetzungsstatus:
- **Ja**. Die Anforderung ist vollständig umgesetzt
- **Teilweise**. Einige Aspekte sind umgesetzt
- **Nein**. Die Anforderung ist nicht umgesetzt
- **Entbehrlich**. Die Anforderung gilt nicht (mit Begründung)
Dies ergibt Ihren Compliance-Gap-Bericht. Schließen Sie zunächst Lücken bei Basis-Anforderungen und gehen Sie dann zu Standard-Anforderungen über.
### Schritt 6: Ergänzende Risikoanalyse
Für Komponenten mit hohem oder sehr hohem Schutzbedarf ist eine ergänzende Risikoanalyse erforderlich. Die Standard-Grundschutz-Maßnahmen reichen für diese kritischen Assets möglicherweise nicht aus.
Identifizieren Sie zusätzliche Bedrohungen über die in den Bausteinen beschriebenen hinaus, bewerten Sie deren Risiko und definieren Sie zusätzliche Sicherheitsmaßnahmen.
## Grundschutz vs. ISO 27001
Eine häufige Frage ist, ob man Grundschutz oder ISO 27001 anstreben soll. Die gute Nachricht: Sie sind kompatibel.
- **ISO 27001 allein**. Mehr Flexibilität, international anerkannt, weltweit von Kunden und Partnern akzeptiert
- **BSI Grundschutz allein**. Präskriptiver, stark im deutschen öffentlichen Sektor und in der kritischen Infrastruktur
- **ISO 27001 auf Basis von IT-Grundschutz**. Kombinierte Zertifizierung, die die detaillierte Grundschutz-Methodik nutzt und gleichzeitig internationale ISO 27001-Anerkennung erreicht
Für deutsche Organisationen, insbesondere solche, die mit Behörden-Kunden arbeiten oder kritische Infrastruktur betreiben, bietet der kombinierte Ansatz oft den größten Mehrwert.
## Werkzeuge und Ressourcen
Das BSI stellt mehrere kostenlose Ressourcen bereit:
- **Grundschutz-Kompendium**. Der vollständige Katalog, jährlich aktualisiert
- **BSI-Standards 200-1, 200-2, 200-3, 200-4**. Die Methodikdokumente
- **IT-Grundschutz-Profile**. Vorgefertigte Vorlagen für gängige Anwendungsfälle
Plattformen wie KaitoSec werden mit dem vorgeladenen Grundschutz-Kompendium geliefert, einschließlich aller Bausteine, Anforderungen und Querverweise. Dies eliminiert die Notwendigkeit, manuell durch die umfangreiche BSI-Dokumentation zu navigieren, und ermöglicht es Ihnen, sich auf Bewertung und Implementierung zu konzentrieren.
## Heute starten
Der beste Weg zu beginnen ist, einen begrenzten Anwendungsbereich zu wählen, die Basis-Absicherungsanforderungen durchzuarbeiten und darauf aufzubauen. Sie müssen nicht alles auf einmal angehen. Ein strukturierter, schrittweiser Ansatz bringt Sie schneller zu einer soliden Sicherheitsbasislinie, als wenn Sie versuchen, alles auf einmal zu implementieren.
KaitoSec