2024 gab es kein neues IT-Grundschutz-Kompendium. Stattdessen könnte die Optimierung der Grundschutzumsetzung auf dem Plan von Unternehmen stehen.
16.01.2025, 12:00 Uhr
Lesezeit: 15 Min.
- IT-Sicherheit: Die Umsetzung des IT-Grundschutzes optimieren
- Einflussfaktoren prüfen
- Den Bedarf an Schutz feststellen
- Maßnahmen und Risikobewertungen
- Erfahrungen aus der Praxis
Da im 2024 kein neues IT-Grundschutz-Kompendium erschienen ist, weil das BSI mit vielen IT-Grundschutz-Themen in Klausur geht und überdies mit dem IT-Grundschutz-Jubiläum befasst war, bietet es sich an, diese Atempause zu nutzen und sich über Optimierungen in der einen oder anderen Phase des IT-Grundschutz-Vorgehens Gedanken zu machen.
Dabei können die in diesem Artikel genannten Möglichkeiten zum einen schon vor dem Start eines IT-Grundschutz-Projektes dazu dienen, den Projektplan zu straffen. Zum andern können auch bei bestehenden Zertifizierungen die Sicherheitskonzepte durch solche Reviews kontinuierlich verbessert werden.
- Um Kosten zu sparen, kann es sinnvoll sein, die IT-Grundschutz-Umsetzung im Unternehmen unter die Lupe zu nehmen und die ein oder andere Stellschraube neu zu justieren.
- Setzt man den Schutzbedarf als Basis für ein Sicherheitskonzept zu niedrig an, weil man Zeit und Kosten sparen will, läuft man Gefahr, dass im Ernstfall die etablierten Maßnahmen für das reale Schadenszenario nicht ausreichen.
- Langjährige Risikoanalysen haben gezeigt, dass eine Umsetzung der Anforderungen aus den Grundschutzbausteinen zu einem hohen Sicherheitsniveau führt.
Ronny Frankenstein ist bei der HiSolutions AG Auditteamleiter für die Zertifizierung der ISO 27001 auf Basis des BSI IT-Grundschutzes sowie Mitautor der BSI-Standards und des IT-Grundschutz-Kompendiums.
Die Hinweise und Möglichkeiten orientieren sich in ihrer Reihenfolge am IT-Grundschutz-Vorgehen für die Standardabsicherung. Dadurch finden sich Anwender leichter zurecht und durch die Standardabsicherung werden alle Phasen einer möglichen und erlaubten Teilumsetzung auch nach Basisabsicherung oder Kernabsicherung automatisch mitberücksichtigt. Mit anderen Worten: Ist die umfangreichere Standardabsicherung umgesetzt, sind auch die reduzierteren Absicherungen enthalten. Die Definitionen der verschiedenen Absicherungsarten nebst ihren Vor- und Nachteilen finden sich in der gleichnamigen Tabelle auf der nächsten Seite. Details zu allen drei Absicherungsarten sind im BSI-Standard 200-2 beschrieben.
Das war die Leseprobe unseres heise-Plus-Artikels "IT-Sicherheit: Die Umsetzung des IT-Grundschutzes optimieren". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.
English (US) ·