Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Bill Oxford, Unsplash
IT-Grundschutz-Kompendium: Das hat sich geändert
IT-Sicherheit ist für viele Unternehmen ein Buch mit sieben Siegeln – von allen Seiten werden Anforderungen gestellt und die Umsetzung ist oft unklar. Genau aus diesem Grund gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jährlich das IT-Grundschutz-Kompendium raus – immer in aktualisierter Form. Seit Februar steht die Version für 2021. Wir klären, was hinter dem IT-Grundschutz-Kompendium steckt und haben die Änderungen in der aktuellen Version für Sie zusammengefasst.
Das steckt hinter dem IT-Grundschutz-Kompendium
Das Kompendium ist eine grundlegende Veröffentlichung des IT-Grundschutzes und bildet neben den BSI-Standards die Basis rund um Informationssicherheit. Sie können es sich im Grunde als Handbuch vorstellen. Das Kompendium besteht aus einzelnen Bausteinen, die jeweils zu einem bestimmten Thema auf relevante Sicherheitsaspekte eingehen.
Es empfiehlt sich, das Kompendium einmal insgesamt zu lesen sowie bei Problemen oder bei der Implementierung neuer IT in die einzelnen Kapitel zu schauen. Die einzelnen Bausteine geben Ihnen eine Übersicht, worauf Sie sehr spezifisch achten müssen bzw. sollten.
So werden zunächst Gefahren beleuchtet und im Anschluss Sicherheitsanforderungen abgeleitet. Die Bausteine sind thematisch in insgesamt zehn Schichten unterteilt und reichen von z.B. Industrielle IT bis zum Sicherheitsmanagement.
An der Erstellung des IT-Grundschutz-Kompendiums ist allerdings nicht nur das BSI beteiligt. Der Redaktionsprozess für die einzelnen Bausteine sieht zusätzlich einen Community-Ansatz vor. Das BSI stellt dabei ganzjährig seine Texte als Community Drafts zur Verfügung. Anwender:innen können diese in einem Zeitraum von vier Wochen kommentieren.
Im Anschluss überprüft das BSI die Kommentare und überarbeitet die Textbausteine bis sie in Form von Final Drafts in die aktualisierte Version des IT-Grundschutz-Kompendiums eingehen. Die Version für 2021 finden Sie hier.
Das hat sich geändert in der aktuellen Version des IT-Grundschuzt-Kompendiums
Das IT-Grundschutz-Kompendium wird nicht nur sprachlich, sondern auch inhaltlich konstant aktualisiert. Entwicklungen in der IT-Sicherheit werden miteinbezogen, sodass das Kompendium stets auf dem neusten Stand der Technik ist. Daher ist auch für Sie ein gutes Hilfsmittel, um Ihr IT-Sicherheitskonzept aktuell zu halten. In der Version von 2021 wurden die bisherigen 96 Bausteine überarbeitet, wobei sechs Bausteine verschoben, umbenannt oder zusammengefasst wurden.
Entscheidend ist allerdings, dass zwei neue Blöcke hinzugekommen sind. Das ist zum einen der Block „CON.10 Entwicklung von Webanwendungen“ im Bereich „Konzepte und Vorgehensweisen“. Zum anderen wurde das Kompendium um den Block „INF.11 Allgemeines Fahrzeug“ im Bereich „Infrastruktur“ ergänzt. Erfahren Sie, was sich hinter diesen Bezeichnungen verbirgt.
Neuer Baustein: CON.10 Entwicklung von Webanwendungen
Dieser Baustein soll Unterstützung bei der sicheren Entwicklung von Webanwendungen bieten sowie Informationen, die durch Webanwendungen verarbeitet werden, schützen. Die sichere Nutzung von Webanwendungen ist an anderer Stelle des IT-Grundschutz-Kompendiums zu finden.
Dabei geht der Baustein auf spezifische Bedrohungen und Schwachstellen ein und thematisiert beispielsweise unzureichende Protokollierung oder die Umgehung von Autorisierungen. Im Anschluss folgt eine Aufführung von Basisanforderungen, die umgesetzt werden müssen sowie Standardanforderungen und Anforderungen bei erhöhtem Schutzbedarf, die umgesetzt werden sollten. Diese Struktur finden Sie in jedem der Bausteine.
Verantwortlich sind grundsätzlich die Entwickler:innen, allerdings sind Informationssicherheitsbeauftragte bei strategischen Entscheidungen mit einzubeziehen und für die Überprüfung zuständig.
Neuer Baustein: INF.11 Allgemeines Fahrzeug
IT-Komponenten sind mittlerweile nicht mehr nur in mobilen Endgeräten verbaut – auch in den meisten modernen Fahrzeugen sind sie integriert. Daher hat das BSI einen neuen Baustein zu IT-Sicherheit in Fahrzeugen hinzugefügt.
Der Baustein dient der Sensibilisierung in Bezug auf Gefahren und Anforderungen bei der Nutzung von Fahrzeugen. Diese Sensibilisierung ist besonders wichtig, da Fahrzeuge häufig zusätzlich als mobile Arbeitsplätze genutzt werden, die ebenfalls Sicherheitsstandards unterliegen sollten.
Der Begriff Fahrzeug ist hier sehr weit gefasst. Von Lkw über Flugzeug zu Schiffen fallen die meisten Vehikel in die Definition des BSI. Lediglich Fahrzeuge mit besonderen Einsatzzwecken, wie Rettungsfahrzeuge, sind nicht mit inbegriffen bzw. hier ergeben sich weitere Fragen sowie Anforderungen.
Wie andere Bausteine auch, gliedert sich der Baustein zu allgemeinen Fahrzeugen in potentielle Gefährdungen und Sicherheitsanforderungen, die daraus abgeleitet werden. Viele Sicherheitsrisiken drehen sich hier um mangelnde Regelungen und Sensibilisierung sowie fehlerhafte Kommunikation. Aus Datenschutzsicht sollten Sie Ihre Mitarbeitende zusätzlich über die Erhebung und potentielle Nutzung von den im Auto gesammelten Daten informieren. Auch eine nicht fachgerechte Aussonderung kann zu einem Sicherheitsrisiko werden.
Quellen
Bundesamt für Sicherheit in der Informationstechnik (2021): „IT-Grundschutz-Kompendium“, Reguvis Fachmedien GmbH, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2021.pdf?__blob=publicationFile&v=6, letzter Zugriff am 02. März 2021.
Bundesamt für Sicherheit in der Informationstechnik (o.J.): „Community Drafts: Vom Community Draft zur Edition“, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Drafts/it-grundschutz-drafts_node.html, letzter Zugriff am 02. März 2021.
Bundesamt für Sicherheit in der Informationstechnik (o.J.): „IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit“, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html, letzter Zugriff am 02. März 2021.
Frankenstein, Ronny (2021): „IT-Grundschutz-Kompendium: Web-Anwendungs- und Fahrzeug-IT-Sicherheit“, Heise online, 10. Februar 2021, https://www.heise.de/news/Neues-IT-Grundschutz-Kompendium-Web-Anwendungs-und-Fahrzeug-IT-Sicherheit-5051743.html?wt_mc=nl.red.security.security-nl.2021-02-11.link.link, letzter Zugriff am 02. März 2021.