Beim Thema IT-Security dreht sich alles um „Vertraulichkeit, Verfügbarkeit, Integrität“.
Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berück-sichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.
Allerdings bietet die Norm keinerlei praktische Umsetzungsvorschläge, sondern zeigt lediglich die Themen auf, die behandelt werden müssen.
Eine Möglichkeit auf Basis von Praktischen Umsetzungsvorschlägen ISO 27001 Niveau zu erreichen bietet der „BSI-IT-Grundschutz“.
"Der IT-Grundschutz beleuchtet inzwischen seit 25 Jahren neue Themen und Entwicklungen in der Informationssicherheit und überführt diese in praktikable Sicherheitsempfehlungen. Er ist anwendbar für alle Institutionen, die in Zeiten der Digitalisierung ihre IT-Systeme und Datennetze und damit ihre Geschäfts- oder Verwaltungsprozesse nach dem Stand der Technik absichern wollen. Eine erfolgreiche Digitalisierung kann heute nur gelingen, wenn Schutzmaßnahmen wie sie im IT-Grundschutz beschrieben sind, frühzeitig mitbedacht und umgesetzt werden. Der IT-Grundschutz bietet ein umfangreiches Instrumentarium, um bei Digitalisierungsprojekten Informationssicherheit von Beginn an zu berücksichtigen. Die bewährte BSI-Methode ist damit Voraussetzung und erster Schritt zugleich für alle, die die Herausforderung Digitalisierung annehmen wollen.“
(Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/vorkapitel/Vorwort.html)
Der IT-Grundschutz beleuchtet folgende Bereiche:
ISMS: Sicherheitsmanagement
ORP: Organisation und Personal
CON: Konzeption und Vorgehensweise
OPS: Betrieb
DER: Detektion und Reaktion
APP: Anwendungen
SYS: IT-Systeme
IND: Industrielle IT
NET: Netze und Kommunikation
INF: Infrastruktur
Zu diesen Bereichen gibt es jeweils drei Abstufungen der Absicherung: Basis, Standard, höhere Schutzanforderung.
Die Erfahrung zeigt, dass ein Audit auf Basis der frei zugänglichen Fragenkataloge eine zielführende Methode ist, um einen umfassenden Überblick über den „Status quo“ zu erlangen.
Der IT-Grundschutz liefert darüber hinaus auch Vorschläge, wie einzelne Teilbereiche abgesichert werden können. Damit stellt der IT-Grundschutz ein ideales Werkzeug dar.
Das gilt auch für die Themen die sich durch NIS 2.0 ergeben. Auch diese Anforderungen lassen sich gut über den BSI IT-Grundschutz erfüllen.
Die Kunst ist es, die Gratwanderung zwischen Paranoia, echter Gefährdung, Kosten und Nutzen zu schaffen.
Hierbei hilft mir meine langjährige Erfahrung als IT-Leiter einer Fachhochschule und meine Ausbildung als Kaufmann.
