fidup.wiki

Design

IT-Grundschutzmodell

Das IT-Grundschutzmodell ist ein Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik zur Implementierung eines Informationssicherheitsmanagementsystems. Es berücksichtigt technische, infrastrukturelle, organisatorische und personelle Aspekte und bietet skalierbare Ansätze für Institutionen unterschiedlicher Größe und Komplexität, um Sicherheitsrisiken systematisch zu identifizieren und zu behandeln.

Lernziele

Dieser Artikel vermittelt folgende Kenntnisse:

  • Die drei Vorgehensweisen des IT-Grundschutzmodells unterscheiden und ihre Anwendungsbereiche beschreiben.
  • Den Prozess des IT-Grundschutzmodells in seinen Phasen nachvollziehen.
  • Die Komponenten wie BSI-Standards und IT-Grundschutz-Kompendium in den Kontext einordnen.
  • Die Rolle des kontinuierlichen Verbesserungsprozesses in der Informationssicherheit verstehen.

Kurzüberblick

Das IT-Grundschutzmodell ist eine vom BSI entwickelte Methodik zur Etablierung eines Informationssicherheitsmanagementsystems. Es umfasst Standards, ein Kompendium mit Bausteinen und praktische Umsetzungshinweise. Historisch entstand es aus den BSI-Standards der 100-x-Serie, die 2017 durch die 200-x-Serie ersetzt wurden, um den Übergang zu einem modernen ISMS zu erleichtern. Das Modell ist kompatibel mit ISO/IEC 27001 und ermöglicht eine Zertifizierung auf Basis von IT-Grundschutz.

Kontext und Einordnung

Informationssicherheit bildet die Grundlage für den Schutz sensibler Daten und Systeme in Unternehmen und Organisationen. Das IT-Grundschutzmodell adressiert dies durch einen strukturierten Ansatz, der seit 1989 entwickelt wird und in Verwaltung sowie Wirtschaft bewährt ist. Es ergänzt andere Sicherheitskonzepte wie Datenschutz-Vorgaben und dient als Basis für kritische Infrastrukturen. Die BSI-Standards der 200-x-Serie (200-1 für ISMS-Grundlagen, 200-2 für Methodik, 200-3 für Risikoanalyse und 200-4 für Business Continuity Management) bilden den Kernrahmen.

Begriffe und Definitionen

  • IT-Grundschutz-Kompendium: Sammlung von thematisch strukturierten Bausteinen, die Gefährdungen und Sicherheitsanforderungen für Bereiche mit normalem Schutzbedarf beschreiben. Umsetzungshinweise bieten praktische Hilfestellungen zur Realisierung.
  • Basis-Absicherung: Modulare Vorgehensweise für einen schnellen Einstieg in ein ISMS, geeignet für kleine Unternehmen; ermöglicht grundlegende Absicherung mit geringem Aufwand und führt zu einem BSI-Testat.
  • Standard-Absicherung: Umfassende Methode zur vollständigen ISMS-Implementierung, kompatibel mit ISO/IEC 27001-Zertifizierung; ersetzt die frühere 100-2-Serie.
  • Kern-Absicherung: Ansatz für einen fokussierten Start, bei dem ein kleiner Teil eines größeren Informationsverbundes betrachtet und abgesichert wird, um pilotartig in das ISMS einzusteigen.

Vorgehen

Der Prozess des IT-Grundschutzmodells gliedert sich in drei Hauptphasen:

  1. Initiierung des Sicherheitsprozesses: Management-Entscheidung zur Einführung, Ernennung eines Informationssicherheitsbeauftragten, Definition des Informationsverbundes und Erstellung einer Leitlinie zur Informationssicherheit.
  2. Organisation des Sicherheitsprozesses: Aufbau einer Sicherheitsorganisation, Konzeption und Planung der Maßnahmen.
  3. Durchführung des Sicherheitsprozesses: Modellierung des Informationsverbundes nach IT-Grundschutz, Durchführung eines IT-Grundschutz-Checks und Umsetzung der Sicherheitskonzeption.

Für die Basis-Absicherung beginnt man mit einer Auswahl von Bausteinen für grundlegende Bereiche; die Standard-Absicherung erfordert eine vollständige Risikoanalyse und Maßnahmenumsetzung; die Kern-Absicherung fokussiert auf einen begrenzten Bereich zur schrittweisen Einführung.

Beispiele

Ein mittelständisches Unternehmen mit 50 Mitarbeitern wählt die Basis-Absicherung für den Einstieg. Es modelliert seinen Informationsverbund als einfaches Netzwerk mit Büro-PCs und einem Server. Ausgewählte Bausteine umfassen Grundmaßnahmen zu Passwortrichtlinien und Virenschutz. Nach Umsetzung erhält es ein BSI-Testat, das grundlegende Sicherheit bestätigt.

In einem größeren Unternehmen mit mehreren Standorten kommt die Standard-Absicherung zum Einsatz. Der Informationsverbund umfasst komplexe Systeme wie ERP-Software und Cloud-Dienste. Eine Risikoanalyse identifiziert 20 Gefährdungen, für die Maßnahmen wie Zwei-Faktor-Authentifizierung und regelmäßige Backups implementiert werden. Dies führt zu einer ISO 27001-Zertifizierung auf Basis von IT-Grundschutz.

Häufige Fehler und Tipps

  • Fehler: Kern-Absicherung mit Standard-Absicherung verwechseln und den Fokus auf kritische Prozesse legen, statt einen kleinen Bereich zu starten. Die Kern-Absicherung fokussiert auf einen begrenzten Bereich zur schrittweisen Einführung, während die Standard-Absicherung eine vollständige ISMS-Implementierung umfasst.
  • Fehler: Historische Standards (100-x) mit aktuellen (200-x) mischen. Neue Implementierungen sollten ausschließlich die aktuelle 200-x-Serie verwenden.
  • Fehler: Bausteine ohne Umsetzungshinweise anwenden. Die Umsetzungshinweise enthalten praktische Details, die Missverständnisse vermeiden helfen.

Selbsttest

  • Welche drei Vorgehensweisen gibt es im IT-Grundschutzmodell?
  • Wofür steht BSI-Standard 200-2?
  • Wie unterscheidet sich die Kern-Absicherung von der Basis-Absicherung?
  • Welche Rolle spielt der kontinuierliche Verbesserungsprozess?

Weiterführendes

Für tiefergehende Informationen zu Risikoanalysen siehe BSI-Standard 200-3. Der kontinuierliche Verbesserungsprozess ist essenziell für die Aufrechterhaltung der Informationssicherheit. Bei Bedarf an Zertifizierung können ISO/IEC 27001-Richtlinien herangezogen werden.

Copyright © 2026 Torben Haack