Ihr Partner für IT-Sicherheit und Datenschutz
16th Okt 2015 | by: Matthias Mühlhaus

Was ändert sich am IT-Grundschutzkatalog? Welche Alternativen gibt es zum 2016 auslaufenden Grundschutztool (GS-Tool) des Bundesamtes für Sicherheit in der Informationstechnik (BSI)? Welche Praxisempfehlungen geben die IT-Sicherheitsexperten der Bundeswehr? Mit unseren Erkenntnissen vom IT-Grundschutz-Tag, den das BSI im Rahmen der IT-Security Messe it-sa in Nürnberg durchführte, möchten wir Sie auf den neusten Stand zum Thema IT-Grundschutz bringen.

 

Was ist der IT-Grundschutz-Tag?

Die jährlich in Nürnberg stattfindende it-sa ist eine Leitmesse der IT-Security-Branche. Hier treffen sich IT-Sicherheitsbeauftragte, Entwickler, Dienstleister, Produktanbieter und Interessierte, um sich über aktuelle Entwicklung auszutauschen. Der IT-Grundschutz-Tag bot am 7. Oktober 2015 mit zahlreichen interessanten Vorträgen unter der Überschrift „IT-Grundschutz – wie geht’s weiter“ ein Forum zum Thema IT-Grundschutz, eyeDsec war für Sie mit dabei.

Was ist IT-Grundschutz?

Der IT-Grundschutz ist eine etablierte Vorgehensweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die Erreichung eines angemessenen Sicherheitsniveaus der organisationseigenen Informationstechnik (IT). „IT-Grundschutz umfasst Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit ‚normalem’ Schutzbedarf“ (IT-Grundschutz-Kataloge, Kap. 1.1). Die Bundesbehörde hat den Konzeptrahmen ursprünglich zur Unterstützung von Behörden entwickelt. Heute gilt es sowohl für Behörden als auch für Unternehmen als Standard. Die Grundschutz-Kataloge bilden die Grundlage für den Aufbau und die Zertifizierung von Informations-Sicherheits-Managementsystemen (ISMS) nach ISO 27001 auf der Basis des IT-Grundschutzes. Durch eine Zertifizierung verdeutlicht eine Organisation gegenüber Kunden und Gesetzgeber, dass sie eine Risikobewertung und Maßnahmen gegen Bedrohungen der IT getroffen hat.

 

Was ändert sich mit der IT-Grundschutz-Katalog- Ergänzungslieferung?

Die 15. Ergänzungslieferung des IT-Grundschutzkatalogs wird voraussichtlich Anfang bis Mitte 2016 erscheinen. Die Inhalte wurden auf der Messe leider nur vage bekannt gegeben. Eine wichtige Neuerung wird es sein, dass das Betriebssystem Windows 8 aufgenommen wird.

Welche Sicherheitsaspekte sind bei Windows 8 wichtig?

Passend dazu erläuterte Christopher Kindt von Microsoft die verbesserten Sicherheitsaspekte von Windows 8 und Windows 10. Er verdeutlichte die zunehmende Bedeutung von biometrischen Absicherungen wie Gesichtserkennung oder Fingerprint.

Welche Empfehlungen geben Experten aus der Praxis?

Herr Großmann und Herr Lenßen von der Bundeswehr / BAAINBw boten in ihrem Vortrag einen Einblick, wie der IT-Grundschutz in der Bundeswehr umgesetzt wird. Sie erklärten, wie ihre „etwas andere Behörde“ die Grundschutzkataloge auf die eigenen Anforderungen hin anpasst, indem sie die einzelnen Bausteine individuell priorisieren und ergänzen. Ein Schwerpunkt der Bundeswehr ist aufgrund der Abhörthematik die Absicherung der Kommunikation. Die Referenten gaben den Zuhörern mit auf den Weg, dass jede Organisation ihren eigenen Umgang mit dem IT-Grundschutz finden soll. Wir empfehlen Ihnen ebenfalls: „Setzen Sie den Grundschutzkatalog nach Ihren Bedürfnissen um“. Als IT-Sicherheitsdienstleister helfen wir Ihnen gerne.

 

Was ist das Grundschutz-Tool?

Das Grundschutz-Tool (GS-Tool) unterstützt den Anwender bei der Aufsetzung, der Verwaltung und der Fortschreibung von IT-Sicherheitskonzepten gemäß dem IT-Grundschutz. Das BSI stellte dem Anwender die Software von 1998 bis 2014 bereit. 2013 wurde die Entwicklung des Tools aus wirtschaftlichen Gründen beendet. Nach Angaben der Bundesbehörde wird Ende 2016 auch der Support eingestellt. Daher stellt sich nun die dringende Frage: Was sind die Alternativen?

 

Welche Alternativen gibt es zum GS-Tool?

Herr Rehäußer von der CSC Deutschland präsentierte auf dem IT-Grundschutztag eine Studie, in der sein Unternehmen bedeutende Alternativprogramme zum GS-Tool miteinander vergleicht. Folgende GS-Tool-Alternativen sind Studieninhalt:

  • DHC Vision Information Security Manager 5.2
  • HiScout GRC Suite 2.3 
  • iris (Version 15/R2 (Build 15107.1))
  • Opus-i (Oktober 2014)
  • QSEC V4.2
  • SAVe V4.4 bzw. V5.0
  • Sidoc (Oktober 2014)
  • Verinice 1.9
eyedsec auf der it-sa

eyeDsec Geschäftsführer Matthias Mühlhaus besucht den Messestand von verinice-Anbieter SerNet.

Laut Herrn Rehhäuser hat jedes Tool Stärken und Schwächen. Das Programm verinice, welches wir unseren Kunden empfehlen, schneidet im Test insgesamt sehr gut ab. Falls Sie vor der Wahl eines neuen ISMS-Tools stehen, unterstützen wir Sie gerne – sowohl bei der Auswahl als auch bei der Migration der Daten aus dem GS-Tool.

 

 

 

 

 

 

 

 

 

 

Was sind die IT Grundschutz-Kataloge?

Die IT-Grundschutz-Kataloge sind die IT-Grundschutzhandbücher. „Der IT-Grundschutz des BSI bietet einen bewährten Maßnahmenkatalog, mit dem Unternehmen und Behörden ihre IT-Systeme zuverlässig vor digitalen Angriffen schützen können. Die IT-Grundschutz-Kataloge beinhalten organisatorische, technische, personelle und infrastrukturelle Empfehlungen, die grundlegend für die Sicherheit aller Unternehmensdaten sind.“ Quelle: BSI

 

Was ändert sich zukünftig an den IT-Grundschutz-Katalogen?

Das BSI hat sich zum Ziel gesetzt, die IT-Grundschutz-Kataloge einer Modernisierung zu unterziehen und befindet sich derzeit in der Konzeptphase. Die Kataloge sollen schlanker und damit übersichtlicher werden. Zukünftig sollen die Bausteine in folgende drei Kategorien gegliedert werden:

  •  Basisanforderungen
  •  Standardanforderungen
  • und Anforderungen für einen höheren Schutzbedarf.
Auch soll es neben den Bausteinen konkrete Umsetzungshinweise geben, in denen zu den Anforderungen die passenden Sicherheitsmaßnahmen aufgezeigt werden.

Wer hilft Ihnen zum Thema IT-Grundschutz weiter?

Die Vortragspräsentationen des Grundschutztags finden Sie auf der Website des BSI.

Falls Sie Unterstützung im Bereich IT-Grundschutz benötigen – sei es für die individuelle Umsetzung der Anforderungen oder beim Umstieg vom GS-Tool auf eine aktuelle Software – wir sind gerne für Sie da. Rufen Sie uns unter 0921 / 230 599 35 an.