POLYAS Wahllexikon

Als Expert:innen für Online-Wahlen liefern wir Erklärungen und Hintergrundinformationen zu Wahlen, Wahlrecht und digitaler Demokratie

IT- Grundschutz

Der IT-Grundschutz beschreibt eine vom BSI (Bundesamt für Sicherheit) entwickelte Vorgehensweise, um Sicherheitsmaßnahmen für unternehmenseigene Informationstechnik zu identifizieren und diese umzusetzen. 

Das Ziel des IT-Grundschutzes
Durch den IT-Grundschutz soll ein mittleres, angemessenes und ausreichendes Schutzniveau für IT-Systeme erreicht werden.

Bei der Entwicklung des IT-Grundschutzes verzichtet man auf eine detaillierte Risikoanalyse. Man geht von einem gewissen Gefährdungsstandard für IT-Systeme aus, der in drei Stufen eingeteilt ist. Basierend auf diesen drei Stufen können aus den IT-Grundschutz-Katalogen entsprechende Sicherheitsmaßnahmen und Schutzprogramme zusammengestellt werden.

Bestandteile des IT-Grundschutzes
Der IT-Grundschutz wurde erstmals 1994 eingeführt und im Jahr 2005 grundlegend überarbeitet. Seitdem unterteilt das BSI den IT-Grundschutz in die IT-Grundschutz-Kataloge und die BSI-Standards.

Die BSI-Standards
Insgesamt gibt es vier BSI-Standards. Diese erörtern den Aufbau eines Informationssicherheitsmanagementsystems (ISMS), Vorgehensweises des IT-Grundschutzes sowie die Erstellung einer Risikoanalyse für IT-Systeme mit hohem bzw. sehr hohem Schutzbedarf.

  • BSI-Standard 100-1 beschreibt verschiedene Möglichkeiten des Managements für Informationssicherheitssysteme
  • BSI-Standard 100-2 beschreibt die Vorgehensweise des IT-Grundschutzes
  • BSI-Standard 100-3 beschreibt die Risikoanalyse auf der Grundlage des IT-Grundschutzes
  • BSI-Standard 100-4  beschreibt, was im Notfall zu tun ist

Die IT-Grundschutz-Kataloge
Die IT-Grundschutz-Kataloge  enthalten eine Sammlung von Dokumenten, welche die Einführung sowie die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) beschreiben.  Weiter definieren sie beispielhafte Bausteine, Gefährdungen sowie Maßnahmen für ein ISMS.  Mit Hilfe der IT-Grundschutzkataloge ist es auch Laien möglich die entsprechenden Maßnahmen zu identifizieren und diese umzusetzen.

Vorgehensweise bei der Umsetzung des IT-Grundschutzes
Während der Vorbereitung und Umsetzung des IT-Grundschutzes werden insgesamt acht Schritte durchlaufen:

  1. Das Definieren des Informationsverbundes
  2. Durchführen einer IT-Strukturanalyse
  3. Feststellung des Schutzbedarfs
  4. Modellierung des IT-Grundschutzes
  5. Durchführen eines Basis-Sicherheitschecks
  6. Durchführen einer ergänzenden Sicherheitsanalyse(eventuell mit darauffolgender Risikoanalyse
  7. Konsolidieren der Schutzmaßnahmen
  8. Umsetzen der IT-Grundschutzmaßnahmen

Das IT-Grundschutz Zertifikat
Das BSI erteilt für die erfolgreiche Umsetzung des IT-Grundschutzes mit einem etablierten ISMS ein Zertifikat ISO/IEC 27001.
Dieses wird für die Grundschutz-Stufen eins und zwei auf Basis einer Selbsterklärung vergegeben. Für Stufe drei erfolgt eine Überprüfung des Grundschutzes durch einen vom BSI lizensierten, unabhängigen Auditor.

Siehe auch: IT-Sicherheit, Datensicherung, Datensicherheit, BSI


< Zur Übersicht