POLYAS Wahllexikon

Als Expert:innen für Online-Wahlen liefern wir Erklärungen und Hintergrundinformationen zu Wahlen, Wahlrecht und digitaler Demokratie

IT-Grundschutzkataloge

Die IT-Grundschutzkataloge sind eine Dokumentensammlung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie sollen die Nutzer bei der Erkennung und Bekämpfung von sicherheitsrelevanten Schwachstellen in IT-Umgebungen unterstützen. Unternehmen und Behörden können auf Grundlage der IT-Grundschutzkataloge ein Zertifikat nach dem IT-Grundschutz erlangen. Dieses Zertifikat zeichnet Unternehmen und Behörden für das Durchführen geeigneter Maßnahmen zur Absicherung ihrer IT-Systeme gegen IT-Sicherheitsbedrohungen aus.

Die IT-Grundschutzkataloge bestehen aus drei Hauptkapiteln:

  1. Bausteine des IT-Grundschutzes
  2. Gefährdungskataloge
  3. Maßnahmenkataloge

Bis 2005 waren BSI-Standards und IT-Grundschutzkataloge im IT-Grundschutzhandbuch zusammengefasst. 

Die Bausteine des IT-Grundschutzes

Dieser erste Teil der IT-Grundschutzkataloge ist, wie alle IT-Grundschutzkataloge, in fünf Schichten gegliedert und stellt das zentrale Element der IT-Grundschutzkataloge dar. 

B1: Die erste Schicht befasst sich mit organisatorischen Fragen, wie dem Management und dem Personal, die für den IT-Grundschutz benötigt werden.
B2: Die zweite Schicht legt einen Schwerpunkt auf die notwendige Infrastruktur zur Umsetzung des IT-Grundschutzes.
B3: Die dritte Schicht befasst sich mit dem IT-System und den Eigenschaften, die IT-Systeme aufweisen müssen. Neben Servern und Clients zählen auch Telefonmodule und Faxgeräte zu den IT-Systemen.
B4: Die vierte Schicht, die sog. Netz-Schicht, befasst sich mit den notwendigen Aspekten von Netzwerken.
B5: Die fünfte Schicht beschäftigt sich mit den Anwendungen, die für den IT-Grundschutz von Relevanz sind. Hiermit ist vor allem die verwendete Software gemeint, z.B. Datenbankmanagementsysteme, E-Mail-Programme und Webserver.

Aufgrund der Einteilung der verschiedenen Bausteine in Schichten, lassen sich diesen jeweils die betroffenen Personengruppen zuweisen und klar eingrenzen. So ist von der ersten Schicht vor allem das Management betroffen, von der zweiten die Haustechnik, von der dritten die zuständigen Administratoren, von der vierten sind Netzadministratoren betroffen und von der fünften Schicht vor allem die IT-Nutzer.

Die Gefährdungskataloge
Die Gefährdungskataloge gehen näher ein auf die möglichen Gefährdungen für IT-Systeme. Sie sind ebenfalls in fünf Schichten aufgebaut:

  1. Höhere Gewalt
  2. Organisatorische Mängel
  3. Menschliche Fehlhandlungen
  4. Technisches Versagen
  5. Vorsätzliche Handlungen

Die Informationen in den Gefährdungskatalogen dienen dem erweiterten Verständnis für die verschiedenen Maßnahmen.

Die Maßnahmenkataloge
Die Maßnahmen beschreiben die für die Umsetzung des IT-Grundschutzes notwendigen technischen Vorkehrungen und sind ebenfalls untergliedert in Schichten:

  1. Infrastruktur
  2. Organisation
  3. Personal
  4. Hard- und Software
  5. Kommunikation
  6. Notfallvorsorge

Neben den Grundschutzkatalogen existieren die BSI-Standards. Diese enthalten alle Maßnahmen, die in einem Unternehmen umgesetzt werden müssen, damit das IT-Grundschutz-Zertifikat durch das BSI vergeben wird. 

Siehe auch: BSI - Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz, IT-Sicherheit, BSI-Standards


< Zur Übersicht