IT-Grundschutz

IT-Grundschutz
Leitfaden zur Basis-Absicherung als Einstieg zur Informationssicherheit

Die in dem IT-Grundschutz beschriebenen Themen spiegeln typische Bereiche und Aspekte der Informationssicherheit in einer Organisation wider. Es reicht von allgemeinen Themen wie Sicherheitsmanagement, Datenschutz oder Datensicherungskonzepten bis hin zu spezifischen Maßnahmen und Komponenten der IT-Umgebung.

 

  1. IT-Grundschutz
    Leitfaden zur Basis-Absicherung als Einstieg zur Informationssicherheit
    1. IT-Grundschutz - technische Möglichkeiten zur Informationssicherheit
      1. Bewährte Schutzmaßnahmen gegen Gefahren und Bedrohungen
      2. Aktive IT-Sicherheitskultur vermeidet die meisten der Netzwerkangriffe (Cyberangriffe)
      3. Der Basisschutz bietet bereits ein hohes Maß an Sicherheit
    2. IT-Grundschutz: Sicherheits-Zertifizierungen
      1. Unternehmen profitieren von einer zertifizierten Informationssicherheit
    3. Der Klassiker: ISO/IEC 27000-Reihe
    4. Die BSI-Variante: ISO 27001 Zertifizierung auf Basis von IT-Grundschutz
      1. IT-Grundschutz-Katalogen bilden die Grundlage für die Informationssicherheit
    5. VdS 10000 (3473) Richtlinien für zertifizierte Cyber-Sicherheit
      1. Die VdS-Richtlinien bilden ein angemessenes Schutzniveau
    6. Der Weg zur Zertifizierung - Wir können Sie unterstützen
      1. Aufbau einer geeigneten Organisationsstruktur
    7. Einführung eines IT-Risikomanagements
    8. Feststellung des Schutzbedarfs, Risikobewertung
    9. Erstellung eines IT-Sicherheitskonzepts
    10. Gefährdungen der IT
    11. IT-Grundschutz
    12. IT-Grundschutz - Tipps, Empfehlungen, Anleitungen
      1. BSI-Standards
    13. Die wichtigste Maßnahme für einen guten IT-Grundschutz
      1. Wir unterstützen Sie bei IT-Grundschutz, Basisschutz und IT-Sicherheit

 

Sichere Passwörter, Botnets, E-Mail-Sicherheit und die Verwendung öffentlicher WLAN-Netzwerke sind nur einige Aspekte der Digitalisierung, die Internetnutzer kennen sollten. Ein guter Grundschutz ist unerlässlich.

IT-Netzwerke, EDV-Anlagen und IT-Systeme müssen gegen Gefahren geschützt werden. Stichwort: ISO 27001 und IT-Grundschutz. Der IT-Grundschutzkatalog vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ein Standard und Leitfaden für der IT-Sicherheit für Unternehmen.

Ausführlich beschreibt das BSI technische Möglichkeiten zur Informationssicherheit. Die Norm ISO 27001 sind Richtlinien zur Umsetzung einer höchstmöglichen Informationssicherheit im Mittelstand.

 

IT-Grundschutz - technische Möglichkeiten zur Informationssicherheit

IT-Grundschutz ist ein vom BSi (Bundesamt für Sicherheit in der Informationstechnik) entwickeltes Programm zur Ermittlung und Umsetzung der unternehmenseigenen Sicherheitsmaßnahmen der Informationstechnologie oder Informationstechnik (IT). Der Zweck des Grundschutzes besteht darin, ein mittleres, angemessenes und ausreichendes Schutzniveau für informationstechnische Systeme (IT-Systeme) zu erreichen.

Um dieses Ziel zu erreichen, empfiehlt der IT-Grundschutz-Katalog technische Sicherheitsmaßnahmen sowie infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.

 

Bewährte Schutzmaßnahmen gegen Gefahren und Bedrohungen

Sie können sich auf bewährte Schutzmaßnahmen gegen Gefahren und Bedrohungen verlassen. Ein guter IT-Grundschutz ist unerlässlich. Die Grundlage für die sichere Nutzung von Anwendungen (Programme) und Daten im Betrieb sind sichere Server, die Basis für die sichere Nutzung sozialer Netzwerke sind sichere Endgeräte.

Ihre Sicherheit hängt auch von Ihrem Verhalten ab. Die vielleicht einfachste Regel lautet: Seien Sie misstrauisch und verhalten Sie sich bei E-Mails und im Internet gegenüber Fremden wie im wirklichen Leben.

 

Aktive IT-Sicherheitskultur vermeidet die meisten der Netzwerkangriffe (Cyberangriffe)

Durch grundlegende Schutzmaßnahmen und eine aktive IT-Sicherheitskultur können die meisten der Netzwerkangriffe (Cyberangriffe) vermieden werden. Die Maßnahmen sind einfach und können mit sehr wenigen Ressourcen eingeleitet werden. Die Voraussetzung ist die Bereitschaft, während des Betriebs kleine Anpassungen vorzunehmen.

 

Der Basisschutz bietet bereits ein hohes Maß an Sicherheit

Einige grundlegenden IT-Sicherheitsmaßnahmen sollten immer implementiert werden (Basisschutz). Sie bieten bereits ein hohes Maß an Schutz und sind in der Regel einfach zu implementieren.

Die Basis-Absicherung ist der Einstieg in den IT-Grundschutz und ermöglicht eine grundlegende Erst-Absicherung über alle Geschäftsprozesse vorzunehmen. Auf diesem Basisschutz kann dann ein fortschrittlicheres und leistungsfähigeres Sicherheitskonzept aufgebaut werden.

Wir beraten Gewerbekunden bei der Einführung von Sicherheits-Richtlinien und unterstützen aktiv bei der technischen Umsetzung.

 

IT Grundschutz

 

IT-Grundschutz: Sicherheits-Zertifizierungen

Informationssicherheit ist ein Begriff, der verwendet wird, um die Attribute von Informationsverarbeitungssystemen und Speichersystemen (technisch oder nicht technisch) zu beschreiben, um die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen. Informationssicherheit kann Gefahren oder Bedrohungen verhindern, wirtschaftliche Verluste vermeiden und Risiken minimieren.

 

Unternehmen profitieren von einer zertifizierten Informationssicherheit

Unternehmen profitieren von einer zertifizierten Informationssicherheit. Kunden werden es ganz einfach verlangen. Die erforderlichen Management-Systeme bedeuten allerdings einiges an Aufwand. Kunden achten zunehmend auf Zertifizierungen der Lieferanten, Dienstleister und Anbieter. Die möglichen Bedrohungen in der IT beunruhigen viele Betriebe.

Sie wenden sich an vertrauenswürdige Anbieter, die anvertraute Daten wirkungsvoll schützen. Einen sicheren Dienstleister und Anbieter von Lösungen zu erkennen, ist nicht einfach. Der Blick richtet sich zwangsläufig auf anerkannte Zertifikate für Informationssicherheit. Basis solcher Zertifikate sind Standards, die von bestimmten Organisationen und Verbänden entwickelt wurden und allgemein anerkannt sind.

 

Der Klassiker: ISO/IEC 27000-Reihe

Wenn es um die Zertifizierung der Informationssicherheit geht, ist der ISO-Standard der Klassiker. Eine Zertifizierung nach ISO/IEC 27000 hat einen großen Vorteil, denn sie ist weit verbreitet und ist internationalen Ursprungs. Anerkannte Zertifizierungsstellen gibt es viele. Doch gerade für kleine bis mittlere Firmen sind die Hürden wie der interne Aufwand und die Kosten ganz einfach zu hoch, die sich mit dieser Zertifizierung ergeben.

 

Die BSI-Variante: ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Programm zur Ermittlung und Umsetzung der unternehmenseigenen Sicherheitsmaßnahmen der Informationstechnik (IT).

Der Zweck des Grundschutzes besteht darin, ein mittleres, angemessenes und ausreichendes Schutzniveau für IT-Systeme zu erreichen. Um dieses Ziel zu erreichen, empfiehlt der IT-Grundschutz-Katalog technische Sicherheitsmaßnahmen sowie Infrastruktur-, Organisations- und Personenschutzmaßnahmen.

 

IT-Grundschutz-Katalogen bilden die Grundlage für die Informationssicherheit

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinen IT-Grundschutz-Katalogen eine Grundlage für die Informationssicherheit. Der IT-Grundschutz ist nationalen Ursprungs. Die Umsetzung der IT-Grundschutz-Kataloge ist für viele kleine und mittlere Betriebe ebenfalls sehr aufwändig.

Die Hürden für eine Zertifizierung nach ISO 27001 insbesondere für KMU ist in den allermeisten Fällen viel zu hoch. Laufende Modernisierungen des IT-Grundschutzes sollen bewirken, dass dieser besser an die Unternehmensgröße angepasst werden kann. 

VdS 10000 (3473) Richtlinien für zertifizierte Cyber-Sicherheit

Die Richtlinien VdS 10000 der VdS Schadenverhütung GmbH als Informationssicherheits-Managementsysteme für kleine und mittlere Unternehmen (KMU) enthalten Richtlinien und Unterstützung für die Implementierung von Informationssicherheits-Managementsystemen sowie spezifische Maßnahmen für die Organisation und den technischen Schutz der IT-Infrastruktur.

 

Die VdS-Richtlinien bilden ein angemessenes Schutzniveau

Sie sind als Verfahren zur Zertifizierung der Informationssicherheit entwickelt und speziell für KMU konzipiert, um sicherzustellen, dass ein angemessenes Schutzniveau gewährleistet ist, ohne die organisatorischen oder finanziellen Belastungen zu sprengen.

Auf der CeBIT 2015 wurden die VdS-Richtlinien für zertifizierte Cyber-Sicherheit (VdS 3473) vorgestellt, VdS 10000 ist der Nachfolger von VdS 3473. Versicherern kann es zur Risikoeinschätzung beim Angebot für Deckungen von Cyberschäden dienen.

Der Weg zur Zertifizierung - Wir können Sie unterstützen

Ob ISO/IEC 27000, 27001, BSI IT-Grundschutz oder VdS10000, wir unterstützen Sie bei der Umsetzung des Sicherheitskonzeptes und der Normen in Ihrer Firma. Es liegen umfangreiche IT-Grundschutzkataloge und Standards des BSI vor, welche die gesamte Palette des IT-Sicherheitsmanagements bis zur Zertifizierung nach ISO 27001 abdecken.

Wir können Sie sowohl beim Aufbau eines ISMS und der Erstellung von IT-Sicherheitskonzepten als auch bei der Auditierung und Zertifizierung des ISMS nach ISO 27001 und VdS 10000 unterstützen.

 

Aufbau einer geeigneten Organisationsstruktur

Zentraler Aspekt bei der Einführung eines ISMS ist der Aufbau einer geeigneten Organisationsstruktur im Betrieb. Wir unterstützen Sie bei der Etablierung der Prozesse, der Definition der Rollen (z. B. des IT-Sicherheitsbeauftragten) und der Erstellung der notwendigen Dokumentation. Wir helfen Ihnen dabei, die vielfältigen, abstrakten Anforderungen der Norm angemessen umzusetzen. Dazu unterstützen wir Sie nicht nur bei der Durchführung der Risikoanalyse und der Erstellung des daraus abgeleiteten Sicherheitskonzeptes, sondern begleiten Sie auch bei der Umsetzung und Kontrolle der Maßnahmen.

Einführung eines IT-Risikomanagements

Im Rahmen einer Risikoanalyse werden die relevanten Gefährdungen (u.a. Brand, Wassereinbruch, Diebstahl der Server, Hackerangriffe) ermittelt und bewertet. Zu diesem Zweck werden in der Strukturanalyse die Infrastruktur (Gebäude, Serverräume), die Netzkomponenten (Firewall, Switches, Router) und Verbindungen (Ethernet, Backbone-Technik, Internet- und Remote-Anbindung), die IT-Systeme (Client, Server, Laptop, Smartphones) und die Anwendungen erfasst.

Feststellung des Schutzbedarfs, Risikobewertung

Auf der Grundlage dieser Aufstellung werden dann die relevanten Gefährdungen festgestellt und die Relevanz für den Betrieb ermittelt. Sofern bei dieser Risikobewertung festgestellt wird, dass weitere Maßnahmen zur Risikoreduktion notwendig sind oder für die bestehenden Maßnahmen Verbesserungspotential festgestellt wird, unterstützen wir Sie auch bei der Festlegung und Umsetzung der notwendigen Maßnahmen. Die erstellte Risikoanalyse orientiert sich an der empfohlenen Vorgehensweise nach ISO 27005 und am BSI Standard 100-3.

Erstellung eines IT-Sicherheitskonzepts

Wir unterstützen Sie bei der Erstellung des IT-Sicherheitskonzeptes, welches die notwendigen Sicherheitsmaßnahmen, die sich aus der Risikoanalyse ergeben haben, definiert. Hierbei orientieren wir uns an ISO 27001 und ISO 27002, ITIL und den IT-Grundschutzkatalogen des BSI.

Für den definierten Informationsverbund werden die geeigneten Maßnahmen ausgewählt und priorisiert, um mit angemessenem Aufwand ein für Sie optimales Sicherheitsniveau zu erreichen und den erkannten Risiken in vernünftiger Weise zu begegnen.

 

Gefährdungen der IT

Fast alles über die Themen Gefährdungen im Bereich IT-Sicherheit und IT-Grundschutz findet man beim Bundesamt für Sicherheit in der Informationstechnik (BSI):

BSI, IT-Grundschutz-Kataloge, Gefährdungskataloge, IT-Grundschutz, IT-GrundschutzKataloge, Gefaehrdungskataloge, Bundesamt für Sicherheit in der Informationstechnik.

 

IT-Grundschutz

Gefährdungen der Informationstechnik (IT) sind sehr komplex geworden. Internationale Standards helfen IT-Verantwortlichen bei der Risikominimierung für den Betrieb von Informationstechnik. In Deutschland hat sich bei großen Unternehmen und Behörden der IT-Grundschutz etabliert, der die Mindestanforderung an ein IT-Sicherheitskonzept darstellt.

Das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme ist das Ziel des IT-Grundschutzes, der vom BSI entwickelt wurde. Zur Vermeidung organisatorischer oder finanzieller Überforderungen wird kleinen und mittelständischen Unternehmen (KMU) die VdS 3473 empfohlen. Das BSI hat für kleinere Betriebe den "Leitfaden IT-Sicherheit" entwickelt, des Weiteren empfiehlt sich die ISO-Norm (ISO 27003).

 

IT-Grundschutz - Tipps, Empfehlungen, Anleitungen

 

BSI-Standards

Der IT-Grundschutz vom BSI ermöglicht, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium liefert konkrete Anforderungen.

BSI-Stan­dards, IT-Grundschutz Kompendium

VdS 3473
Die Richtlinien VdS 3473 der VdS Schadenverhütung GmbH, Cyber-Security für kleine und mittlere Unternehmen (KMU) sind Richtlinien für Informationssicherheit. Sie wurde durch ihre Nachfolger VdS 10000 abgelöst.

VdS 10000

VdS-Richtlinien 10000 Unternehmenssicherheit Brandschutz, Security, Schutz gegen Einbruch, Diebstahl, Sabotage, Naturgefahren, Überschwemmung, Starkregen und Cyber-Security.

 

Die wichtigste Maßnahme für einen guten IT-Grundschutz

Als gute Grundlage empfehlen wir, technische und organisatorische Maßnahmen zu mischen:

 

Führen Sie regelmäßige Datensicherungen durch:

Eine aktuelle Datensicherung erspart Ihnen im Notfall viele Unannehmlichkeiten und ist einfach zu implementieren. Führen Sie regelmäßige und automatische Sicherungen aller Daten durch, um mögliche Verluste zu vermeiden.

 

Sensibilisieren Sie Ihre Mitarbeiter:

Machen Sie die Mitarbeiter auf die sichere Verwendung von E-Mails, Internet und Daten im Betrieb aufmerksam. Machen Sie Mitarbeiter auf die Möglichkeit aufmerksam, Malware zu erkennen und Phishing zu verhindern. Viele IT-Sicherheitsangriffe beginnen mit gefälschten E-Mails, die Malware enthalten, oder veranlassen Mitarbeiter, gefälschte Websites zu besuchen.

 

Sicherheitskonfiguration und regelmäßige Updates:

Verwenden Sie neue Geräte erst nach der ersten Sicherheitskonfiguration und aktualisieren Sie verfügbare Software und Systeme immer umgehend. Warten Sie nicht, bis Angreifer vorhandene Sicherheitslücken ausnutzen können.

 

Achten Sie auf sichere Passwörter:

Stellen Sie sicher, dass Sie nur ausreichend sichere Passwörter oder Passphrasen verwenden und bewahren Sie alle Anmeldedaten immer sicher auf. Ändern Sie Zugangsdaten regelmäßig.

 

Verschlüsseln Sie Ihre Geschäftskommunikation:

Lassen Sie unbefugte Dritte nicht mitlesen. Beispielsweise ist die Abmeldung oder ein ein Bildschirmschoner beim Verlassen des Arbeitsplatzes und ein Passwortschutz von per E-Mail gesendeten Anhängen bereits ein guter Schutz.

 

Wir unterstützen Sie bei IT-Grundschutz, Basisschutz und IT-Sicherheit

 

Tags: IT-Grundschutz, Informationssicherheit