Einleitung
Im Zeitalter der Digitalisierung ist die Sicherheit von Informationen und Geschäftsprozessen wichtiger denn je. Die BSI-Standards 200-1 bis 200-4 bieten Unternehmen und Organisationen einen umfassenden Rahmen für die Implementierung eines robusten Sicherheitsprozesses.
Der BSI-Standard 200-1 legt den Grundstein mit einem Managementsystem für Informationssicherheit, das für die Koordination und Realisierung aller sicherheitsbezogenen Aktivitäten zuständig ist. In enger Verbindung dazu steht der BSI-Standard 200-2, der diese Grundlage durch eine präzise Methodik für die detaillierte Planung des Sicherheitsprozesses erweitert.
Zusätzlich stellt das BSI komplementäre Standards zur Verfügung, die zwar nicht direkt dem Informationssicherheitsmanagementsystem (ISMS) zugeordnet sind, jedoch eng mit ihm verknüpft sind. Der BSI-Standard 200-3 konzentriert sich auf Risikomanagement und sorgt für die gründliche Bewertung und Behandlung erkannter Risiken. Abgerundet wird das Spektrum durch den BSI-Standard 200-4, der ein umfassendes Business Continuity Management bereitstellt, um den Betriebsablauf selbst in Notfall- und Krisensituationen sicherzustellen.
Der folgende Artikel bietet einen kurzen Überblick über die Inhalte der vier Standards. In Planung sind weitere, vertiefende Artikel, die sich intensiver mit den einzelnen Standards auseinandersetzen werden.
Historie
Der IT-Grundschutz trägt zur sicheren Gestaltung von Geschäftsprozessen bei und unterteilt sich in vier Standards. Er wurde 1994 in Zusammenarbeit mit großen Wirtschaftsunternehmen eingeführt. In diesem Zeitraum erschien auch die erste Ausgabe des IT-Grundschutz-Handbuchs, das heute als IT-Grundschutz-Kompendium bekannt ist. [1]
Im Jahr 2006 wurde die erste Version der BSI-Standard 100-x Reihe veröffentlicht, die bis zum Jahr 2017 weiterentwickelt wurde. Danach entschied sich das BSI, eine komplett überarbeitete Version in Form der 200-x Standards herauszubringen.
BSI-Standard 200-1
Der BSI-Standard 200-1 beschäftigt sich mit dem Managementsystem für Informationssicherheit (ISMS), welches als Kernkomponente für den Aufbau eines adäquaten Sicherheitsniveaus dient. Das ISMS enthält Instrumente auf Leitungsebene zur Steuerung des Prozesses der Informationssicherheit. Häufig wird dieses System auch als übergeordneter Managementprozess bezeichnet.
Innerhalb dieses Standards wird der Entwurf einer Sicherheitsstrategie erläutert, die Planung für das Monitoring des Sicherheitsprozesses vorgestellt und ein kontinuierlicher Verbesserungsprozess durch den PDCA-Zyklus (Plan-Do-Check-Act) initiiert. Mit Hilfe des BSI-Standards 200-1 sind Unternehmen dazu in der Lage, ein organisatorisches Sicherheitsmanagement zu etablieren. [2]
Die konkrete Implementierung des PDCA-Zyklus wird jedoch nicht im BSI-Standard 200-1 beschrieben, sondern im BSI-Standard 200-2 beschrieben. Die spezifischen Sicherheitsanforderungen sind wiederum im IT-Grundschutz-Kompendium definiert.
BSI-Standard 200-2
Der BSI-Standard 200-2, auch als IT-Grundschutz-Methodik bekannt, ergänzt den vorhergehenden Managementstandard 200-1 um eine praxisorientierte Anleitung zur Erreichung des gewünschten Sicherheitsniveaus. Der Standard bietet eine schrittweise Vorgehensweise und unterteilt sich in drei unabhängige Methoden, die je nach Bedarf und Kontext angewandt werden können. Jede Methode hat ihre eigenen, spezifischen Schritte, die im Rahmen des PDCA-Zyklus ständig wiederholt werden müssen.
Für kleinere Organisationen eignet sich oft die Basis-Absicherung, die einen ressourcenschonenden und vereinfachten Einstieg in den Sicherheitsprozess bietet. In diesem Fall werden einige Prozessschritte übersprungen und der Fokus liegt auf der Implementierung grundlegender Sicherheitsanforderungen (Basis-Anforderungen).
Die Standard-Absicherung stellt den Zielzustand im Bereich der Informationssicherheit dar. Sie beabsichtigt, alle Assets des definierten Informationsverbunds abzudecken und berücksichtigt neben den Basis- auch Standard-Anforderungen und teilweise sogar Anforderungen für einen erhöhten Schutzbedarf. Bei dieser Vorgehensweise kann eine Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes erworben werden.
Die Kern-Absicherung konzentriert sich auf besonders kritische Assets der Organisation, oft als „Kronjuwelen“ bezeichnet. Das Hauptziel dieser Methode ist es, diese essentiellen Assets so umfassend wie möglich zu schützen (erhöhter Schutzbedarf). Die Kern-Absicherung kann auch in Kombination mit anderen Methoden angewendet werden. Es ist nicht unüblich, dass im Rahmen der Basis-Absicherung bereits einige der wichtigsten Assets mit Methoden der Kern-Absicherung umfassend geschützt werden. [3]
BSI-Standard 200-3
Sollte innerhalb der Standard-Absicherung ein Asset identifiziert werden, das einen hohen Schutzbedarf aufweist, so ist eine zusätzliche Risikoanalyse erforderlich. Diese dient dazu, die spezifischen Risiken und Anforderungen dieses Assets genauer zu bewerten und entsprechende Schutzmaßnahmen zu erarbeiten. [3]
Das mögliche Vorgehen für eine solche Risikoanalyse wird im BSI-Standard 200-3 zum Risikomanagement skizziert. Dieser Standard orientiert sich am internationalen Standard ISO 31000 und erlaubt so Synergien mit bereits vorhandenen Risikomanagementsystemen in der Organisation. Es ist jedoch anzumerken, dass die Wahl des Standards für das Risikomanagement durch das BSI nicht verpflichtend vorgegeben wird. Es ist ratsam, ein einheitliches Risikomanagement einzuführen, da auch der BSI-Standard 200-4 die Durchführung einer Risikoanalyse vorsieht. [4]
BSI-Standard 200-4
Der BSI-Standard 200-4 stellt das letzte Element der Standardfamilie dar und fokussiert sich auf den Aufbau eines Business Continuity Managements (BCM). Dieses ist essenziell, da Geschäftsprozesse durchweg verschiedenen Gefahren ausgesetzt sind, die von Beeinträchtigungen bis hin zu kompletten Ausfällen reichen können. Im Rahmen des Business Continuity Managements werden daher spezifische Maßnahmen definiert. Diese sollen gewährleisten, dass der Geschäftsbetrieb auch im Falle eines Schadensereignisses aufrechterhalten werden kann und die Rückkehr zum Normalbetrieb so schnell wie möglich erfolgt.
Der Standard beinhaltet die Erstellung von Geschäftsfortführungsplänen, die darauf abzielen, Prozesse auch bei einem Ausfall relevanter Ressourcen aufrechtzuerhalten. Weiterhin werden Wiederanlaufpläne definiert, die den Neustart relevanter Ressourcen im Notbetrieb erlauben, sowie Wiederherstellungspläne, die den Übergang vom Notbetrieb zurück in den Normalbetrieb regeln [5].
Der BSI-Standard 200-4 ist das neueste Mitglied in der Familie der BSI-Standards und hat Anfang 2023 den bisherigen BSI-Standard 100-4 abgelöst. Im Vergleich zum Vorgänger wurde dieser Standard primär um Elemente des Krisenmanagements erweitert.
Veröffentlichungsprozess
Alle Standards und Bausteine des IT-Grundschutz-Kompendiums durchlaufen vor ihrer Veröffentlichung ein vierstufiges Verfahren. In der ersten Phase erstellt das BSI einen vorläufigen Entwurf. Dieser wird in der zweiten Phase von der Community evaluiert und kommentiert. Die Rückmeldungen der Nutzer werden in der dritten Phase im Überarbeitungsprozess berücksichtigt, woraus ein finaler Entwurf entsteht. Dieser wird schließlich in der vierten und letzten Phase veröffentlicht. [6]
Neben den verschiedenen Standards publiziert das BSI weitere wichtige Literatur. Dazu zählt das IT-Grundschutz-Kompendium, das sowohl elementare Gefährdungen als auch prozessorientierte und systemorientierte Sicherheitsbausteine beinhaltet. Zudem gibt es eine Reihe von IT-Grundschutz-Profilen, die einen vereinfachten Einstieg in den Sicherheitsprozess ermöglichen, sowie eine Vielzahl an Fachartikeln.