IT-Grundschutz-Kompendium 2023
von Tina Siering
Kennen Sie das aktuelle IT-Grundschutz-Kompendium vom Bundesamt für Sicherheit in der Informationstechnik (BSI)?
Seit gut 30 Jahren beleuchtet das IT-Grundschutz-Kompendium des BSI Themen und Entwicklungen der Informationssicherheit - und leitet daraus praktikable Sicherheitsempfehlungen ab. Institutionen, die ihre Prozesse und Projekte in Zeiten der Digitalisierung nach dem Stand der Technik absichern wollen, finden hier ein umfassendes Instrumentarium, in das sich ein regelmäßiger Blick lohnt. Das IT-Grundschutz-Kompendium erscheint jährlich im Februar in einer Neuauflage, die zuvor einen mehrstufigen Redaktionsprozess durchlaufen hat.
Zusammen mit den BSI-Standards bildet es die Grundlage für alle, die sich umfassend mit dem Thema Informationssicherheit beschäftigen; es dient sowohl als Voraussetzung als auch als einfacher Einstieg und Nachschlagewerk, um den Herausforderungen der Digitalisierung zu begegnen.
Das Dokument gliedert sich in folgende Kategorien:
Prozess-Bausteine
- ISMS:
Sicherheitsmanagement (ISMS.1 Sicherheitsmanagement) - ORP:
Organisation und Personal (ORP.1 Organisation, ORP.2 Personal, ORP.3 Sensibilisierung und Schulung, ORP.4 Identitäts- und Berechtigungsmanagement, ORP.5 Compliance Management) - CON:
Konzeption und Vorgehensweisen (CON.1 Kryptokonzept, CON.2 Datenschutz, CON.3 Datensicherungskonzept, CON.4 Auswahl und Einsatz von Standardsoftware, CON.5 Entwicklung und Einsatz von Allgemeinen Anwendungen, CON.6 Löschen und Vernichten, CON.7 Informationssicherheit auf Auslandsreisen) - OPS:
Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 Ordnungsgemäße IT-Administration, OPS.1.1.3 Patch- und Änderungsmanagement, OPS.1.1.4 Schutz vor Schadprogrammen, OPS.1.1.5 Protokollierung, OPS.2.1 Outsourcing für Kunden, OPS.2.4 Fernwartung) - DER:
Detektion und Reaktion (DER.1 Detektion von sicherheitsrelevanten Ereignissen, DER.2.1 Behandlung von Sicherheitsvorfällen, DER2.2 Vorsorge für die IT-Forensik, DER.3.1 Audits und Revisionen, DER.4 Notfallmanagement)
System-Bausteine
- APP: Anwendungen
(APP.1.1 Office Produkte, APP.1.2 Webbrowser, APP.3.2 Webserver, APP.5.1 Allgemeine Groupware, APP.5.2 Microsoft Exchange und Outlook) - SYS: IT-Systeme
(SYS.1.1 Allgemeiner Server, SYS.1.2.2 Windows Server 2012, SYS.1.5 Virtualisierung, SYS.2.1 Allgemeiner Client, SYS.2.3 Client unter Windows 10, SYS.3.1 Laptops, SYS 3.2.1 Allgemeine Smartphones und Tablets, SYS.3.4 Mobile Datenträger, SYS.4.4 Allgemeines IoT-Gerät) - IND: Industrielle IT
(IND.1 Betriebs- und Steuerungstechnik, IND.2.1 Allgemeine ICS-Komponente, IND.2.3 Sensoren und Aktoren) - NET: Netze und Kommunikation
(NET.1.1 Netzarchitektur und Design, NET.1.2 Netzmanagement, NET.2.1 WLAN-Betrieb, NET.2.2 WLAN-Nutzung, NET.3.1 Router und Switches, NET.3.2 Firewall) - INF: Infrastruktur (INF.1 Allgemeines Gebäude, INF.2 Rechenzentrum sowie Serverraum, INF.3 Elektrotechnische Verkabelung, INF.4 IT-Verkabelung, INF.7 Büroarbeitsplatz, INF.8 Häuslicher Arbeitsplatz)
Das BSI hat für die aktuelle 2023er Publikation 21 Bausteine der Vorjahresversion inhaltlich überarbeitet und die 10 IT-Grundschutz-Bausteine gänzlich neu aufgenommen:
- APP.5.4 Unified Communications und Collaboration (UCC)
- CON.11.1 Geheimschutz (VS-NfD)
- NET.3.4 Network Access Control
- OPS.1.1.1 Allgemeiner IT-Betrieb
- OPS.2.3 Nutzung von Outsourcing
- OPS.3.2 Anbieten von Outsourcing
- SYS.1.2.3 Windows Server
- SYS.1.9 Terminalserver
- SYS.2.5 Client-Virtualisierung
- SYS.2.6 Virtual Desktop Infrastructure
Vertiefende Informationen zur Umsetzung der einzelnen Maßnahmen finden sich in den Umsetzungshinweisen. Sie beschreiben, wie die Anforderungen der Bausteine umgesetzt werden können und erläutern im Detail geeignete Sicherheitsmaßnahmen. Derzeit gibt es noch nicht zu jedem Baustein einen Umsetzungshinweis. Weitere Umsetzungshinweise werden nach und nach veröffentlicht. Bei der Erstellung der Bausteine wurde für Bereiche mit normalem Schutzbedarf bereits eine Risikobeurteilung durchgeführt. Die Anforderungen in den Bausteinen entsprechen dem Stand der Technik.
Weitere Informationen und die Möglichkeit zum Download der einzelnen Module finden Sie auf den Internetseiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI):
BSI - IT-Grundschutz-Bausteine (Edition 2023) (bund.de)