Logo

IT Grundschutzhandbuch des BSI - Warum Grundschutz

Category: Sec Governance

Article Index

Page 2 of 9

Warum IT-Grundschutz wichtig ist

Kaum ein Unternehmen dessen Effektivität und Effizienz nicht zu einem grossen Teil oder sogar vollständig von der Informationstechnik (IT) abhängig ist. Nahezu alle Prozesse sind mittlerweile elektronisch gesteuert, die horizontale und vertikale Durchdringung einer Unternehmung mit IT komplett. Riesige Mengen von Daten und Informationen werden elektronisch gespeichert, verarbeitet und dann über private oder öffentliche Datennetze transportiert.

Mit der Abhängigkeit des Unternehmens von der IT erhöht sich allerdings auch der potentielle Schaden durch eingeschränkte Funktion oder sogar Totalausfall derselben. IT ist keineswegs frei von (technischen) Fehlern, hinzu kommt natürlich noch, dass IT keinesfalls nur eine technische Disziplin ist. Es besteht als berechtigtes Interesse, die von der IT verarbeiteten Daten und Informationen zu schützen, da sie zu den wichtigsten Unternehmenswerten gehören.

Schäden durch IT Fehlfunktionen werden verschiedenen Kategorien zugeteilt:

  • Verfügbarkeit – die Systeme stehen nicht zur Benutzung zur Verfügung
  • Vertraulichkeit – Sensitive Daten und Informationen müssen vertraulich gehalten werden
  • Integrität – Korrektheit der Daten
  • Authentizität – Die korrekte Zuordnung von Aktionen zu Identitäten

 

Die Abhängigkeit von der Informationstechnik wird in der Zukunft noch markant zunehmen. Diese Aussage basiert auf den folgenden Entwicklungstendenzen:

  • IT-Verbreitung und Durchdringung
  • Steigender Vernetzungsgrad
  • Angriffe kommen schnelle
  • Verschwinden der Netzgrenzen

 

Aufgrund der steigenden Abhängigkeit und der vielfältigen Bedrohungen stellen sich bezüglich Informationssicherheit die folgenden wesentlichen Fragen:

  • Wie sicher ist die Informationstechnik einer Institution?
  • Welche IT-Sicherheitsmassnahmen müssen ergriffen werden?
  • Wie müssen diese Massnahmen konkret umgesetzt werden?
  • Wie hält bzw. verbessert eine Institution das erreichte Sicherheitsniveau?
  • Wie sicher ist die IT anderer Institutionen, mit denen eine Kooperation stattfindet?

 

Bei der Beantwortung dieser Fragen ist zu beachten, dass Informationssicherheit keinesfalls nur eine technische Disziplin ist, sondern aus einem Mix aus technischen, organisatorischen, personellen, baulichen, infrastrukturellen und prozessorischen Massnahmen besteht. Besonders aber muss ein übergeordnetes Sicherheitsmanagement eingeführt werden, das die Aufgaben zur IT Sicherheit konzipiert, koordiniert und überwacht.

Vergleicht man IT Systeme verschiedener Unternehmen miteinander, so lassen sich für eine spezielle Gruppe folgende Charakteristiken ermitteln:

  • Die IT Systeme in dieser Gruppe sind keine Individuallösungen, sondern sie sind weit verbreitet im Einsatz
  • Der Schutzbedarf der IT-Systeme bezüglich Vertraulichkeit, Integrität und Verfügbarkeit liegt im Rahmen des Normalmasses
  • Zum sicheren Betrieb der IT-Systeme sind Standard-Sicherheitsmassnahmen aus den Bereichen Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge erforderlich

 

Diese Gruppe beinhaltet also „typische“ IT Systeme. In der Folge beschreiben die IT-Grundschutz-Kataloge detailliert Standard-Sicherheitsmassnahmen, die praktisch für jedes IT-System zu beachten sind. Sie beinhalten Standard-Sicherheitsmassnahmen, dabei wird sich einer pauschal angenommenen Gefährdungslage bedient und es gibt ausführliche Massnahmenbeschreibungen als Umsetzungshilfe.

Darüber hinaus gibt es einen Prozess zum Erreichen und Aufrechterhalten eines angemessenen IT Sicherheitsniveaus und eine einfache Verfahrensweise zur Ermittlung des erreichten IT Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs.

IT Systeme, die ausserhalb dieser Gruppe liegen, seien es seltenere Individualsysteme oder IT-Systeme mit sehr hohem Schutzbedarf, können sich dann zwar an den Standard Sicherheitsmassnahmen orientieren, bedürfen letztlich aber einer individuellen Betrachtung.