Leitfaden Grundschutz++ umsetzen: Unterschied zwischen den Versionen

Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.

Einleitung

Dieser Umsetzungsleitfaden dient als Praxisanleitung für den Einstieg oder Umstieg in die Methodik des BSI Grundschutz++. Er unterstützt insbesondere Organisationen, die erstmals oder neu strukturiert die Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) nach Grundschutz++ umsetzen wollen. Ziel ist es, die Einstiegshürde niedrig zu halten, grundlegende Schritte verständlich zu erklären und den Auf- sowie Ausbau eines wirksamen und ganzheitlichen Sicherheitsprozesses nach der neuen Vorgehensweisen zu erleichtern.

Dabei bietet der Leitfaden Orientierung beim Umgang mit der neuen Grundschutzmethodik, der Modellierung des Informationsverbunds und der Auswahl sinnvoller Maßnahmen – ganz gleich, ob gerade erst mit Grundschutz++ begonnen wird oder ein Umstieg vom klassischen IT-Grundschutz-Kompendium erfolgt.

Begriffsdefinition

Hier sind typische Begriffe aus dem Grundschutz++ definiert.

Anforderungen

Anforderungen beschreiben, was umgesetzt werden muss, um ein bestimmtes Sicherheitsniveau zu erreichen. Sie beziehen sich auf organisatorische, personelle, technische und infrastrukturelle Aspekte der Informationssicherheit.

Wie eine Anforderung praktisch erfüllt wird, wird durch passende Maßnahmen festgelegt.

In englischen Standards wird für Anforderungen häufig der Begriff „control“ verwendet.

Im Grundschutz++ wird der Verbindlichkeitsgrad analog zum klassischen IT-Grundschutz durch das Modalverb der Anforderung festgelegt:

• MUSS → verpflichtend, keine Abweichungen zulässig.
• SOLLTE → grundsätzlich verpflichtend, Ausnahmen mit Begründung möglich.
• KANN → optional, je nach Situation sinnvoll.

Assets

Assets sind alle materiellen oder immateriellen Werte einer Organisation, die für den Geschäftsbetrieb erforderlich sind. Dazu gehören z. B. Informationen/Daten, Mitarbeitende, IT-Systeme, Software, Gebäude oder Fachwissen. Sie stellen die Grundlage für die Erreichung von Organisations- oder Geschäftsziele dar.

Gleichartige und gleich behandelte Assets sollten sinnvoll zusammen gefasst (gruppiert) und als ein Asset behandet werden.

Assets entsprechen damit weitgehend den "Komponenten" im klassischen IT-Grundschutz, die dort in einer "Komponentenliste" geführt wurden.

Midestanforderungen an Atribute für Assets:

• ASSET-ID: Eindeutiges Kennzeichen des Assets (Inventrnummer)
• Asset-Name: Kurzbeschreibung (was ist das, wofür wird es genutzt?).
• Asset-Typ: z.B. Server, Anwendung, Dokument, Prozess, Dienstleistung.
• Eigentümer/Verantwortliche: Verantwortliche Person / Asset Owner (fachlich, nicht nur IT).

Assets sollten sinnvoll zusammengefasst (gruppiert) werden, um das Register überschaubar zu halten und Risikoanalysen effizient zu gestalten.

Gruppierungskriterien:

• Gleicher Typ/Klasse: z.B. alle „Vertriebs-Laptops“ statt 100 einzelne Geräte.​
• Ähnlicher Schutzbedarf: gleiche CIA-Klassifizierung (Vertraulichkeit, Integrität, Verfügbarkeit).
• Gleiche Nutzung/Konfiguration: z.B. identisch konfigurierte Server, dieselben Anwendungen, gleicher Standort/Netzbindung.​
• Geschäftsbezug: z.B. Assets pro Abteilung (Vertrieb, HR) oder Prozess (Rechnungsstellung).
• Risikogruppen: Assets mit denselben Bedrohungen/Schwachstellen.​

Vorsicht: Nur gruppieren, wenn die auf die Assets wirkenden Risiken homogen sind – sonst riskiert ihr Sicherheitslücken.

Grupierte Assets bezeichnet man als Asset-Gruppen, die ihrerseits wie Assets behandelt werden.

Blaupausen

Eine Blaupause ist eine vordefinierte Vorlage mit einer Auswahl relevanter Zielobjekte und Praktiken und zugehöriger Sicherheitsanforderungen. Sie dient als Einstiegshilfe für Organisationen, um basierend auf dem initialen Schutzbedarf (normal oder erhöht) passende Maßnahmen rasch zu identifizieren und umzusetzen, ohne eine vollständige eigene Modellierung vornehmen zu müssen.

Im Gegensatz zur traditionellen IT-Grundschutz-Methodik, die eine detaillierte Strukturanalyse und Modellierung erfordert, ermöglicht die Blaupause einen effizienten, risikoorientierten Top-down-Ansatz und kann an den Geltungsbereich angepasst werden, um den PDCA-Zyklus eines ISMS zu unterstützen.

Du kannst Blaupausen nutzen, um den Umstieg von älteren Grundschutz-Versionen zu erleichtern oder neu einzusteigen, indem Du den Schutzbedarf deines Informationsverbunds bewertest und die passende Vorlage als Ausgangspunkt wählst. Ergänzende Anpassungen erfolgen durch GAP-Analysen.

Blaupausen entsprechen damit in etwa den "Profilen" im klassischen IT-Grundschutz.

Geltungsbereich

Der Geltungsbereich (Scope) definiert, für welchen organisatorischen und fachlichen Bereich das Informationssicherheitsmanagementsystem (ISMS) gilt. Er legt fest, welche Standorte, Systeme, Prozesse oder Einheiten vom ISMS abgedeckt werden und welche nicht. Damit wird klar abgegrenzt, wo das ISMS anzuwenden ist.

Informationssicherheitsmanagementsystem (ISMS)

Das ISMS ist ein systematischer Ansatz, um Informationssicherheit in einer Organisation zu planen, zu steuern, zu überwachen und fortlaufend zu verbessern.

Es stellt sicher, dass Sicherheitsstrategien und -maßnahmen regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst werden. Ziel ist ein dauerhaft wirksamer, ganzheitlicher Schutz von Informationen.

Informationsverbund

Ein Informationsverbund umfasst alle technischen, organisatorischen, personellen und infrastrukturellen Komponenten, die gemeinsam Aufgaben der Informationsverarbeitung erfüllen.

Dies kann die gesamte Institution oder abgegrenzte Bereiche (z. B. einzelne Abteilungen oder IT-Systemgruppen) betreffen, die durch gemeinsame Prozesse oder Strukturen verbunden sind.

Maßnahmen

Maßnahmen sind konkrete Handlungen, Vorgaben oder technische Umsetzungen, die dazu dienen, erkannte Risiken zu steuern und Anforderungen zu erfüllen. Sie können organisatorischer, personeller, technischer oder infrastruktureller Art sein und sollen die Informationssicherheit (die Umsetzung der Anforderungen) wirksam sicherstellen.

Praktiken

Praktiken fassen Anforderungen zu thematischen Gruppen zusammen, die typischerweise bestimmten Rollen oder Prozessen zugeordnet werden. Dadurch wird klar, wer für die Umsetzung verantwortlich ist.

Es gibt drei Arten von Praktiken:

• ISMS-Praktiken (übergreifendes Management nach dem PDCA-Zyklus)
• Organisatorische Praktiken
• Technische Praktiken

Die ISMS-Praktiken bilden den Regelkreis zur laufenden Steuerung und Verbesserung der Informationssicherheit.

Schutzbedarf

Der Schutzbedarf zeigt, wie stark Informationen, Systeme oder Prozesse geschützt werden müssen. Er ergibt sich aus möglichen Auswirkungen auf die Grundwerte:

• Vertraulichkeit
• Integrität
• Verfügbarkeit

Je nach Bewertung wird der Schutzbedarf als „normal“ oder „hoch“ eingestuft und bestimmt das erforderliche Sicherheitsniveau sowie die Auswahl passender Anforderungen.

Sicherheitsleitlinie

Die Sicherheitsleitlinie ist das grundlegende Dokument für Informationssicherheit in einer Organisation.

Sie beschreibt Ziele, Prinzipien und Strategien, mit denen Informationssicherheit erreicht werden soll. Sie legt fest, welche Bedeutung Informationssicherheit hat, welche Ziele verfolgt werden und wie Verantwortlichkeiten verteilt sind. Damit definiert sie das angestrebte Sicherheitsniveau.

Sicherheitsniveau

Das Sicherheitsniveau gibt an, in welchem Maß die definierten Sicherheitsziele erreicht sind. Es ergibt sich aus der wirksamen Umsetzung organisatorischer, technischer und personeller Anforderungen.

Unterschieden werden:

• Normales Sicherheitsniveau: entspricht dem Stand der Technik
• Erhöhtes Sicherheitsniveau: für besonders schutzbedürftige Informationen oder Systeme

Stufen

Alle Anforderungen werden einer Prioritätsstufe zugeordnet, um die Umsetzung effizient zu gestalten:

• Stufe 0: Zwingend (sofort) umzusetzende Anforderungen zur Sicherstellung der ISO-Kompatibilität (MUSS-Anforderungen).

Die Stufen 1-4 geben den Umsetzungsaufwand der Anforderungen wieder:

• Stufe 1: Schnell und mit geringem Aufwand (~1 Tag) realisierbare Maßnahmen (QuickWin) / keine laufenden Aufwände.
• Stufe 2: Mit eigenen Mitteln leicht umsetzbare Anforderung (~1 Woche) / geringe laufende Aufwände.
• Stufe 3: Mit normalem Aufwand (mehrere Wochen) und ggf. externer Unterstützung umsetzbar / normale laufende Aufwände.
• Stufe 4: Höherer Umsetzungsaufwand, häufig in längerfristigen Projekten mit externen Experten.

Die nächste Stufe sind optionale Anforderungen als Vorschläge bei erhöhtem Schutzbedarf.

• Stufe 5: Umfassende/zusätzliche Anforderungen für höheren Schutzbedarf.

Diese Einstufung ermöglicht eine schnelle Einschätzung des Umsetzungsaufwands und hilft bei der effizienten Ressourcenplanung.

Zielobjekte

Zielobjektkategorien und Zielobjekte sind Bestandteile eines Informationsverbunds, denen spezifische Anforderungen zugeordnet sind. Das können sowohl physische Objekte (z. B. Server, Räume) als auch logische Objekte (z. B. Anwendungen, Datenbestände) sein. Die Zielobjekte entsprechen damit eher den "Bausteinen" im klassischen IT-Grundschutz.

Definition und Abgrenzung des Informationsverbunds

Definition des Informationsverunds

Abgrenzung des Informationserbunds

Erhebung der Assets

Beginne mit Kategorien wie „Hardware“, „Software“, „Daten“, „Prozesse“ und verfeinere iterativ. Tools wie Excel oder ISMS-Software automatisieren Gruppierung und Reviews.

• Analyse des aktuellen Umsetzungsstands je Zielobjekt/Asset, möglichst auf Ebene einzelner Teilanforderungen (mit Dokumentation aller MUSS/SOLL/KANN-Nachweise getrennt für jede Instanz).
• Auflösung redundanter und historisch gewachsener Strukturen, klare Gruppierung der Assets/Zielobjekte nach aktuellem Betriebsmodell.
• Konsolidierte Zuordnung und Mapping zu bestehenden Grundschutz-Praktiken.

Asset-Register

Typische Kategorien eines Asset-Registers sind:

Informationen

Informationen bilden den Kernwert des Informationsverbunds und müssen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit bewertet werden, da ihr Verlust oder Missbrauch direkte Geschäftsschäden verursacht.

Beispiel: Daten, Dokumente, Datenbanken und Wissensbestände unabhängig vom Speichermedium, z. B. Geschäftsdaten, Verträge oder Geschäftsgeheimnisse.​

Anwendungen

Sie verarbeiten und speichern Informationen; ihr Schutzbedarf vererbt sich auf zugrunde liegende IT-Systeme und bestimmt Maßnahmen gegen Ausfälle oder Manipulationen.

Beispiel: Softwarelösungen wie ERP-Systeme, Datenbanken, Webanwendungen oder Geschäftsanwendungen.​

Nutzende

Sie greifen auf Assets zu und stellen das schwächste Glied dar; Schutzmaßnahmen fokussieren Sensibilisierung und Zugriffsrechte, um Insider-Risiken zu minimieren.

Beispiel: Personen oder Rollen wie Mitarbeitende, externe Dienstleistende, Endbenutzer, Prozessverantwortliche oder Administrierende.

IT-Systeme

Sie hosten Anwendungen und Informationen; der Schutzbedarf ergibt sich aus Vererbung und schützt vor Hardwareausfällen oder Angriffen auf die Basisinfrastruktur.

Beispiel: Hardware wie Server, Arbeitsplatzrechner, Speichersysteme oder Virtualisierungsplattformen.

Netze

Sie ermöglichen den Datenfluss zwischen Assets; Maßnahmen sichern den sicheren Transport und verhindern unbefugten Zugriff oder Abhörangriffe.

Beispiel: Kommunikationsinfrastrukturen wie LAN, WAN, WLAN, Firewalls oder VPN-Verbindungen.

Standorte

Sie beherbergen alle anderen Assets; Schutz adressiert physische Bedrohungen wie Einbruch oder Katastrophen und gewährleistet die Verfügbarkeit des gesamten Informationsverbunds.

Beispiele: Physische Orte wie Gebäude, Rechenzentren, Räume oder Arbeitsplätze.

Praxis-Tipp:

• Nutze möglichst vorhanende systemaische und autoatisatisierte Erfassungssysteme (CMDB-, Inventory-, oder ISMS-Systeme)

• Halte das Register so schlank wie möglich, aber so detailliert, dass jedes Asset eindeutig identifizierbar ist, einem Verantortlichem (Owner) zugeordnet werden kann und sein Schutzbedarf nachvollziehbar ist.
• Tiefergehende Attribute (RTO/RPO, Datenklassen, Lieferanten-Nachweise usw.) kannst Du für die „kritischen Top-Assets“ ergänzen und für weniger kritische auf den Kernumfang beschränken.

Modellierung

Asset Erfassung (Strukturanalyse)

Die Erfassung der relevanten Assets erfolgt wie gewohnt in Komponentenlisten in den folgenden Kategorien:

Gruppierung der Assets

Um die Komplexität und den Aufwand zu reduzieren, sollten Assets sinnvoll gruppiert werden. Dabei sollten gleiche und gleich zu behandelnde Assets zu einem Asset zusammen gefasst werden.

Zielobjektmapping

Jedes Asset wird einem oder mehreren passenden Zielobjekten zugewiesen.

Vererbung der Zielobjekte

Für die zugewiesenen Zielobjekte müssen auch alle darüber liegenden Zielobjekte in der Hierarchie zugewiesen werden.

Fazit