Begriffsdefinition GS++

Aus ISMS-Ratgeber WiKi
Version vom 18. April 2026, 09:41 Uhr von Dirk (Diskussion | Beiträge) (→‎Anforderungen)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen


Hier sind typische Begriffe aus dem Grundschutz++ definiert.
Diese Seite kann mit {{:Begriffsdefinition GS++}} in andere Artikel zum Grundschutz++ eingebunden werden.


Anforderungen

Anforderungen beschreiben, was umgesetzt werden muss, um ein bestimmtes Sicherheitsniveau zu erreichen. Sie beziehen sich auf organisatorische, personelle, technische und infrastrukturelle Aspekte der Informationssicherheit.

Wie eine Anforderung praktisch erfüllt wird, wird durch passende Maßnahmen festgelegt.

In englischen Standards wird für Anforderungen häufig der Begriff „control“ verwendet.

Im Grundschutz++ wird der Verbindlichkeitsgrad analog zum klassischen IT-Grundschutz durch das Modalverb der Anforderung festgelegt:

  • MUSS → verpflichtend, keine Abweichungen zulässig.
  • SOLLTE → grundsätzlich verpflichtend, Ausnahmen mit Begründung möglich.
  • KANN → optional, je nach Situation sinnvoll.

Anforderungen sind in Zielobjektkategorien und ISMS-Praktiken enthalten und über diese mit spezifischen Assets (Zielobjektkategorien) oder dem ISMS übergreifend (ISMS-Praktiken) modelliert.

Assets

Assets sind alle materiellen oder immateriellen Werte einer Organisation, die für den Geschäftsbetrieb erforderlich sind. Dazu gehören z. B. Informationen/Daten, Mitarbeitende, IT-Systeme, Software, Gebäude oder Fachwissen. Sie stellen die Grundlage für die Erreichung von Organisations- oder Geschäftsziele dar.

Gleichartige und gleich behandelte Assets sollten sinnvoll zusammen gefasst (gruppiert) und als ein Asset behandet werden.

Assets entsprechen damit weitgehend den "Komponenten" im klassischen IT-Grundschutz, die dort in einer "Komponentenliste" geführt wurden.

Midestanforderungen an Atribute für Assets:

  • ASSET-ID: Eindeutiges Kennzeichen des Assets (Inventrnummer)
  • Asset-Name: Kurzbeschreibung (was ist das, wofür wird es genutzt?).
  • Asset-Typ: z.B. Server, Anwendung, Dokument, Prozess, Dienstleistung.
  • Eigentümer/Verantwortliche: Verantwortliche Person / Asset Owner (fachlich, nicht nur IT).

Assets sollten sinnvoll zusammengefasst (gruppiert) werden, um das Register überschaubar zu halten und Risikoanalysen effizient zu gestalten.

Gruppierungskriterien:

  • Gleicher Typ/Klasse: z.B. alle „Vertriebs-Laptops“ statt 100 einzelne Geräte.​
  • Ähnlicher Schutzbedarf: gleiche CIA-Klassifizierung (Vertraulichkeit, Integrität, Verfügbarkeit).
  • Gleiche Nutzung/Konfiguration: z.B. identisch konfigurierte Server, dieselben Anwendungen, gleicher Standort/Netzbindung.​
  • Geschäftsbezug: z.B. Assets pro Abteilung (Vertrieb, HR) oder Prozess (Rechnungsstellung).
  • Risikogruppen: Assets mit denselben Bedrohungen/Schwachstellen.​

Vorsicht: Nur gruppieren, wenn die auf die Assets wirkenden Risiken homogen sind – sonst riskiert ihr Sicherheitslücken.

Grupierte Assets bezeichnet man als Asset-Gruppen, die ihrerseits wie Assets behandelt werden.

Assets erben ihr Sicherheitsniveau (Schutzbedarf) aus den Geschäftsprozessen, denen sie zugeordnet sind. Anforderungen werden nicht direkt auf Assets gelegt, sondern über Zielobjektkategorien vererbt.

Blaupausen

Eine Blaupause ist eine vordefinierte Vorlage mit einer Auswahl relevanter Zielobjekte und Praktiken und zugehöriger Sicherheitsanforderungen. Sie dient als Einstiegshilfe für Organisationen, um basierend auf dem initialen Schutzbedarf (normal oder erhöht) passende Maßnahmen rasch zu identifizieren und umzusetzen, ohne eine vollständige eigene Modellierung vornehmen zu müssen.

Im Gegensatz zur traditionellen IT-Grundschutz-Methodik, die eine detaillierte Strukturanalyse und Modellierung erfordert, ermöglicht die Blaupause einen effizienten, risikoorientierten Top-down-Ansatz und kann an den Geltungsbereich angepasst werden, um den PDCA-Zyklus eines ISMS zu unterstützen.

Du kannst Blaupausen nutzen, um den Umstieg von älteren Grundschutz-Versionen zu erleichtern oder neu einzusteigen, indem Du den Schutzbedarf deines Informationsverbunds bewertest und die passende Vorlage als Ausgangspunkt wählst. Ergänzende Anpassungen erfolgen durch GAP-Analysen.

Blaupausen entsprechen damit in etwa den "Profilen" im klassischen IT-Grundschutz.

Blaupausen sind Einstiegshilfen und ersetzen keine vollständige Modellierung. Sie dienen als Startpunkt und müssen durch eine GAP‑Analyse ergänzt werden.

Geltungsbereich

Der Geltungsbereich (Scope) definiert, für welchen organisatorischen und fachlichen Bereich das Informationssicherheitsmanagementsystem (ISMS) gilt. Er legt fest, welche Standorte, Systeme, Prozesse oder Einheiten vom ISMS abgedeckt werden und welche nicht. Damit wird klar abgegrenzt, wo das ISMS anzuwenden ist.

Der Geltungsbereich ist organisatorisch definiert. Erst danach wird der technische Informationsverbund modelliert.

Gestaltungsentscheidungen

Gestaltungsentscheidungen umfassen die Festlegung institutionenspezifischer Parameter (Rollen und Werte innerhalb der Anforderungen). Sie konkretisieren das Anforderungspaket und ermöglichen automatisierte Prüfungen.

Informationssicherheitseinstufung

Im Rahmen der Priorisierung der Geschäftsprozesse ist gemäß Grundschutz++ eine Informationssicherheitseinstufung vorzunehmen. Sie ersetzt die klassische Schutzbedarfsfeststellung und erfolgt prozessbezogen.

Jeder Geschäftsprozess wird mindestens einem der beiden Einstufungsniveaus zugeordnet:

  • normal – Standardniveau gemäß Stand der Technik
  • hoch – erfordert zwingend eine ergänzende Risikobetrachtung

Die Einstufung bildet die Grundlage für die spätere Auswahl und Modellierung der Anforderungen im Anforderungspaket.

Die klassische Pflicht zur CIA‑Einzelbewertung entfällt, sollte aber sinvollerweise weiter genutzt werden.

Die Einstufung ist ein Pflichtschritt und bestimmt das Sicherheitsniveau aller zugehörigen Assets.

Informationssicherheitsmanagementsystem (ISMS)

Das ISMS ist ein systematischer Ansatz, um Informationssicherheit in einer Organisation zu planen, zu steuern, zu überwachen und fortlaufend zu verbessern.

Es stellt sicher, dass Sicherheitsstrategien und -maßnahmen regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst werden. Ziel ist ein dauerhaft wirksamer, ganzheitlicher Schutz von Informationen.

Das ISMS im Grundschutz++ basiert auf den ISMS‑Praktiken, die vollständig und verbindlich für den gesamten Informationsverbund gelten.

Informationsverbund

Ein Informationsverbund umfasst alle technischen, organisatorischen, personellen und infrastrukturellen Komponenten, die gemeinsam Aufgaben der Informationsverarbeitung erfüllen. Der Informationsverbund bildet die technische und inhaltliche Modellierungseinheit des ISMS und umfasst alle Assets, Zielobjektkategorien und Anforderungen.

Dies kann die gesamte Institution oder abgegrenzte Bereiche (z.B. einzelne Abteilungen oder IT-Systemgruppen) betreffen, die durch gemeinsame Prozesse oder Strukturen verbunden sind.

Maßnahmen

Maßnahmen sind konkrete Handlungen, Vorgaben oder technische Umsetzungen, die dazu dienen, erkannte Risiken zu steuern und Anforderungen zu erfüllen. Sie können organisatorischer, personeller, technischer oder infrastruktureller Art sein und sollen die Informationssicherheit (die Umsetzung der Anforderungen) wirksam sicherstellen.

Maßnahmen sind nicht Bestandteil des Grundschutz++‑Regelwerks. Sie werden von der Institution selbst definiert, um Anforderungen praktisch umzusetzen.

Parameter

Parameter sind variabel gestaltbare Elemente innerhalb einer Anforderung des Grundschutz++. Sie ermöglichen es, Anforderungen institutionenspezifisch zu konkretisieren, ohne die allgemeine Formulierung der Anforderung selbst zu verändern. Parameter sind ein zentrales Konzept des Grundschutz++, da sie sowohl Flexibilität als auch Automatisierbarkeit unterstützen.

Parameter können organisatorische, technische oder prozessuale Werte enthalten und werden im Rahmen der Anforderungsanalyse (Gestaltungsentscheidungen) festgelegt. Sie sind Bestandteil der maschinenlesbaren Grundschutz++‑Struktur (OSCAL/JSON) und ermöglichen eine präzise, prüfbare Umsetzung.

Parameter dienen dazu:

  • Anforderungen an die Gegebenheiten der Institution anzupassen (z. B. Passwortlänge, Rollen, Fristen).
  • Verantwortlichkeiten eindeutig festzulegen.
  • Technische Werte oder Mindeststandards zu definieren.
  • Automatisierte Prüfungen und Tool‑gestützte Auswertungen zu ermöglichen.
  • Anforderungen konsistent und nachvollziehbar umzusetzen.

Parameter ersetzen damit die früher oft textuell beschriebenen „institutionenspezifischen Ausprägungen“ im klassischen IT‑Grundschutz.

Es lassen sich drei Haupttypen unterscheiden:

· Rollen‑Parameter Definieren, welche Rolle für eine Anforderung verantwortlich ist (z. B. ISB, Administrator, Prozess‑Owner).

· Wert‑Parameter Legen konkrete Werte fest, z. B. Mindestlängen, Fristen, Aufbewahrungszeiten oder technische Standards.

· Auswahl‑Parameter Definieren Optionen, z. B. verwendete Authentifizierungsverfahren oder Speicherorte.

Beispiel:

Anforderung: „Passwörter müssen eine Mindestlänge von <minimale_passwortlänge> Zeichen haben.“

→ Parameter: minimale_passwortlänge = 12

Die Parameter müssen von der Organisation festgelegt, dokumentiert, freigegeben und regelmäßig im Rahmen der Überwachung (Prozessschritt 4) überprüft werden.

Praktiken

Praktiken
Praktiken

Praktiken fassen Anforderungen zu thematischen Gruppen zusammen, die typischerweise bestimmten Rollen oder Prozessen zugeordnet werden. Dadurch wird klar, wer für die Umsetzung verantwortlich ist.

Es gibt drei Arten von Praktiken:

  • ISMS-Praktiken (übergreifendes Management nach dem PDCA-Zyklus)
  • Organisatorische Praktiken
  • Technische Praktiken

Die ISMS-Praktiken bilden den Regelkreis zur laufenden Steuerung und Verbesserung der Informationssicherheit.

Praktiken ersetzen (neben den Zielobjektkategorien) die Bausteine des klassischen IT‑Grundschutzes. Sie enthalten Anforderungen und Parameter und bilden die Grundlage für die Modellierung.

Riskobetrachtung

Die Risikobetrachtung im Grundschutz++ ist eine vereinfachte, anlassbezogene Form der Risikoanalyse.

Sie wird nur durchgeführt, wenn:

  • ein Geschäftsprozess als „hoch“ eingestuft wurde
  • wenn MUSS‑ oder SOLLTE‑Anforderungen nicht umgesetzt werden können
  • wenn zusätzliche Anforderungen ergänzt werden

Im Gegensatz zur früheren Risikoanalyse nach BSI‑Standard 200‑3 ist sie deutlich schlanker und konzentriert sich auf Risiken, die durch das Standard‑Sicherheitsniveau nicht ausreichend abgedeckt sind. Ziel ist es, Bedrohungen, Schwachstellen und mögliche Auswirkungen zu bewerten und daraus geeignete Maßnahmen oder Entscheidungen abzuleiten. Die Ergebnisse werden dokumentiert und fließen in die kontinuierliche Verbesserung des ISMS ein.

Schutzbedarf

Der Schutzbedarf zeigt, wie stark Informationen, Systeme oder Prozesse geschützt werden müssen. Er ergibt sich aus möglichen Auswirkungen auf die Grundwerte:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Im Grundschutz++ wird der Schutzbedarf im Rahmen der Informationssicherheitseinstufung festgestellt.

Je nach Bewertung wird der Schutzbedarf als „normal“ oder „hoch“ eingestuft und bestimmt das erforderliche Sicherheitsniveau sowie die Auswahl passender Anforderungen.

Der Schutzbedarf wird nicht mehr pro Asset bestimmt, sondern ergibt sich ausschließlich aus der Informationssicherheitseinstufung der Geschäftsprozesse.

Sicherheitsleitlinie

Die Sicherheitsleitlinie ist das grundlegende Dokument für Informationssicherheit in einer Organisation.

Sie beschreibt Ziele, Prinzipien und Strategien, mit denen Informationssicherheit erreicht werden soll. Sie legt fest, welche Bedeutung Informationssicherheit hat, welche Ziele verfolgt werden und wie Verantwortlichkeiten verteilt sind. Damit definiert sie das angestrebte Sicherheitsniveau.

Sicherheitsniveau

Das Sicherheitsniveau gibt an, in welchem Maß die definierten Sicherheitsziele erreicht sind. Es ergibt sich aus der wirksamen Umsetzung organisatorischer, technischer und personeller Anforderungen.

Unterschieden werden:

  • Normales Sicherheitsniveau: entspricht dem Stand der Technik (kurz: normal SdT)
  • Erhöhtes Sicherheitsniveau: für besonders schutzbedürftige Informationen oder Systeme (kurz: erhöht)

Das Sicherheitsniveau bestimmt, ob Standard‑ oder erhöhte Anforderungen gelten und ob eine Risikobetrachtung erforderlich ist.

Stufen

Alle Anforderungen werden einer Prioritätsstufe zugeordnet, um die Umsetzung effizient zu gestalten:

  • Stufe 0: Zwingend (sofort) umzusetzende Anforderungen zur Sicherstellung der ISO-Kompatibilität (MUSS-Anforderungen).

Die Stufen 1-4 geben den Umsetzungsaufwand der Anforderungen wieder:

  • Stufe 1: Schnell und mit geringem Aufwand (~1 Tag) realisierbare Maßnahmen (QuickWin) / keine laufenden Aufwände.
  • Stufe 2: Mit eigenen Mitteln leicht umsetzbare Anforderung (~1 Woche) / geringe laufende Aufwände.
  • Stufe 3: Mit normalem Aufwand (mehrere Wochen) und ggf. externer Unterstützung umsetzbar / normale laufende Aufwände.
  • Stufe 4: Höherer Umsetzungsaufwand, häufig in längerfristigen Projekten mit externen Experten.

Die nächste Stufe sind optionale Anforderungen als Vorschläge bei erhöhtem Schutzbedarf.

  • Stufe 5: Umfassende/zusätzliche Anforderungen für höheren Schutzbedarf.

Diese Einstufung ermöglicht eine schnelle Einschätzung:

  • Welche Anforderungen sind zwingend/priorisiert zu bearbeiten (Stufe 0 - unabhängig vom Aufwand)?
  • Wie hoch ist der Umsetzungsaufwand / wo gibt es "QuickWins" (Stufe 1-4)?
  • Welche Anforderungen sind optional (Stufe 5 - nur bei hohem Schutzbedarf)?

und ist somit hilfreich bei der Einschätzung des Umsetzungsaufwands, der Priorisierung und hilft bei der effizienten Ressourcenplanung.

Zielobjektkategorien

Zielobjektkategorien
Zielobjektkategorien

Zielobjektkategorien und sind Bestandteile eines Informationsverbunds, denen spezifische Anforderungen zugeordnet sind. Das können sowohl physische Objekte (z.B. Server, Räume) als auch logische Objekte (z.B. Anwendungen, Daten) sein. Die Zielobjekte entsprechen damit ansatzweise den "Bausteinen" im klassischen IT-Grundschutz. In der Modellierung werden Assets den Zielobjektkategorien zugeordnet und erben über diese ihre Anforderungen.

Zielobjektkategorien bilden einen hierarchischen Kategoriebaum. Assets erben Anforderungen aus ihrer Kategorie und allen übergeordneten Kategorien bis zur Wurzel. Es sind also auch stets alle übergeordneten Zielobjektkategorien bis zur Wurzel des Kategoriebaums mit zu modellieren, um so eine lückenlose Abbildung zu gewährleisten.

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Begriffsdefinition_GS%2B%2B&oldid=2120