Auf dem diesjährigen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde unter anderem die geplante Modernisierung des IT-Grundschutzes vorgestellt. Da immer mehr neue Technologien, neue Formen der IT-Nutzung und leider auch neue Angriffsformen auf den Markt drängen, wird die Planung und Durchführung der Maßnahmen nach IT-Grundschutz nicht einfacher. Zum einen ist der Umfang des IT-Grundschutzes auf bereits ca. 4500 Seiten angewachsen. Aber auch die Schnelligkeit, mit der das BSI auf Veränderungen reagieren kann, ist nicht mehr zeitgemäß.
Aufgrund des enormen Umfanges des IT-Grundschutzes ist es sehr Zeit aufwändig ein umfassendes IT-Sicherheitskonzept auf Basis des IT-Grundschutzes zu erstellen. Aber dennoch muss eine kirchliche Stelle nach der zu erwartenden IT-Sicherheitsverordnung alle Maßnahmen ergreifen, die für den Schutzbedarf der Daten erforderlich sind und deren Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Hier fühlen sich nicht nur kirchliche Stellen oftmals mit der Risikoanalyse und der Definition der Schutzmaßnahmen überfordert. Dadurch dauert es häufig sehr lange, bis ein entsprechendes Konzept erarbeitet ist.
Einstieg in das IT-Sicherheitskonzept soll vereinfacht werden und somit schneller möglich sein
Diese „Überforderung“ und die Komplexität der aktuellen Gefährdungslage wurden auf dem diesjährigen IT-Sicherheitskongresses dargestellt und diskutiert. Das BSI stellt eindeutig fest, dass sich dieser Umstand ändern muss. Denn anderenfalls kommt die Datensicherheit oftmals zu spät. Deswegen soll der IT-Grundschutz modernisiert werden, wodurch ein leichterer Zugang zu den Empfehlungen des Grundschutzes möglich sein soll. Auch das Vorgehensmodell an sich wird eine Vereinfachung erfahren.
Anwender des IT-Grundschutzes müssen immer eine komplette Bestandsaufnahme, eine Risikoanalyse, eine Schutzbedarfsfeststellung und eine Konzepterstellung durchführen. Dies wird auch weiterhin die vollständige Vorgehensweise sein. Aber die neue Hinführung zu diesem kompletten Sicherheitskonzept ist in drei Stufen aufgeteilt:
- Der Erstschutz hat das Ziel, in kurzer Zeit einen Mindestschutz zu erreichen. Wie Untersuchungen von IT-Sicherheitsforschern gezeigt haben, lassen sich bereits mit dem Erstschutz viele Risiken abwehren. Natürlich nicht die intelligenten, fortschrittlichen Attacken, aber einfache Attacken auf jeden Fall.
- Der Basisschutz entspricht dann dem Stand der Technik und schützt die Daten mit normalem Schutzbedarf. Diese „Schutzstufe“ ist auch weiterhin mindestens zu erreichen.
- Der Hochsicherheitsschutz hingegen soll die besonders sensiblen Daten schützen.
Dabei legt das BSI weiterhin Wert darauf, dass der Basisschutz erreicht wird. Die Modernisierung des Grundschutzes soll lediglich den Einstieg vereinfachen und die Anwender dazu befähigen einen Erstschutz schnellst möglich herzustellen. Die übliche Risikoanalyse und die Definition aller notwendigen IT-Sicherheitsmaßnahmen werden also weiterhin notwendig sein. Wichtig an dem neuen Vorgehensmodell ist, dass alle Anwender nicht lange Zeiträume verstreichen lassen, bis eines Tages der Hochsicherheitsschutz definiert ist, sondern dass sie mit dem Erstschutz umgehend anfangen. Das BSI weist aber darauf hin, dass auch ein Ansatz bestehend aus der Umsetzung der Erst- und Basisschutzmaßnahmen ohne vorherige Risikoanalyse und ohne Ermittlung des Schutzbedarfs weiter hilft, wenn auch nicht als dauerhafter Ersatz, aber als schneller Einstieg.
Die Kronjuwelen und die Top Risiken
Der sogenannte Kronjuwelen-Ansatz sieht vor, dass zum einen die Erstmaßnahmen umgesetzt werden, diese aber durch den Schutz der besonders sensiblen Daten ergänzt werden. Die Überlegung, welche Daten besonders wichtig und bedroht sind, sollte also in keinem Fall fehlen.
Bildquellen
- sure-538718_1280: geralt by www.pixabay.com | CC0
