Schlagwortarchiv für: Bundesamt für Sicherheit in der Informationstechnik

Lesedauer ‘IT-Grundschutz – mit passenden Bausteinen des BSI’ 6 Minuten

Ohne adäquaten IT-Grundschutz sind Unternehmen der wachsenden Bedrohung durch Internetangriffe und Datenverlust schutzlos ausgeliefert. Die Auswirkungen sind oftmals gravierend und können schlimmstenfalls zur Insolvenz führen. Es ist daher grundlegend erforderlich, wirksame IT-Sicherheitsmaßnahmen zu implementieren, um die Verfügbarkeit und Integrität von IT-Systemen und sensiblen Geschäftsdaten zu garantieren.

Hierzu bietet das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Vielzahl von Standards an. Diese geben Unternehmen Leitfäden an die Hand, welche standardisierte Vorgehensweisen für Umsetzung und Erfüllung hoher IT-Infrastruktursicherheit liefern.

Welche das sind und wie Sie diese Leitfäden sinnvoll in Ihrem Unternehmen nutzen könne, erfahren Sie im folgenden Artikel.

Licht und Schatten – Technologisierung im Mittelstand

Die rasant fortschreitende Technologisierung beeinflusst den deutschen Mittelstand aktuell wie nie davor. Technologietrends wie künstliche Intelligenz, das Internet der Dinge, Blockchain-Technologie und Big Data-Analysen beeinflussen unser Arbeitsverhalten massiv. Im Mittelpunkt dieser Entwicklung steht die IT-Infrastruktur, welche entscheidend dazu beiträgt, Unternehmen effizienter und wettbewerbsfähiger zu machen: Sie bildet das Rückgrat für wirtschaftlichen Erfolg.

Allerdings hat die zunehmende Technologisierung sowie die damit verbundene steigende Abhängigkeit von IT eine Kehrseite: Die Bedrohung durch Internetkriminalität. Malware und weitere Formen von Schadsoftware sind leicht und mit geringem finanziellen Aufwand verfügbar. Dies führt zu einer stetig wachsenden Anzahl von Angriffen auf Unternehmen. Tatsächlich sind ca. 76 Prozent aller verfügbaren Schadsoftware-Kits und 91 Prozent der verfügbaren Exploits für weniger als zehn US Dollar erhältlich.

Um diesen Risiken effektiv entgegenzuwirken und Firmen dabei zu unterstützen, eine unternehmensweite Informationssicherheit aufzubauen, hat das Bundesamt für Sicherheit in der Informationstechnik ein IT-Grundschutz-Kompendium sowie die sog. BSI-Standards entwickelt.

IT-Grundschutz – IT-Sicherheit auf höchstem Niveau

Das IT-Grundschutz-Kompendium und die BSI-Standards sind die beiden fundamentalen Bausteine des BSI-IT-Grundschutzes. Sie dienen dazu, Firmen bei der Durchführung einer vollumfänglichen IT-Sicherheitsstrategie zu unterstützen. Die vom Bundesamt für Sicherheit in der IT entwickelten Standards und Richtlinien stellen sicher, dass Unternehmen auf höchstem Niveau agieren, um ihre IT-Landschaft, Arbeitsabläufe, Unternehmensprozesse und Daten zu schützen. Die Implementierung des IT-Grundschutzes befähigt Unternehmen dazu, sich nachhaltig gegen eine Vielzahl von Bedrohungen (Internetangriffe, Datenlecks und Systemausfälle) zu wappnen. Die Orientierung am IT-Grundschutz-Kompendium wie auch den BSI-Standards ermöglicht Firmen, von erprobten Best Practices und umfassenden Handlungsempfehlungen zu profitieren.

IT-Grundschutz als Kompendium – Der Wegweiser für umfassende IT-Sicherheit

Das IT-Grundschutz-Kompendium ist ein elementarer Leitfaden für Unternehmen, um wirksame IT-Sicherheitsmaßnahmen zu implementieren. Es enthält 111 Bausteine, welche in zehn Themengebiete sowie in Prozess- und System-Bausteine gegliedert sind.

Die Prozess-Komponenten setzen sich mit Themen wie Informationssicherheitsmanagement, Notfallmanagement, Risikomanagement und Datenschutz auseinander. Die System-Bausteine fokussieren sich auf spezielle technische Systeme wie Clients, Server, Mobile Devices, Netzwerke sowie Cloud Computing. Alle Bausteine enthalten detaillierte Themenbeschreibungen, inklusive Auswertung der Gefährdungslage und konkreten Anforderungen zu deren Umsetzung.

Das IT-Grundschutz-Kompendium wird vom BSI jährlich aktualisiert, um aktuelle Erkenntnisse zu integrieren und Marktentwicklungen zu berücksichtigen. Dank der modularen Struktur können Unternehmen systematisch vorgehen: Wesentliche Bausteine werden nach dem Baukastenprinzip ausgewählt und an ihre spezifischen Erfordernisse angeglichen. Zusätzlich dient das IT-Grundschutz-Kompendium als Grundlage für das IT-Grundschutz-Zertifikat, eine von dem BSI vergebene Zertifizierung, die die Einhaltung der IT-Grundschutz-Standards bestätigt.

BSI-Standards – Welche gibt es?

Zusätzlich zum IT-Grundschutz-Kompendium hat das Bundesamt für Sicherheit in der Informationstechnik eine Reihe von BSI-Standards entwickelt. Ziel ist, Unternehmen bei der Implementierung von IT-Sicherheitsmaßnahmen zu unterstützen. Diese Standards beinhalten ausführliche Vorgaben, Anforderungen und Best Practices, welche darauf ausgerichtet sind, verständliche Anleitungen für die Umsetzung der Maßnahmen zu bieten.

Derzeitig existieren vier BSI-Standards, die Methoden, Prozessen und Verfahren für unterschiedliche Aspekte der Informationssicherheit bieten:

BSI-Standard 200-1

Informationssicherheitsmanagementsystem(e), kurz ISMS. Dieser Standard spezifiziert die grundsätzlichen Anforderungen für ein ISMS. Er gewährleistet die Planung, Einführung, Überwachung und stetige Optimierung der IT-Sicherheit im Unternehmen.

BSI-Standard 200-2

IT-Grundschutz-Methodik. Der BSI-Standard 200-2 beschreibt eine Methode, welche Firmen zur Erweiterung des ISMS nutzen können. Hierfür sind drei Methoden zur Ausführung definiert: Basis-, Standard- und Kern-Absicherung. Jede dieser Methoden bietet unterschiedliche Sicherheitsniveaus und Justagemöglichkeiten, um den individuellen Bedürfnissen einer Organisation gerecht zu werden.

BSI-Standard 200-3

Risikomanagement. Der BSI-Standard 200-3 befasst sich mit sämtlichen risikobezogenen Arbeitsabläufen bei der Implementation des IT-Grundschutzes. Dieser ist insbesondere für Organisationen geeignet, welche bereits die IT-Grundschutz-Methodik (BSI-Standard 200-2) integriert haben aber obendrein eine nachstehende Risikoanalyse ausführen möchten, um mögliche Schwachpunkte und Gefahren strukturiert zu erfassen und zu evaluieren.

BSI-Standard 200-4

Business Continuity Management. Dieser Standard liefert eine praxisnahe Anleitung zur Implementierung eines Business Continuity Management-Systems (BCMS). Das BCMS garantiert die Aufrechterhaltung kritischer Unternehmensprozesse im Fall von Not- und Schadenssituationen. Der Standard 200-4 befindet sich aktuell noch in der Kommentierungsphase und ersetzt den BSI-Standard 100-4 – Notfallmanagement.

BSI-Zertifizierung – Werden Sie zum Spitzenreiter in Sachen IT-Sicherheit!

Neben der Entwicklung von IT-Sicherheitsstandards bietet das BSI diverse Zertifizierungen an: Common Criteria (CC), technische Richtlinien (TR) usw. Zudem zertifiziert die Behörde Managementsysteme entsprechend der DIN-Norm 27001. Selbst Einzelpersonen können BSI-Zertifikate erhalten: Als Auditoren, IT-Sicherheitsprüfer oder IT-Grundschutz-Berater.

BSI-Zertifizierungen garantieren die Qualität und Kompetenz von Experten sowie Lösungen im Bereich der IT-Sicherheit. Im Umkehrschluss schaffen diese Garantien ein hohes Maß an Vertrauen in das Angebot und die Reputation des BSI.

IT-Grundschutz versus KRITIS-Verordnung – Unterschiede und Gemeinsamkeiten

Sowohl IT-Grundschutz als auch die KRITIS-Verordnung beschäftigen sich mit dem Schutz der Informationstechnik – jedoch mit unterschiedlichen Schwerpunkten und Verbindlichkeiten. Das IT-Grundschutz-Kompendium ist für Unternehmen, Behörden und Institutionen aller Größen konzipiert und bietet einen freiwilligen Maßnahmenkatalog zum Schutz unternehmerischer IT-Infrastrukturen. Im Gegensatz dazu richtet sich die KRITIS-Verordnung speziell an Betreiber kritischer Infrastrukturen. Diese sind verpflichtet, die Anforderungen der Verordnung durchzuführen, um gravierende negative Folgen für das Gemeinwohl abzuwenden.

Da er branchenspezifische Sicherheitsstandards sowie Ratschläge zur Einführung eines passenden Informationssicherheitsmanagements liefert, kann der IT-Grundschutz für KRITIS-Betreiber als Leitfaden zur Erfüllung der KRITIS-Verordnung dienen.

Fazit: Mit IT-Grundschutz und BSI-Standards Datenschutz und Compliance meistern

IT-Sicherheit ist für Unternehmen von zentraler Bedeutsamkeit, um sensible Daten und Systeme vor den Bedrohungen der vernetzten Welt zu schützen. Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem IT-Grundschutz-Kompendium sowie den BSI-Standards ein Instrumentarium entwickelt, welches Firmen eine umfassende Orientierungshilfe für eine gelungene IT-Sicherheitsstrategie bietet.

Um die Vorzüge des IT-Grundschutzes und der BSI-Standards voll auszuschöpfen, sollten Unternehmen deshalb diese Schritte befolgen:

  1. IT-Sicherheitslage analysieren – Erfassung von IT-Systemen, Anwendungen und Prozessen; Identifizierung von Schwachstellen und Bedrohungen.
  2. Relevante Module und Standards auswählen – Selektion basierend auf Branche, Unternehmensgröße sowie eigenen Ansprüchen.
  3. Maßnahmen implementieren – Integration in interne Prozesse und Richtlinien; Sensibilisierung der Mitarbeiter für IT-Sicherheit.
  4. Überprüfung und Anpassung – Regelmäßige Kontrolle und Aktualisierung der Sicherheitsmaßnahmen mittels neuer Bedrohungen und Technologien.
  5. Dokumentation und Zertifizierung – Lückenlose Maßnahmendokumentation, Zertifizierung nach BSI-Standards. Ziel ist die Schaffung hohen Vertrauens bei Kunden, Partnern und Behörden.

Gerne unterstützen wir Sie bei der Durchführung dieser Leitlinien! Kontaktieren Sie uns noch heute unter 0800 4883 338 (innerdeutsch kostenfrei) sind wir für Sie da!

 

Weiterführende Infos: Audits und IT-Infrastrukturanalysen | IT-Sicherheitsanalysen aus Angreifersicht

 

Foto © Mue Ervive @ Pexels

 

Lesedauer ‘ Quo Vadis, IT-Deutschland? – BSI Lagebericht 2022 ‘: 6 Minuten

Im jährlich erscheinenden BSI Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (kurz BSI) beschreibt die Behörde die aktuelle Situation bezüglich der Bedrohungslage für Unternehmen durch Cyber-Attacken.
Welche Erkenntnisse Sie aus dem Dokument ziehen können und welche Konsequenzen sich für Unternehmen ergeben, erfahren Sie im nachfolgenden Blogbeitrag.

Eine kurze Geschichte des BSI

Das Bundesamt für Sicherheit in der Informationstechnik mit Hauptsitz in Bonn wurde am 1. Januar 1991 gegründet und ist dem Bundesministerium des Innern zugeordnet. Das BSI fungiert als unabhängige und neutrale Stelle für Fragen zur Informationssicherheit. Als staatliche Einrichtung ist sie damit in Europa einzigartig.

Derzeit sind dort über 1.400 Informatiker, Physiker, Mathematiker und andere Mitarbeiter beschäftigt. Das Aufgabenspektrum des BSI selbst ist dabei sehr komplex – insbesondere, da Probleme in der Informationstechnik so vielschichtig sind. Vorrangig geht es dem BSI darum, unsere Gesellschaft über die Gefahren durch Computerversagen, -missbrauch oder -sabotage zu informieren sowie geeignete Maßnahmen zur Vermeidung aufzuführen. Dies, ohne konkrete Produkte oder Hersteller zu empfehlen; vielmehr werden anerkannte Regeln für Technik und Organisation aufgestellt, um Schaden abzuwenden.

Seine amtlichen Aufgaben, Rechte und Pflichten regelt das sog. ‘BSI-Gesetz’ (Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes) – unterzeichnet von Horst Köhler, Angela Merkel, Wolfgang Schäuble und Karl-Theodor zu Guttenberg – in seiner letzten Fassung vom 14. August 2009. Obwohl sich die ‘IT-Landschaft Deutschland’ in den letzten 13 Jahren rasant verändert hat, ist die grundlegende Intention der Behörde gleich geblieben: Sie ist und bleibt für BürgerInnen und Unternehmen eine wichtige Anlaufstelle in Sachen Informationssicherheit.

Viele Vorgaben des BSI dienen mustergültig als Richtlinie zur Auditierung und Umsetzung der Informationssicherheit. Ganze Berufsgruppen orientieren sich seither an dessen Vorgaben.

Einmal im Jahr legt das BSI den sogenannten Bericht ‘Die Lage der IT-Sicherheit in Deutschland’ vor. Das Vorwort hat das Bundesinnenministerium, den Beitrag selbst verantwortet inhaltlich das Präsidium des BSI. 2020 und 2021 waren es demnach Horst Seehofer als Bundesminister des Innern, für Bau und Heimat sowie Arne Schönbohm als Präsident des BSI. In diesem Jahr kommt das Vorwort von Nancy Faeser, Ihres Zeichens Bundesministerin des Innern und für Heimat.

Ganz aktuell befindet sich das BSI in einer mieslichen Lage: Zum 18. Oktober wurde dem seit 1. Januar 2016 im Amt befindlichen Präsidenten Arne Schönbohm die Führung der Geschäfte im BSI untersagt. Auslöser sind seine Verwicklungen mit der Firma Protelion und deren Verbindungen nach Russland. Dies verursachte ein weithin spürbares Beben innerhalb des BSI. Daher wurde der Lagebericht 2022 nun am 25. Oktober 2022 durch Herrn Dr. Gerhard Schabhüser als Vizepräsident des BSI präsentiert.

Grundlegende Erkenntnisse aus dem BSI Lagebericht

IT-AnwenderInnen könnten Ende 2022 die Hoffnung verfolgen, dass durch immer besser werdende technische Abwehrmechanismen, durch die Cloud, durch leistungsfähigere Systeme, künstliche Intelligenz, verbreitete Bekanntheit der Angriffsversuche und somit also auch die Achtsamkeit des einzelnen IT Anwenders die Hürde für erfolgreich durchgeführte Angriffen gegen die IT-Infrastruktur mittlerweile höher liegen sollte. Zudem sollte man meinen, dass selbst Hacker – durch wirtschaftliche Themen wie Krieg in Europa, Rezession, Inflation etc. – aktuell andere Sorgen plagen und so ihr Augenmerk umgeleitet wird; dass also ‘Fachkräftemangel unter Hackern’ herrscht, wenn es um Angriffe auf Unternehmens-IT geht.

Leider geht dieses ‘Prinzip Hoffnung’ laut dem aktuellen, 116 Seiten umfassenden BSI Lagebericht für den Analysezeitraum 1. Juni 2021 bis 31. Mai 2022 überhaupt nicht auf – das Gegenteil ist der Fall!

Leistungsfähigere Systeme, künstliche Intelligenz, weltweite Highspeed-Vernetzung und eine kontinuierliche Weiterentwicklung der Angriffsverfahren spielen den Cyberkriminellen in die Hände. Zudem erwies sich Corona als Motor des Erfolges für deren steigende Aktivitäten und Erfolge.

Fakt ist, dass die Internet-Kriminalität (neudeutsch gerne als Cybercrime bezeichnet) durch anonyme Zahlungen per Kryptowährungen und verschlüsselter Kommunikation seit Jahren zu einem höchst rentablen und ebenso professionalisierten Geschäftsmodell avanciert. Egal, ob sich Cyberkriminelle zu Gruppierungen wie beispielsweise Conti/Lockbit zusammenschließen oder einzeln agieren. Egal, ob sie rein profitorientiert oder im staatlichen Auftrag handeln – die Gefahr war nie zuvor höher! In anonymen Foren werden Hacker oder andere Berufsbilder wie Analysten (die Unternehmen als potenzielle Angriffsziele auf deren Marktwert prüfen) sowie psychologisch geschulte, sprachgewandte Mitarbeiter, die Ransom-Verhandlungen führen, gezielt angeworben.

Werden von einer Hacker-Gruppierung Schwachstellen in Unternehmen entdeckt, so wird dieses Wissen anderen Gruppen oder Einzeltätern im anonymen Darknet zum Kauf und eigenen Nutzung angeboten. Vereinfacht dargestellt dient das Darknet als Handelsplattform für den illegalen Handel mit Schwachstellen und Daten.

Wer dieses Jahr am 1. Februar im Rahmen des BSI-Kongresses der Keynote von Nancy Faeser gefolgt ist, wurde spätestens mit dem Einmarsch Russlands in die Ukraine drei Wochen später am 24. Februar klar, dass Cyberattacken auch ein Krieg der Staaten mit anderen Mitteln sind.

Zusammengefasst: Wichtige Aussagen im BSI Lagebericht

Der BSI Lagebericht gibt – anhand konkreter und lesenswerter Beispiele – Antworten auf relevante, die aktuelle Situation in ‘IT-Deutschland’ betreffende, Fragen:

  • Welche typischen Angriffe werden gefahren?
  • Welche Bedeutung hat eine digitale Identität heutzutage?
  • Welche Schwachstellen werden (aus)genutzt?
  • Welche Rolle spielt der Mensch in diesen Szenarien?
  • Wie kann eine (vermeintlich) harmlose eMail eine existenzbedrohende Katastrophe im Unternehmen verursachen?
  • Welche Auswirkungen (z.B. auf die Lieferkette) können Cyber-Attacken mit sich bringen?

Das deutliche Signal des Lageberichtes dabei ist:

  • Die Bedrohung der IT-Sicherheit ist so hoch wie nie
  • Jeder kann ein potenzielles Ziel von Cybercrime werden
  • Ransomware ist und bleibt eine der größten IT-Gefahren für Unternehmen und einzelne Personen
  • Erpressungen werden vielschichtiger
  • Es gibt kein Ausruhen; die Abwehr ist und bleibt ein erforderlicher, kontinuierlicher Prozess
  • Es liegt an jedem Einzelnen und an jeder einzelnen Maßnahme, wie erfolgreich die Abwehr gegen Cybercrime ist
  • Die Summe der Maßnahmen und die Wirksamkeit der Awareness entscheiden über Erfolg oder Misserfolg

Der BSI Lagebericht macht insgesamt sehr deutlich, dass die Abwehr von Angriffen gegen IT und daran angebundene Infrastruktur eine wesentliche Aufgabe für jeden, der administrativ damit zu tun hat, aber auch für alle AnwenderInnen, die mit ihr arbeiten, darstellt. Denn Technik allein hilft nicht gegen Cybercrime.

In seinem Beitrag zur Veröffentlichung des BSI Lagebericht hat es das Bundesamt am 1. November 2022 auf Facebook nochmals sehr prägnant formuliert:

“Das Wohlergehen der Bevölkerung hängt stärker denn je davon ab, wie erfolgreich es gelingt, die digitale Resilienz der Gesellschaft zu stärken.”

Wenn Sie Interesse an allen Details haben, können Sie sich über nachfolgende Links selbst einen Einblick in die Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik verschaffen:

Den einleitenden Artikel zum BSI Lagebericht finden Sie hier.
Der gesamte BSI Lagebericht ist als Download hier verfügbar.

Sie haben Fragen zu diesem oder weiteren Themen, die IT-Sicherheit Ihres Unternehmens betreffend? Wir sind Mitglied in der vom BSI und Bitkom vor 10 Jahren ins Leben gerufenen Allianz für Cybersicherheit und beschäftigen uns seit langem intensiv mit der Entwicklung im Bereich Informationssicherheit. Kontaktieren Sie uns einfach kostenfrei telefonisch unter der nummer 0800 4883 338, wir helfen Ihnen gerne.

Denn wir bei Schneider + Wulf haben es uns zur Aufgabe gemacht, Ihre digitale Resilienz zu stärken.

Foto © Negative Space @ Pexels

Weiterführende Links

Hier finden Sie weiterführende Informationen zu IT-Sicherheitskonzepten im Allgemeinen sowie zum Thema Datensicherheit. Zu den Sicherheitsanalysen aus Angreifersicht unserer IT Security-Tochter CRISEC geht es hier.