Das IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert über die unterschiedlichen Gefahren im Bereich Informationssicherheit und nennt Schritte zur Absicherung von Netzen und Daten. Dabei hilft es bei dem Aufbau eines Managementsystems zur Informationssicherheit (ISMS). Trotz der Bezeichnung IT-Grundschutz spielt das Kompendium nicht nur in der IT (Informationstechnologie), sondern auch in der OT (Operational Technology, Betriebstechnologie) eine zunehmend wichtige Rolle.
Definitionen
IT-Grundschutz des BSI
Der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet Methoden, Anleitungen und Empfehlungen zur Absicherung von Daten, Systemen und Netzwerken. Der Anspruch des IT-Grundschutzes ist eine ganzheitliche Informationssicherheit, technisch, infrastrukturell, organisatorisch und personell. Dabei werden die Sicherheitsmaßnahmen nicht nur beschrieben, sondern in ein systematisches Vorgehen eingegliedert.
Zum IT-Grundschutz gehören mehrere Dokumentationen. Die sogenannten BSI-Standards enthalten die Beschreibung der Vorgehensweisen Basis-, Standard- und Kern-Absicherung, das sogenannte IT-Grundschutz-Kompendium dagegen die konkreten Sicherheitsanforderungen.
Der IT-Grundschutz ist zudem ein bewährter Standard für den Aufbau eines ISMS (Informationssicherheitsmanagementsystem). Mit einem ISO-27001-Zertifikat auf der Basis des IT-Grundschutzes kann belegt werden, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen.
Im Gegensatz zur klassischen IT (Informationstechnologie) hat die OT (Betriebstechnologie) andere Anforderungen an Schutzziele wie Verfügbarkeit, Integrität und Vertraulichkeit. Schutzmaßnahmen aus der Office-IT sind nur bedingt auf die OT übertragbar. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb neben dem IT-Grundschutz-Kompendium unter anderem ein ICS-Security-Kompendium veröffentlicht.
IT-Grundschutzkompendium
Trotz der Unterschiede zwischen OT und IT ist es sinnvoll und hilfreich, den IT-Grundschutz und das zugehörige, jährlich aktualisierte IT-Grundschutzkompendium so weit wie möglich auf den OT-Bereich zu übertragen.
Im IT-Grundschutz-Kompendium finden sich die sogenannten IT-Grundschutz-Bausteine. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss entsprechende Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine behandeln thematisch Bereiche von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).
IT-Grundschutzbausteine für OT
Der IT-Grundschutz ist zwar kein ausgesprochener OT-Grundschutz. Neben den IT-Grundschutzbausteinen, die sich auf IT-Systeme (SYS) fokussieren, gibt es aber auch solche, die neben der IT auch teilweise Aspekte für die OT behandeln, wie Infrastruktur (INF), wo unter anderem die Gebäudeautomation betrachtet wird, Netze und Kommunikation (NET), Anwendungen (APP), Detektion und Reaktion (DER) und Betrieb (OPS).
Weiterhin gibt es Bausteine für den IT-Grundschutz mit übergreifenden Charakter wie Sicherheitsmanagement (ISMS), Organisation und Personal (ORP) und Konzeption und Vorgehensweise (CON).
Schließlich gibt es die Bausteine aus der Reihe „Industrielle IT“ (IND), die hier explizit genannt werden sollen:
- IND.1 Prozessleit- und Automatisierungstechnik
- IND.2.1 Allgemeine ICS-Komponente
- IND.2.2 Speicherprogrammierbare Steuerung (SPS)
- IND.2.3 Sensoren und Aktoren
- IND.2.4 Maschine
- IND.2.7 Safety Instrumented Systems
- IND.3.2 Fernwartung im industriellen Umfeld
Weiterführende Links
- BSI (Bundesamt für Sicherheit in der Informationstechnik)
www.bsi.bund.de/DE/Home/home_node.html
- Broschüre „Informationssicherheit mit System – Der IT-Grundschutz des BSI“
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/sonstiges/Informationssicherheit_mit_System.html
- IT-Grundschutz-Kompendium des BSI
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2023.pdf
- ICS-Security-Kompendium des BSI
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf?__blob=publicationFile