Buffl
Buffl
QM 2 IBRAHIM

BSI IT-Grundschutz – Methodik und Umsetzung Tag 6

AS
von Ali S.

Füllen Sie die folgende Tabelle aus, um die zentralen Merkmale der beiden Hauptkomponenten des BSI IT-Grundschutzes zu vergleichen


  • komponente: bsi-standards (serie 200-x)


    • beschreibt: die methodik (das “wie”)

    • beinhaltet:


  • komponente: it-grundschutz-kompendium


    • beschreibt:

    • beinhaltet: konkrete gefährdungen und sicherheitsanforderungen in “bausteinen”



Was ist das übergeordnete Ziel des BSI IT-Grundschutzes?

a) Ausschließlich die Abwehr von Hacker-Angriffen.

b) Die Erreichung eines definierten und angemessenen Sicherheitsniveaus durch Standard-Sicherheitsmaßnahmen.

c) Die Ersetzung der DSGVO durch einen technischen Standard.

d) Die Schulung von Mitarbeitern im Bereich Social Engineering.

  • b) Die Erreichung eines definierten und angemessenen Sicherheitsniveaus durch Standard-Sicherheitsmaßnahmen.


Der ganzheitliche Ansatz des IT-Grundschutzes wird oft als TOPI-Modell beschrieben. Wofür stehen die Buchstaben P und I?

a) Planung und Implementierung

b) Passwörter und Identitäten

c) Personal und Infrastruktur

d) Penetrationstest und IS-Revision

c) Personal und Infrastruktur

Ein Fachinformatiker möchte die konkreten Sicherheitsanforderungen für die Absicherung eines "Allgemeinen Servers" nachschlagen. In welcher Komponente des IT-Grundschutzes wird er fündig?

a) Im BSI-Standard 200-1

b) Im IT-Grundschutz-Kompendium

c) Im BSI-Standard 200-3

d) Im Ausbildungsrahmenplan

  • b) Im IT-Grundschutz-Kompendium


Warum wurde der modernisierte IT-Grundschutz um verschiedene Absicherungsniveaus (Basis, Kern, Standard) ergänzt?

a) Um die Anforderungen für Behörden zu verschärfen.

b) Um ihn an internationale Gesetze anzupassen.

c) Um eine flexible und skalierbare Anwendung insbesondere für kleine und mittlere Unternehmen (KMU) zu ermöglichen.

d) Um die Zertifizierungskosten zu erhöhen.


  • c) Um eine flexible und skalierbare Anwendung insbesondere für kleine und mittlere Unternehmen (KMU) zu ermöglichen.



Ordnen Sie die folgenden Fragestellungen der passenden Komponente des BSI IT-Grundschutzes zu, in der man die Antwort finden würde.

  • 1 (Standards): Der Aufbau eines ISMS ist eine methodische Vorgehensweise.

  • 2 (Kompendium): Konkrete Anforderungen an ein technisches System (Firewall) sind Inhalte.

  • 3 (Standards): Die Durchführung einer Risikoanalyse ist eine methodische Vorgehensweise

  • 4 (Kompendium): Konkrete Gefährdungen und Anforderungen für ein technisches System (Laptop) sind Inhalte.


Ein mittelständisches Unternehmen nimmt einen neuen Webserver für sein Kundenportal in Betrieb. Der IT-Administrator Alex soll diesen nach BSI IT-Grundschutz absichern. Er hat bereits die Strukturanalyse durchgeführt und weiß, dass es sich um einen Linux-Server handelt, der in einem externen Rechenzentrum steht und über eine Firewall angebunden ist.

• Aufgabe:

a. Welche der beiden Hauptkomponenten des IT-Grundschutzes (Standards oder Kompendium) muss Alex primär konsultieren, um die konkreten, technischen Maßnahmen für den Server zu finden?

b. Nennen Sie mindestens drei "Baustein"-Themen aus dem Skript, die Alex für die Absicherung seines Webservers berücksichtigen müsste.

c. Die Geschäftsführung fragt, warum dieser ganze Aufwand betrieben wird. Erklären Sie kurz, wie die Umsetzung dieser Maßnahmen hilft, die Anforderungen der DSGVO zu erfüllen.


  1. Um die konkreten technischen Maßnahmen zu finden, muss Alex primär das IT-Grundschutz-Kompendium (das "Was") konsultieren.


  2. Relevante Baustein-Themen wären z.B.: INF (Infrastruktur) für das Rechenzentrum, SYS (IT-Systeme) für den Linux-Server und NET (Netze und Kommunikation) für die Firewall-Anbindung. Auch APP (Anwendungen) für die Webserver-Software wäre relevant.


  3. Die DSGVO fordert in Artikel 32 "geeignete technische und organisatorische Maßnahmen". Die Umsetzung der bewährten Standard-Sicherheitsmaßnahmen aus den BSI-Bausteinen ist ein anerkannter Weg, um nachzuweisen, dass man diese gesetzliche Anforderung erfüllt und die Daten auf dem Server wirksam schützt.


Ziel und Ansatz des IT-Grundschutzes


  • Ziel: Angemessenes Sicherheitsniveau für alle wichtigen Informationen erreichen.

  • Ansatz: Ganzheitlich – nicht nur Technik, sondern auch:


    • Organisatorisch

    • Personell

    • Infrastrukturell

      → nennt sich TOPI-Modell






Struktur des IT-Grundschutzes




1. BSI-Standards (Serie 200-x) – Das „Wie“



  • Beschreiben die Methodik:


    • Wie man ein ISMS (Informationssicherheitsmanagementsystem) aufbaut, betreibt, überprüft und verbessert.





2. IT-Grundschutz-Kompendium – Das „Was“



  • Herzstück des Grundschutzes.

  • Beinhaltet Bausteine mit Gefährdungen und konkreten Schutzmaßnahmen.

  • Bausteine sind modular aufgebaut, z. B.:


    • IT-Komponenten: z. B. Server, Clients

    • Prozesse: z. B. Notfallmanagement

    • Organisation: z. B. Benutzerverwaltung


  • Jeder Baustein enthält konkrete Sicherheitsanforderungen, um das Grundschutzniveau zu erreichen.




Was sin die drei BSI-Standards 200-x?


BSI-Standard 200-1: ISMS-Managementrahmen



  • Regelt das Grundgerüst eines Informationssicherheitsmanagementsystems (ISMS)

  • Wichtige Punkte:


    • Sicherheitsleitlinie durch die Unternehmensleitung

    • Klare Rollen und Verantwortlichkeiten (z. B. ISB)

    • Kontinuierlicher Verbesserungsprozess (PDCA-Zyklus)






BSI-Standard 200-2: IT-Grundschutz-Methodik



  • Leitfaden zur praktischen Umsetzung – mit drei Vorgehensweisen:




  1. Basis-Absicherung


    • Für KMU oder Einsteiger

    • Schnelle Grundsicherung mit geringem Aufwand


  2. Kern-Absicherung


    • Fokus auf kritische Bereiche („Kronjuwelen“)

    • Nur dort wird tiefgehend abgesichert


  3. Standard-Absicherung


    • Vollständiger IT-Grundschutz

    • Für große Unternehmen, Behörden, KRITIS

    • Vorbereitung auf ISO-27001-Zertifizierung






BSI-Standard 200-3: Risikomanagement



  • Ergänzt Standard 200-2 bei hohem/​sehr hohem Schutzbedarf

  • Bei normalem Schutzbedarf: Pauschale Risikoanalyse durch BSI reicht aus

  • Bei hohem Schutzbedarf: Detaillierte, individuelle Risikoanalyse erforderlich


Struktur des IT-Grundschutz-Kompendiums


  • Besteht aus Bausteinen, die typische Gefährdungen + Sicherheitsmaßnahmen für ein Thema beschreiben.

  • Bausteine sind in 10 thematische Schichten unterteilt:




1. Prozess-Bausteine (organisatorisch):



  • ISMS – Management und Steuerung

  • ORP – Organisation & Personal

  • CON – Planung (z. B. Notfallkonzepte)

  • OPS – Betrieb (z. B. Backups)

  • DER – Erkennung und Reaktion auf Sicherheitsvorfälle




2. System-Bausteine (technisch):



  • APP – Anwendungen (z. B. Webbrowser)

  • SYS – IT-Systeme (z. B. Server, Betriebssysteme)

  • IND – Industrielle IT (z. B. SCADA)

  • NET – Netzwerke (z. B. Firewalls)

  • INF – Infrastruktur (z. B. Serverräume)


Anwendung in der Praxis (Schritte)


  1. Strukturanalyse

    – Erfassung aller Systeme, Anwendungen, Räume usw. = Informationsverbund

  2. Schutzbedarfsfeststellung

    – Für jedes Objekt: Schutzbedarf in V, I, V → normal / hoch / sehr hoch

  3. Modellierung

    – Passende Bausteine aus dem Kompendium den Zielobjekten zuordnen

    Beispiel Webserver:


    • INF.2 Rechenzentrum

    • SYS.1.1 Allgemeiner Server

    • SYS.1.3 Server unter Linux

    • NET.1.1 Netzarchitektur

    • NET.3.2 Firewall

    • APP.3.2 Webserver


  4. Umsetzung

    – Anforderungen aus den Bausteinen je nach Absicherungsniveau umset


Beitreten
Vorschau

Author

Ali S.

Informationen

Zuletzt geändert

Kurs melden
© 2023 Buffl GmbH