IT-Grundschutzhandbuch 2000 - IT-Grundschutz als Bestandteil eines IT-Sicherheitskonzeptes

2.1 IT-Grundschutz als Bestandteil eines IT-Sicherheitskonzeptes

Mit dem IT-Grundschutz wird das Ziel verfolgt, den analytischen Arbeitsaufwand für die Erstellung eines IT-Sicherheitskonzeptes auf die hochschutzbedürftigen IT-Systeme zu konzentrieren und somit angemessen zu begrenzen. Das geschieht, indem für IT-Systeme mit mittlerem Schutzbedarf der Untersuchungsaufwand aufgrund einer pauschalisierten Gefährdungslage und Betrachtungsweise sowohl bei der Risikoanalyse als auch bei der nachfolgenden Auswahl von Sicherheitsmaßnahmen minimiert wird. Zur Erreichung eines "IT-Grundschutzes" ist für diese IT-Systeme lediglich die Umsetzung der in diesem Handbuch empfohlenen Maßnahmen erforderlich.

Für IT-Systeme mit hohem Schutzbedarf bleibt neben dem IT-Grundschutz prinzipiell die Durchführung einer detaillierten Risikoanalyse (z. B. nach dem IT-Sicherheitshandbuch) erforderlich.

Für die Unterscheidung zwischen mittlerem und hohem Schutzbedarf wird in Kapitel 2.2 eine diesbezügliche Vorgehensweise (Schutzbedarfsfeststellung) vorgestellt.

Die nachfolgende Abbildung verdeutlicht, daß beide Vorgehensweisen - sowohl IT-Grundschutz als auch detaillierte Risikoanalyse - bei der Erstellung eines IT-Sicherheitskonzeptes zum Einsatz kommen können.

Prinzipiell sollten die hochschutzbedürftigen IT-Anwendungen vorrangig angegangen werden, da sich hier die größten Risiken für eine Behörde/ein Unternehmen ergeben können. Hierzu ist eine detaillierte Risikoanalyse zu empfehlen, denn eine Abwägung von Wirksamkeit und Wirtschaftlichkeit eventuell kostenintensiver Sicherheitsvorkehrungen erfordert eine individuelle und situationsbedingte Betrachtungsweise (siehe auch KBSt-Empfehlung 2/95 im Anhang). Es sei in diesem Zusammenhang darauf hingewiesen, daß in der Bundesverwaltung die den IT-Einsatz prüfenden Stellen für IT-Anwendungen mit hohem Schutzbedarf nachdrücklich detaillierte Risikoanalysen im Rahmen von IT-Sicherheitskonzepten fordern.

Bestehen solche Verpflichtungen nicht - wie bei privatwirtschaftlichen Organisationen - oder fehlt es an Zeit oder Erfahrung für die Erstellung von detaillierten Risikoanalysen, so bietet sich als zunächst aufwandsersparende Alternative an, zuerst die Maßnahmen des IT-Grundschutzhandbuchs zügig umzusetzen, um in kurzer Zeit ein "Sicherheitsfundament" zu errichten - auch für solche IT-Anwendungen und Informationen mit hohem Schutzbedarf. In einer daran anschließenden detaillierten Risikoanalyse können dann mit der im IT-Grundschutz gewonnenen Erfahrung die zusätzlich erforderlichen Maßnahmen ermittelt werden. Solche Maßnahmen können ggf. IT-Grundschutzmaßnahmen ersetzen oder ergänzen.

Welcher Weg beschritten wird - zuerst eine Risikoanalyse oder die Realisierung des IT-Grundschutzes - ist individuell vom Management zu entscheiden.