Die 2019er Edition des IT-Grundschutz-Kompendiums ist da. Regelmäßig vom Bundesamt für Sicherheit und Informationstechnik (BSI) aktualisiert, liegt nun die Fassung für dieses Jahr vor. Mit unserem Beitrag möchten wir nicht nur auf diesen Umstand hinweisen, sondern auch zeigen, wie Sie sich schnell einen Überblick über die Neuerungen verschaffen.
Der Inhalt im Überblick
- Mit dem BSI auf dem neuesten Stand des IT-Grundschutz-Kompendiums bleiben
- Umfangreiche Informationen über die diesjährigen IT-Kompendium Änderungen
- 14 neue IT-Grundschutz-Bausteine
- 36 überarbeitete IT-Bausteine
- Detaillierte Beschreibung der Änderungen an den Bausteinen 2018
- Änderungen im IT-Grundschutz-Kompendium – ein unübersichtliches Anliegen?
Mit dem BSI auf dem neuesten Stand des IT-Grundschutz-Kompendiums bleiben
Anfang der Woche wies das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung auf das Erscheinen des neuen IT-Grundschutz-Kompendiums Edition 2019 hin.
Das Kompendium bietet die gewohnten IT-Bausteine, um ein passendes IT-Sicherheitskonzept insbesondere für Unternehmen oder Behörde zu entwickeln. Diese umfassenden Hinweise dienen auch dazu, den Aufbau eines Informationssicherheitsmanagements zu unterstützen und bieten natürlich auch bei Einzelfragen hilfreiche Unterstützung. Das Grundschutz-Kompendium wird vom Bundesamt für Sicherheit in der Informationstechnik gepflegt und regelmäßig in aktualisierter Form herausgegeben.
Umfangreiche Informationen über die diesjährigen IT-Kompendium Änderungen
Auf der Website des Bundesamts für Sicherheit in der Informationstechnik werden die diesjährigen Änderungen und Anpassungen der 2019er Ausgabe umfangreich vorgestellt. Unserer Übersicht folgt weitestgehend der strukturellen Darstellung auf der Website des BSI.
Zur Übersicht:
- Es gibt insgesamt 94 IT-Grundschutz Bausteine
- davon 14 neue IT-Grundschutz-Bausteine
- 80 bewährte Bausteine aus der Version des vorangegangenen Jahres
Das BSI verschafft einen Überblick, in welchen Bereichen sich Anpassungen und Neuerungen ergeben haben. So erfährt der interessierte Leser schnell, wo im eigenen Unternehmen bzw. der Behörde nachgesteuert werden sollte. Die neuen Bausteine und Änderungen werden auf der Website aufgelistet.
14 neue IT-Grundschutz-Bausteine
Als komplett neue IT-Bausteine nennt das BSI die folgenden:
- APP.1.4 Mobile Anwendungen (Apps)
- APP.2.3 OpenLDAP
- APP.4.2 SAP-ERP-System
- APP.4.6 SAP ABAP-Programmierung
- IND.2.7 Safety Instrumented Systems
- INF.6 Datenträgerarchiv
- NET.4.1 TK-Anlagen
- NET.4.2 VoIP
- NET.4.3 Faxgeräte und Faxserver
- OPS.2.2 Cloud-Nutzung
- SYS.1.7 IBM Z-System
- SYS.2.4 Clients unter macOS
- SYS.3.3 Mobiltelefon
- SYS.4.3 Eingebettete Systeme
36 überarbeitete IT-Bausteine
Insgesamt wurden 36 der IT-Bausteine aus dem vorangegangen Jahr einer Überarbeitung unterzogen. Diese erfolgten aufgrund und mit Hilfe vielfältiger Rückmeldungen aus den einschlägigen Bereichen der Praxis, bspw. seitens Informationssicherheitsbeauftragten. Dabei sind nicht alle Überarbeitungen gleich umfangreich ausgefallen. Eine Unterteilung in
- umfangreiche Änderungen und
- geringfügige sprachliche und redaktionelle Änderungen
ermöglicht einen übersichtlichen und schnellen Überblick über die Anpassungen. Zur proportionalen Verteilung kann gesagt werden, dass es bei 25 Bausteinen zu umfangreichen Änderungen kam. Dabei geht es um solche, die Auswirkungen auf Zertifizierungsverfahren und bereits implementierte Sicherheitskonzepte haben können.
Demgegenüber handelt es sich bei den rund 11 geringfügig abgeänderten Bausteinen wohl nur um eine Anpassung auf das aktuelle Datum in der Fußzeile. Die genau bezeichneten Bausteine finden sich auf der Website des BSI.
Detaillierte Beschreibung der Änderungen an den Bausteinen 2018
Unter der Überschrift „Änderung an den Bausteinen der Edition 2018“ ist jeweils ausführlich dargestellt, zu welchen nicht unerheblichen sprachlichen sowie inhaltlichen Änderungen, es im Rahmen der Überarbeitung gekommen ist. Ein Beispiel:
Baustein APP.1.2 Web-Browser
Kapitel 3: Anforderungen
Änderungen an bestehenden Anforderungen
APP.1.2.A8 Verwendung von Plug-Ins und Erweiterungen: Es wurde ergänzt, dass Plug-Ins und Erweiterungen ausschließlich aus vertrauenswürdigen Quellen bezogen werden SOLLTEN.
Änderungen im IT-Grundschutz-Kompendium – ein unübersichtliches Anliegen?
Das IT-Grundschutz-Kompendium ist umfangreich und besteht aus zahlreichen Bausteinen und einer großen Fülle an Informationen. Zwar gestalten sich auch die Bausteinänderungen und Überarbeitungen relativ umfassend, denn bei vielen geht die Überarbeitungen deutlich über eine bloße Aktualisierung des Datums hinaus. Allerdings ist die Website des BSI, welche über die vorgenommenen Änderungen informiert, gut strukturiert gestaltet. Die dargestellte Gruppierung des Änderungsumfangs und Ausmaßes, begleitet durch das jeweilige Zitat der Änderungen, ermöglicht einen schnellen Überblick über die Neuerungen.
Das bedeutet zwar, dass Jeder, der sich mit dem Sicherheitsmanagement seines Unternehmens oder Behörde auseinandersetzt (oder in sonstiger Weise mit IT- Sicherheit befasst ist), einen Blick in die Übersicht zu den Änderungen werfen sollte, um sich zu vergewissern auf dem neuesten Stand zu sein. Dass diese Prüfung aber rasch und mit geringem Zeitaufwand möglich ist, ist der gelungenen Aufbereitung des BSI zu verdanken.
Falls das IT-Grundschutz-Kompendium noch Neuland für Sie sein sollte, werfen Sie unbedingt `mal einen Blick hinein. Sie werden sich wundern, auf wie viele Ihrer IT-Sicherheitsfragen Sie eine Antwort finden werden.
Seit 2018 gibt es den „Grundschutzkatalog“ nicht mehr – die neue Form der Bausteine heißt nun „Kompendium“. Dies sollte man genauer auseinanderhalten, weil mit „Katalog“ immer die alte (ausführlichere) Form gemeint ist.
Vielen Dank für den Hinweis. Wir haben den Text entsprechend angepasst.