IT-Grundschutzaudits

Das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich in Deutschland als ein pragmatischer Ansatz für die Sicherstellung eines Mindestmaßes an Basissicherheit für die Informations- und Kommunikationstechnik von Unternehmen und Behörden etabliert. Das IT-Grundschutzhandbuch enthält für viele IT-Infrastrukturkomponenten Bausteine (z. B. zu Firewalls), die typische Gefährdungen beschreiben und Abwehrmaßnahmen empfehlen.

In vielen Fällen lässt sich bereits durch einfache Standard-Schutzmaßnahmen ein ausreichendes Maß an IT-Sicherheit erreichen. Aber auch bei weiter gehenden Sicherheitsanforderungen leisten diese Grundmaßnahmen eine gute Basissicherung. Welche Bedeutung dem IT-Grundschutz beigemessen wird, zeigt der Beschluss der Bundesregierung zur "Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung" vom 16.01.2002: Ziel ist u. a. die flächendeckende Umsetzung von IT-Grundschutz für die elektronische Kommunikation an allen Arbeitsplätzen der Bundesverwaltung.

Das im Februar 2002 neu geschaffene Qualifizierungs- und Zertifizierungsschema für IT-Grundschutz des BSI gibt Behörden und Unternehmen nun die Möglichkeit, mit einer unabhängigen Auditierung und der Erteilung eines IT-Grundschutz-Zertifikats die wirkungsvolle Umsetzung von IT-Grundschutzmaßnahmen gegenüber seinen Mitarbeitern, Geschäftspartnern und Kunden zu dokumentieren.

Voraussetzung für die Vergabe des IT-Grundschutz-Zertifikats ist die Prüfung durch unabhängige, vom BSI lizensierte IT-Grundschutz-Auditoren, ob die Anforderungen, die im Qualifizierungs- und Zertifizierungsschema für IT-Grundschutz festgelegt sind, erfüllt werden. Das Ergebnis des Audits wird in einem Audit-Report dokumentiert, der auch die Gesamtbewertung des Auditors enthält. Auf der Basis dieses Audit-Reports kann dann eine Selbsterklärung durch die Organisation bzw. die Erteilung eines IT-Grundschutz-Zertifikats durch das BSI erfolgen. Beide gelten für einen Zeitraum von maximal zwei Jahren; anschließend ist das IT-Grundschutz-Audit zu wiederholen. So soll verhindert werden, dass veraltete Grundschutz-Maßnahmen zertifiziert sind, die neueren Angriffsmethoden oder dem aktuellen Stand der Technik nicht mehr genügen.

Unsere Leistungen

Die Secorvo Security Consulting GmbH bietet Unterstützung bei der Grundschutz konformen Planung und Gestaltung einer IT-Infrastruktur an. Dies umfasst eine Anforderungsanalyse sowie die Konzeption, Gestaltung, Umsetzung und Dokumentation der Grundschutz-Maßnahmen.

Darüber hinaus bietet Secorvo die Durchführung von IT-Grundschutzaudits gemäß dem Qualifizierungs- und Zertifizierungsschema des BSI durch vom BSI als Grundschutz-Auditor lizenzierte Mitarbeiter an.

Hierzu gehen wir wie folgt vor:

  • Sichtung und Bewertung der Referenzdokumente: Der Auditor sichtet die vom Kunden vorgelegten IT-Grundschutz-Referenzdokumente zur IT-Strukturanalyse, zur Schutzbedarfsfeststellung, zur Modellierung des IT-Verbunds und zur IT-Grundschutz-Erhebung und bewertet diese anhand der im Prüfschema vorgegebenen Kriterien. So werden z. B. die Plausibilität und die Vollständigkeit der Schutzbedarfsfeststellung der IT-Anwendungen und -Systeme und die Modellierung der IT-Infrastruktur mit Hilfe der Grundschutz Bausteine auf Korrektheit überprüft.
  • Inspektion vor Ort: Der Auditor überzeugt sich davon, dass die in der Referenzdokumentation dargestellten Komponenten und deren Eigenschaften mit den tatsächlichen Gegebenheiten übereinstimmen und führt den Basis-Sicherheitscheck durch. Dazu kann der Auditor z. B. stichprobenartig einzelne Komponenten auswählen und auf der Basis der Referenzdokumente überprüfen.
  • Überprüfung von Nachbesserungen: Werden bei der Sichtung und Bewertung der Referenzdokumentation bzw. bei der Inspektion Mängel erkannt, können diese innerhalb eines angemessenen Zeitrahmens behoben werden. Der Auditor überprüft anschließend die vorgenommene Behebung der Mängel.
  • Audit-Report und Gesamtvotum: Der Auditor dokumentiert die Prüfergebnisse aus der Sichtung und Bewertung der Referenzdokumentation sowie der Inspektion vor Ort in einem Audit-Report. Er gibt ein begründetes Gesamtvotum ab, ob die Anforderungen des IT-Grundschutzes erfüllt werden oder nicht. Der Audit-Report kann für die Selbsterklärung bzw. für die IT-Grundschutz-Zertifizierung durch das BSI herangezogen werden.
  • Re-Auditierung und Re-Zertifizierung: Werden Änderungen an der IT-Infrastruktur vorgenommen oder läuft die Selbsterklärung oder das Zertifikat aus, ist die Infrastruktur erneut zu auditieren bzw. zu zertifizieren.

Ansprechpartner


Stefan Gora

Kontakt
Tel. +49 721 255171-0