Kommentar: Das BSI liefert ein tolles Konzept für einen neuen IT-Grundschutz

Will man den Stand der Digitalisierung in Deutschland kritisieren, so ist der derzeitige IT-Grundschutz ein besonders leichtes Ziel. Als Werkzeug für Ämter und Behörden geschaffen, soll der Grundschutz auch KMU mit Defiziten in der IT-Security als Vorbild dienen. Will man sich danach zertifizieren lassen, verkommt der Leitfaden des BSI in der Realität zum Bürokratiemonster: IT-Sicherheitsbeauftragte wühlen sich durch Stapel von Word-Listen, deren Vorgaben in wohlgefällig formulierter Prosa nicht nur zu Verständnisproblemen führen, sondern auch einen breiten Interpretationsspielraum lassen.

Ein Kommentar von Ronny Frankenstein

Ronny Frankenstein ist bei der HiSolutions AG Auditteamleiter für die Zertifizierung der ISO 27001 auf Basis des BSI IT-Grundschutzes sowie Mitautor der BSI-Standards und des IT-Grundschutz-Kompendiums.

Hinzu kommen teils sinnentleerte Dokumentationsanforderungen, die wild und wahllos gern mal kreuz und quer am Ende auf sich selbst verweisen. Die zum Durchsteigen nötigen IT-Grundschutz-Tools sind seit Jahrzehnten großteils ein einziges Grauen – das BSI-eigene Werkzeug hat man kurz nach Erreichen der nötigen Reife mal eben abgeschafft. Auf dem freien Tool-Markt ist der Benutzer seitdem mit sehr unterschiedlichen Qualitätslevels der verschiedenen Anbieter verloren.

Probleme am Schopf gepackt

Diese Probleme hat derweil auch das BSI erkannt und mit dem "Weg in die Basis-Absicherung" (WiBA) bereits den komplett überforderten Kommunen eine gesonderte Möglichkeit an die Hand gegeben, zum Thema Informationssicherheit aufzubrechen. Zwar ist der WiBA kein zertifizierungsfähiger Standard, doch mit seinen atomaren, klaren Anforderungen will er das, was wirklich zählt: da IT-Sicherheit schaffen, wo die verwundbaren Daten der Bürger liegen und wo das Herz der kommunalen Verwaltung schlägt.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Dezember-iX: PyCharm, VS Code und Neovim als Entwicklungsumgebungen für Python.

Inspiriert von diesem Ausbruch aus dem siebten Kreis der Zettelwirtschaftshölle nutzt das BSI den WiBA nun als Blaupause für eine Neuauflage, die man ganz mutig als IT-Grundschutz++ vorgestellt hat. Die Neuauflage soll Organisationen dort abholen, wo sie tatsächlich stehen. Sie sollen genau erkennen, welcher Aufwand erforderlich ist, um Gesetze und Richtlinien zu erfüllen. Damit kann der IT-Grundschutz dann auch wirklich allen als Hilfe dienen, die etwa aufgrund des NIS2-Umsetzungsgesetzes ein ISMS einrichten müssen.

Das richtige Maß finden

Zukünftig sollen feste Messgrößen und Kennzahlen helfen zu erkennen, wann man ein zertifizierungsfähiges Schutzniveau erreicht hat. Hier bleibt zu hoffen, dass das Niveau angemessen hoch wird, denn "Stand der Technik" ist Stufe vier von fünf. Reicht schon eine geringere Stufe für die Teilnehmerurkunde, bleibt zu befürchten, dass man in den Organisationen die Füße hochlegt, da man mit der Informationssicherheit dann ja getrost wieder aufhören kann.

Nach der Präsentation der Neuerungen durch das BSI geht jetzt die übliche Feedbackphase in ihre erste Runde. Man darf gespannt sein, bei welchen Aspekten die Anwender und Zielgruppen das Konzept annehmen und wo noch Verbesserungsbedarf besteht. Jedenfalls sind die Änderungen zu begrüßen. Besonders die Referenten des BSI zeigen hier, dass ihnen die IT-Sicherheit Deutschlands am Herzen liegt und man die Leute befähigen will, sich selbst zu helfen. Der neue Grundschutz scheint auf einem guten Weg zu sein, seinem Namensvorbild C++ gerecht zu werden.

Dieser Kommentar ist das Editorial der iX 12/2024, die am 22. November 2024 erscheint.

(pst)