IT-Security: BSI erhöht Sicherheitsanforderungen für Rechenzentren des Bundes
Der Bund muss bei seinen Datenzentren jetzt mindestens das Niveau der Standard-Absicherung nach IT-Grundschutz einhalten, also einen ganzheitlichen Ansatz.
(Bild: IM Imagery/Shutterstock.com)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Sicherheitsanforderungen für die Rechenzentren des Bundes nach oben geschraubt. Sie müssen nun mindestens das Niveau der Standard-Absicherung nach IT-Grundschutz erreichen. Dies geht aus dem jetzt veröffentlichten neuen "Bewertungsschema zur Bestimmung der Verlässlichkeit von IT-Dienstleistungen unter besonderer Berücksichtigung von Aspekten der Hochverfügbarkeit" ("HV-Benchmark") hervor. Dieses gibt mit besonders relevanten einschlägigen Aspekten laut BSI ein strukturiertes Verfahren vor, "um mit einem vertretbaren Einsatz von Zeit und Ressourcen, eine Aussage zur Verlässlichkeit von IT-Dienstleistungen treffen zu können".
Mit Version 2.0 des Verfügbarkeitsschemas setzt das BSI mit einiger Verzögerung Vorgaben aus dem Umsetzungsplan Bund 2017 um, mit dem das Innenministerium eine Leitlinie für Informationssicherheit in der Bundesverwaltung aufgestellt hat. Demnach ist bei der Anwendung des modernisierten IT-Grundschutzes die darin beschriebene Standard-Absicherung als Mindestanforderung für die Bundesverwaltung anzusehen. Ferner forderte der Haushaltsausschuss des Bundestages in einem Maßgabebeschluss eine entsprechende Anhebung der Mindestwerte.
HV-Benchmark kompakt
Konkret geht es um den HV-Benchmark kompakt – eine komprimierte Version des Bewertungsschemas mit weniger Sollgrößen als bei der Vollvariante. Die Bewertung und Messung erfolgt dabei anhand von 34 besonders relevanten Aspekten der IT-Sicherheit mithilfe von Reifegradmodellen. Da die 34 Indikatoren keine Vollständigkeit ermöglichen, kann die Einhaltung der Mindestwerte der kompakten Variante dem BSI zufolge "die Anwendung von etablierten Standards wie dem IT-Grundschutz nicht ersetzen". Vielmehr gehe es darum, "einen raschen Überblick über den Stand der Informationssicherheit bei dem betrachteten Rechenzentrum" zu bieten.
"Die Einhaltung der vorgegebenen Mindestwerte ist für ein angemessenes IT-Sicherheitsniveau von Rechenzentren der Einrichtungen des Bundes notwendig, aber in der Regel nicht hinreichend", heißt es bei der Bonner Behörde. Es gelte, in Eigenregie höhere Sollwerte für die 34 Indikatoren "unter Berücksichtigung des individuellen Schutzbedarfs" festzulegen. Angestrebt werden soll dabei mit der Messlatte IT-Grundschutz nun ein "ganzheitlicher Ansatz zur Informationssicherheit". Neben technischen Aspekten seien also auch infrastrukturelle, organisatorische und personelle Themen zu betrachten. Dies ermögliche "ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen". Die Gefahr größerer Cyberangriffe schätzt das BSI aktuell hoch ein. 2015 war eine massive Attacke auf die Netze des Bundestages bekannt geworden, nach der das IT-System des Parlaments generalüberholt werden musste.
(olb)
