Bundesamt für Sicherheit in der Informationstechnik

Neues im IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium wird künftig immer zum 1. Februar eines jeden Jahres in einer neuen Edition erscheinen. Bausteine, die in der Zwischenzeit erstellt und nach einer Kommentierung durch die IT-Grundschutz-Anwender veröffentlicht werden, erscheinen zunächst online als neue Version, bevor sie in die nächste Edition einfließen.

Bei der Bearbeitung der Bausteine wurde vielfach auf die bestehenden Bausteine aufgesetzt, zu vielen Themen wurden Bausteine aber auch neu verfasst. Für die Anwender des IT-Grundschutzes bedeutet die behutsame Anpassung der Inhalte, dass sie einfach auf die neuen Bausteine umsteigen können. Als Hilfestellung hierfür gibt es zu jedem modernisierten Baustein eine entsprechende Migrationstabelle, in der die bisherigen Maßnahmen des klassischen IT-Grundschutzes den Anforderungen des modernisierten IT-Grundschutzes gegenübergestellt sind.

Für die erste Edition des IT-Grundschutz-Kompendiums wurden folgende Bausteine modernisiert und in die erste Edition übernommen:

  • ISMS.1 Sicherheitsmanagement
  • ORP.1 Organisation
  • ORP.2 Personal
  • ORP.3 Sensibilisierung und Schulung
  • ORP.4 Identitäts- und Berechtigungsmanagement
  • ORP.5 Compliance Management (Anforderungsmanagement)
  • CON.1 Kryptokonzept
  • CON.2 Datenschutz
  • CON.3 Datensicherungskonzept
  • CON.4 Auswahl und Einsatz von Standardsoftware
  • CON.5 Entwicklung und Einsatz von Allgemeinen Anwendungen
  • CON.6 Löschen und Vernichten
  • OPS.1.1.3 Patch- und Änderungsmanagement
  • OPS.1.1.4 Schutz vor Schadprogrammen
  • OPS.1.1.5 Protokollierung
  • OPS.1.1.6 Software-Tests und -Freigaben
  • OPS.1.2.2 Archivierung
  • OPS.1.2.3 Informations- und Datenträgeraustausch
  • OPS.1.2.4 Telearbeit
  • OPS.2.1 Outsourcing für Kunden
  • OPS.3.1 Outsourcing für Dienstleister
  • DER.4 Notfallmanagement
  • APP.2.1 Allgemeiner Verzeichnisdienst
  • APP.2.2 Active Directory
  • APP.3.1 Webanwendungen
  • APP.3.2 Webserver
  • APP.3.4 Samba
  • APP.3.6 DNS-Server
  • APP.5.1 Allgemeine Groupware
  • APP.5.2 Microsoft Exchange und Outlook
  • SYS.1.1 Allgemeiner Server
  • SYS.1.5 Virtualisierung
  • SYS.1.8 Speicherlösungen
  • SYS.2.1 Allgemeine Clients
  • SYS.2.2.2 Clients unter Windows 8.1
  • SYS.3.1 Laptops
  • SYS.3.2.1 Allgemeine Smartphones und Tablets
  • SYS.3.4 Mobile Datenträger
  • SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
  • NET.2.1 WLAN-Betrieb
  • NET.2.2 WLAN-Nutzung
  • NET.3.1 Router und Switches
  • NET.3.2 Firewall
  • NET.3.3 VPN
  • INF.1 Allgemeines Gebäude
  • INF.3 Elektrotechnische Verkabelung
  • INF.4 IT-Verkabelung
  • INF.7 Büroarbeitsplatz
  • INF.8 Häuslicher Arbeitsplatz
  • INF.9 Mobiler Arbeitsplatz
  • INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum

Neben den modernisierten Bausteinen enthält die erste Edition des IT-Grundschutz-Kompendiums auch Bausteine zu neuen Themen sowie solche, die ausgehend von bereits vorhandenen Bausteinen grundlegend überarbeitet wurden:

  • CON.7 Informationssicherheit auf Auslandsreisen
  • OPS.1.1.2 Ordnungsgemäße IT-Administration
  • OPS.2.4 Fernwartung
  • DER.1 Detektion von sicherheitsrelevanten Ereignissen
  • DER.2.1 Behandlung von Sicherheitsvorfällen
  • DER.2.2 Vorsorge für die IT-Forensik
  • DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle (APT-Responder)
  • DER.3.1 Audits und Revisionen
  • DER.3.2 IS-Revision für Bundesbehörden
  • APP.1.1 Office-Produkte
  • APP.1.2 Web-Browser
  • APP.3.3 Fileserver
  • APP.4.3 Relationale Datenbanksysteme
  • SYS.1.2.2 Windows Server 2012
  • SYS.1.3 Server unter Unix
  • SYS.2.2.3 Clients unter Windows 10
  • SYS.2.3 Clients unter Unix
  • SYS.3.2.2 Mobile Device Management (MDM)
  • SYS.3.2.3 iOS (for Enterprise)
  • SYS.3.2.4 Android
  • SYS.4.4 Allgemeines IoT-Gerät
  • IND.1 Betriebs- und Steuerungstechnik
  • IND.2.1 Allgemeine ICS-Komponente
  • IND.2.2 Speicherprogrammierbare Steuerung (SPS)
  • IND.2.3 Sensoren und Aktoren
  • IND.2.4 Maschine
  • NET.1.1 Netzarchitektur und -design
  • NET.1.2 Netzmanagement
  • INF.2 Rechenzentrum

Zu zahlreichen Bausteinen sind auf der IT-Grundschutz-Webseite auch entsprechende Umsetzungshinweise veröffentlicht. In den Umsetzungshinweisen wird konkret beschrieben, wie die Anforderungen der IT-Grundschutz-Bausteine erfüllt werden können.

Neue elementare Gefährdung zu Seiteneffekten IT-gestützter Angriffe

Ergänzend zu den 46 bereits vorhandenen elementaren Gefährdungen wurde eine weitere elementare Gefährdung identifiziert. Diese 47. elementare Gefährdung adressiert die "schädlichen Seiteneffekte IT-gestützter Angriffe". Diese zeichnen sich dadurch aus, dass sie von den Tätern nicht beabsichtigt sind, nicht die unmittelbar angegriffenen Zielobjekte betreffen oder unbeteiligte Dritte schädigen. Ursächlich hierfür sind die hohe Komplexität und Vernetzung moderner Informationstechnik sowie die Tatsache, dass die Abhängigkeiten der angegriffenen Zielobjekte und der zugehörigen Prozesse in der Regel nicht offenkundig sind.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK