Bundesamt für Sicherheit in der Informationstechnik

Kapitel 6: Basis-Sicherheitscheck

6.1 Überblick

Basis-Sicherheitscheck als Soll-Ist Vergleich zur Identifikation fehlender Sicherheitsmaßnahmen

Sind meine Informationen und meine Informationstechnik hinreichend geschützt? Was bleibt noch zu tun?

Der Basis-Sicherheitscheck ist ein effizientes Instrument zur Beantwortung dieser Fragen. Das Vorgehen ist im Prinzip denkbar einfach: Die bereits umgesetzten Sicherheitsmaßnahmen werden mit den Empfehlungen der IT-Grundschutz-Kataloge verglichen, um das erreichte Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen

Bei einem systematischen Vorgehen greifen Sie dazu auf die Ergebnisse der vorangegangenen Schritte zurück:

  • Bei der Strukturanalyse haben Sie die vorhandenen Informationen, IT-Systeme, Räume und Kommunikationsverbindungen sowie die von diesen unterstützten Anwendungen erfasst.
  • Anschließend haben Sie den Schutzbedarf der Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen bestimmt und
  • bei der Modellierung durch Auswahl der anzuwendenden Bausteine einen Prüfplan ("IT-Grundschutz-Modell") für die verschiedenen Zielobjekte (gesamter Informationsverbund, Räume, IT-Systeme, Kommunikationsverbindungen, Anwendungen) zusammengestellt.

Den Prüfplan wenden Sie beim Basis-Sicherheitscheck an, indem Sie für jedes Zielobjekt und für jede Maßnahme, die in den zugehörigen Bausteinen empfohlen wird, beurteilen,

  • ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja,
  • ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist.

Wie Sie beim Basis-Sicherheitscheck im Einzelnen vorgehen, worauf Sie achten sollten und wie Sie die Ergebnisse dokumentieren und auswerten können, erfahren Sie auf den nachfolgenden Seiten.

Basis-Sicherheitscheck und ergänzende Sicherheitsanalyse

Zuvor noch eine Anmerkung zum Stellenwert des Basis-Sicherheitschecks: Die IT-Grundschutz-Bausteine sind auf die üblicherweise eingesetzte Informationstechnik und ein Sicherheitsniveau ausgerichtet, das zumindest für den normalen Schutzbedarf angemessen und für den höheren Schutzbedarf ausbaufähig ist. Sollte der Basis-Sicherheitscheck ergeben, dass alle Standard-Sicherheitsmaßnahmen konsequent umgesetzt sind, so sind weitergehende Sicherheitsmaßnahmen damit zwar oft nicht mehr erforderlich, ihre Notwendigkeit kann aber - abhängig vom Schutzbedarf - nicht pauschal ausgeschlossen werden.

Die Frage, ob Sicherheitsmaßnahmen erforderlich sind, die über den Grundschutz hinausgehen, ist mit Hilfe zusätzlicher Sicherheitsanalysen zu klären. In Kapitel 7 ist beschrieben, wie Sie dazu vorgehen.