Update des IT-Grundschutz-Kompendiums

Anfang Februar brachte das Bundesamt für Sicherheit in der Informa­tionstechnik (BSI) das IT-Grundschutz-Kompendium in der aktuellen Version 2020 heraus (es ist unter ix.de/z4zd zu finden). Dieses Mal wurden die Inhalte vor allem überarbeitet: Alleine bei den Anforderungen in den einzelnen thematischen Bausteinen gab es 1700 Änderungen. Der BSI-Grundschutz unterscheidet drei verschiedene Anforderungsstufen: Basis- und Standard-Anforderungen sowie Anforderungen für erhöhten Schutzbedarf. Nach welchen Kriterien man das passende Sicherheitsniveau seiner Geschäftsprozesse und die damit verbundenen Anforderungen festlegt, definiert der BSI-Standard 200-2 IT-Grundschutz-Methodik und darin speziell Kapitel 3.2.3 „Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse“ (siehe ix.de/z4zd).

Neben der umfangreichen Überarbeitung der Anforderungen kam es zu Verschiebungen und Konsolidierungen von Bausteinen, neue Bausteine gab es lediglich zwei. So manchem Anwender wird der Umfang dieser Änderungen – nicht zu Unrecht – schwer verdaulich vorkommen. Daher stellt das BSI eine Detailübersicht von 67 Seiten auf seiner Webseite bereit (siehe ix.de/z4zd). Sechs Bausteine wurden umbenannt und ein Baustein dazu noch in eine andere Schicht verschoben. Die Tabelle „Struktur des IT-Grundschutz-Kompendiums“ zeigt die Einzelheiten. Die beiden neuen Bausteine sind der mit Spannung erwartete „CON.8 Software-Entwicklung“ und der seit Langem bekannte, aus den alten IT-Grundschutz-Katalogen überführte „INF.5 Raum sowie Schrank für technische In­frastruktur“.