IT-Grundschutz-Kompendium 2023: Neue Bausteine für Outsourcing

Die jährliche Auffrischungskur für das IT-Grundschutz-Kompendium fiel in diesem Jahr besonders üppig aus: Zehn neue Bausteine spiegeln die aktuelle Bedrohungslage wider. Ganze 21 weitere Bausteine sind stark modifiziert. Das bedeutet viel Arbeit für Sicherheitsverantwortliche.

Von Ronny Frankenstein

iX-tract

Ganze zehn neue Bausteine integrierte das BSI in die diesjährige Ausgabe der IT-Grundschutzkataloge. Insbesondere berücksichtigte die Behörde Themen, die in den vergangenen Monaten in Zusammenhang mit Angriffen standen.
Massiv ist ebenfalls der Umfang der redaktionellen und strukturellen Änderungen in den 21 stark überarbeiteten Bausteinen, bis hinunter auf die inhaltlich-fachliche Ebene. Auch hier spielte die aktuelle Bedrohungslage eine große Rolle.
Auf Verantwortliche, die auf dem aktuellen Stand bleiben müssen, da sie beispielsweise zertifiziert sind, kommt viel Arbeit zu.
Oft dürften die umfangreichen Anpassungen dazu führen, dass der aktuelle Umsetzungsgrad durch zusätzlich IT-Grundschutzchecks komplett neu erfasst werden muss.

Neben zehn neuen und 21 inhaltlich stark überarbeiteten Bausteinen (siehe Übersicht in Abbildung 1 a und 1 b) hat sich das BSI in seiner jüngsten Aktualisierung des IT-Grundschutz-Kompendiums auch der sprachlichen Überarbeitung gewidmet. Die oberste deutsche IT-Sicherheitsbehörde folgt dem allgemeinen Trend der sprachlichen Gleichbehandlung der Geschlechter und hat für die Edition 2023 alle Bausteine des IT-Grundschutz-Kompendiums in eine geschlechtergerechtere Sprache überführt. Das zeigt sich besonders an der Umbenennung aller Rollen in eine neutrale Bezeichnung, wie im Änderungsdokument festgelegt und im Kompendium tabellarisch aufgeführt (beide Dokumente sind über ix.de/zy6m zu finden). So werden etwa Mitarbeiter zu Mitarbeitenden, der OT-Leiter zur OT-Leitung und Tester zu Testenden.

Die grafische Darstellung bietet einen guten Überblick über die Aktualisierungen. Grün bedeutet neuer Baustein, Gelb steht für verschobene oder umbenannte Bausteine. Die Übersicht liefert auch Empfehlungen, welche Bausteine vorrangig umzusetzen sind. Höchste Priorität haben mit 1 gekennzeichnete Bausteine, sie bilden die Grundlage für effektive Sicherheitsprozesse (Abb. 1 a). , BSI — Die grafische Darstellung bietet einen guten Überblick über die Aktualisierungen. Grün bedeutet neuer Baustein, Gelb steht für verschobene oder umbenannte Bausteine. Die Übersicht liefert auch Empfehlungen, welche Bausteine vorrangig umzusetzen sind. Höchste Priorität haben mit 1 gekennzeichnete Bausteine, sie bilden die Grundlage für effektive Sicherheitsprozesse (Abb. 1 a).
*BSI*

Während sich bei den Prozessbausteinen sämtliche Prio-1-Bausteine befinden, sind die meisten mit Priorität 2 bei den Systembausteinen enthalten. Diese Bausteine sollen vor allem zu einer nachhaltigen Sicherheit beitragen (Abb. 1 b).

Aktualisierungen aller Kreuzreferenztabellen

Alle Kreuzreferenztabellen wurden geprüft und überarbeitet: In den Neufassungen stehen den Anforderungen jedes Bausteins nur noch direkte, elementare Gefährdungen gegenüber, die unmittelbar auf das jeweilige Zielobjekt einwirken und die durch die Anforderungen aus dem Baustein verringert oder beseitigt werden. Die aus ihnen folgenden indirekten Beziehungen sind entfernt. Das verdeutlichen exemplarisch die abgebildeten Kreuzreferenztabellen für den Baustein „APP.2.3 OpenLDAP“ jeweils in der Fassung von 2022 und 2023.