Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: 1.1 Warum ist IT-Sicherheit wichtig? - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

1 IT-Grundschutz - Basis für IT-Sicherheit

1.1 Warum ist IT-Sicherheit wichtig?

Logo Warum ist IT-Sicherheit wichtig?

Weder ein Unternehmen noch eine Behörde sind mittlerweile ohne funktionierende Informationstechnik (IT) noch lebensfähig. Hierzu gehört auch, dass diese IT sicher betrieben wird. Ein anerkanntes Standardwerk, in dem für die verschiedensten IT-Umgebungen Empfehlungen zum sicheren Umgang mit Information und IT gegeben wird, sind die IT-Grundschutz-Kataloge.

Nahezu alle Geschäftsprozesse und Fachaufgaben werden mittlerweile elektronisch gesteuert. Große Mengen von Informationen werden dabei digital gespeichert, elektronisch verarbeitet und in lokalen und globalen sowie in privaten und öffentlichen Netzen übermittelt. Viele öffentliche oder privatwirtschaftliche Aufgaben und Vorhaben können ohne IT überhaupt nicht mehr oder im besten Fall nur noch teilweise durchgeführt werden. Damit sind viele Institutionen in Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Die jeweiligen Behörden- und Unternehmensziele können nur bei ordnungsgemäßem und sicheren IT-Einsatz erreicht werden.

Mit der Abhängigkeit von der IT erhöht sich auch der potenzielle soziale Schaden durch den Ausfall von Informationstechnik. Da IT an sich nicht frei von Schwachstellen ist, besteht ein durchaus berechtigtes Interesse, die von der IT verarbeiteten Daten und Informationen zu schützen und die Sicherheit der IT zu planen, zu realisieren und zu kontrollieren.

Die Schäden durch IT-Fehlfunktionen können verschiedenen Kategorien zugeordnet werden. Am auffälligsten ist der Verlust der Verfügbarkeit: Läuft ein IT-System nicht, können keine Geldtransaktionen durchgeführt werden, Online-Bestellungen sind unmöglich, Produktionsprozesse stehen still. Häufig diskutiert ist auch der Verlust der Vertraulichkeit von Daten: Jeder Bürger weiß um die Notwendigkeit, seine personenbezogenen Daten vertraulich zu halten, jedes Unternehmen weiß, dass firmeninterne Daten über Umsatz, Marketing, Forschung und Entwicklung die Konkurrenz interessieren. Aber auch der Verlust der Integrität (Korrektheit von Daten) kann schwerwiegende Folgen haben: gefälschte oder verfälschte Daten führen zu Fehlbuchungen, Produktionsprozesse stoppen wegen fehlerhafter Lieferungen, falsche Entwicklungs- und Planungsdaten führen zu fehlerhaften Produkten. Seit einigen Jahren gewinnt auch der Verlust der Authentizität als ein Teilbereich der Integrität an Bedeutung: Daten werden einer falschen Person zugeordnet. Beispielsweise können Zahlungsanweisungen oder Bestellungen zu Lasten einer dritten Person verarbeitet werden, ungesicherte digitale Willenserklärungen können falschen Personen zugerechnet werden, die "digitale Identität" wird gefälscht.

Dabei wird diese Abhängigkeit von der Informationstechnik in Zukunft noch weiter zunehmen. Besonders erwähnenswert sind dabei folgende Entwicklungen:

Angesichts der vorgestellten Gefährdungspotentiale und der steigenden Abhängigkeit stellen sich damit für jede Institution, sei es ein Unternehmen oder eine Behörde, bezüglich IT-Sicherheit mehrere zentrale Fragen:

Bei der Suche nach Antworten auf diese Fragen ist zu beachten, dass IT-Sicherheit nicht alleine eine technische Fragestellung ist. Um ein ausreichend sicheres IT-System betreiben zu können, sind neben den technischen auch organisatorische, personelle und baulich-infrastrukturelle Maßnahmen zu realisieren und insbesondere ist ein IT-Sicherheitsmanagement einzuführen, das die Aufgaben zur IT-Sicherheit konzipiert, koordiniert und überwacht.

Vergleicht man jetzt die IT-Systeme aller Institutionen im Hinblick auf obige Fragen, so kristallisiert sich eine besondere Gruppe von IT-Systemen heraus. Die IT-Systeme in dieser Gruppe lassen sich wie folgt charakterisieren:

Gelingt es, für diese Gruppe der "typischen" IT-Systeme den gemeinsamen Nenner aller Sicherheitsmaßnahmen, die Standard-Sicherheitsmaßnahmen, zu beschreiben, so würde dies die Beantwortung obiger Fragen für diese "typischen" IT-Systeme erheblich erleichtern. IT-Systeme, die außerhalb

dieser Gruppe liegen, seien es seltenere Individualsysteme oder IT-Systeme mit sehr hohem Schutzbedarf, können sich dann zwar an den Standard-Sicherheitsmaßnahmen orientieren, bedürfen letztlich aber einer individuellen Betrachtung.

Die IT-Grundschutz-Kataloge beschreiben detailliert diese Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind. Sie umfassen:

Dabei ist die Resonanz sehr positiv. Auf den BSI-Webseiten findet sich ein Auszug aus der Liste derjenigen Institutionen, die IT-Grundschutz einsetzen. Sie stellt im Überblick dar, in welchen Branchen und in welchen Firmen bzw. Behörden IT-Grundschutz angewendet wird.

Da der IT-Grundschutz auch international großen Anklang findet, werden die IT-Grundschutz-Kataloge und das GSTOOL, aber auch die meisten anderen Dokumente zum IT-Grundschutz zusätzlich in englischer Sprache digital zur Verfügung gestellt.

Weitere Kapitel zum Einstieg in IT-Grundschutz