IT-Grundschutz-Kompendium 2023: Änderungen auf einen Blick
Das IT-Grundschutz-Kompendium enthält die Umsetzungsempfehlungen des BSI für die Informationssicherheit in Unternehmen. Jährlich erscheint eine neue Edition. In diesem Beitrag werfen wir einen Blick auf die Änderungen in der Edition 2023, die am 1. Februar erschienen ist. Besonders auffällig sind neue Abschnitte in den Kapiteln APP (Anwendungen), NET (Netze und Kommunikation) sowie SYS (Systeme).
Auf der Ebene der Anwendungen nimmt das Grundschutz-Kompendium in einem neuen Kapitel die IT-gestützte Kommunikation und Zusammenarbeit in Unternehmen in den Fokus – diese Punkte erhalten durch das zunehmend hybride Arbeiten zusätzliche Relevanz.
Neuer Baustein: APP.5.4 Unified Communications und Collaboration (UCC)
Bekannte Anwendungen, die unter die Anforderungen dieses neuen Bausteins fallen, sind etwa Teams von Microsoft oder auch andere beliebte Chat-Programme. Immer öfter sind diese Anwendungen hochgradig integriert, bieten Schnittstellen zu anderen Office-Diensten und ermöglichen den Austausch von verschiedensten Daten – auch in Echtzeit.
Das BSI erkennt gerade in der Verzahnung der Kommunikationsdienste mit anderen Diensten und Datenquellen eine Herausforderung für die Informationssicherheit. Grundlegend geht es dabei zunächst um die reine Verfügbarkeit und die Abhängigkeit der Tools von stabilen Datenverbindungen. Netzwerksicherheit und Anwendungssicherheit hängen hier unmittelbar miteinander zusammen.
Im Kern formuliert der neue Grundschutzkatalog rund um UCC-Anwendungen vor allem Schutzmaßnahmen, um einen ungeregelten Zugriff auf die Dienste und die darin ausgetauschten Daten zu vermeiden. Konkret angesprochen werden unter anderem ein Rollen- und Berechtigungskonzept, eine entsprechende Härtung der Dienste sowie eine ganzheitliche Planung beim Implementieren der Tools.
Neuer Baustein: NET.3.4 Network Access Control (NAC)
Im Bereich Netzwerktechnik erkennt das BSI einen Handlungsbedarf rund um die Netzzugangskontrolle (Network Access Control (NAC)). Durch den neuen Baustein 3.4 wurde die Sicherung von Netzzugängen im Endgerätebereich in das Kapitel NET (Netze und Kommunikation) aufgenommen. Grundsätzlich empfiehlt das BSI hier, dass der Zugang zum Unternehmensnetz durch identitätsabhängige Autorisierungsregeln reglementiert werden soll.
Neue Bausteine: SYS.2.5 Client Virtualisierung und 2.6 Virtual Desktop Infrastructure
In diesen beiden neuen Bausteinen widmet sich das BSI virtuellen Clients und virtuell bereitgestellten Desktops. Die Besonderheit dieser Technologie, die vor allem die Client-Administration erleichtern soll, liegt in der Umverteilung von zentral und dezentral bereitgestellten Ressourcen wie Rechenleistung und Speicher. Auf der einen Seite werden Anwendungen oder ganze Desktop-Umgebungen virtuell bereitgestellt, auf der anderen Seite werden eigene Server, sogenannte Virtualisierungsserver, eingesetzt, um die virtuellen Clients zu erzeugen und zu managen.
Das BSI erkennt hier verschiedene besondere kritische Bereiche, die über klare Strukturen und Regeln geschützt werden sollen, um die Informationssicherheit zu gewährleisten. Unter anderem sollen Unternehmen etwa regeln, ob ein Virenschutz zentral oder auf Ebene der virtuellen Clients organisiert wird – oder auf beiden Ebenen. Zusätzlich soll beispielsweise das Thema Netzwerksegmentierung berücksichtigt werden, damit virtuelle Clients nicht versehentlich Zugriff auf geschützte Informationen erhalten können. Dies sind nur zwei Beispiele – das neue Kapitel nennt noch einige weitere geeignete Schutzmechanismen.
Entfernter Baustein: SYS.2.2.2 Clients unter Windows 8.1
Neben den ergänzten IT-Grundschutz-Bausteinen sind auch einige Abschnitte in der neuen Edition entfallen. Ein Beispiel: Da Microsoft den Support für das Betriebssystem Windows 8.1 am 10.01.2023 eingestellt hatte, wurde der Baustein SYS.2.2.2 Clients unter Windows 8.1 aus dem IT-Grundschutz-Kompendium gestrichen.
Fazit: BSI Grundschutzkatalog Änderungen sind ganzheitlich zu verstehen
In den vergangenen Monaten und Jahren erhielten verschiedene IT-Grundwerke und auch regulatorische Vorschriften wie die VAIT oder BAIT zahlreiche Ergänzungen. Den Autoren geht es dabei nicht nur um Änderungen in einzelnen Kapiteln, sondern um eine ganzheitliche Betrachtung der IT auf der Ebene der IT-Organisation und des IT-Betriebs sowie der verschiedenen Systeme, von der Anwendungsebene bis hinunter zur virtuellen und physischen Infrastruktur.
Daher hat das BSI neben den hier beispielhaft hervorgehobenen neuen Bausteinen auch andere, übergeordnete Themenbereiche ergänzt. Die Forderung nach einem etablierten Benutzerberechtigungsmanagement korreliert dabei mit einer Betonung von übergeordneten Rollen wie dem Informations- und Sicherheitsbeauftragten (ISB) im Unternehmen – und zwar über die Grenzen des eigenen Unternehmens hinaus, auch im IT-Outsourcing.
Grafik: Das BSI unterteilt seine Grundschutz-Anforderungen in 10 Bausteine:
ISMS – Sicherheitsmanagement, ORP – Organisation und Personal, CON – Konzepte und Vorgehensweisen, OPS – Betrieb, APP – Anwendungen, SYS – IT Systeme, IND – Industrielle IT, NET – Netze und Kommunikation, INF – Infrastruktur sowie DER – Detektion und Reaktion
IT Grundschutz umsetzen - unsere Berater und Lösungen helfen
Wir von matrix technology beraten mittelständische und regulierte Unternehmen, die Ihre Informationssicherheit strukturiert in Angriff nehmen möchten. So unterstützen wir etwa Versicherungen in der Vorbereitung auf eine anstehende VAIT Prüfung. Zudem bieten wir eigene Lösungen für Detailaspekte der Netzwerksicherheit (Firewall Policy Generator) sowie komplett redundante Hosting-Lösungen inklusive Cloud-Plattformen (matrix FINsecure Cloud). Egal ob Migration oder IT Transformation – unsere Consulting- und Operations-Teams unterstützen gerne.
SURF-TIPP: Hier finden Sie das Original-Dokument des BSI mit allen Änderungen der Edition 2023 des IT-Grundschutz-Kompendiums.