Am 03. Februar 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutz-Kompendium in der aktuellen Version 2020 veröffentlicht. Die Aktualisierung des IT—Grundschutz-Kompendiums erfolgt inzwischen jährlich.

Die zahlreichen Änderungen erfordern von den IT Sicherheits Verantwortlichen im Unternehmen in großem Umfang Nacharbeiten, um die Basisanforderungen zu sichten und anzupassen – der überwiegende Teil muss nur einmal angeschaut werden. Dies kann man gut in die jährlich vorgesehene Aktualisierung der Regelungen mit einfließen lassen. Der Umfang zeigt sich deutlich bei den Anforderungen in den einzelnen thematischen Bausteinen mit ca. 1.700 Änderungen.

Im BSI-Grundschutz werden drei Anforderungsstufen unterschieden: Basisanforderungen, Standardanforderungen und Anforderungen für erhöhten Schutzbedarf. Welche Kriterien man ansetzen sollte, um das passende Schutzniveau für seine Geschäftsprozesse und die damit verbundenen Anforderungen festzulegen, definiert der BSI-Standard 200-2 IT-Grundschutz-Methodik (PDF) und darin explizit das Kapitel 3.2.3 “Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse”.

Die Neuerungen zeigen sich neben der umfangreichen Überarbeitung der Anforderungen auch in Verschiebungen und Konsolidierungen von Bausteinen. Zwei neue Bausteine sind hinzugekommen. Das BSI stellt eine Detailübersicht von 67 Seiten bereit, welches die Änderungen besser erkennen und verarbeiten lässt. Sieben Bausteine erhielten neue Namen und ein Baustein wurde in eine andere Schicht verschoben. Die neuen Bausteine sind der wichtige Baustein “CON.8 Software-Entwicklung” und der Baustein “INF.5 Raum sowie Schrank für technische Infrastruktur”.

Kein Passwortwechsel mehr, der rein zeitlich gesteuert ist!

Die neue Basis-Anforderung “ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme” verdeutlicht die Forderung, rein zeitlich definierte Passwortwechsel zu meiden und nur aufgrund eines validen Bedarfs die Benutzer zum Wechsel aufzufordern. Hier gibt es auch viele Hinweise zur praktischen Handhabung von Passwörtern, beispielsweise das Wechseln von Standardpasswörtern oder das testen, ob die gesamte Passwortlänge bei der Sicherheitsprüfung von Anwendungen und IT-Systemen genutzt wird. Weitere Forderungen sind das sichere Speichern, das verschlüsselte Übertragen und das Anzeigen minimalistischer Hinweise bei Falscheingaben.

Im Baustein “ORP.4 Identitäts- und Berechtigungsmanagement” gab es auch eine kritische Änderung, die vor allem fordert, dass Authentisierungsinformationen kryptografisch sicher übertragen und gespeichert werden MÜSSEN. Dies stellt eindeutig eine weitere Verbesserung der Sicherheit dar, wird aber nicht in allen Teilen ohne weiteres umsetzbar sein. Das kann durchaus erhebliche Auswirkungen in der Konzeption der IT Sicherheitsarchitektur haben.

Die Independent Audit Proffessionals stehen Ihnen bei der schnellen und effizienten Anpassung der aktuellen Vorgaben und Prozesse mit einem kompetenten Team zur Seite. Mit unserem effektiven Online-Systematik können wir Sie gerade in der aktuellen Lage mit solchen Aufgaben auch remote effektiv unterstützen – sprechen Sie uns an!