Nicos Garden

Grundschutz Check

3 min read

Kapitel 6: IT Grundschutz Check

Ablauf & Grundlage

Der IT-Grundschutz-Check vergleicht den aktuellen Umsetzungsstand der IT-Grundschutz-Maßnahmen mit den Anforderungen aus dem IT-Grundschutz-Modell.

Grundlage für den Grundschutz-Check Er baut systematisch auf den vorherigen Schritten auf:

  • Strukturanalyse
    - Erfassung von Informationen, IT-Systemen, Räumen, Kommunikationsverbindungen und zugehörigen Anwendungen.
  • Schutzbedarfsfeststellung
    - Bestimmung des Schutzbedarfs für Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen.
  • Modellierung
    - Auswahl und Konkretisierung der Bausteine
    - Erstellung des Prüfplans (= IT-Grundschutz-Modell) für den Informationsverbund und die Zielobjekte.

Wer führt den Grundschutz-Check durch?

  • Informationssicherheitsbeauftragte (ISB) / IT-Sicherheitsverantwortliche
  • IT-Administrator:innen bzw. Verantwortliche für einzelne Systeme oder Anwendungen
  • Fachverantwortliche der betroffenen Bereiche
  • Optional externe Berater:innen oder Auditor:innen

Wichtig ist, dass Personen beteiligt sind, die:

  • die IT-Landschaft und Prozesse gut kennen und
  • mit den IT-Grundschutz-Anforderungen vertraut sind.

Umgang mit Interviews

Bei Interviews mit Beteiligten sollte man:

  • Vorbereitet sein: - Relevante Bausteine und Maßnahmen vorher durchgehen. - Fragen strukturiert vorbereiten (z.B. anhand einer Checkliste).
  • Wertschätzend und offen vorgehen: - Keine „Schuldigen“ suchen, sondern Verbesserungen. - Klare und verständliche Fragen stellen.
  • Dokumentierend arbeiten: - Antworten direkt festhalten (z.B. auf Checklisten oder im Protokoll).
  • Nachfragen und konkretisieren: - Unklare Aussagen präzisieren. - Konkrete Beispiele und Nachweise (z.B. Richtlinien, Screenshots, Protokolle) erfragen.

Dokumentation des Checks

Wie kann der Check dokumentiert werden?

  • In einem strukturierten Prüfbericht
  • Mit tabellarischen Übersichten (z.B. pro Baustein / Maßnahme)
  • Mithilfe von Checklisten (z.B. BSI-Checklisten)
  • In einem ISMS-Tool oder einer eigenen Dokumentationsvorlage

Welche Informationen müssen dokumentiert sein?

Mindestens:

  • Welcher Baustein / welche Maßnahme wurde geprüft?
  • Ist-Stand der Umsetzung (Was ist konkret umgesetzt? Wie?)
  • Bewertung der Umsetzung (z.B. erfüllt/teilweise/nicht erfüllt)
  • Festgestellte Abweichungen bzw. Mängel
  • Maßnahmenvorschläge bzw. notwendige Verbesserungen
  • Verantwortlichkeiten und, falls möglich, Zeitplan für Umsetzung

Sind die vorbereiteten Checklisten hilfreich?

Ja, die vorbereiteten BSI-Checklisten sind in der Regel sehr hilfreich, weil sie:

  • die Anforderungen der Bausteine systematisch in Fragen übersetzen
  • sicherstellen, dass keine wesentlichen Punkte vergessen werden
  • eine einheitliche Struktur für die Interviews und die Dokumentation bieten
  • die Vergleichbarkeit von Checks über die Zeit verbessern Gerade für Schulen oder Organisationen ohne viel Erfahrung im IT-Grundschutz sind sie eine praxisnahe Unterstützung.

Entscheidungskriterien für die Beurteilung der Maßnahmen-Umsetzung

Typische Kriterien (entsprechend gängigen BSI-Vorgehensweisen):

  • Vollständig umgesetzt
    - Anforderung ist vollständig und wirksam umgesetzt, Nachweise liegen vor.
  • Weitgehend / teilweise umgesetzt
    - Ein Großteil ist da, es bestehen aber noch Lücken (z.B. nicht alle Systeme, keine vollständige Dokumentation).
  • Geplant
    • Umsetzung ist beschlossen, aber noch nicht (oder kaum) umgesetzt.
  • Nicht umgesetzt
    - Keine oder kaum Maßnahmen vorhanden.
  • Nicht anwendbar
    • Anforderung trifft auf das geprüfte Zielobjekt nachweislich nicht zu.

Diese Einstufungen helfen, Prioritäten für die Nachbesserung festzulegen.

Graph View

Backlinks