BSI und Infodas
Nachbericht zum 3. IT-Grundschutz-Tag: Mit Sicherheit in die Zukunft
Erfolgreiche Veranstaltung vom BSI und INFODAS
Der IT-Grundschutz-Tag in Köln stand ganz im Zeichen aktueller Herausforderungen an die Informationssicherheit. Die Vorträge befassten sich u.a. mit hochaktuellen Themen wie der EU-DSGVO, der Absicherung von IoT-Geräten sowie dem richtigen Schutz von Industrie 4.0-Prozessen und kritischen Infrastrukturen. Der 3. IT-Grundschutz-Tag war eine gemeinsame Veranstaltung von der INFODAS GmbH und des BSI.
250 IT-Security-Verantwortliche aus Unternehmen und Behörden waren der Einladung von BSI und INFODAS GmbH gefolgt. „Das Interesse an der Veranstaltung war sehr groß“, so Carsten Schulz, technischer Geschäftsführer der INFODAS GmbH. „Die Resonanz zeigt, wie sehr Unternehmen und Behörden pragmatische Lösungen für die Absicherung ihrer IT benötigen – und wie gefragt der IT-Grundschutz nicht zuletzt nach der erfolgten Modernisierung ist.“
Zum Auftakt des Grundschutztages gab Christoph Wiemers vom BSI einen Überblick zum modernisierten IT-Grundschutz. Diese aktualisierte Version des bewährten Sicherheits-Standards ermöglicht erstmals auch eine Absicherung von industriellen ICS-Komponenten und Cloud-Systemen. Ein weiterer Meilenstein der Modernisierung ist das Angebot für kleine Unternehmen – die Basis-Absicherung. Damit ist erstmals auch für kleinere Mittelständler eine schnelle und einfachere Absicherung der IT möglich.
Neue Anforderungen an die IT-Security erfordern auch neue IT-Sicherheitslösungen. Severin Rast von infodas erläuterte in seinem Vortrag („IT-Sicherheit: Hemmschuh oder Motor für Innovationen“), neue Ansätze für die IT-Sicherheit. Beispiel IoT: Da vernetzte Geräte mit herkömmlichen Betriebssystemen arbeiten, sind sie ein einfaches Ziel für Hacker. Deshalb sei es notwendig, völlig neue Ansätze für eine sichere IoT-Plattform zu entwickeln. Das Resultat: Ein Betriebssystem mit Mikrokern, das keine herkömmlichen Angriffe mehr zulässt. „Dieses Beispiel zeigt“, so Rast, “IT-Sicherheitsanforderungen, wie sie der IT-Grundschutz bereitstellt, müssen kein Hemmschuh sein, sondern können Innovationen hervorbringen.“
In den folgenden Vorträgen stand die effiziente Umsetzung von Standards und Gesetzen im Vordergrund: Robert Krelle vom Ministerium für Landwirtschaft und Umwelt Mecklenburg-Vorpommern zeigte, wie sich bei der Umsetzung der EU-DSGVO und des IT-Grundschutz-Standards Synergien nutzen lassen („Hochzeit oder Rosenkrieg“). Der Datenschutz und die Informationssicherheit deckten ähnliche Themen ab, so Krelle. Entscheidend sei es, diese zu erkennen und die Lücke zwischen diesen beiden Ansätzen zu ergänzen. Als Beispiel nannte er die Themen Sensibilisierung und Belehrungen, die beide Themen gleichzeitig abdeckten.
Auch Rainer Webel von der BWI GmbH ging es um Effizienz bei der Umsetzung von Standards. Er schilderte, wie sein Unternehmen von einer „ISO 27001 Zertifizierung nativ“ zu einer „ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz“ gelangen will. Die Vorgehensweise sei u.a. durch den Einsatz des IT-Sicherheits-Tools SAVe besonders effizient gewesen. In SAVe habe sein Unternehmen alle Bausteine direkt verarbeiten können. Auf Nachfrage eines Zuschauers hin betonte Webel, dass auch der hybride Ansatz mit SAVe standardmäßig möglich sei: Alte und neue Bausteine aus dem modernisierten IT-Grundschutz ließen sich auf diese Weise gleichzeitig in einer Datenbank umsetzen.
Es folgten Vorträge zu zwei hochaktuellen Branchenthemen: Sebastian Dännert von infodas berichtete, wie sich Agilität in der industriellen Entwicklung und IT-Sicherheit miteinander verbinden lassen. Randolf Skerka von der Security Research & Consulting GmbH befasste sich mit dem Thema „Sicherheit von kritischen Infrastrukturen (KRITIS)“. Am Beispiel „Krankenhaus“ macht er deutlich, wie eine Auditierung nach IT-Sicherheitsgesetz (§ 8a) effizient möglich ist. Entscheidend sei die Wahl geeigneter Hilfsmittel, so Skerka. Ein solches Hilfsmittel sei der IT-Grundschutz. Mit dessen Strukturanalyse lasse sich bspw. der Geltungsbereich der kritischen Dienstleistung bestimmen. Die Anforderungen, gegen die geprüft werde, könnten zudem aus den jeweiligen Bausteinen entnommen werden.
Die Vorträge zeigten: Der IT-Grundschutz ist ein flexibles und anpassungsfähiges Instrument für IT-Sicherheit in unterschiedlichsten Branchen. Diese Botschaft brachte auch Holger Schildt vom BSI in seinem Schlussvortrag auf den Punkt. Er betonte aber auch, dass die Modernisierung des IT-Grundschutzes zwar abgeschlossen sei – die Weiterentwicklung jedoch kontinuierlich vorangehe. Bei dieser stetigen Entwicklung sei das BSI auf Anregungen aus der Praxis angewiesen. Anwender des bewährten IT-Sicherheits-Standards sollten daher ihre Wünsche an neue Sicherheits-Bausteine formulieren. Möglich ist dies in diversen XING-Gruppen – oder mehrmals im Jahr auf dem IT-Grundschutz-Tag. Auf einer Flipchart im Foyer des Dorint-Hotels hatten Teilnehmer ihre Wünsche festgehalten: Neben der Gebäudeautomation wünschen sie sich u.a. neue Bausteine für Klinikinformationssysteme und Leitstellen von Feuerwehr und Polizei. Das BSI nahm diese Anregungen dankend mit.
Über Infodas
Die INFODAS GmbH gehört zu den führenden und innovativen Beratungsunternehmen für IT-Sicherheit in Deutschland. Das mittelständische Systemhaus verfügt über 40 Jahre Erfahrung in der Entwicklung und Umsetzung von Lösungen für den Schutz der IT-Infrastruktur in Unternehmen, Behörden und militärischen Einrichtungen. Die besondere Expertise der INFODAS liegt in der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 auf der Basis von BSI IT-Grundschutz. infodas führt auch die entsprechenden Zertifizierungsaudits durch. Mit SAVe bietet infodas zudem ein vom BSI lizenziertes IT-Grundschutz-Tool an. Durch eine intensive Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben diese Lösungen mehrfach Zulassungen für eine Nutzung bis GEHEIM erhalten. infodas wurde im Jahr 1974 gegründet. Neben dem Hauptsitz in Köln gibt es weitere Standorte in Berlin und München.
