BSI IT-Grundschutz

Das BSI IT-Grund­schutz-Kom­pen­di­um defi­niert in the­ma­ti­schen Bau­stei­nen ver­bind­li­che Anfor­de­run­gen für den Schutz von IT-Sys­te­men und ‑Pro­zes­sen. Für den Bereich Daten­si­che­rung ist der Bau­stein CON.3 (Daten­si­che­rungs­kon­zept) zentral.

CON.3 legt Basis­an­for­de­run­gen (A), Stan­dard-Anfor­de­run­gen (B) und Anfor­de­run­gen bei erhöh­tem Schutz­be­darf © fest. Für Ran­som­wa­re-Schutz beson­ders rele­vant: CON.3.A1 ver­langt, dass Ein­fluss­fak­to­ren erho­ben und RTO/RPO je Sys­tem doku­men­tiert wer­den. CON.3.A10 for­dert die sepa­ra­te Siche­rung beson­ders schüt­zens­wer­ter Daten mit erhöh­ten Maß­nah­men. CON.3.A11 for­dert regel­mä­ßi­ge Wie­der­her­stel­lungs­tests. CON.3.A14 ver­langt bei erhöh­tem Schutz­be­darf die phy­si­sche Tren­nung der Back­up-Medi­en — dies ist die BSI-Anfor­de­rung, die direkt auf einen phy­si­schen Air Gap verweist.

Wei­te­re rele­van­te Bau­stei­ne: OPS.1.2.2 (Archi­vie­rung) mit Anfor­de­run­gen an Schutz vor Mani­pu­la­ti­on und unbe­rech­tig­tem Zugriff auf archi­vier­te Daten. SYS.1.1 (All­ge­mei­ne Sys­tem­ab­si­che­rung). Für Gesund­heits­we­sen und KRI­TIS-Betrei­ber gibt es zusätz­li­che sek­tor­spe­zi­fi­sche Anforderungen.

Der IT-Grund­schutz ist für Bun­des­be­hör­den ver­pflich­tend und für KRI­TIS-Betrei­ber der zen­tra­le Refe­renz­rah­men für den Nach­weis ange­mes­se­ner Sicher­heits­maß­nah­men gegen­über dem BSI.