IT-Grundschutz in Deutschland

Wozu IT-Grundschutz?

Die meisten Informationen werden als Daten auf elektronischen Medien gespeichert, und sollen ausschließlich für einen bestimmten Personenkreis zugänglich sein. Mit der steigenden Nutzung von Medien wie Computer steigt allerdings auch die Abhängigkeit von diesen Medien. Gleichzeitig steigt das Gefährdungspotenzial durch externe Ursachen wie Viren, Spy-Ware und anderes, sodass die gespeicherten Informationen geschützt werden müssen. Hinzu kommen weitere Problemstellungen wie höhere Gewalt, versehentliche Weitergabe von Informationen oder unbeabsichtigte Veränderung von Daten.
Einen Handlungsleitfaden zum Thema IT-Grundschutz bietet die Homepage www.bsi.bund.de des Bundesamt für Sicherheit in der Informationstechnik (BSI). Der BSI listet hier unter anderem weitere Probleme auf, die im Zusammenhang mit der Sicherheit der Daten in Zusammenhang stehen.

Grundlagen des IT-Grundschutzes

Die Grundsätze des Grundschutzes sind durch Normen der International Standard Organisation (ISO) in der 2700x-Reihe zusammengefasst. Auf der Basis dieser international Standards hat der BSI eigene Kataloge ausgearbeitet, die auf den Seiten des BSI nachzulesen sind. Der Grundschutz umfasst die Managementsysteme, die Vorgehensweise sowie Risikoanalyse und Notfallmanagement.

Das Informationsmanagementsystem (ISMS) umfasst alle Regelungen, die innerhalb einer Institution zur Zielerreichung notwendig sind. Im Einzelnen umfasst das ISMS die Managementprinzipien und Sicherheitsprozesse, die Ressourcen der Institution berücksichtigen und von den Mitarbeitern umgesetzt werden. Die Ziele und Rahmenbedingungen werden schließlich zu einer Sicherheitsstrategie zusammengefasst, die durch die Hilfsmittel der IS-Organisation (Regeln, Strukturen, Prozesse) und dem Sicherheitskonzept (Beschreibung des Informationsverbundes, Risikobewertung, Maßnahmen) umgesetzt werden. Basis der Umsetzung ist die damit verbundene Dokumentation der Sicherheitsrichtlinien. Das Konzept durchläuft hierbei einen ständigen Kreislauf, der sich aus Planung, Durchführung, Kontrolle und Optimierung zusammensetzt.

Um eine optimale Sicherheit zu gewährleisten, ist eine Kommunikation von der Basis bis zur Leitungsebene zu gewährleisten.
Die Konzeption richtet sich hierbei nach den Gefährdungen, die in einer Risikoanalyse bestimmt werden. Abgerundet wird der IT-Grundschutz von einem Notfallmanagement, das in den Grundschutz integriert ist, um eine Kontinuität in der Arbeit der Institution sicherzustellen, die auch bei Ausfällen greift.

Falscher Umgang mit defekten Datenträgern

Beschädigungen können auf allen Datenträgern auftreten. Oftmals können die Daten dann nicht mehr vom Computer ausgelesen werden. Gleiches gilt für Beschädigungen der Speichermedien durch Brand und Ähnliches. Wie auch auf den Seiten des BSI ausführlich beschrieben, sind die Daten dennoch nicht verloren und können von Unbefugten genutzt werden. Die Daten sind bei einer Löschung nicht vom Datenträger verschwunden, sondern wurden einfach aus dem Verzeichnis gelöscht. Das bedeutet, dass sie noch auf dem Datenträger vorhanden sind. Mit handelsüblichen und teilweise als Freeware erhältlichen Datenrettungsprogrammen (z.b. Datenrettung für Raid) können solche Daten durchaus noch abgerufen werden. Selbst auf mechanisch, elektrisch oder chemisch beschädigten Datenträgern ist dies noch möglich. Der Datenträger muss bei der Entsorgung somit vollständig vernichtet werden.