Dr. Harald Niggemann
Cyber Security Strategist, Bundesamt für Sicherheit in der Informationstechnik
Dr. Harald Niggemann
Cyber Security Strategist, Bundesamt für Sicherheit in der Informationstechnik
Dr. Harald Niggemann präsentiert auf der Rethink! IT Security 2018 die Keynote:
„Die Modernisierung des IT-Grundschutzes“
Dr. Niggemann hat zu vielen BSI-Publikationen beigetragen und unterschiedliche Behörden bei der Umsetzung von BSI-Empfehlungen in realen Anwendungsfällen beraten. Er verfügt somit über fast 20 Jahre Berufserfahrung in verschiedensten Facetten der Informationssicherheit und befasst sich aktuell vor allem mit Grundlagen und strategischen Fragestellungen der Cyber-Sicherheit. Dr. Niggemann ist ein renommierter Referent auf nationalen und internationalen Veranstaltungen, wo er häufig über neue Entwicklungen auf dem Gebiet der Cyber-Sicherheit berichtet.
Dr. Harald Niggemann: Neben den klassischen Themen wie Informationssicherheits- und Risikomanagement werden auch andere technologiegetriebene Aspekte immer wichtiger: Welche IoT-Komponenten gibt es in meiner Organisation? Welche öffentlichen Cloud-Dienste werden in der Schatten-IT genutzt? Wie integriere ich die Sicherheit von klassischer Büro-IT und industrieller Steuerungs-/Automatisie-rungstechnik (ICS)? Die Fragen, die Informationssicherheitsverantwortlichen gestellt werden, ändern sich fortlaufend. Wichtig ist deshalb erstens, die Informationssicherheit ganzheitlich anzugehen, das heißt, einen möglichst umfassenden und kontinuierlichen Blick auf die Risiken der gesamten Informationsverarbeitung zu erlangen. Zweitens: Der Wandel ist unausweichlich. Die Prozesse und Aktivitäten der Informationssicherheit müssen deshalb regelmäßig auf den Prüfstand gestellt und an die sich ändernde Realität angepasst werden.
Dr. Harald Niggemann: Der IT-Grundschutz des BSI ist ein Standard für Informationssicherheit und umfasst ein Kompendium mit praxisbewährten Sicherheitsanforderungen zu technischen und nicht-technischen Themen. Auf der Grundlage von Anwenderwünschen hat das BSI den IT-Grundschutz einer umfangreichen Modernisierung unterzogen, deren Ergebnisse nun weitgehend vorliegen. Eine der wichtigsten Änderungen ist die Flexibilisierung der Vorgehensweise bei der Anwendung des IT-Grund-schutzes. Neben der bewährten “Standard-Absicherung” können sich die Anwender nun – als Einstieg – für die “Basis-Absicherung” oder für die “Kern-Absicherung” entscheiden. Ein weiteres wichtiges Merkmal des neuen IT-Grundschutzes ist die zielgruppengerechte Aufteilung der Inhalte für die Informationssicherheitsverantwortlichen einerseits (“Sicherheitsanforderungen”) und für den Betrieb andererseits (“Umsetzungshinweise”). Schließlich hat das BSI das Instrument der IT-Grundschutz-Profile weiterentwickelt. Dadurch wird eine Anpassung des IT-Grund-schutzes an die Besonderheiten von Branchen oder anderen Anwendergruppen ermöglicht. Auch über die genannten Änderungen hinaus hat das BSI zahlreiche weitere Verbesserungen in den neuen IT-Grundschutz einfließen lassen.
Dr. Harald Niggemann: Die Flexibilisierung der Vorgehensweise bei der Anwendung des IT-Grundschutz erleichtert vor allem kleinen Institutionen den Einstieg in die Sicherheitskonzeption. Mittels der “Basis-Absicherung” kann sich die Institution beispielsweise dafür entscheiden, zunächst einmal die allerwichtigsten Sicherheitsanforderungen (“Basis-Anforde-rungen”) in der gesamten Institution anzuwenden, bevor eine ausführlichere Analyse durchgeführt wird. Die Aufteilung der Inhalte in Anforderungen (“Was ist zu tun?”) und Umsetzungshinweise (“Wie kann das erreicht werden?”) macht den IT-Grundschutz schneller und leichter zugänglich.
Informationssicherheitsveranwortliche finden nun auf etwa 10 Seiten pro Thema die wichtigsten Anforderungen, ohne die technischen Einzelheiten durcharbeiten zu müssen. Umgekehrt finden Administratoren und andere mit der Umsetzung beauftragte Personen auch weiterhin zu vielen Themen detaillierte Hilfestellungen in den Umsetzungshinweisen. Um Informationssicherheit “aus einem Guss” zu ermöglichen, hat das BSI zudem das Thema “Cyber-Sicherheit industrieller Steuerungs-/Automatisie-rungssysteme (ICS)” in den IT-Grundschutz integriert.
Dr. Harald Niggemann: Meltdown und Spectre haben erneut gezeigt, dass es aktuell leider keine Anzeichen für eine Verringerung der Risiken gibt. Die schnelle technologische Weiterentwicklung führt zudem zu sehr kurzen Vorwarnzeiten und treibt dadurch die Informationssicherheit vor sich her. Nach wie vor gilt es deshalb, neben der Umsetzung von präventiven Sicherheitsmaßnahmen auch Vorkehrungen zur Erkennung und Bewältigung von Sicherheitsvorfällen zu treffen. Aufgrund der kurzen Vorwarnzeiten werden technische Funktionen, die Unternehmen und Behörden bei der Detektion von Vorfällen unterstützen, deshalb weiter an Bedeutung gewinnen.