BSI IT-Grundschutz

Der BSI IT-Grundschutz lässt sich entgegen der gängigen Auffassung nicht nur in großen Unternehmen einführen. Mit der richtigen Auswahl der Instrumente, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung stellt, kann ein auf KMU Unternehmen zugeschnittenes ISMS (Informationssicherheitsmanagementsystem) eingeführt werden.

10 Punkte Plan des BSI IT-Grundschutz Standards 100-1 bis 100-4:

1. IT-Sicherheitsmanagement festlegen
2. BSI IT-Grundschutz Know-how aufbauen
3. Strukturanalyse durchführen
4. Schutzbedarf der Zielobjekte festlegen
5. Bausteine mit Grundschutz Maßnahmen zuordnen
6. Basissicherheitscheck umsetzen
7. Ergänzende Sicherheits- und Risikoanalysen durchführen
8. Sensibilisierung und Schulung der Mitarbeiter
9. IT-Grundschutz Dokumente entwickeln
10. IT-Grundschutz intensivieren, aufrechterhalten und kontrollieren

Wichtig bei der Betrachtung ist aber der Aspekt, dass das Thema Datenschutz in der aktuellen Fassung des BSI IT-Grundschutz Katalogs gegenüber der IT-Sicherheit eine untergeordnete Rolle spielt. Dies liegt unter anderem an den unterschiedlichen Zwecken. Hat der BSI IT-Grundschutz den Schutz der Informationen des Unternehmens bzw. der Behörde im Blick, werden hierbei nicht zwischen personenbezogenen und nicht personenbezogenen Daten differenziert.

BSI IT-Grundschutz

Punkte zur Einbeziehung des Datenschutzes in den BSI IT-Grundschutz:

– Rechtliche Grundlage der Datenverarbeitung
– Zweckbindung, Transparenz und Verhältnismäßigkeit
– Datensparsamkeit und –vermeidung
– Vorabkontrolle
– Verfahrensverzeichnis
– Datenübermittlung
– Rechte der Betroffenen
– Ordnungswidrigkeiten und Haftung
– Datenschutzbeauftragter
– Ermittlung der Schutzbedürftigkeit
– Technische und organisatorische Maßnahmen
– Überwachung und Audits
– Gefährdungsanalysen

Aber auch hierbei gilt der Grundsatz der Verhältnismäßigkeit. Demnach müssen personenbezogene Daten nicht unendlich stark geschützt werden, wenn die Maßnahmen dafür wirtschaftlich unangemessen hoch ausfallen würden. Daraus lässt sich ableiten dass bei einer ADV der Dienstleister, welcher nur einen Teil der Daten zur Bearbeitung erhält, nicht zwingend die gleichen Schutzmaßnahmen treffen muss, wie sie etwa die verantwortliche Stelle ausführt.

BSI IT-Grundschutz ist kein Gesetz

Der BSI IT-Grundschutz beinhaltet keine Rechtsvorschriften, sondern beinhaltet ein Modell, mit dem bei richtiger Anwendung das nötige Niveau an Datensicherheit hergestellt werden kann. Der BSI IT-Grundschutz Katalog verfügt über ca. 1200 technische und organisatorische Maßnahmen, die sogenannten Bausteinen zugeordnet sind und in Abhängigkeit zu der betrachteten Datenverarbeitung umgesetzt werden.

 

Schritt 1 IT-Sicherheitsmanagement festlegen

Mit dem BSI IT-Grundschutz Schritt 1 muss die Leitung der Organisation die Einführung des BSI IT-Grundschutz in einer IT-Sicherheitsleitlinie festlegen. Analog zu anderen Managementsystemen werden Zuständigkeiten, Ressourcen und ein Beauftragter (IT-Sicherheitsbeauftragter – ITSB) festgelegt. Da hier ein anschauliches Beispiel hilfreich ist, jedoch Kundendaten nicht veröffentlicht werden können, möchten wir gerne die IT-Sicherheitleitlinie der Ruhr-Universität Bochum anführen, die öffentlich zugänglich ist.

Beachten Sie die Copyrightrechte des Textes. Wir übernehmen für den Inhalt keine Haftung.

IT-Sicherheitsleitlinie der Ruhr-Universität Bochum

Auszüge aus dem Inhaltsverzeichnis der IT-Sicherheitsleitlinie der Ruhr-Universität Bochum zum besseren Verständnis des Aufbaus des IT-Grundschutz Schritt 1:

(Zitatanfang)

Präambel

Für die Ruhr-Universität Bochum (RUB) als leistungsstarke europäische Hochschule ist eine zuverlässig funktionierende Informations- und Kommunikationstechnik (IT) für Forschung, Lehre, Studium und Verwaltung unerlässlich. Viele Prozesse wie……………..

Ziele und Adressatenkreis

Die Realisierung von angemessener Verfügbarkeit, Vertraulichkeit und Integrität sowie die Gewährleistung des Datenschutzes sind grundlegende Ziele der Informationssicherheit. Dabei bezeichnet………………….

Leitsätze

Die nachfolgenden Leitsätze bestimmen die Gestaltung der Informationssicherheit an der RUB.

  • Die vorrangigen Kriterien für geeignete Sicherheitsmaßnahmen sind deren Wirksamkeit in Verbindung mit einem tragbaren Restrisiko. Dabei werden insbesondere die wirtschaftliche Angemessenheit, die Ergonomie sowie die größtmögliche………..

Organisationsstruktur

Zur Gestaltung des Informationssicherheitsprozesses an der RUB wird eine Informationssicherheits-Organisation eingerichtet. Diese setzt sich zusammen aus der oder dem Beauftragten für Informationssicherheit (ISB) der RUB, der oder dem behördlichen…………….

Verantwortlichkeiten

Die Leitung der Universität trägt die Gesamtverantwortung für die Informationssicherheit an der RUB.
Die Leitung jeder Einrichtung der RUB trägt die Verantwortung für die Informationssicherheit an ihrer Einrichtung……………..

Abwehr von Gefährdungen

Bei Gefährdung der Informationssicherheit, die von den Beauftragten für Informationssicherheit, der/dem behördlichen Datenschutzbeauftragten oder der Leitung des Rechenzentrums festgestellt wird, veranlassen diese nach Risikoabwägung………………

Rahmenkonzept zur Informationssicherheit

Das diese Leitlinie ergänzende Rahmenkonzept zur Informationssicherheit beinhaltet die allgemeinen Regeln und Hinweise zur Informationssicherheit für unterschiedliche Anwendergruppen. Es wird durch weiterführende detaillierte……………………

Verpflichtungen

Mitglieder und Angehörige der RUB sowie Dritte, die die IT-Infrastruktur, IT-Systeme oder IT-Verfahren der RUB benutzen oder für die RUB betreiben, werden auf die Einhaltung der vorliegenden Leitlinie und des Rahmenkonzeptes zur Informationssicherheit……………..

(Zitatende)

Sind in der Organisation bereits andere Managementsystemen vorhandene, unter Umständen ein IMS (integriertes Management System) System, so können bereits mit dem BSI IT-Grundschutz Schritt 1 beginnend verschiedene Objekt in das bestehende IMS System integriert werden. Hierzu ist eine enge Abstimmung mit den jeweilig Beauftragten wichtig und erforderlich. Dazu aber später mehr.

 

Schritt 2 IT-Grundschutz-Know-how aufbauen

Im BSI IT-Grundschutz Schritt 2 ist es zwingend erforderlich, dass der ITSB sich in den BSI IT-Grundschutz einarbeitet und informiert. Hierzu sollten im BSI IT-Grundschutz Schritt 2 die Standards 100-1 bis 100-4 gelesen werden, um mit der Struktur der BSI IT-Grundschutz Kataloge vertraut zu werden. Auch sollte ein geeignetes Tool für die Dokumentation ausgewählt werden. Hier wird vom BSI das Tool GSTOOL angeboten und vertrieben. Alternativen dazu sind aber auf dem Markt erhältlich.

Natürlich kann Ihnen diesen Schritt niemand abnehmen, so dass hier zur besseren Übersicht nur ein grober Abriss der BSI IT-Grundschutzdokumente aufgezeigt werden kann. Auch können Schulung und Webseminare dazu dienen, Ihnen den Einstieg in das Thema zu erleichtern. Im Weiteren ist es sicher sinnvoll in der Setup-Phase des ISMS Systems tageweise einen externen Berater hinzu zuziehen.

TIP: Gehen Sie nicht unvorbereitet in das Projekt ISMS. Externe Berater sind hilfreiche Unterstützer beim Aufbau eines ISMS, besitzen aber nicht Ihr internes Prozesswissen. Auch soll das ISMS später fortgeführt werden können.

Der Standard 100-1 beschäftigt sich mit den Voraussetzungen für die Umsetzung des BSI IT-Grundschutz. Hierzu werden zu Steuerung der Sicherheitsprozesse das ISMS und die Unterstützung der Geschäftsführung (Ressourcen und Rückhalt) zwingend benötigt.

Der Standard 100-2 beschreibt die einzelnen Schritte der BSI IT-Grundschutz Methode. Er dient als roter Faden und beschreibt die Vorgehensweise für eine effektive Umsetzung des BSI IT-Grundschutz Schritt für Schritt.

Der Standard 100-3 findet immer dann Anwendung, wenn eigene Bausteine erstellt wurden und dient als Beschreibung eines Risikoanalyseverfahrens. Auch in Bereichen mit hohem oder sehr hohem Schutzbedarf sind erweiterte Risikoanalysen angezeigt. Die Risikoanalyse dient in erster Linie zur Feststellung von Risiken. Die Risiken werden bewertet, wodurch Gefahren klassifiziert und geordnet werden können. Das Ergebnis einer solchen Risikoanalyse sollte sein, Gefährdungen die noch nicht ausreichend oder gar nicht behandelt wurden aufzuzeigen, Maßnahmen festzulegen oder aber auch  technische Strukturen grundsätzlich aufzulösen.

Der Standard 100-4 beschäftigt sich mit dem Notfallmanagement von Naturkatastrophen und dem Ausfall der IT. Dieser sehr häufig vernachlässigte Punkt hat beim Eintritt oft fatale Folgen für ein Unternehmen. Es wird beschrieben welche Zuständigkeiten festgelegt werden, wer im Notfall zu informieren ist und wie die Wiederanlaufpläne definiert sind.

 

Schritt 3 Strukturanalyse durchführen

Nachdem nun der erste Schock überstanden ist, darf ich Sie erst einmal beglückwünschen. Sie werden sehen, dass mit dem BSI IT Grundschutz Schritt 3 nun alles relativ einfach wird. Wichtig ist dabei, aus dem großen Projekt BSI IT-Grundschutz viele kleine Teilschritte zu machen. Diese Teilschritte werden wieder herunter gebrochen, bis die einzelnen Punkte nahezu von Jedermann abzuarbeiten sind. Klingt das gut? Schön, aber dennoch wartet auch im IT Grundschutz Schritt 3 viel Arbeit auf Sie!

Der Leitfaden des BSI IT-Grundschutz, den wir in BSI IT Grundschutz Schritt 2 kennengelernt haben, ist vereinfacht gesagt eine riesige Checkliste, die es nun abzuarbeiten gilt. In Schritt 3 erarbeiten wir daher die Basis für unseren Informationsverbund, der aus 6 Schichten besteht: Schicht Übergreifende Aspekte (B 1.x), Schicht Infrastruktur (B 2.x), Schicht IT-System (B 3.x), Schicht Netze (B 4.x), Schicht Anwendungen (B 5.x) und Schicht Risikoanalyse.

Zu diesem Zweck wird eine Bestandsaufnahme der technischen und infrastrukturellen Strukturen der Organisation erfasst und in das gewählte Tool (z.B. GSTOOL) eingepflegt. Hierbei werden neben allen Gebäuden, Räumen, IT-Systemen, Netzen und Anwendungen insbesondere auch die Geschäftsprozesse erfasst, soweit sie sich auf IT-Anwendungen stützen. Dabei ist darauf zu achten, dass alle Aspekte berücksichtigt werden, die für eine vollständige Konzeption der Sicherheitsmaßnahmen notwendig sind.

Der BSI IT Grundschutz Schritt 3 der Einführung des BSI IT-Grundschutz ist formaler Natur und sollte gewissenhaft und vollständig durchgeführt werden. Er ist die Basis für alle weiteren Schritte und somit auch für das Gelingen des Gesamtprojektes.

 

Schritt 4 Schutzbedarf der Zielobjekte festlegen

Im BSI IT-Grundschutz Schritt 4 wird nun der Schutzbedarf der Zielobjekte festlegt. Wie bereits im BSI IT-Grundschutz Schritt 3 angekündigt, ist das weitere Vorgehen nun oft schematisch. Als gute Basis kann hier die beschriebene Vorgehensweise aus dem Dokument „BSI Standard 100-2“ für BSI IT-Grundschutz angenommen werden. Auch werden hier Beispiele angeführt, die den Sachverhalt erläutern. Folgend nun einige Auszüge als Zitat.

Ziel der Schutzbedarfsfeststellung im BSI IT-Grundschutz Schritt 4 ist es, für die erfassten Objekte im Informationsverbund zu entscheiden, welchen BSI IT-Grundschutz Bedarf sie bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besitzen. Dieser BSI IT-Grundschutz Bedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen Anwendungen und damit der jeweiligen Geschäftsprozesse verbunden sind.

 

Die Schutzbedarfsfeststellung für den Informationsverbund gliedert sich in mehrere Schritte:

• Definition der Schutzbedarfskategorien

• Schutzbedarfsfeststellung für Anwendungen

• Schutzbedarfsfeststellung für IT-Systeme

• Schutzbedarfsfeststellung für Räume

• Schutzbedarfsfeststellung für Kommunikationsverbindungen

• Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung

 

Definition der Schutzbedarfskategorien:

normal                 Die Schadensauswirkungen sind begrenzt und überschaubar.

hoch                    Die Schadensauswirkungen können beträchtlich sein.

sehr hoch             Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

 

Schutzbedarfsfeststellung für Anwendungen:

Ausgehend von der Möglichkeit, dass Vertraulichkeit, Integrität oder Verfügbarkeit einer Anwendung oder der zugehörigen Informationen verloren gehen, werden im BSI IT-Grundschutz Schritt 4 die maximalen Schäden und Folgeschäden betrachtet, die aus einer solchen Situation entstehen können. Unter der Fragestellung „Was wäre, wenn … ?“ werden aus Sicht der Anwender realistische Schadensszenarien entwickelt und die zu erwartenden materiellen oder ideellen Schäden beschrieben. Die Höhe dieser möglichen Schäden bestimmt letztendlich dann den Schutzbedarf der Anwendung. Dabei ist es unbedingt erforderlich, die jeweiligen Verantwortlichen und die Benutzer der betrachteten Anwendungen nach ihrer persönlichen Einschätzung zu befragen. Sie haben im Allgemeinen eine gute Vorstellung darüber, welche Schäden entstehen können, und können für die Erfassung wertvolle Hinweise geben.

 

Schutzbedarfsfeststellung für IT-Systeme:

Um den Schutzbedarf eines IT-Systems festzustellen, müssen im BSI IT-Grundschutz Schritt 4 zunächst die Anwendungen betrachtet werden, die in direktem Zusammenhang mit dem IT-System stehen. Eine Übersicht, welche Anwendungen für die unterschiedlichen IT-Systeme relevant sind, wurde im Rahmen der Strukturanalyse ermittelt. Der Schutzbedarf der Anwendungen fließt in die Schutzbedarfsfeststellung für die jeweils betroffenen IT-Systeme ein.

Zur Ermittlung des Schutzbedarfs des IT-Systems müssen nun die möglichen Schäden der relevanten Anwendungen in ihrer Gesamtheit betrachtet werden. Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-Systems (Maximumprinzip).

 

Schutzbedarfsfeststellung für Räume:

Aus den Ergebnissen der Schutzbedarfsfeststellung der Anwendungen und der IT-Systeme sollte abgeleitet werden, welcher Schutzbedarf für die jeweiligen Liegenschaften bzw. Räume resultiert. Dieser Schutzbedarf leitet sich aus dem Schutzbedarf der im jeweiligen Raum installierten IT-Systeme, verarbeiteten Informationen oder der Datenträger, die in diesem Raum gelagert und benutzt werden, nach dem Maximum-Prinzip ab. Dabei sollten eventuelle Abhängigkeiten und ein möglicher Kumulationseffekt berücksichtigt werden, wenn sich in einem Raum eine größere Anzahl von IT-Systemen, Datenträgern usw. befindet, wie typischerweise bei Serverräumen, Rechenzentren oder Datenträgerarchiven. Für jede Schutzbedarfseinschätzung sollte eine Begründung dokumentiert werden.

 

Schutzbedarfsfeststellung für Kommunikationsverbindungen:

Nachdem die Schutzbedarfsfeststellung für die betrachteten Anwendungen, IT-Systeme und Räume abgeschlossen wurde, wird nun im BSI IT-Grundschutz Schritt 4 der Schutzbedarf bezüglich der Vernetzungsstruktur erarbeitet. Grundlage für die weiteren Überlegungen ist der erarbeitete Netzplan des zu untersuchenden Informationsverbunds. Um die Entscheidungen vorzubereiten, auf welchen Kommunikationsstrecken kryptographische Sicherheitsmaßnahmen eingesetzt werden sollten, welche Strecken redundant ausgelegt sein sollten und über welche Verbindungen Angriffe durch Innen- und Außentäter zu erwarten sind, müssen die Kommunikationsverbindungen analysiert werden.

 

Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung des BSI IT-Grundschutz Schritt 4:

Die bei der im IT-Grundschutz Schritt 4 durchgeführten Schutzbedarfsfeststellung erzielten Ergebnisse bieten einen Anhaltspunkt für die weitere Vorgehensweise der Sicherheitskonzeption. Bei der Schutzbedarfsfeststellung zeigt sich häufig, dass es Bereiche innerhalb des betrachteten Informationsverbunds gibt, in denen Informationen verarbeitet werden, die einen hohen oder sehr hohen Schutzbedarf haben. Auch wenn nur wenige, herausgehobene Daten besonders schutzbedürftig sind, führt die starke Vernetzung und Kopplung von IT-Systemen und Anwendungen schnell dazu, dass sich der höhere Schutzbedarf nach dem Maximumprinzip auf andere Bereiche überträgt.

 

Schritt 5 Bausteine mit Grundschutz Maßnahmen zuordnen

Nachdem die Strukturanalyse in BSI IT Grundschutz Schritt 3 durchgeführt wurde und die Schutzbedarfsfeststellungen aus IT Grundschutz Schritt 4 vorliegen, besteht die nächste Aufgabe des ITSB darin, den betrachteten Zielobjekten vorhandene Bausteine aus den BSI IT-Grundschutz Katalogen zuzuordnen oder gegebenenfalls anzupassen bzw. neu zu kreieren. Als Ergebnis des BSI IT Grundschutz Schritt 5 wird ein BSI IT-Grundschutz Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten Bausteinen besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des Informationsverbunds beinhaltet.

Dieser Punkt des BSI IT Grundschutz Schritt 5 ist unter 4.4 in dem Dokument BSI Standard 100-2 nachzulesen und soll hier exemplarisch an einem Beispiel durchgespielt werden. Hierzu betrachten wir ein PC-System mit Windows XP als Betriebssystem, welches einmal in einer Produktionshalle als Intranetzugang für die Mitarbeiter in der Produktion zur Verfügung gestellt wird und zum anderen auch von den Mitarbeitern in der Personalabteilung verwendet wird.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b03/b03209.html

Der entsprechende Baustein B 3.209 ist schnell gefunden, aus welchem sich definierte Standardmaßnahmen und Gefährdungen ergeben, die für diesen Baustein relevant sind. Interessant hierbei ist nun aber der Umstand, dass die PC-Systeme in unterschiedlichen Umgebungen aufgestellt sind und einem unterschiedlichem Verwendungszweck dienen. Aus diesem Umstand heraus, können sich im BSI IT Grundschutz Schritt 5 differenzierte Anforderungen ergeben.

Das PC-System in der Personalabteilung verarbeitet brisante Daten und ist besonders zu schützen. Auch gibt es hier rechtliche Vorschriften, die zu beachten sind. Und trotz diesem besonderen Schutzbedarf ist hier weiter anzunehmen, dass die Systeme in besonders geschützten Räumen stehen. Was einige Sicherheitsanforderungen abschwächen kann.

Das PC-System in der Produktionshalle verarbeitet keinerlei brisante Daten und ist aus diesem Grund nicht besonders schützenswert. Auf der anderen Seite steht es ungeschützt in der Produktionshalle und unterliegt möglicherweise auch der Fremdeinwirkung durch Lieferanten, Spediteuren oder anderen. Auch wenn das PC-System selber nicht weiter interessant ist, so kann dieser PC als Einfalltür für eine Attacke dienen und ist aus diesem Grund besonders zu schützen.

 

Schritt 6 Basissicherheitscheck umsetzen

Im BSI IT-Grundschutz Schritt 6 findet nun ein Abgleich des modellierten BSI IT-Grundschutz System und der Realität statt. Ziel des initialen Sicherheitschecks ist die Feststellung des Umsetzungsgrades der zugeordneten Bausteine in der Praxis. Diese Feststellungen werden dann dokumentiert und entsprechende Maßnahmen festgelegt.  Nach dem BSI IT-Grundschutz Schritt 6 ist transparent, welche BSI IT-Grundschutz Maßnahmen vollständig, teilweise oder noch gar nicht in der Organisation umgesetzt sind.

Bei der Durchführung des Soll / Ist – Abgleiches sind im Wesentlichen 3 Schritte durchzuführen. Als erstes müssen für die einzelnen Bausteine die jeweiligen Ansprechpartner festgestellt und festgelegt werden. Hierbei  ist es sinnvoll für einen Baustein einen Hauptansprechpartner zu benennen. In der Praxis kann der Hauptansprechpartner oft nicht zu allen Fragen des Bausteins eine umfassende Auskunft geben. Hier sind dann schichtbezogene, spezialisierte Ansprechpartner zu befragen. Die Planung sollte in jedem Fall in einem Zeitplan festgehalten werden und frühzeitig abgestimmt und kommuniziert werden. Auch sollten mögliche Abweichungen im Nachgang korrigiert werden, da der einmal erstellte Plan eine wichtige Grundlage für spätere Befragungen sein kann. Das gilt auch für das Team der an der Befragung teilnehmenden Interviewer.

Das eigentliche Interview sollte dann für den Befragten transparent gestaltet werden. Hierbei ist es erforderlich in einer Einleitung kurz den Sinn und Zweck der Befragung zu erläutern. Sollten sich Abweichungen aus dem Soll / Ist – Vergleich ergeben, so sollten diese Abweichungen erläutert und festgestellt aber noch nicht bewertet werden. Aus dem offenen Gespräch mit dem Ansprechpartner ergeben sich noch mögliche Bewertungshinweise und auch hat der Ansprechpartner direkt die Möglichkeit Maßnahmen vorzuschlagen oder diese aber zeitnah nachzureichen. Die Ergebnisse der Befragungen werden stichpunktartig überprüft.

Zum Abschluss des Soll / Ist – Abgleiches sind die Ergebnisse des BSI IT-Grundschutz Schritt 6 zu dokumentieren. Dies sorgt für die notwendige Transparenz und gibt eine gute Möglichkeit die Entwicklung in den folgenden Monaten und Jahren nachzuverfolgen. Insbesondere sind zu dokumentieren, die Feststellungen des Soll / Ist – Vergleiches, die festgelegten Maßnahmen und die dokumentierten Stichproben. Hierbei sollten Verantwortlichkeiten, fixierte Termine und Umsetzungsgrade enthalten sein. Darüber hinaus sollte ein gewisser Formalismus eingehalten.

 

Schritt 7 Ergänzende Sicherheits- und Risikoanalysen durchführen

Zur Sicherstellung eines effektiven Vorgehens, sieht der BSI IT-Grundschutz eine zweistufige Handlungsanweisung vor. Während der ersten Stufe werden den Zielobjekten typische Gefährdungen und Standardsicherheitsmaßnahmen zugeordnet.  Diese Standardsicherheitsmaßnahmen sind in der Regel für typische Geschäftsprozesse, Anwendungen und IT-Systeme ausreichend dimensioniert um den BSI IT-Grundschutz sicherzustellen. Hierbei wird bei den Zielobjekten jedoch immer von einem normalen Schutzbedarf ausgegangen.

Nach dem die BSI IT-Grundschutz Schritte 1 bis 6 erledigt sind, gehen wir nun in BSI IT-Grundschutz Schritt 7 dazu über uns die Zielobjekte mit erhöhtem oder sehr hohem Schutzbedarf genau anzusehen. Darüber hinaus sind auch die Bausteine zu betrachten, die bei der Modellierung des IT Sicherheitsmanagementsystems den vorliegenden Sachverhalt nicht ausreichend abgebildet haben und aus diesem Grund geändert oder neu erstellt werden mussten. Diese Bausteine werden einer Sicherheitsanalyse unterzogen. Diese hat das Ziel festzustellen, ob die Standardsicherheitsmaßnahmen mit dem Schutzbedarf übereinstimmen und somit ausreichend sind.

Solche Sicherheitsanalysen sollten in dem Baustein entsprechenden Gruppen analysiert werden, um den Aufwand gering zu halten. Die Ergebnisse werden in einem Management Report zusammengefasst und bilden die Grundlage für das weitere Vorgehen, in dem das Management entscheidet, für welche (Teil-)Ergebnisse noch eine Risikoanalyse durchzuführen ist. Diese Risikoanalyse hat die Aufgabe relevante Gefährdungen zu identifizieren und die daraus resultierenden Risiken abzuschätzen.

Insgesamt ist es im BSI IT-Grundschutz Schritt 7 das Ziel, Risiken durch geeignete Gegenmaßnahmen auf ein akzeptables Maß zu reduzieren oder ganz auszuschließen. Hierbei ist es insbesondere wichtig Risiken transparent zu machen und somit zu steuern.