Der IT-Grundschutz des BSI liefert die Basis für die Absicherung der eigenen IT. Doch wie können Microsoft-Kunden, die auf unsere Cloud setzen, den IT-Grundschutz umsetzen? Eine Antwort auf diese Frage geben wir mit drei neuen IT-Grundschutz-Handbüchern.
Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz ist eine wichtige Säule der IT-Sicherheit in Deutschland. Er gibt den Verantwortlichen in Behörden, Unternehmen und Institutionen Wissen an die Hand, um die eigenen Daten, Systeme und Informationen zu sichern. Der IT-Grundschutz ist dabei Methode, Anleitung und Empfehlung in einem.
Der IT-Grundschutz wird vom BSI kontinuierlich weiterentwickelt. Er bietet Hilfe zur Selbsthilfe in Fragen der IT-Sicherheit und trägt zu einer erfolgreichen Digitalisierung in Deutschland bei – schließlich ist diese auch immer mit Fragen der Sicherheit verknüpft. Mit dem IT-Grundschutz berücksichtigt das BSI dabei sowohl technische Aspekte als auch beispielsweise organisatorische und infrastrukturelle Fragestellungen rund um das Thema der Informationssicherheit.
Erst im Februar hat das BSI seine aktualisierte Fassung des IT-Grundschutz-Kompendiums veröffentlicht, das alle wesentlichen Informationen zum Thema bündelt und unter anderem Hinweise darauf gibt, wie die verschiedenen Bausteine umgesetzt werden können, aus denen sich der IT-Grundschutz zusammensetzt.
Drei Workbooks mit Leitfäden für die Cloud-Nutzung
Doch wie lassen sich Vorgaben des IT-Grundschutzes für die Microsoft Cloud nun konkret auf Plattformen wie Microsoft Azure, Microsoft 365 oder Dynamics 365 anwenden, um sicheres und erfolgreiches Arbeiten zu ermöglichen und externe Cloud-Lösungen in die eigene IT zu integrieren? Genau dieser Frage sind wir bei Microsoft nachgegangen und haben gemeinsam mit der HiSolutions AG, einem der führenden Beratungshäuser für Security und IT-Management, drei Leitfäden in deutscher und englischer Sprache entwickelt, die auf der 2023er-Edition des IT-Grundschutz-Kompendiums basieren.
Mit unseren IT-Grundschutz-Handbüchern unterstützen wir unsere Kunden dabei, die Nutzung der Microsoft-Cloud-Dienste im Rahmen einer bestehenden oder geplanten ISO-27001-Zertifizierung auf Basis des IT-Grundschutzes in ihrem Informationsverbund abzubilden, mit der Unternehmen und andere Organisationen belegen können, dass sie mit ihren Maßnahmen zur Informationssicherheit international anerkannte Standards erfüllen.
Wie die IT-Grundschutz-Handbücher Microsoft-Kunden unterstützen
Konkret zeigen die IT-Grundschutz-Handbücher von Microsoft auf, wie Kunden den IT-Grundschutz mit Blick auf ihre jeweiligen Cloud-Anwendungen abbilden und zugehörige Maßnahmen, soweit sie ihren Verantwortungsbereich betreffen, erfolgreich umsetzen können. Dafür geben die Handbücher unter anderem einen Überblick über den IT-Grundschutz-Baustein „OPS.2.2 Cloud-Nutzung“ sowie zur Implementierung der jeweiligen Maßnahmen, die neben der Erstellung einer eigenen Cloud-Strategie beispielsweise auch die Entwicklung von Sicherheitsrichtlinien umfassen. An Bundesbehörden und ihre besonderen Anforderungen bei Fragen der Sicherheit richtet sich ein Kapitel, das in allen drei Handbüchern enthalten ist und die Umsetzung von „Mindeststandards des BSI zur Nutzung externer Cloud-Dienste“ zum Thema hat.
Die IT-Grundschutz-Handbücher von Microsoft sind als Leitfäden zu verstehen und helfen einerseits Anwender*innen, die für ihren jeweiligen Schutzbedarf relevanten Optionen an Sicherheitsmaßnahmen zu ermitteln, um Cloud-Dienste unter Berücksichtigung des IT-Grundschutzes sicher zu nutzen. Zugleich erhalten Nutzende mit den Handbüchern jedoch auch einen Überblick, welche Verantwortlichkeiten bei Microsoft als Anbieter der Cloud-Dienste liegen. Die IT-Grundschutz-Handbücher lassen sich kostenfrei hier herunterladen.
Dynamics 365 (Deutsch/Englisch)
Informationen zur EU-Datengrenze der Microsoft Cloud gibt es zum Nachlesen hier. Die Zertifizierungen der Microsoft Cloud thematisieren wir auch in diesem Beitrag unserer Blog-Serie „Im Daten-Dschungel“.
Ein Beitrag von Ralf Wigand
National Security & IT Compliance Officer bei Microsoft Deutschland