BSI IT-Grundschutz-Standards
Redaktionelle Einordnung
Diese archivierte Diskussion behandelt BSI IT-Grundschutz-Standards aus Sicht der Rubrik Security Sonstige.
Sicherheits- und HTTPS-Themen wirken heute direkt auf Vertrauen, Rendering-Stabilität und technische Risiken der Website ein.
Sinnvoll nutzbar bleibt der Thread vor allem als historischer Kontext, für typische Fragestellungen und zur Einordnung älterer Empfehlungen.
Einige im historischen Thread genannte Tools, Dienste oder externe Links könnten heute nicht mehr verfügbar oder inhaltlich überholt sein. Nutzen Sie sie bitte nur mit zusätzlicher Prüfung.
Startbeitrag
Archivierter Thread aus dem Seitenreport-Forum.
Aus aktuellem Anlass eine Frage ans Forum: seid ihr von Kunden schon mal mit den Grundschutz-Standards des BSI konfrontiert worden?
Wenn ja, hat das Einfluß auf eure Arbeit genommen?
Antworten
5 BeiträgeHier gleich der Link dort hin:
Danke Heiko für die Ergänzung. Hatte ich vergessen.
Du scheinst dich mit dem Thema aber auch schon beschäftigt zu haben?
Bin neugierig, ob sich Ralph dazu meldet ...
Ich musste mich mit dem Notfallmanagement auseinandersetzen. Wenn Du alles befolgen möchtest, hast Du einen langen Weg vor Dir, der sich aber lohnt zu gehen.
lwulfe schrieb:
Aus aktuellem Anlass eine Frage ans Forum: seid ihr von Kunden schon mal mit den Grundschutz-Standards des BSI konfrontiert worden?
Wenn ja, hat das Einfluß auf eure Arbeit genommen?
Hallo Lutz,
Interessante Kunden hast Du!
Wobei es entscheidend ist, ob der Kunde wissen will, ob Du als Dienstleister BSI-GS konform bist, oder ob Du seinen Aufträge gemäß den Empfehlungen des BSI umsetzen kannst. Was z.B. beim Thema Webserver (https://www.bsi.bund.de/cln_192/ContentBSI/grundschutz/kataloge/baust/b05/b05004.html) eine recht komplexe Angelegenheit sein kann!
Generell gilt, das im BSI-GS jede menge wertvoller Information steckt (wie Heiko schon andeutete), die es aber in sich hat. Der Grudschutz ist als Rahmenwerk anzusehen, welches sicherheitsrelevante Themens/Aspekte benennt und Empfehlungen gibt - allerdings meistens recht neutral beschrieben. Konkrete Umsetzungen musst Du entweder selbst finden, oder man beauftragt dazu eine weitere Instanz, die sich damit auskennt.
Wenn man neu in der Thematik ist, oder ein neues Thema angeht, ist der BSI-GS ein wertvoller Hinweisgeber, denn dort findet man oft Hinweise und Erinnerungen an die man selbst gar nicht denkt. Allerdings meine ich (persönliche Ansicht), dass man eine 100% Umsetzeung bei großen Themen nicht hinbekommt, da es einfach zu aufwendig ist. Hier würde ich die 80:20-Regel nutzen. Wenn man 80% umgesetzt/erreicht hat, ist es Ok - denn die restlichen 20% stehen in einem ungünstigen Aufwandsverhältnis.
Einfluß auf die Arbeit ... ich meine, hier sollte ein JA stehen, denn wer Sicherheit ignoriert (hier vertreten durch den BSI-GS) wird irgendwann ein Problem bekommen. Denk nur mal an die Auswirkungen, die beispielsweise URL-Verkürzungen mit sich bringen (Eigenwerbung: www.kes.info/archiv/online/kurz-urls.html).
Was ich Dir raten würde wäre zu hinterfragen, was der Kunde möchte. Versuche das sicherheitstechnisch umzusetzen und lass Dich dabei ruhig durch den BSI-GS inspirieren. Vermeide aber eine sklavische Abhängigkeit und die 100% Umsetzung - denn das oft nicht erreichbar. Rede aber mit Deinem Kunden und sprich Empfehlungen aus, nenne Vor- und Nachteile und die entsprechenden aktuellen (und späteren) Aufwendungen die man betreiben muss. Wen Du z.B. einen Zugriff auf Daten nur nach Passwort-Abfrage erlaubst, ist das sicher - aber wie sieht es mit der Akzeptanz der Anwender aus. Wenn die wegbleiben, nützt die sicherste Webseite nichts. Nimm ruhig den Kunden in die Pflicht, denn Sicherheit geht alle an!
Viel Erfolg beim Balanceakt auf dem Drahtseil zwischen Sicherheit, Akzeptanz und Nutzen!
Grüße Ralph
Ich danke euch fr die Post´s: motivierend und informativ.
Was alleine in dem Thema Webserver steckt ist fast schon umwerfend!
Dann werde ich mich mal dran machen!