14.02.2020
Basis dieser Edition bilden jeweils die sogenannten Bausteine, innerhalb derer potenzielle Gefährdungen thematisiert und Sicherheitsanforderungen beleuchtet werden.
Diese Bausteine sind im IT-Grundschutz-Kompendium enthalten.
- ISMS: Sicherheitsmanagement
- ORP: Organisation und Personal
- CON: Konzeption und Vorgehensweise
- OPS: Betrieb
- DER: Detektion und Reaktion
- APP: Anwendungen
- SYS: IT-Systeme
- IND: Industrielle IT
- NET: Netze und Kommunikation
- INF: Infrastruktur
Die hierin beschriebenen Anforderungen bilden den sogenannten Stand der Technik ab.
Seit dem 01.02.2020 ist Edition 2020 des IT-Grundschutz-Kompendiums zertifizierungsrelevant. Die aktuelle Edition enthält zwei neue IT-Grundschutz-Bausteine, sowie eine sprachliche Überarbeitung aller Bausteine der Edition 2019. Neu sind
- CON.8 Software-Entwicklung sowie
- INF.5 Raum sowie Schrank für technische Infrastruktur
CON.8 bezieht sich hierbei auf individuelle oder modifizierte Softwarelösungen. Der Baustein stellt die Informationssicherheit bei der Eigenentwicklung, Anpassung oder Erweiterung von IT-Anwendungen in den Vordergrund und ist eine Erweiterung des CON.5 (Entwicklung und Einsatz von Individualsoftware).
INF.5 gilt für Container und insgesamt Räume, in denen technische Infrastruktur untergebracht wird. Ziel ist, dessen Komponenten elektronisch, mechanisch und baulich zu schützen, so dass die Funktionsfähigkeit gewährleistet ist.
Für Benutzer besonders relevant ist ORP.4 Identitäts- und Berechtigungsmanagement.
Hierin geht es um die zweifelsfreie Identifizierung und Authentifizierung von IT-Komponenten. Vor allem im Berechtigungsmanagement wurde vom BSI eine inhaltliche Änderung vorgenommen, die sich auf den regelmäßigen Passwortwechsel bezieht.
Die britische Communications Electronics Security Group (CESG), eine Abteilung des Nachrichtendiensts GCHQ, rät bereits seit 2016 davon ab, Änderungen von Passwörtern regelmäßig durchführen zu lassen, das National Institute of Standards and Technology (NIST) in den Vereinigten Staaten zog mit dieser Empfehlung ein Jahr später nach.
Hintergrund ist der aktuelle Forschungsstand, demnach die Erzwingung eines periodischen Passwortwechsels zu weniger sicheren Passwörtern führte. Das Kapitel zur Regelung des Passwortgebrauchs in ORP.4.A8 enthält nun keine entsprechende Änderungsempfehlung und keine Verpflichtung fester Regeln für die Komplexität und Länge von Passwörtern mehr. Vielmehr bezieht sich das BSI darauf, dass ein Passwort geändert werden müsse, sollte es in fremde Hände geraten.
Ansprechpartner für Presse und Medien
Uwe GreunkeVerantwortlicher Marketing, Geschäftsbereich Networks & Cybersecurity
uwe.greunke@rohde-schwarz.com
Rohde & Schwarz
Rohde & Schwarz steht in seinen drei Divisionen Test & Measurement, Technology Systems und Networks & Cybersecurity für eine sichere und vernetzte Welt. Seit über 90 Jahren verschiebt der global agierende Technologiekonzern bei der Entwicklung von Spitzentechnologie die Grenzen des technisch Machbaren. Seine führenden Produkte und Lösungen befähigen Kunden aus Wirtschaft, Behörden und hoheitlichem Umfeld zur Gestaltung ihrer technologischen und digitalen Souveränität. Das Familienunternehmen mit Hauptsitz in München handelt unabhängig, langfristig und nachhaltig. Im Geschäftsjahr 2023/2024 (Juli bis Juni) erwirtschaftete Rohde & Schwarz einen Umsatz von 2,93 Milliarden Euro. Zum 30. Juni 2024 betrug die weltweite Zahl der Mitarbeitenden mehr als 14 400.
R&S® ist eingetragenes Warenzeichen der Firma Rohde & Schwarz GmbH & Co. KG.
Networks & Cybersecurity
Mit seinen Tochterunternehmen LANCOM Systems, Rohde & Schwarz Cybersecurity und Rohde & Schwarz SIT bündelt der Konzern seine Kompetenzen in einer Division. Dieses konzentrierte Know-how ist entscheidend, um zum führenden Anbieter von Netzwerk- und Cybersicherheitstechnik für Unternehmen, Behörden und Organisationen in Europa zu werden.