Widerspricht Accountsharing den Anforderungen des BSI IT-Grundschutz?

Das Verbot des Accountsharings, also der Weitergabe von Passwörtern, ist im IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) geregelt. Die entsprechenden Anforderungen findest du im Baustein **"ORP.4 Identitäts- und Berechtigungsmanagement"**. Konkret wird im **Anforderungstext ORP.4.A18 "Verbot der Weitergabe von Authentisierungsmerkmalen"** festgelegt, dass Authentisierungsmerkmale wie Passwörter nicht weitergegeben werden dürfen. Dort heißt es sinngemäß, dass Benutzerinnen und Benutzer verpflichtet sind, ihre Authentisierungsmerkmale geheim zu halten und nicht an Dritte weiterzugeben. Weitere Informationen findest du direkt beim BSI: [BSI IT-Grundschutz-Kompendium – ORP.4 Identitäts- und Berechtigungsmanagement](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/baustein-orp-4.html)

Der BSI IT-Grundschutz ist wichtig, weil er eine systematische und umfassende Methode zur Identifizierung und Minimierung von IT-Sicherheitsrisiken bietet. Er hilft Organisationen, ein angemessenes Sicherheitsniveau zu erreichen, indem er bewährte Praktiken und Standards bereitstellt. Durch die Implementierung des IT-Grundschutzes können Unternehmen ihre IT-Infrastruktur besser schützen, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleisten und rechtlichen Anforderungen nachkommen. Zudem fördert er ein Bewusstsein für IT-Sicherheit innerhalb der Organisation und unterstützt die kontinuierliche Verbesserung der Sicherheitsmaßnahmen.

Der BSI IT-Grundschutz und die ISO/IEC 27001 (oft als „ISO 27000“ bezeichnet, wobei ISO/IEC 27001 der eigentliche Zertifizierungsstandard ist) sind beides etablierte Standards für Informationssicherheits-Managementsysteme (ISMS). Der BSI IT-Grundschutz ++ (also die erweiterte Anwendung des IT-Grundschutzes) bietet gegenüber einer reinen ISO/IEC 27001-Zertifizierung einige spezifische Vorteile: **1. Detaillierte Umsetzungshilfen und Praxisnähe:** Der IT-Grundschutz stellt sehr konkrete Maßnahmenkataloge, Muster und Hilfsmittel bereit, die direkt in die Praxis umgesetzt werden können. Die ISO/IEC 27001 bleibt auf einer höheren Abstraktionsebene und gibt nur vor, *was* erreicht werden soll, nicht *wie*. **2. Umfassende Abdeckung typischer Gefährdungen:** Der IT-Grundschutz deckt mit seinen Bausteinen und Maßnahmenkatalogen eine breite Palette typischer IT-Systeme, Anwendungen und Infrastrukturen ab. Dadurch werden viele Standardrisiken systematisch adressiert. **3. Unterstützung durch das BSI:** Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet umfangreiche Unterstützung, Tools (wie das GSTOOL), Schulungen und eine Community, die speziell auf den IT-Grundschutz ausgerichtet sind. **4. Anerkennung in Deutschland und bei Behörden:** Gerade für deutsche Behörden und Unternehmen, die mit der öffentlichen Hand zusammenarbeiten, ist der IT-Grundschutz oft vorgeschrieben oder wird bevorzugt anerkannt. Er ist auf die deutsche Gesetzgebung und Verwaltungspraxis zugeschnitten. **5. Modularer und skalierbarer Ansatz:** Der IT-Grundschutz ist modular aufgebaut und kann an die Größe und Komplexität der Organisation angepasst werden. Mit dem „IT-Grundschutz-Compendium“ können Organisationen gezielt relevante Bausteine auswählen. **6. Kombination mit ISO/IEC 27001 möglich:** Eine Zertifizierung nach IT-Grundschutz kann mit einer ISO/IEC 27001-Zertifizierung kombiniert werden („ISO 27001 auf Basis von IT-Grundschutz“). Das bietet internationale Anerkennung und die Vorteile der detaillierten Umsetzungshilfen. **7. Regelmäßige Aktualisierung:** Der IT-Grundschutz wird regelmäßig an neue Bedrohungen und Technologien angepasst, was eine hohe Aktualität sicherstellt. **Fazit:** Der BSI IT-Grundschutz ++ bietet vor allem für Organisationen in Deutschland, die Wert auf detaillierte, praxisnahe Umsetzungshilfen und eine hohe Kompatibilität mit deutschen Anforderungen legen, klare Vorteile gegenüber einer reinen ISO/IEC 27001-Zertifizierung. Für international agierende Unternehmen kann die ISO/IEC 27001 jedoch wegen ihrer weltweiten Anerkennung attraktiver sein. Weitere Informationen: - [BSI IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) - [ISO/IEC 27001](https://www.iso.org/isoiec-27001-information-security.html)

Im BSI Grundschutz-Kompendium 2023 gibt es keine eigenen Bausteine, die ausschließlich und explizit das Thema REST-API behandeln. REST-APIs werden jedoch als Teil von Anwendungen, Webanwendungen oder Schnittstellen betrachtet und sind damit in mehreren Bausteinen inhaltlich mitadressiert. Die wichtigsten relevanten Bausteine sind: 1. **APP.4.4 Webanwendungen** Dieser Baustein behandelt Sicherheitsanforderungen an Webanwendungen, zu denen auch REST-APIs zählen, da sie häufig als Webanwendungen oder deren Komponenten implementiert werden. Themen wie Authentisierung, Autorisierung, Eingabevalidierung und Schutz vor typischen Web-Schwachstellen (z. B. Injection, Cross-Site Scripting) sind hier relevant. [APP.4.4 Webanwendungen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/app/app-4-4.html) 2. **APP.4.3 Webserver** REST-APIs werden oft über Webserver bereitgestellt. Die Absicherung des Webservers ist daher für REST-APIs essenziell. [APP.4.3 Webserver](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/app/app-4-3.html) 3. **APP.2 Allgemeine Anwendungen** Dieser Baustein behandelt generische Anforderungen an Anwendungen, die auch für REST-APIs gelten, z. B. sichere Entwicklung, Patch-Management und Logging. [APP.2 Allgemeine Anwendungen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/app/app-2.html) 4. **OPS.1.1.5 Logging und Protokollierung** Für REST-APIs ist eine angemessene Protokollierung von Zugriffen und Fehlern wichtig. [OPS.1.1.5 Logging und Protokollierung](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/ops/ops-1-1-5.html) 5. **CON.4 Schnittstellen** Dieser Baustein adressiert die Absicherung von Schnittstellen allgemein, wozu auch REST-APIs gehören. [CON.4 Schnittstellen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/con/con-4.html) **Fazit:** REST-APIs werden im BSI Grundschutz-Kompendium 2023 nicht als eigenständiger Baustein behandelt, sondern sind in den genannten Bausteinen mit abgedeckt. Für eine umfassende Absicherung von REST-APIs sollten die Anforderungen aus diesen Bausteinen gemeinsam betrachtet und umgesetzt werden.

Im IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die Themen API (Programmierschnittstelle) und REST (Representational State Transfer) nicht in eigenen, dedizierten Bausteinen behandelt. Sie werden jedoch in mehreren Bausteinen thematisiert, insbesondere im Kontext von Webanwendungen, Softwareentwicklung und Schnittstellenmanagement. Relevante Bausteine sind: 1. **APP.4.4 Webanwendungen** Dieser Baustein behandelt die Sicherheit von Webanwendungen, zu denen auch REST-APIs zählen. Hier werden Anforderungen an Authentisierung, Autorisierung, sichere Kommunikation und Schutz vor typischen Web-Schwachstellen (z. B. Injection, Cross-Site Scripting) gestellt. [APP.4.4 Webanwendungen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/app/app-4-4.html) 2. **APP.4.3 Entwicklung von Individualsoftware** Dieser Baustein adressiert die sichere Entwicklung von Software, einschließlich APIs. Hier werden sichere Programmierpraktiken, Testen auf Schwachstellen und der Umgang mit Schnittstellen behandelt. [APP.4.3 Entwicklung von Individualsoftware](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/app/app-4-3.html) 3. **SYS.1.6 Virtualisierung und Container** APIs werden häufig in virtualisierten oder containerisierten Umgebungen bereitgestellt. Dieser Baustein behandelt Sicherheitsaspekte solcher Umgebungen, die auch für APIs relevant sein können. [SYS.1.6 Virtualisierung und Container](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/sys/sys-1-6.html) 4. **INF.1 Schnittstellenmanagement** Dieser Baustein behandelt das Management und die Absicherung von Schnittstellen allgemein, wozu auch APIs zählen. [INF.1 Schnittstellenmanagement](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/inf/inf-1.html) **Fazit:** Die Themen API und REST werden im BSI-Grundschutz-Kompendium vor allem in den Bausteinen **APP.4.4 Webanwendungen**, **APP.4.3 Entwicklung von Individualsoftware** und **INF.1 Schnittstellenmanagement** adressiert. REST-APIs sind als Teil von Webanwendungen und Schnittstellen explizit mitgemeint, auch wenn sie nicht immer namentlich genannt werden.

Ein Muster für eine Benutzerrichtlinie nach IT-Grundschutz könnte folgende Punkte enthalten: 1. **Einleitung** - Zweck der Richtlinie - Geltungsbereich (z.B. für alle Mitarbeiter, externe Dienstleister) 2. **Allgemeine Verhaltensregeln** - Verantwortungsbewusster Umgang mit IT-Ressourcen - Verbot von unbefugtem Zugriff auf Systeme und Daten 3. **Zugriffsrechte** - Regelungen zur Vergabe und Verwaltung von Zugriffsrechten - Verfahren zur Beantragung und Entziehung von Rechten 4. **Passwortsicherheit** - Anforderungen an Passwörter (Länge, Komplexität) - Regelungen zur Passwortänderung und -aufbewahrung 5. **Nutzung von IT-Ressourcen** - Erlaubte und verbotene Nutzungen (z.B. private Nutzung, Softwareinstallationen) - Umgang mit mobilen Geräten und Homeoffice 6. **Datenschutz und Datensicherheit** - Umgang mit personenbezogenen Daten - Regelungen zur Datensicherung und -verschlüsselung 7. **Schulung und Sensibilisierung** - Verpflichtung zur Teilnahme an Schulungen - Informationen zu aktuellen Bedrohungen und Sicherheitsmaßnahmen 8. **Verstöße gegen die Richtlinie** - Konsequenzen bei Verstößen - Verfahren zur Meldung von Sicherheitsvorfällen 9. **Gültigkeit und Überprüfung** - Regelungen zur regelmäßigen Überprüfung und Aktualisierung der Richtlinie - Inkrafttreten der Richtlinie Diese Struktur kann je nach spezifischen Anforderungen und Gegebenheiten des Unternehmens angepasst werden. Es ist wichtig, die Richtlinie klar und verständlich zu formulieren und alle Mitarbeiter entsprechend zu informieren.

Ein Admin hat nach IT-Grundschutz verschiedene Aufgaben, die darauf abzielen, die Informationssicherheit in einer Organisation zu gewährleisten. Zu den zentralen Aufgaben gehören: 1. **Risikomanagement**: Identifikation und Bewertung von Risiken für die IT-Systeme und Daten. 2. **Sicherheitskonzepte**: Entwicklung und Implementierung von Sicherheitskonzepten und -richtlinien. 3. **Zugriffsmanagement**: Verwaltung von Benutzerrechten und -zugängen zu Systemen und Daten. 4. **Überwachung**: Kontinuierliche Überwachung der IT-Systeme auf Sicherheitsvorfälle und Anomalien. 5. **Schulung**: Sensibilisierung und Schulung der Mitarbeiter in Bezug auf IT-Sicherheit. 6. **Dokumentation**: Führen von Dokumentationen über Sicherheitsmaßnahmen, Vorfälle und Änderungen. 7. **Notfallmanagement**: Planung und Durchführung von Notfallmaßnahmen und Wiederherstellungsprozessen. 8. **Regelmäßige Audits**: Durchführung von Sicherheitsüberprüfungen und Audits zur Sicherstellung der Einhaltung von Sicherheitsstandards. Diese Aufgaben tragen dazu bei, die IT-Infrastruktur und die darin enthaltenen Daten vor Bedrohungen zu schützen und die Compliance mit gesetzlichen und regulatorischen Anforderungen zu gewährleisten.

Administratoren müssen nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) verschiedene Punkte beachten, um die IT-Sicherheit zu gewährleisten. Wichtige Aspekte sind: 1. **Risikomanagement**: Identifikation und Bewertung von Risiken für die IT-Systeme und Daten. 2. **Sicherheitskonzepte**: Entwicklung und Implementierung von Sicherheitskonzepten, die auf die spezifischen Anforderungen der Organisation abgestimmt sind. 3. **Zugriffssteuerung**: Sicherstellung, dass nur autorisierte Personen Zugriff auf Systeme und Daten haben. 4. **Sicherheitsupdates**: Regelmäßige Aktualisierung von Software und Systemen, um Sicherheitslücken zu schließen. 5. **Schulung und Sensibilisierung**: Durchführung von Schulungen für Mitarbeiter, um das Bewusstsein für IT-Sicherheit zu erhöhen. 6. **Dokumentation**: Führen von umfassenden Dokumentationen über Sicherheitsmaßnahmen und Vorfälle. 7. **Notfallmanagement**: Entwicklung von Notfallplänen zur Wiederherstellung der Systeme im Falle eines Sicherheitsvorfalls. Diese Punkte sind Teil der BSI-Standards und -Empfehlungen, die Administratoren helfen, ein sicheres IT-Umfeld zu schaffen.

Ja, das Schutzniveau des IT-Grundschutzes kann grundsätzlich die Anforderungen der NIS2-Richtlinie erfüllen. Die NIS2-Richtlinie legt Mindestanforderungen an die Cybersicherheit für Unternehmen und Organisationen fest, die wesentliche Dienste bereitstellen oder digitale Dienste anbieten. Der IT-Grundschutz bietet ein umfassendes Rahmenwerk zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen, die auf die spezifischen Risiken und Bedrohungen abgestimmt sind. Allerdings ist es wichtig, dass die spezifischen Anforderungen der NIS2-Richtlinie, wie etwa die Risikobewertung, Vorfallmanagement und Berichterstattung, in die Umsetzung des IT-Grundschutzes integriert werden. Eine sorgfältige Analyse und Anpassung der Maßnahmen kann notwendig sein, um sicherzustellen, dass alle Vorgaben der NIS2-Richtlinie vollständig erfüllt werden.

Im BSI Standard 200-4 wird die sichere Ablage von Notfalldokumenten im Kontext des Notfallmanagements behandelt. Insbesondere sind die Anforderungen an die Dokumentation und die Verfügbarkeit von Notfalldokumenten in den Abschnitten zu den Notfall- und Krisenmanagementprozessen zu finden. Es wird empfohlen, Notfalldokumente an einem sicheren, aber zugänglichen Ort zu speichern, um sicherzustellen, dass sie im Notfall schnell verfügbar sind. Eine genaue Seitenangabe kann variieren, daher ist es ratsam, den Standard direkt zu konsultieren, um die spezifischen Anforderungen und Empfehlungen zu finden.