Welche Prozesse umfasst der IT-Grundschutz strukturiert und relevant?

Der Prozess IT-Betrieb umfasst verschiedene Teilprozesse, die sicherstellen, dass IT-Systeme und -Services zuverlässig, effizient und sicher funktionieren. Typische Teilprozesse des IT-Betriebs sind: 1. **Systembetrieb** Verwaltung und Überwachung von Servern, Netzwerken, Datenbanken und Anwendungen. 2. **Benutzer- und Berechtigungsmanagement** Verwaltung von Benutzerkonten, Zugriffsrechten und Authentifizierungen. 3. **Incident Management (Störungsmanagement)** Erfassung, Bearbeitung und Behebung von Störungen und Serviceunterbrechungen. 4. **Problem Management** Identifikation und Beseitigung von Ursachen wiederkehrender Störungen. 5. **Change Management** Steuerung und Dokumentation von Änderungen an IT-Systemen und -Services. 6. **Release- und Deployment-Management** Planung, Test und Ausbringung neuer Software-Versionen und Updates. 7. **Konfigurationsmanagement** Verwaltung und Dokumentation der IT-Infrastruktur und ihrer Komponenten. 8. **Monitoring und Reporting** Überwachung der Systemleistung, Verfügbarkeit und Sicherheit sowie Erstellung von Berichten. 9. **Backup und Recovery** Sicherung von Daten und Systemen sowie Wiederherstellung im Fehlerfall. 10. **Kapazitäts- und Performance-Management** Planung und Überwachung der Ressourcen, um Engpässe zu vermeiden. 11. **Service Desk / Support** Zentrale Anlaufstelle für Anwenderanfragen und -probleme. Diese Teilprozesse können je nach Organisation und eingesetztem Framework (z. B. ITIL) unterschiedlich benannt oder gewichtet sein, bilden aber die Grundlage für einen stabilen und effizienten IT-Betrieb.

Die Moderation bzw. Steuerung einer Schutzbedarfsfeststellung übernimmt in der Regel die Informationssicherheitsbeauftragte bzw. der Informationssicherheitsbeauftragte (ISB) einer Organisation. In manchen Fällen kann dies auch durch eine speziell dafür eingesetzte Projektleitung oder eine verantwortliche Person aus dem Bereich IT-Sicherheit erfolgen. Die Aufgabe dieser Person ist es, den Prozess zu koordinieren, die relevanten Fachbereiche einzubinden, die Methodik zu erläutern und sicherzustellen, dass die Schutzbedarfsfeststellung nachvollziehbar und vollständig durchgeführt wird. Die eigentliche Bewertung des Schutzbedarfs erfolgt jedoch meist durch die jeweiligen Fachverantwortlichen für die betrachteten Geschäftsprozesse, Anwendungen oder IT-Systeme, da diese das notwendige Fachwissen über die zu schützenden Informationen besitzen. Zusammengefasst: - **Moderation/Steuerung:** Informationssicherheitsbeauftragte/r oder IT-Sicherheitsverantwortliche/r - **Fachliche Bewertung:** Fachverantwortliche der jeweiligen Bereiche Weitere Informationen findest du beispielsweise beim [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Schutzbedarfsfeststellung/schutzbedarfsfeststellung_node.html).

Die originären Aufgaben eines Informationssicherheitsbeauftragten (ISB) bestehen darin, die Informationssicherheit in einer Organisation zu steuern, zu überwachen und kontinuierlich zu verbessern. Zu den wichtigsten Aufgaben zählen: 1. **Entwicklung und Pflege des Informationssicherheitsmanagementsystems (ISMS):** Aufbau, Dokumentation und Weiterentwicklung von Richtlinien, Verfahren und Maßnahmen zur Informationssicherheit. 2. **Beratung und Sensibilisierung:** Schulung und Sensibilisierung der Mitarbeitenden für Themen der Informationssicherheit sowie Beratung der Geschäftsleitung und Fachabteilungen. 3. **Risikomanagement:** Identifikation, Bewertung und Behandlung von Risiken für die Informationssicherheit. 4. **Überwachung und Kontrolle:** Überprüfung der Einhaltung von Sicherheitsrichtlinien und gesetzlichen Vorgaben, Durchführung von Audits und Kontrollen. 5. **Meldung und Behandlung von Sicherheitsvorfällen:** Koordination und Nachverfolgung von Sicherheitsvorfällen sowie Einleitung von Gegenmaßnahmen. 6. **Berichtswesen:** Regelmäßige Berichterstattung an die Geschäftsleitung über den Status der Informationssicherheit. 7. **Ansprechpartner für externe Stellen:** Kommunikation mit externen Partnern, Behörden oder Auditoren in Fragen der Informationssicherheit. Der ISB hat dabei eine beratende und koordinierende Funktion, ist aber in der Regel nicht für die operative Umsetzung einzelner Maßnahmen verantwortlich.

Nach dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen verschiedene Arten von Anwendungen betrachtet werden, um ein umfassendes Sicherheitskonzept zu erstellen. Die wichtigsten Anwendungstypen, die im IT-Grundschutz betrachtet werden sollten, sind: 1. **Fachanwendungen** Anwendungen, die spezifische Geschäftsprozesse oder Aufgaben eines Unternehmens oder einer Behörde unterstützen (z. B. Buchhaltungssysteme, Personalverwaltung, Fachverfahren). 2. **Standardanwendungen** Allgemein genutzte Software wie Office-Pakete, E-Mail-Programme, Webbrowser oder PDF-Reader. 3. **Infrastruktur-Anwendungen** Software, die grundlegende IT-Dienste bereitstellt, z. B. Datenbankmanagementsysteme, Webserver, Verzeichnisdienste (wie Active Directory), Backup-Software. 4. **Sicherheitsrelevante Anwendungen** Anwendungen, die speziell für die IT-Sicherheit eingesetzt werden, z. B. Virenschutzprogramme, Firewalls, Verschlüsselungssoftware, Authentifizierungssysteme. 5. **Individuelle/selbstentwickelte Anwendungen** Eigenentwicklungen oder speziell angepasste Software, die nicht von Dritten bezogen wird. 6. **Mobile Anwendungen** Apps auf mobilen Endgeräten, die auf Unternehmensdaten zugreifen oder Geschäftsprozesse unterstützen. Jede dieser Anwendungen muss im Rahmen des IT-Grundschutzes hinsichtlich ihrer Schutzbedarfe, Risiken und erforderlichen Sicherheitsmaßnahmen betrachtet werden. Die genaue Vorgehensweise und die zu betrachtenden Anwendungen hängen von der jeweiligen Institution und deren IT-Landschaft ab. Weitere Informationen findest du direkt beim [BSI IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html).

Nach dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen grundsätzlich alle IT-Systeme betrachtet werden, die für die Erfüllung der Geschäftsprozesse und den Schutz der Informationen relevant sind. Dazu zählen insbesondere: 1. **Server** Zentrale Systeme, auf denen Anwendungen, Datenbanken oder Dienste laufen. 2. **Clients/Arbeitsplatzrechner** Desktop-PCs, Laptops, Thin Clients, mobile Endgeräte wie Tablets und Smartphones. 3. **Netzwerkkomponenten** Router, Switches, Firewalls, WLAN-Access-Points, Load Balancer. 4. **Speichersysteme** NAS, SAN, externe Festplatten, Backup-Systeme, Cloud-Speicher. 5. **Peripheriegeräte** Drucker, Scanner, Multifunktionsgeräte, USB-Sticks. 6. **Kommunikationssysteme** E-Mail-Server, Telefonanlagen (VoIP), Videokonferenzsysteme. 7. **Sicherheits- und Managementsysteme** Systeme für Authentifizierung (z. B. Active Directory), Monitoring, Patch-Management, Virenschutz. 8. **Spezielle Systeme** Industriesteuerungen (ICS/SCADA), medizinische IT-Systeme, IoT-Geräte. 9. **Virtuelle Systeme und Cloud-Dienste** Virtuelle Maschinen, Container, Plattformen und Dienste aus der Cloud. 10. **Entwicklungs- und Testsysteme** Systeme, die für Entwicklung, Test und Qualitätssicherung genutzt werden. Im Rahmen des IT-Grundschutzes wird empfohlen, alle Systeme zu identifizieren, die Teil des betrachteten Informationsverbunds sind. Die Auswahl erfolgt risikobasiert: Systeme, die für die Geschäftsprozesse kritisch sind oder sensible Daten verarbeiten, stehen besonders im Fokus. Weitere Informationen findest du direkt beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html).

Im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden sogenannte Zielobjekte definiert, um die IT-Sicherheit systematisch und strukturiert zu betrachten. Zielobjekte sind dabei die Einheiten, auf die sich Schutzmaßnahmen beziehen. Nach IT-Grundschutz gibt es folgende Zielobjekte: 1. **IT-Systeme** Dazu zählen Server, Arbeitsplatzrechner, Notebooks, mobile Endgeräte, Netzwerkkomponenten, Drucker usw. 2. **IT-Anwendungen** Das sind Software-Anwendungen wie E-Mail-Systeme, Datenbanken, Fachanwendungen, Webanwendungen usw. 3. **Netze** Hierzu gehören lokale Netzwerke (LAN), Weitverkehrsnetze (WAN), WLAN, VPNs usw. 4. **Räume und Gebäude** Dazu zählen Serverräume, Rechenzentren, Büroräume, Archive, aber auch das gesamte Gebäude. 5. **Kommunikationsverbindungen** Gemeint sind Verbindungen wie Internetzugänge, Standleitungen, Telefonverbindungen usw. 6. **Mensch** Personen, die mit den IT-Systemen arbeiten, z.B. Administratoren, Anwender, externe Dienstleister. 7. **IT-Prozesse** Prozesse wie Backup, Patchmanagement, Benutzerverwaltung, Incident Management usw. Diese Zielobjekte werden im IT-Grundschutz-Kompendium des BSI jeweils mit eigenen Bausteinen und Maßnahmen adressiert. Weitere Informationen findest du direkt beim [BSI IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html).

Beim IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden verschiedene Zielobjekte definiert, um die IT-Sicherheit systematisch zu betrachten. Bei IT-Systemen unterscheidet der IT-Grundschutz in der Regel folgende Zielobjekte: 1.Server** Zentrale Systeme, die Dienste und Ressourcen im Netzwerk bereitstellen (z. B. Datenbankserver, Webserver). 2. **Clients/Arbeitsplatzrechner** Endgeräte, die von Benutzern direkt genutzt werden (z. B. Desktop-PCs, Laptops, Thin Clients). 3. **Mobile IT-Systeme** Geräte, die mobil eingesetzt werden können (z. B. Notebooks, Tablets, Smartphones). 4. **Netzkomponenten** Geräte zur Vernetzung von IT-Systemen (z. B. Switches, Router, Firewalls). 5. **Speichersysteme** Systeme zur Speicherung und Sicherung von Daten (z. B. SAN, NAS, externe Festplatten). 6. **Drucker und Multifunktionsgeräte** Geräte, die drucken, scannen, kopieren oder faxen können. 7. **Spezielle IT-Systeme** Systeme mit besonderen Aufgaben oder Anforderungen (z. B. Steuerungs- und Automatisierungssysteme, Embedded Systems). Diese Zielobjekte werden im IT-Grundschutz-Kompendium detailliert beschrieben und jeweils mit spezifischen Sicherheitsanforderungen versehen. Weitere Informationen findest du direkt beim [BSI IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html).

Nach IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen verschiedene Raumtypen betrachtet werden, um die Sicherheit der IT-Infrastruktur ganzheitlich zu gewährleisten. Die wichtigsten Raumarten sind: 1. **Serverräume / Rechenzentren** Räume, in denen zentrale IT-Systeme, Server, Netzwerktechnik und Speichersysteme betrieben werden. 2. **Technikräume** Räume für unterstützende technische Infrastruktur wie USV-Anlagen, Klimaanlagen, Stromverteilung oder Telekommunikationstechnik. 3. **Büro- und Arbeitsräume** Räume, in denen Mitarbeiter arbeiten und auf IT-Systeme zugreifen, z. B. Einzel- und Großraumbüros. 4. **Archiv- und Lagerräume** Räume zur Aufbewahrung von Datenträgern, Sicherungsmedien oder sensiblen Dokumenten. 5. **Besprechungs- und Schulungsräume** Räume, in denen IT-Systeme temporär genutzt werden oder in denen sensible Informationen besprochen werden. 6. **Zutrittskritische Bereiche** Bereiche mit erhöhten Anforderungen an die Zugangskontrolle, z. B. Räume mit besonders schützenswerten Informationen oder Systemen. 7. **Empfangs- und Besucherbereiche** Bereiche, in denen externe Personen Zutritt haben und die daher besondere Schutzmaßnahmen erfordern. Jeder dieser Räume muss im Rahmen des IT-Grundschutzes hinsichtlich baulicher, technischer und organisatorischer Maßnahmen betrachtet werden, um Risiken wie unbefugten Zutritt, Diebstahl, Feuer, Wasser oder Stromausfall zu minimieren. Weitere Informationen findest du direkt beim [BSI IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html).

Ja, im Rahmen des IT-Grundschutzes nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen unterschiedliche Räume als eigene Zielobjekte definiert werden, sofern sie unterschiedliche Schutzbedarfe, Nutzungen oder Sicherheitsanforderungen aufweisen. Begründung: Der IT-Grundschutz sieht vor, dass alle relevanten Objekte eines Informationsverbundes – sogenannte Zielobjekte – identifiziert und im Rahmen der Schutzbedarfsfeststellung betrachtet werden. Zielobjekte können neben IT-Systemen, Anwendungen und Kommunikationsverbindungen auch Räume und Gebäude sein. Unterschiedliche Räume (z.B. Serverraum, Büroraum, Archiv, Technikraum) haben in der Regel unterschiedliche Funktionen, Risiken und Schutzbedarfe. Daher ist es notwendig, sie als separate Zielobjekte zu behandeln, um angemessene Schutzmaßnahmen ableiten zu können. Weitere Informationen findest du direkt beim [BSI zum Thema Zielobjekte im IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html).

Hier findest du ein allgemeines Template mit beispielhaften Fragen, die du pro Abteilung für eine IST-Aufnahme im Rahmen der Einführung eines neuen Dokumentenmanagementsystems (DMS) verwenden kannst. Die Fragen sind so gestaltet, dass sie auf verschiedene Abteilungen (z. B. Personal, Buchhaltung, Vertrieb, Einkauf, Produktion) anwendbar sind und dir helfen, die aktuellen Prozesse, Anforderungen und Herausforderungen zu erfassen. --- **Allgemeines Template für die IST-Aufnahme pro Abteilung (DMS-Einführung)** **1. Allgemeine Informationen** - Welche Arten von Dokumenten werden in Ihrer Abteilung bearbeitet (z. B. Verträge, Rechnungen, Berichte)? - Wie viele Dokumente werden monatlich/jährlich erstellt, empfangen und bearbeitet? - In welchen Formaten liegen die Dokumente vor (Papier, PDF, Word, E-Mail, etc.)? **2. Dokumentenablage und -organisation** - Wo und wie werden Dokumente aktuell abgelegt (Papierarchiv, Netzlaufwerk, E-Mail, lokale Festplatte)? - Gibt es eine einheitliche Ablagestruktur oder Namenskonventionen? - Wer hat Zugriff auf welche Dokumente? Gibt es Zugriffs- oder Freigaberegelungen? **3. Dokumentenprozesse** - Wie läuft die Erstellung, Bearbeitung und Freigabe von Dokumenten ab? - Welche Workflows gibt es für Dokumente (z. B. Freigabeprozesse, Prüfungen, Weiterleitungen)? - Welche Abteilungen oder Personen sind in die Prozesse involviert? **4. Zusammenarbeit und Kommunikation** - Wie werden Dokumente intern und extern geteilt oder weitergeleitet? - Gibt es Probleme bei der Zusammenarbeit oder beim Informationsaustausch? - Werden Dokumente häufig mehrfach abgelegt oder gibt es Dubletten? **5. Herausforderungen und Verbesserungspotenzial** - Welche Schwierigkeiten gibt es aktuell im Umgang mit Dokumenten? - Wo sehen Sie Verbesserungspotenzial durch ein DMS? - Gibt es gesetzliche oder unternehmensinterne Vorgaben zur Dokumentenaufbewahrung? **6. Technische Anforderungen** - Welche Systeme oder Software werden aktuell genutzt (z. B. ERP, CRM)? - Gibt es Schnittstellen oder Integrationswünsche zum DMS? - Gibt es spezielle Anforderungen an die IT-Sicherheit oder den Datenschutz? **7. Sonstiges** - Gibt es weitere Anmerkungen, Wünsche oder Bedenken bezüglich der Einführung eines DMS? --- **Hinweis:** Passe die Fragen je nach Abteilung und Unternehmenssituation individuell an. Für spezifische Abteilungen können zusätzliche, branchenspezifische Fragen sinnvoll sein. Weitere Informationen zu DMS findest du z. B. bei [d.velop](https://www.d-velop.de/dms/) oder [DocuWare](https://www.docuware.com/de/). --- Dieses Template kannst du als Grundlage für Interviews, Workshops oder Fragebögen zur IST-Aufnahme verwenden.