Martin Schneider
Master Thesis, Hochschule Wismar,Juli 2024
Autor: Martin Schneider
Titel: IT-Grundschutz des BSI im internationalen Vergleich
Abstrakt
Diese Arbeit betrachtet den IT-Grundschutz des BSI und die zugrundeliegende ISO/IEC 27001 sowie insgesamt 30 andere Ansätze aus 17 Ländern hinsichtlich ihrer Ziele, Vorgehensweisen und empfohlenen Sicherheitsmaßnahmen. Es zeigt sich eine Zweiteilung in sechs Ansätze für Informationssicherheit und ISMS basierend auf ISO/IEC 27001 sowie deutlich mehr für Cybersicherheit, eigen- ständig formuliert oder basierend auf dem amerikanischen NIST Cybersecurity Framework. Eine risikobasierte Betrachtung ist die dominierende Gemein- samkeit. Es gibt keinen anderen Ansatz mit einer vergleichbar ausführlichen Methodik und so zahlreichen, in Bausteinen organisierten Anforderungen wie im IT-Grundschutz-Kompendium. Es ergeben sich eine Reihe von Ansatzpunkten für mögliche Verbesserungen und Weiterentwicklung des IT-Grundschutz. Im Versuch einer Gegenüberstellung des IT-Grundschutzes mit MITRE ATT&CK und D3FENSE zeigt sich, dass ein detaillierter Vergleich mit MITRE ATT&CK im Detail sinnvolle Konkretisierungen für den Grundschutz liefern kann.
Abstract
For comparison with the German IT-Grundschutz, this thesis examines the underlying ISO/IEC 27001 and a total of 30 other approaches from 17 countries with regard to their objectives, methodologies and recommended security measures. There is a split into six approaches for information security and ISMS based on ISO/IEC 27001 on the one hand and cyber security on the other, formulated autonomously or based on the American NIST Cybersecurity Framework. A risk-based approach is the predominant common feature. There is no other approach with a comparably detailed methodology and similarly numerous requirements organized as in the IT-Grundschutz-Kompendium. A number of opportunities for possible improvements and further development of IT-Grundschutz is identified. An attempt to compare IT-Grundschutz with MITRE ATT&CK and D3FENSE shows that MITRE ATT&CK can provide useful refinements for IT-Grundschutz.
