„Die Enthüllungen von Edward Snowden und die damit verbundenen Konsequenzen für die IT-Sicherheit von Unternehmen und Behörden waren ein beherrschendes Thema in der IT-Security-Szene. Anfang 2014 wurden zwei Fälle von Identitätsdiebstahl publik, deren Ausmaße eine Zäsur im Bereich der IT-gestützten Massenangriffe markierten. Demgegenüber sehen sich IT-Verantwortliche von Unternehmen und Behörden immer ausgefeilteren Angriffen gegenüber, die aufgrund der Vorgehensweise der Angreifer nur mit hohem Aufwand zu detektieren sind.

Besonders in Unternehmen und Behörden ist der Schutz von Unternehmensdaten existenziell, da im Fall von massiven Beeinträchtigungen bis Ausfällen der Systeme der Geschäftsbetrieb gestört werden und bis zum Erliegen kommen kann. Hinzukommen finanzielle Schäden, die schnell beträchtliche Ausmaße annehmen können. Beim Einsatz von Cloud-Computing kann besonders die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen betroffen sein. Die Absicherung der Cloud-Anwendungen bedeutet für Institutionen weiterhin eine große Herausforderung.

Der IT-Grundschutz des BSI bietet einen bewährten Maßnahmenkatalog, mit dem Unternehmen und Behörden ihre IT-Systeme zuverlässig vor digitalen Angriffen schützen können. Die IT-Grundschutz-Kataloge beinhalten organisatorische, technische, personelle und infrastrukturelle Empfehlungen, die grundlegend für die Sicherheit aller Unternehmensdaten sind.
Aufgrund der Dynamik der Entwicklungen in der IT und damit verbunden der Cyber-Bedrohungen werden die IT-Grundschutz-Bausteine kontinuierlich aktualisiert. In der vorliegenden 14. Ergänzungslieferung ist der aktuelle Stand der Technik abgebildet. Zudem wurden Wünsche aus der Anwendergruppe des IT-Grundschutz berücksichtigt.

Das Ergebnis sind unter anderem vier Bausteine zur sicheren Anwendung von Cloud Computing, zum Cloud Management, für Speicherlösungen/Cloud Storage und Web-Services. Von der Erläuterung der spezifischen Eigenschaften von Cloud Anwendungen Plattformen, wie Abstraktion der Ressourcen, Elastizität, Service-orientierte Architektur, sichere Orchestrierung und Automatisierung von Prozessen sowie Provisionierung und De-Provisionierung von IT-Ressourcen im IT-Grundschutz abgebildet. Mit den IT-Grundschutz-Empfehlungen zur Sicherheit von Cloud-Anwendungen lassen sich Cloud-Lösungen in Institutionen von Beginn an auf eine sichere und fundierte Basis bringen.

Neben dem Thema Cloud Computing enthält die 14. Ergänzungslieferung weitere wichtige Aktualisierungen: Das Thema Mobile Endgeräte wurde im IT-Grundschutz vollständig überarbeitet, konkret die Bausteine „Mobiltelefon“ und „Smartphones, Tablets und PDAs“. Neu aufgenommen wurde der Baustein „Allgemeine Anwendung“, der sich mit spezialisierter Anwendungssoftware beschäftigt. Überdies wurde der Baustein „Sensibilisierung und Schulung“ überarbeitet. Beide Bausteine wurden dankenswerterweise von Anwendern des IT-Grundschutz zur Verfügung gestellt. Der IT-Grundschutz konnte sich in den letzten beiden Jahrzehnten zu einem der erfolgreichsten Standardwerke des BSI entwickeln –einen wesentlichen Beitrag für diese positive Entwicklung haben die Anwender selbst geliefert.“

Aus dem Vorwort zu den IT-Grundschutz-Katalogen von Dr. Hartmut Isselhorst, Abteilungspräsident C.