Den Erfüllungsgrad der IT-Grundschutz-Anforderungen für die verschiedenen Zielobjekte des betrachteten Informationsverbundes dokumentieren Sie mit folgenden Kategorien:

• „entbehrlich“, wenn die Erfüllung einer Anforderung nicht notwendig ist, da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird (z. B. erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden),
• „ja“, wenn die Anforderung durch geeignete Maßnahmen vollständig, wirksam und angemessen erfüllt wird,
• „teilweise“, wenn die Anforderung nur teilweise erfüllt wird,
• „nein“, wenn die Anforderung nicht erfüllt wird, geeignete Maßnahmen also größtenteils noch nicht umgesetzt sind.

Die folgende Abbildung veranschaulicht den Entscheidungsprozess:

Bitte beachten Sie: Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren. Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen. Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern. Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können. Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden.

Dokumentation

Damit die Ergebnisse des IT-Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren. Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben.

Zur Dokumentation gehören natürlich auch formale Angaben. Geben Sie bitte bei jedem Interview an,

• auf welches Zielobjekt es sich bezieht,
• wann es stattfand,
• wer es durchgeführt hat und
• wer befragt wurde.

Hilfsmittel

Sie können sich die Dokumentation des IT-Grundschutz-Checks mit Hilfsmitteln vereinfachen:

• So finden Sie unter den Hilfsmitteln zum IT-Grundschutz entsprechende Checklisten für alle Bausteine (zum Download)
• Der IT-Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die IT-Grundschutz-Methodik zugeschnitten sind. Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des IT-Grundschutz-Checks konsistent übernommen werden.

Sowohl die Formulare in den Hilfsmitteln zum IT-Grundschutz als auch die Masken in den IT-Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten). Diese Angaben sind für die Realisierungsplanung wichtig. Beim IT-Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen.