ISO/IEC 27001: Interview mit Joachim Astel, Noris Network

BSI-IT-Grundschutz-Zertifizierung

Im Interview erläutert Joachim Astel, Vorstandsmitglied der Noris Network AG, die Motive der BSI-IT-Grundschutz-Zertifizierung und deren Nutzen für Großunternehmen.

Joachim Astel, Noris ­Network

Joachim Astel, Noris ­Network

IT-DIRECTOR: Herr Astel, mit der ISO/IEC 27001 wurden in den letzten Jahren international vergleichbare Zertifizierungen für IT-Prozesse und -Sicherheit etabliert. Warum existiert mit der Zertifizierung nach BSI IT-Grundschutz ein deutscher „Sonderweg“?
J. Astel:
Ich sehe die neue Zertifizierung als Erweiterung und Ergänzung der internationalen Normen. Speziell in Deutschland sind die Bürger nach der NSA-Affäre stark verunsichert, was den Datenschutz, den Umgang mit Kundendaten und die IT-Sicherheit angeht. Wenn die Zertifizierung nach BSI IT-Grundschutz hier mehr Vertrauen in die Angebote der Unternehmen schaffen kann, so ist die neue Zertifizierung ein Wettbewerbsvorteil für Unternehmen und Dienstleister.

IT-DIRECTOR: Wie unterscheiden sich die Zertifizierungen?
J. Astel:
Es existieren tatsächlich fundamentale Unterschiede. Das lässt sich schon am Umfang verdeutlichen: Während der Leitfaden der ISO/IEC 27001 knapp 80 Seiten umfasst, sind es beim BSI IT-Grundschutz rund 4.500 Seiten.
Der Grund: Bei der ISO wird der Fokus auf Managementsysteme, die Identifikation und Bewertung von Risiken gelegt. Auf Ausführungsdetails wird nicht groß eingegangen – die Beschreibungen hierzu bleiben in der ISO empfehlungsartig, beispielhaft und oberflächlich.

Anders verhält es sich bei der Zertifizierung nach BSI IT-Grundschutz. Hier liegt der Fokus auf den Ausführungsdetails – es geht insbesondere um die technische Umsetzung. Checklisten machen deutlich, ob Prozesse im Bereich IT-Sicherheit wirklich bis hinunter auf die operative Ebene gelebt werden. Eine logische Folge dieser komplexeren Thematik ist, dass das Auditing durch die externen Prüfer deutlich mehr Zeit in Anspruch nimmt und sowohl mehr Prozesse als auch mehr Mitarbeiter betrifft.

IT-DIRECTOR: Gerade letzteres Argument könnte viele Unternehmen abschrecken...
J. Astel:
Wenn es den Unternehmen hilft, Kunden zu halten, ist es die Anstrengung wert. Wer deutsche Unternehmen bzw. deutsche Kunden betreut, muss sich auf deren Anforderungen einstellen. Wir betreuen viele Unternehmen – ohne Vertrauen werden diese Unternehmen ihre IT-Umgebungen nicht weiter virtualisieren, langsamer modernisieren und weniger externe IT-Dienstleistungen nutzen. Wir sehen auch, dass sich die Datenschutzbeauftragten großer Unternehmen für Details in der Umsetzung interessieren und oft individuelle Audits betreiben. Da ist eine gründliche Zertifizierung eine sinnvolle, vertrauensbildende Maßnahme.

IT-DIRECTOR: Können Sie nach Ihren Erfahrungen die Zertifizierung empfehlen? Oder existieren Einschränkungen?
J. Astel:
Wir haben seit 2006 Erfahrungen mit ISO-Zertifizierungen und leben seither den Security-Prozess aktiv. Ohne diese Erfahrung wäre ein Audit nach BSI IT-Grundschutz in meinen Augen aufwändig in der Umsetzung. Ich kann es niemandem empfehlen, der nicht schon länger ein entsprechendes Security-Management-System aufgebaut hat. Man braucht einfach Erfahrung in der Vorbereitung und Begleitung der Audits – sonst bindet die Zertifizierung zu viele Ressourcen.

Hinzu kommt: Für Unternehmen mit hohem Outsourcing-Anteil reicht sicherlich eine Zertifizierung nach ISO – vom IT-Dienstleister würde ich als Manager dann mehr, also beispielsweise die Zertifizierung nach BSI IT-Grundschutz, verlangen. Dem IT-Dienstleister fällt das meist leichter, als Spezialist sind Prozesse im Bereich IT-Sicherheit sein Kerngeschäft.

IT-DIRECTOR: Inwieweit sehen Sie Gefahren im Rahmen der Zertifizierung nach BSI IT-Grundschutz?
J. Astel:
Es darf nicht passieren, dass sich Großunternehmen mit dem Verweis auf zertifizierte Dienstleister aus der Verantwortung stehlen. Manager tragen auch nach dem Outsourcing Verantwortung, beispielsweise für die Provisionierung von Rechten, Policies im Umgang mit mobilen Endgeräten oder für die Aufsicht ihrer IT-Dienstleister. Die Zertifizierung hilft bei der Dienstleisterauswahl – im täglichen Betrieb sollte jeder Dienstleister kontrolliert werden.

Klar muss den Auftraggebern sein: Nachlässigkeiten bei der Kontrolle führen zur Mithaftung. Keiner wird gern kontrolliert, aber seriöse IT-Dienstleister werden ihre Kunden auf diese Mitverantwortung hinweisen.

 

Die Zertifizierung ISO 27001 …
… auf Basis von IT-Grundschutz bezieht sich auf die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2006 herausgegebenen Standards zum Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) und die IT-Grundschutz-Kataloge. Durch deren Gefährdungs- und Maßnahmenkataloge sind die BSI-Standards detaillierter und praxisbezogener als die ISO/IEC 27001.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok