Welche Zertifizierung zu welchem Unternehmen passt

IT-Sicherheit

IT-Sicherheit für den Mittelstand: Besser nach ISO/IEC 27001 oder IT-Grundschutz zertifizieren?

Energieversorger und Gemeindewerke haben hier keine Wahl – für Sie formuliert die Bundesnetzagentur mit dem aktuellen IT-Sicherheitskatalog detaillierte Vorgaben. Gleichzeitig ergreifen viele Unternehmen selbst die Initiative, um sich in Haftungsfragen abzusichern oder um Kunden proaktiv damit zu werben, dass Kommunikationsdaten und Finanztransaktionen bei ihnen in guten Händen sind. Alle diese Anbieter haben die Option, eine Zertifizierung nach ISO/IEC 27001 oder IT-Grundschutz durchzuführen. Beide Standards stehen für ein hohes, rechtlich anerkanntes Sicherheitsniveau und sind hierin, nach Aussage des BSI (Bundesamt für Informationssicherheit), gleichwertig. Betriebswirtschaftlich gilt das nicht: hinsichtlich Zukunftsfähigkeit, Praktikabilität sowie Zertifizierungs- und Folgekosten unterscheiden sich beide Verfahren erheblich. Gerade für den Mittelstand lohnt daher ein Vergleich.

IT-Grundschutz: detaillierte Vorgaben, strikt geführte Umsetzung
Vom BSI entwickelt, ist der IT-Grundschutz auf inzwischen ca. 4.000 Seiten festgeschrieben. Umfangreiche Kataloge formulieren präzise Vorgaben, während die Umsetzung anhand von über 1.000 definierten Maßnahmen erfolgt. Die Vorgehensweise ist damit klar fixiert: Eindeutige Handlungsanleitungen führen Unternehmen sicher durch die Norm – aber lassen kaum Spielraum in der Anpassung an eigene Anforderungen. Das macht IT-Grundschutz zu einem statischen Korsett mit einem Aufgaben-Pensum, das die finanziellen und personellen Ressourcen des Mittelstands stark belasten kann.

Dabei ist der Standard international nahezu unbekannt, also für exportorientierte oder weltweit operierende Unternehmen kaum geeignet. Zulieferer, die Herstellerforderungen zuvorkommen und sich vorab qualifizieren wollen, gehen daher mit IT-Grundschutz in die falsche Richtung. Das bestätigt auch ein Blick auf die Automobilhersteller, die zur Partner-Zertifizierung zumeist auf ISO/IEC 27001-basierte Verfahren setzen. Diese Präferenz hat ihren Grund auch darin, dass IT-Grundschutz ein eher träges System ist – vor allem bei der Berücksichtigung moderner Technologien. Hier erweisen sich die umfassenden Grundschutzkataloge zugleich als Stärke und Schwäche. Sie bündeln viel Expertenwissen, hinken mit ihrem hohen Erstellungsaufwand aber den aktuellen Entwicklungen teilweise um Jahre hinterher.

Im Vergleich dazu ist eine allgemein gehaltene und flexible Zertifizierung nach ISO/IEC 27001 besser geeignet, um aktuelle Technologien gegen neue Risiken zu wappnen. Die Bundesnetzagentur, Kunden und Auftraggeber schätzen dies ähnlich ein. Damit rückt die internationale ISO/IEC 27001-Norm zunehmend in den Fokus.

ISO/IEC 27001 – internationale Norm mit Flexibilität in der Umsetzung
ISO/IEC 27001 ist ein weltweit anerkannter Standard. Dabei ist die Norm mit rund 32 Seiten relativ knapp gehalten. Hier wird gar nicht der Versuch unternommen, alle Technologien und Maßnahmen im Detail zu beschreiben – ein solches Vorgehen wäre angesichts des hohen Veränderungstempos in der IT einfach zu langsam. Stattdessen stellt ISO/IEC 27001 die Implementierung von Prozessen in den Mittelpunkt: Sie müssen so ausgestaltet werden, dass Unternehmen beispielsweise Updates oder Infrastrukturerweiterungen nahtlos in ihr Sicherheitsmanagement einbeziehen können. Ziel ist eine elastische Gefahrenabwehr, die zum Beispiel IT-Innovationen direkt abdeckt und mit einbezieht.

Während der Hauptteil grundsätzliche Anforderungen an die Organisation, Prozesse und Dokumente formuliert, umfasst der Anhang A insgesamt 114 Controls beziehungsweise Maßnahmenziele für Infrastruktur, Technik, Prozesse und Dokumente. Die Anforderungen sind bewusst so gefasst, dass Unternehmen Spielräume zur individuellen ISMS-Ausgestaltung gewinnen. Dafür liefern die zugehörenden Normen 27002 ff. praktische Hilfen, ohne dass diese für eine Zertifizierung verpflichtend wären. Anders als beim eher formalistischen IT-Grundschutz, liegt es hier in der Hand des Nutzers, seine Sicherheitsziele festzulegen. ISO/IEC 27001 verlangt daher echtes Engagement bei der Entwicklung eigener Strategien. Dafür kann das Vorgehen flexibel an das jeweilige Unternehmen angepasst werden.

Das zeigt sich exemplarisch in der Methodik für das Risikomanagement. Der ISO/IEC 27001-Standard stellt die Beschreibung für die Durchführung an den Anfang. Im nächsten Schritt folgt eine Analyse und Bewertung der Risiken, um daraus die passenden Sicherheitsmaßnahmen abzuleiten. Die Vorgehensweise nach BSI-Grundschutz weicht davon deutlich ab: Hier ermittelt das GSTOOL des BSI anhand der Grundschutzkataloge die Gefährdungen sowie die erforderlichen Maßnahmen, um eine Zertifizierung zu bestehen. Während hier eine „Analyse-Mechanik“ Aktionen konkret und inhaltlich vorgibt, zielt ISO/IEC 27001 auf die Einrichtung effektiver Verfahren, um auch neuartige Bedrohungen frühzeitig erkennen und bekämpfen zu können. Im Fokus steht ein individuelles Sicherheitsmanagement. Dazu gehört auch die eigenverantwortliche Abwägung zwischen dem Implementierungsaufwand für Abwehrmaßnahmen und dem tatsächlichen Risiko, also der Schadenshöhe und Eintrittswahrscheinlichkeit von Angriffen. Das macht es Mittelständlern deutlich einfacher, ein adäquates Sicherheitsniveau mit vertretbaren Kosten zu erreichen.

Generell trägt der flexible Zuschnitt der ISO/IEC 27001-Norm den jeweils verfügbaren Ressourcen stärker Rechnung. Verglichen mit IT-Grundschutz, kann der Mittelstand den Zeit- und Kostenaufwand für die Zertifizierung (Vorbereitung und Durchführung) zumeist halbieren. Zudem stärkt die Norm die Eigeninitiative und Unternehmensverantwortung für Sicherheit: Den erweiterten Gestaltungsrahmen können Anwender dann für sich nutzen, indem sie ihr ISMS auch unter organisatorischen und betriebswirtschaftlichen Aspekten (z.B. Handhabbarkeit oder Betriebskosten) optimieren.

Indirekt verschafft die ISO/IEC 27001-Norm Unternehmen einen weiteren starken Vorteil – denn mit dem geforderten ISMS-Aufbau treten Systeme und Infrastrukturen genauer in den Blick. Das eröffnet Anwendern die Chance, IT-Prozesse sowie die damit verbundenen Wertschöpfungsketten und Arbeitsabläufe zu bereinigen. Die Straffung der Abläufe ist zunächst ein Schritt zu Transparenz und Sicherheit in der Datenverarbeitung. Gleichzeitig kann die Optimierung der Prozesse einen wichtigen Beitrag zur Erhöhung von Produktivität und Kosteneffizienz leisten.

Vor diesem Hintergrund entscheiden sich die meisten Unternehmen für eine ISO/IEC 27001-Zertifizierung. Dennoch sollten Mittelständler die im IT-Grundschutz hinterlegte Expertise nicht außer Acht lassen. Es gilt vielmehr, die Vorteile beider Welten zu nutzen.

Die Stärken von ISO/IEC 27001-Norm und IT-Grundschutz kombinieren

Für den ISMS-Aufbau ist eine reine ISO/IEC 27001-Vorgehensweise empfehlenswert. Dennoch beweist der IT-Grundschutz nach wie vor seinen hohen Wert bei der Vorbereitung auf die Zertifizierung: So lassen sich zum Beispiel mithilfe von Grundschutzkatalogen und GSTOOL schnell nützliche Risikolisten erstellen. Ebenso beschleunigt der Einsatz des umfangreichen Beispiel- und Maßnahmenbestands die Implementierung eines validen ISMS.

 

ISO/IEC 27001

IT-Grundschutz

Vollständige Risikoanalyse erforderlich

Risikoanalyse entfällt im Normalfall

32 Seiten verpflichtend, ca. 250 Seiten optional
114 Controls

> 4000 Seiten incl. Grundschutzkataloge,
> 1000 Maßnahmen

Allgemeine Vorgaben

Konkrete Vorgaben und Maßnahmen

Flexibel anpassbar

Umfangreich, gründlich aber relativ starr

Geringerer Aufwand, vor allem für KMU

Deutlich mehr Aufwand für Vorbereitung & Zertifizierung

Internationale Anerkennung

Nur nationale Relevanz

 

Fazit
Der formalistische IT-Grundschutz hat seine Stärken bei der Sicherheit von Behörden. Kleine und mittlere Unternehmen fahren dagegen besser mit einer ISO/IEC 27001-Zertifizierung, weil sich das Vorgehen enger an eigene Bedürfnisse und Gegebenheiten anpassen lässt. Zudem ist der nationale IT-Grundschutz zu eng gefasst für Mittelständler, die beispielsweise als Zulieferer für internationale Konzerne tätig sind. Dennoch kann die im IT-Grundschutz aufgespeicherte Sicherheitsexpertise wertvolle Inhalte für die ISO/IEC 27001-Methodik liefern.

Weitere Artikel