Im Dickicht der IT-Zertifizierungen, Teil 1

Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit

20.09.2011 | Autor / Redakteur: Manuela Reiss und Marco Sportelli / Stephan Augsten

Ein Unternehmen, das IT-Systeme und -Produkte zertifizieren lässt, schafft Transparenz und Vertrauen.
Ein Unternehmen, das IT-Systeme und -Produkte zertifizieren lässt, schafft Transparenz und Vertrauen.

Möchte man sich als Einzelperson oder als Unternehmen im Bereich IT-Sicherheit zertifizieren lassen, wird man schnell feststellen, dass es eine kaum zu überblickende Anzahl an Möglichkeiten gibt. Mit dieser Beitragsreihe helfen wir Ihnen, sich im Dschungel der Sicherheitszertifizierungen zurechtzufinden.

Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierung sind in den letzten Jahren zahlreiche Standards und Normen zur IT-Sicherheit entstanden. Allein die Suche nach personenbezogenen IT-Sicherheitszertifizierungen liefert bei Wikipedia 26 verschiedene Möglichkeiten – und dabei sind viele herstellerspezifische Zertifizierungen noch gar nicht berücksichtigt.

In mehreren Beiträgen werden wir Ihnen die wichtigsten Zertifizierungen vorstellen und Unterschiede erläutern. Vor allem aber wollen wir darstellen, welchen Nutzen eine solche Zertifizierung bringt und für wen sie geeignet ist. Einen Einstieg bietet der nachstehende Beitrag, in dem wir Ihnen die verschiedenen Zertifizierungsarten und die gängigsten Zertifizierungen im Überblick vorstellen.

IT-Systeme oder -Produkte zertifizieren

Fragt man Unternehmen in Deutschland welche Sicherheitszertifizierung sie entweder schon haben oder aber planen, so wird an erster Stelle die Zertifizierung nach ISO 27001 genannt. Dies liegt sicherlich auch daran, dass der ISO-Standard als erster internationaler Standard zum IT-Sicherheitsmanage¬ment eine Zertifizierung ermöglichte.

ISO 27001 wurde aus dem britischen Standard BS 7799-2:2002 entwickelt und im Oktober 2005 erstmals als internationale Norm veröffentlicht: Der lange Titel lautet auch „Information Technology - Security Techniques - Information Security Management Systems Requirements Specification“. Ziel ist es, Unternehmen bei der Definition ihrer Anforderungen für die Implementierung von geeigneten IT-Sicherheitsmechanismen sowie beim Aufbau eines dokumentierten ISMS (Information Security Management System) zu unterstützen.

Eine zunehmende Bedeutung hat der ISO-Standard 27001 mit der Einführung der IT-Grundschutz-Zertifizierung erfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit Januar 2006 die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an. Hierüber kann nachgewiesen werden, dass die IT-Infrastruktur eines Unternehmens die wesentlichen Anforderungen der ISO 27001 erfüllt. Wichtig ist dabei, dass die Anforderugnen unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und gegebenenfalls einer ergänzenden Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden.

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu dessen Aufgaben gehören eine Sichtung der erforderlichen Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports.

Gründe für Unternehmenszertifizierungen

Bei den beiden genannten Zertifizierungen werden die IT-Systeme bzw. die Sicherheitsmanagement-Prozesse eines Unternehmens bewertet. Daneben gibt es noch eine Reihe von Produktzertifizierungen (siehe Bild 1 der Bildergalerie). Ziel von Produktzertifizierungen ist es, eine objektive Bewertung der Sicherheit der bewerteten IT-Produkte von einer neutralen Instanz (im Gegensatz zur Herstellererklärung) zu ermöglichen und die Anwender bei der Auswahl eines geeigneten IT-Produkts zu unterstützen. Gleichsam bildet die Zertifizierung einen Maßstab für den Vergleich der Sicherheitseigenschaften von IT-Produkten.

IT-Produkte, deren Sicherheit beispielsweise auf Basis der Common Criteria (CC) durch die zuständige nationale Behörde geprüft wurde, können ein international anerkanntes Sicherheitszertifikat erhalten. Die Common Criteria sind ein international anerkannter Standard zur Zertifizierung von Hardware und Software-Produkten. Ziel ist der Nachweis, dass die Sicherheitsanforderungen eines IT-Produktes oder IT-Systems vollständig und korrekt realisiert worden sind. Insbesondere wird nachgewiesen, dass die Sicherheitsfunktionen nicht durch Schwachstellen umgehbar sind.

Auf europäischer Ebene ist eine Zertifizierung im Rahmen der „Information Technology Security Evaluation Criteria – ITSEC“. Die Produkt-Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines IT-Produkts nach den festgelegten IT-Sicherheitskriterien auf Basis des Evaluationshandbuchs „Information Technology Security Evaluation Methodology (ITSEM).

Seite 2: Personen zertifizieren lassen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052904 / Standards)