Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 3

IT-Grundschutz nach BSI auf Basis von ISO 27001

| Autor / Redakteur: Manuela Reiss, Marco Sportelli / Peter Schmitz

In den IT-Grundschutz-Katalogen erläutert das BSI grundlegende IT-Security-Maßnahmen.
In den IT-Grundschutz-Katalogen erläutert das BSI grundlegende IT-Security-Maßnahmen. (Bild: BSI)

IT-Sicherheit ist notwendig – aber wie viel Sicherheit ist erforderlich? Bei der Beantwortung dieser Frage hilft seit geraumer Zeit der vom BSI formulierte IT-Grundschutz.

Um Unternehmen bei der Beantwortung der Frage zu helfen, wie viel Schutz eigentlich notwendig ist, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 1994 das erste IT-Grundschutzhandbuch veröffentlicht. Mittlerweile sind daraus die Grundschutzkataloge erwachsen, die durch die BSI-Standards ergänzt werden und an der ISO Norm 27001 ausgerichtet sind.

Die Idee von IT-Grundschutz aber ist immer noch die gleiche: Typische IT-Komponenten und Abläufe sind überall ähnlich. Diese unterliegen typischen Gefährdungen, Schwachstellen und Risiken. Ziel von IT-Grundschutz ist es, durch eine geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist.

Die Vereinfachung liegt vor allem im Verzicht auf eine detaillierte initiale Risikoanalyse. Seit 2006 können Unternehmen ihre IT vom BSI nach ISO 27001 auf der Basis von IT-Grundschutz zertifizieren lassen. Doch lohnt eine solche Zertifizierung und wie viel Aufwand ist dafür erforderlich? Diese und weitere Fragen beantwortet der nachstehende Beitrag.

Welchen Nutzen bringt eine Zertifizierung?

Eine IT-Grundschutz-Zertifizierung schließt immer eine Zertifizierung nach ISO 27001 ein. Damit bietet sich Unternehmen grundsätzlich die Möglichkeit, ihre Kompetenz im Bereich Informationssicherheit nach außen hin transparent zu machen.

Darüber hinaus stellt die ISO 27001 als international anerkannter Standard ein wichtiges Instrument zum Nachweis der Einhaltung von nationalen und international gesetzlichen Anforderungen sowie von Vorgaben durch Kunden, Dienstleister, Auftraggeber, Aufsichtsbehörden oder Banken dar.

Hierzu zählen nicht nur gesetzliche Regeln wie SOX, Basel II und MaRisk, sondern auch eine Reihe nationaler Vorschriften, die ein ISMS (Information Security Management System) fordern. Vornehmlich sind hier das Produkthaftungsgesetz oder das Telemediengesetz zu nennen, siehe auch den Artikel „ISO 27001 – International anerkannte ISMS-Zertifizierung“

Zu beachten ist jedoch, dass die ISO 27001 zwar die Elemente eines ISMS definiert, es jedoch dem Unternehmen überlässt, detaillierte Prozesse und Einzelmaßnahmen auszuwählen. Bei einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz wird für das zu zertifizierende System auch die konkrete Umsetzung von Sicherheitsmaßnahmen auf der Basis von IT-Grundschutz geprüft, was die Aussagekraft eines solchen Zertifikats deutlich erweitert.

Wer führt die Zertifizierung durch?

Eine Zertifizierung auf der Basis von IT-Grundschutz kann nur durch einen lizenzierten Auditor durchgeführt werden, der persönlich beim BSI registriert ist. Auf seiner Website veröffentlich das BSI regelmäßig eine aktualisierte Liste aller lizensierten Auditoren.

Bei den vom BSI anerkannten Auditoren ist zu unterscheiden, ob sie Audits für das ISO-27001-Zertifikat erstellen dürfen oder ob sie sich auf IT-Grundschutzzertifikate beschränken müssen. Zwar vergibt das BSI seit 2006 nur noch Berechtigungen für die Durchführung von IT-Grundschutz-Audits auf der Basis von ISO 27001. Einige der bereits vor 2006 lizenzierten Auditoren erfüllen die ISO 27001-Zertifikatsbegleitung auf der Basis von IT-Grundschutz jedoch nicht.

Welche Nachweise sind erforderlich?

Die Überprüfung umfasst sowohl eine Dokumentenprüfung, als auch eine Umset-zungsprüfung der erforderlichen IT-Sicherheitsmaßnahmen vor Ort. Hierbei wird die in den BSI-Standards beschriebene Vorgehensweise zur Implementierung eines ISMS und die Anwendung der in den IT-Grundschutz-Katalogen empfohlenen Maßnahmen geprüft.

Als Nachweis diesen die gemäß Zertifizierungsschema zu erstellenden Referenzdokumente. Hierzu zählen:

  • Richtlinien für Informationssicherheit (A.0)
  • Strukturanalyse (A.1)
  • Schutzbedarfsfeststellung (A.2)
  • Modellierung des Informationsverbunds (A.3)
  • Ergebnis des Basis-Sicherheitschecks (A.4)
  • Ergänzende Sicherheitsanalyse (A.5)
  • Risikoanalyse (A.6)
  • Risikobehandlungsplan (A.7)

Besonderes Gewicht wird der Einbeziehung der Geschäftsführung in den Sicherheitsprozess und der Schaffung organisatorischer Rahmenbedingungen beigemessen. Aus diesem Grund müssen mindestens folgende Richtlinien dokumentiert sein:

  • Sicherheitsleitlinie
  • Richtlinie zur Risikoanalyse
  • Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
  • Richtlinie zur internen ISMS-Auditierung (Auditierung des Managementsystems für Informationssicherheit)
  • Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Hinsichtlich der Dokumentation ist zu beachten, dass Dokumente geordnet abgelegt werden, Änderungen kontrolliert erfolgen und zeitnah den betroffenen Personen kommuniziert werden. Zusätzliche Informationen zur geforderten Dokumentation liefert das vom BSI bereitgestellte Dokument Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz.

Nach Abschluss der Prüfung erstellt der Auditor einen Auditbericht und reicht diesen zur Überprüfung und Abnahme beim BSI ein, das über die Erteilung des Zertifikats entscheidet.

Wie viel Aufwand erfordert die Zertifizierung?

Die Umsetzung der Maßnahme aus den Grundschutzkataloge und die Erstellung der geforderten Dokumente erfordert einen erheblichen finanziellen und personellen Aufwand, der bedeutend höher ist, als bei einer nativen ISO 27001-Zertifizierung. Hierzu trägt auch bei, dass es bisher nur wenig Freiheitsgrade hinsichtlich der Umsetzung der geforderten Maßnahmen gab.

Mit der im November 2011 erschienenen 12. Ergänzungslieferung der IT-Grundschutzkataloge hat das BSI auf die zunehmende Komplexität reagiert und den zusätzlichen Katalog „Elementare Gefährdungen“ eingeführt. Zukünftig plant das BSI zwischen elementaren, d.h. zertifizierungsrelevanten und vertiefenden Bausteinen zu unterschieden, was die Zertifizierungsanforderungen reduzieren soll.

Update 23.04.2014: Auch mit der 13. Ergänzungslieferung der IT-Grundschutzkataloge von 2013 gab es keine Trennung in elementare und vertiefende Bausteine und nach derzeitigem Stand wird es sie auch in der 14. Ergänzung nicht geben. Das BSI plant allerdings im Laufe des Jahres 2014 erste Gespräche zur Neuausrichtung des IT-Grundschutz zu führen. Erste Ergebnisse des Projekts mit dem Arbeitstitel IT-Grundschutz+ soll es bis Ende 2014 geben. Ende Update.

Außerdem bietet das BSI Vorstufen des eigentlichen ISO-27001-Zertifikates an, um Behörden und Unternehmen eine schrittweise Umsetzung zu ermöglichen. Abhängig davon, welche Maßnahmen bereits umgesetzt wurden, können zwei Arten von Auditor-Testaten ausgestellt werden:

  • Das Auditor-Testat "Einstiegsstufe" kann nach Umsetzung der unabdingbaren Standard-Sicherheitsmaßnahmen des IT-Grundschutzes erteilt werden (Umsetzung aller Maßnahmen der Stufe A),
  • Das Auditor-Testat "Aufbaustufe" kann nach Umsetzung der wichtigsten Standard-Sicherheitsmaßnahmen erteilt werden (Umsetzung aller Maßnahmen der Stufe A und B).

Für beide Qualifizierungsstufen ist ebenfalls eine Prüfung durch einen vom BSI zertifizierten Auditor erforderlich.

Zertifizierung aufrecht erhalten

Das Zertifikat hat eine Gültigkeit von zwei Jahren. Nach Ablauf dieser zwei Jahre ist eine Re-Zertifizierung notwendig. Bei größeren Änderungen innerhalb der Organisation (wie Outsourcing, Standortwechsel etc.) ist dem BSI die Änderungen schriftlich mitzuteilen.

Das BSI entscheidet darüber, ob eine vorzeitige Re-Zertifizierung notwendig ist. Diese Testate sind zwei Jahre gültig und können, da sie Vorstufen zum Zertifikat sind, nicht verlängert werden. Eine Re-Qualifizierung ist nur auf eine höhere Stufe möglich.

Der IT-Grundschutz wird modernisiert

Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Der IT-Grundschutz wird modernisiert

03.10.17 - Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen? lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 30994010 / Compliance und Datenschutz )