Security Audit für KMU – Teil 1

IT-Sicherheit nach den Standards ISO 27001 und BSI Grundschutz

20.10.2010 | Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Hauptsache vorhanden: Ob das ISMS auf ISO 27001 oder BSI-Grundschutz aufbaut, ist letztlich kaum von Belang - idealerweise zieht man beide Standards heran.
Hauptsache vorhanden: Ob das ISMS auf ISO 27001 oder BSI-Grundschutz aufbaut, ist letztlich kaum von Belang - idealerweise zieht man beide Standards heran.

Viele kleine und mittlere Unternehmen winken beim Thema Security Audit ab. Obwohl die Notwendigkeit von regelmäßigen Überprüfungen der IT-Sicherheit unbestreitbar ist, schrecken komplizierte Standards und hohe Kosten für eine eventuelle Zertifizierung ab. Doch es gibt Wege, den Aufwand in kalkulierbarem Rahmen zu halten.

Kaum ein Manager oder IT-Leiter wird ernsthaft bezweifeln, dass regelmäßige Kontrollen der eigenen Sicherheit nötig sind. Die ständige schnelle Weiterentwicklung von Technologien und Arbeitsweisen in der IT birgt die Gefahr, dass Sicherheitslücken aufgerissen werden und Angriffspotenzial für Eindringlinge bieten. Ohne einen Prozess von permanenten Kontrollen und Verbesserungen führen diese Einfalltore zu Sicherheitsvorfällen wie Datendiebstahl oder Missbrauch von IT-Systemen.

Etablierte Standards geben Hilfestellung

Damit regelmäßig durchgeführte Security Audits nicht bei Null beginnen, ist es sinnvoll, auf etablierte Standards zu setzen. Standards haben den großen Vorteil, dass das Rad nicht mehr neu erfunden werden muss und auf wertvolle Erfahrungen anderer aufgesetzt wird.

Doch hier fangen bereits die Schwierigkeiten an. Welcher Standard soll als Vorlage und Inspirationsquelle für ein eigenes Audit genommen werden? Die Prüfung der Sicherheit ist mittlerweile zu einem florierenden Geschäftszweig für externe Berater und Auditoren geworden. Deshalb gibt es eine ganze Reihe miteinander konkurrierender Ansätze, Sicherheit zu erfassen und zu prüfen. Die Auswahl fällt schwer.

In Deutschland haben sich zwei Standards etabliert, deren Konzepte ganz unterschiedlich ansetzen. Da gibt es zum einen die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese umfassen mittlerweile fünf dicke Bände und enthalten detaillierte Vorschläge zur Absicherung aller Bereiche der IT.

Der IT-Grundschutz nach dem BSI war lange Jahre der wichtigste Standard für deutsche Unternehmen und Behörden. Allerdings stöhnen viele Auditoren über Umfang und Komplexität der Kataloge und die damit einhergehenden hohen Kosten für ein Audit. Außerdem fühlen sich besonders kleine und mittlere Unternehmen überfordert, die für eine Zertifizierung nötigen komplizierten Prozesse und Verfahrensweisen einzuführen.

Auf der anderen Seite steht der internationale Standard ISO 27001 „IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“, der als ein dünnes A4-Heft von weniger als 50 Seiten daherkommt. Die ISO 27001 wurde aus dem schon seit 1995 existierenden britischen Dokument BS 7799 abgeleitet. In diesem als „Code of practice“ bezeichneten Werk werden praktikable Hinweise gegeben, wie Sicherheit in der eigenen IT-Umgebung verankert werden kann.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2047780 / Standards)