Security Audit für KMU – Teil 1

IT-Sicherheit nach den Standards ISO 27001 und BSI Grundschutz

Seite: 2/3

Firma zum Thema

Gleiches Ziel, unterschiedliche Ansätze

Beide Standards haben grundsätzlich dasselbe Ziel. Sie definieren Sicherheit als einen Prozess der ständigen Verbesserungen, den es im Unternehmen zu verankern gilt. Dieser Prozess wird als Informationssicherheits-Managementsystem (ISMS) bezeichnet und umfasst folgende Punkte:

  • Festlegung von Leitlinie und Zielen für die Informationssicherheit
  • Festlegung und Umsetzung von Maßnahmen, mit denen Risiken bei der Informationssicherheit erfasst, verwaltet und minimiert werden
  • Überwachung und Überprüfung des ISMS
  • ständige Verbesserung des ISMS auf der Basis von objektiven Prüfungen

Historisch gesehen kamen die ersten Versionen der Grundschutz-Kataloge noch ohne ISMS aus. Dort wurde ein vergleichsweise einfacher IT-Sicherheitsprozess definiert. Das BSI, für das sich Audits und Zertifizierungen zu einem einträglichen Geschäftsmodell entwickelt haben, fürchtete allerdings den Verlust dieser Einnahmen durch das Aufkommen internationaler Standards mit ISMS und baute dieses System in die aktuellen Versionen der Kataloge ein.

Bei allen Gemeinsamkeiten gibt es aber beträchtliche Unterschiede der beiden Standards. Die Grundschutz-Kataloge basieren trotz Einbindung in unternehmensweite Sicherheitsprozesse auf einem Bottom-Up-Modell. Hier werden nach Art eines „Kochbuchs“ für sämtliche Einrichtungen der Informationstechnik ausführliche Gefährdungs- und Maßnahmenkataloge zur Beschreibung von Risiken und zu deren Minimierung angegeben. Auch ohne ISMS kann über die Umsetzung der Maßnahmen zumindest eine statische Sicherheit erreicht werden.

Ganz anders die ISO 27001. Hier fehlen sämtliche aus den Grundschutz-Katalogen bekannte Details, etwa wie der Internet Explorer von Microsoft optimal abzusichern sei. Stattdessen finden sich abstrakt formulierte Anforderungen, die erst mit Leben – also dem betrieblichen Alltag – auszufüllen sind.

Hier wird nach einem Top-Down-Modell vorgegangen. Bevor konkrete Maßnahmen zur Sicherung der IT-Struktur umgesetzt werden können, müssen diese aus den allgemeinen Anforderungen erst einmal hergeleitet werden. Dann aber hat man an ein für die eigenen Bedürfnisse optimal angepasstes System, mit dem die eigene Sicherheit auf einem aktuellen Stand gehalten wird.

Allgemeine Anforderungen vs. konkrete Maßnahmen

Ein Beispiel erläutert die Unterschiede zwischen den Standards. Zum Thema Virenschutz gibt es in der ISO 27001 die Anforderung, dass „Maßnahmen zur Erkennung, Verhinderung und Wiederherstellung zum Schutz vor Schadsoftware sowie ein angemessenes Bewusstsein der Benutzer“ umgesetzt sein müssen. Wie das genau erfolgt, bleibt der IT-Abteilung überlassen.

Die Grundschutz-Kataloge hingegen gehen unter dem Baustein „Schutz vor Schadprogrammen“ mit der Aufzählung von 16 potentiellen Gefahren wie etwa dem Verlust gespeicherter Daten und immerhin 13 zu erfüllenden Maßnahmen deutlich mehr in Details hinein. So wird auf die Nutzung von BIOS-Schutzfunktionen bei PCs und die regelmäßige Aktualisierung von Viren-Signaturen eingegangen.

Inhalt

  • Seite 1: Etablierte Standards geben Hilfestellung
  • Seite 2: Gleiches Ziel, unterschiedliche Ansätze
  • Seite 3: Konkurrenz von Zertifizierungen

(ID:2047780)