Die Lösung für beide Herausforderungen besteht in der Zertifizierung nach (international) anerkannten Normen, deren Umsetzung und Einhaltung durch unabhängige Auditoren und eine akkreditierte Prüfungsstelle gewährleistet werden. Geht es darum, die IT-Sicherheit eines Rechenzentrums durch solch externe Prüfungskompetenzen zu kontrollieren, kommen vor allem die Normen ISO 27001 nativ sowie ISO 27001 auf Basis IT-Grundschutz infrage.
Informationssicherheit in Managementnormen
Im Bereich der Managementnormen haben sich vor allem die ISO 9001 für das Qualitätsmanagement, die ISO 14000 für das Umweltmanagement und die ISO 27001 für das Informationssicherheits-Management durchgesetzt. Diese Normen sind gewissermaßen ein „Best Practice“-Aggregat; sie fassen zusammen, was hunderte und tausende Unternehmen über Jahrzehnte erfolgreich erprobt haben. Unternehmen, die sich nach einer anerkannten Norm zertifizieren lassen, verfügen gegenüber Geschäftspartnern, aber auch gegenüber dem Gesetzgeber über einen Garanten, dass sie bewährten und anerkannten Managementmethoden folgen.
In Deutschland sind zwei Normen für Informationssicherheits-Managementsysteme (ISMS) etabliert: Einerseits eine Zertifizierung nach ISO 27001 nativ, andererseits nach ISO 27001 auf Basis IT-Grundschutz (gerne auch BSI-Grundschutz genannt). Beides sind eigentlich Managementnormen, d. h. es wird primär nicht das Ergebnis geprüft, sondern der Weg zu bzw. die Mittel für mehr Informationssicherheit. Lediglich der IT-Grundschutz macht dabei konkrete Vorgaben, welche Sicherheitsmaßnahmen umzusetzen sind und legt damit bereits ein zu erwartendes Mindestniveau fest.
So funktioniert die Norm ISO 27001 auf Basis IT-Grundschutz
Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Norm ISO 27001 auf Basis IT-Grundschutz enthält eine vorweggenommene Risikoanalyse. Mit anderen Worten: Das BSI hat für eine genannte Anzahl von typischen Gefährdungen der Unternehmens-IT bereits spezielle Gegenmaßnahmen vorgesehen und damit die aufwändige eigene Analyse durch Unternehmen vorweggenommen. Sofern eine Gefährdung grundsätzlich auf das Unternehmen zutrifft, müssen daher alle entsprechenden Schutzmaßnahmen umgesetzt werden. Auf diesem Wege definiert das BSI ein Standardgefährdungsniveau, weshalb auch von Grundschutz gesprochen wird.
Vor- & Nachteile von BSI-Grundschutz für Unternehmen
Der Vorteil einer BSI-Grundschutz-Zertifizierung für Unternehmen liegt vor allem darin, dass sie keine Risikoanalyse durchführen müssen, auf Basis derer sie selbst angemessene Sicherheitsmaßnahmen zu entwickeln haben. Lediglich wenn eine angenommene Gefährdung für das Unternehmen bzw. ein Anwendungsfall im Grundschutzkatalog des BSI (noch) nicht berücksichtigt ist, muss das Unternehmen eine ergänzende Sicherheits- und Risikoanalyse durchführen. Die Erfahrung zeigt, dass in rund 80 % der Fälle die Sicherheitsnorm bereits festlegt, was verhältnismäßig ist, vereinfacht gesagt „wie dick die Tür eines Serverraums zu sein hat“.
Der sich daraus ergebende Nachteil für Unternehmen ist die enorme Detailliertheit der Vorgaben für die Umsetzung. In der Regel kann beim BSI-Grundschutz von etwa dem zehnfachen Umsetzungsaufwand zur Erfüllung der Zertifizierungsvoraussetzungen gegenüber der Norm ISO 27001 nativ ausgegangen werden.
Für Auftraggeber, Geschäftspartner und Kunden eines nach ISO 27001 auf Basis IT-Grundschutz zertifizierten Unternehmens hat die Norm aber zugleich den großen Vorteil, dass sie nicht nur aussagt, dass überhaupt ein Informationssicherheits-Managementsystem besteht. Stattdessen definiert sie explizit, was wie im Unternehmen umgesetzt ist. So kann bei erfolgreicher Zertifizierung auch von außen eingeschätzt werden, wie etwa die Konfiguration eines Windows 2008-Servers aufgesetzt ist. Ein BSI-Grundschutz-Zertifikat hat also im Vergleich zur ISO 27001 nativ eine deutlich höhere Aussagekraft über die tatsächlich bestehende Umsetzung der technischen Sicherheitsmaßnahmen.
Eine Einschränkung der ISO 27001 auf Basis IT-Grundschutz sind die geringe internationale Bekanntheit und das Fehlen einer zentralen Akkreditierungsstelle (die Norm ist bislang nicht von der Deutschen Akkreditierungsstelle DAkks abgeleitet). So ist die Akzeptanz weitestgehend auf den deutschsprachigen Raum begrenzt. Derzeit sind in Deutschland ca. 90 Unternehmen nach ISO 27001 auf Basis IT-Grundschutz zertifiziert, während etwa 600 bis 800 Unternehmen hierzulande über ein Zertifikat nach ISO 27001 nativ verfügen (ca. 15.000 weltweit).
Wer jedoch als Unternehmen an Ausschreibungen im öffentlich-rechtlichen Bereich in Deutschland teilnehmen will, kommt oft an einem BSI-Grundschutz-Zertifikat nicht vorbei. So legt das Bundesministerium des Inneren (BMI) im Umsetzungsplan Bund 2017 für Behörden den BSI-Grundschutzkatalog als Mindestmaßstab fest. Sollen sicherheitsrelevante Informationen oder Prozesse ausgelagert werden (etwa in die Cloud), ist ein ISMS aus Basis des IT-Grundschutzes sogar vorgeschrieben.
Was sind die Bausteine im BSI IT-Grundschutzkatalog?
Zentrales Element der IT-Grundschutzkataloge sind die Bausteine. Sie werden in fünf Schichten beschrieben:
- Übergreifende Aspekte (z. B. Virenschutz, Personal)
- Infrastrukturen (z. B. Gebäude, Serverraum)
- IT-Systeme (z. B. Telefonanlagen, Handys)
- Netze (z. B. WAN, LAN, Firewall)
- Anwendungen (z. B. Software, Datenbanksysteme)
Bei einer Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz werden mindestens sieben Bausteine überprüft. Dabei enthält jeder Baustein einzelne Maßnahmen, deren korrekte Umsetzung in einem Audit kontrolliert wird. Insgesamt müssen im Audit über mehrere Tage also recht viele Fragestellungen überprüft und beantwortet werden.
BSI-Grundschutz bei Global Access
Die Rechenzentrums-Sicherheit sowie die Sicherheit des Cloud-Computings von Global Access sind bereits seit 2008 nach ISO 27001 nativ und seit 2013 zusätzlich nach ISO 27001 auf Basis IT-Grundschutz zertifiziert. Damit waren wir der erste derart zertifizierte Cloud-Anbieter in Deutschland.
Für unsere Partner und Kunden hat dies gleich mehrere Vorteile:
- Über Global Access bereitgestellte Produkte und Dienstleistungen können mit unserer IT-Sicherheit beworben werden.
- Bei der Verarbeitung von Daten im Auftrag durch Global Access entfällt in der Regel die Prüfung der technischen und organisatorischen Maßnahmen durch Auftraggeber.
- Durch Nutzung von Global Access Dienstleistungen können Unternehmen leichter selbst eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz erlangen, da unsere Dienstleistungen und die bereitgestellte Infrastruktur (z. B. Serverräume, Verkabelung) nicht weiter überprüft oder ausführlich geregelt und überwacht werden müssen. Dies bedeutet einen dramatisch verringerten Umsetzungsaufwand auf Seiten Ihres Unternehmens oder Ihrer Behörde.