Mit seiner Kritik ist Blaauw nicht alleine. Als zu detailliert und zu komplex bezeichnet auch Carsten Casper, Research Director Security & Privacy beim Analystenhaus Gartner, den BSI-Grundschutz: „Für öffentliche Behörden ist das ein hervorragender Standard – für KMUs ist er eher ungeeignet.“
Auch Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg, zweifelt an der Umsetzbarkeit des IT-Grundschutzes in KMUs. „Ein Mittelständler hat bereits einige Systeme im Einsatz. Dafür gibt es gemäß BSI eine ganze Reihe festgelegter Maßnahmen. Das kann ein Mittelständler finanziell und personell nicht bewältigen.“
Harald Niggemann, Referent für IT-Sicherheitsmanagement und IT-Grundschutz beim BSI (Bild: BSI).
Harald Niggemann, Referent für IT-Sicherheitsmanagement und IT-Grundschutz beim BSI, will die Kritik so nicht stehen lassen: „Die Umsetzung des IT-Grundschutzes ist sicherlich keine Kleinigkeit. Dies gilt jedoch nicht nur für den IT-Grundschutz, sondern für jeden Standard, der einen ganzheitlichen Ansatz verfolgt und sich nicht auf kleinere Teilaspekte beschränkt.“ Komplex sei nicht nur der IT-Grundschutz, sondern Informationssicherheit an sich. Das ist ohne Frage eine richtige Feststellung, dennoch wehrt sie den Kern der Kritik nicht ab.
Grundsätzlich müssen Unternehmen nicht nach BSI-Grundschutz vorgehen, wenn sie eine angemessene Informationssicherheit anstreben. Sie müssen sich auch nicht nach dem BSI-Grundschutz richten, wenn sie eine Zertifizierung nach ISO 27001 anstreben, falls ihr Geschäftsmodell eine solche zwingend erfordert.
„Wer sich also für die ISO 27001 nach BSI-Grundschutz-Zertifizierung entscheidet, hat beim Zertifizierungsverfahren nur die Wahl zwischen ganz oder gar nicht“, sagt Sicherheitsexperte Blaauw. „Unternehmen haben keine Chance, die Zertifizierung zu bekommen, wenn sie die entsprechenden Maßnahmen nicht im vollen Umfang umgesetzt haben.“
Neueste Kommentare
6 Kommentare zu BSI-Grundschutz: zu komplex, zu aufwändig, zu deutsch
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Gegendarstellung aus der Praxis
Sehr geehrter Autor,
mit Interesse habe ich Ihren Artikel gelesen, der jedoch aus meiner Sicht und auf Grundlage meiner praktischen Erfahrung mit Zertifizierungen nach ISO 27001 auf Basis von BSI IT-Grundschutz an der Praxis weit vorbei geht.
Das von Ihnen erwähnte „Korsett des BSI“ ist bei weitem nicht so eng wie Sie dies hier darstellen, da die Maßnahmenkataloge des BSI Maßnahmenempfehlungen und keine Vorschriften enthalten. Es besteht bei jeder Maßnahme die Möglichkeit eine „Entbehrlichkeitsbegründung“ zu führen. Legitime Argumentation im Rahmen einer solchen Entbehrlichkeitsbegründung kann insbesondere auch ein nicht angemessenes Kosten-Nutzen-Verhältnis sein. Dies ermöglicht es KMUs nach einer kritischen Auseinandersetzung mit einer Maßnahme diese nicht zwangsweise umzusetzen, wenn das unter Berücksichtigung der Ziele, des Budgets, des Aufwandes für die Umsetzung und der Unternehmensgröße objektiv nicht sinnvoll und zielführend ist.
Weiterhin ist die Behauptung, dass sich das BSI nicht von dem aktuellen als „normativ“ bezeichneten Vorgehen löst falsch. Das BSI hat durchaus erkannt, dass die Wahrnehmung von Grundschutz in der Öffentlichkeit als „komplex“ und „zu aufwändig“ zu bezeichnen ist. Aktuell arbeitet das BSI daher an einer Restrukturierung der Grundschutzkataloge in „primäre“ und „sekundäre“ Bausteine, Maßnahmen und Gefährdungen, die für den Anwender ein Fokussierung auf wesentliche Kernaspekte der Informationssicherheit ermöglicht. Zertifizierungsrelevant sind zukünftig nur noch die „primären“ Maßnahmen. Bei Ihrer Recherche zu Ihrem Artikel hätte Ihnen diese Information jeder beim BSI lizenzierte ISO 27001-Auditor oder das BSI selbst bereit stellen können.
Weiterhin möchte ich Ihre Behauptung BSI IT-Grundschutz sei für KMUs nicht geeignet / realisierbar mit einem konkreten Beispiel widerlegen. Ich persönlich habe beratend ein Unternehmen mit weniger als 20 Mitarbeitern bis zur Zertifizierung ihres ISMS durch das BSI begleitet. Gern stelle ich Ihnen hierzu auch die Zertifikat-Nummer bereit.
Mit freundlichen Grüßen,
Knut Haufe,
CISA | CISM | CISSP | ISO 27001 Auditor (TÜV und BSI)
AW: Gegendarstellung aus der Praxis
Vielen Dank für den Hinweis zum „Korsett“ und der Entbehrlichkeitsbegründung. Viele „alte Hasen“ wussten diesen Sachverhalt eventuell noch nicht – so wie ich auch.
An der Realität vorbei
Mit Verwunderung habe ich Ihren Artikel gelesen. Ich bin seit einigen Jahren mit Zertifizierungsprojekten gemäß IT-Grundschutz aktiv befasst. Bei der Mehrheit der Zertifizierungsprojekte waren KMU die Antragsteller. Die Mandanten bekommen von mir immer beide Varianten zur ISO-27001-Zertifizierung vorgestellt: Antragstellung beim BSI oder Antragstellung bei einer privatwirtschaftlichen Zertifizierungsstelle. Meistens hat sich die Organisation für die Zertifizierung nach dem Prüfschema des BSI entschieden.
Mir ist aufgefallen, dass das BSI in Ihrer Darstellung nur wenig Platz erhalten hat. Bei den anderen zitierten Protagonisten kann man Zweifel bekommen, inwieweit diese tatsächlich praktische Erfahrung mit Grundschutzzertifizierungen besitzen. Die Aussage von Herrn Caspar, dass Grundschutz in der Praxis kaum eine Rolle spielt, ist – wie ausgeführt – nicht korrekt. Meine Erfahrung in den letzten zwei Jahren war, dass die Mehrzahl der zertifizierten KMUs auch die Rezertifizierung mit dem BSI als Zertifizierungsstelle durchgeführt haben. Die Statements von Herrn Blauuw verwundern, wo er doch selbst an den IT-Grundschutzkatalogen mitwirkt.
AW: An der Realität vorbei
Im Oktober 2010 sind 40 BSI-GS-Zertifikate veröffentlicht. Dem gegenüber stehen ca. 140 ISO 27001 Zertifizierungen in Deutschland (September 2010 zu Oktober 2010 plus 1 ISO-Zertifikat). Berücksichtigt man, dass der BSI-GS mehr oder weniger nur in Deutschland anerkannt wird, sind 40 Zertifizierungen enorm und zeigen, dass der BSI-GS in Deutschland sehr wohl eine wesentliche (!) Rolle spielt.
Unternehmen setzen zu wenig Sicherheit um
Lieber Autor,
ich vermisse in Ihren Artikel die kritische Auseinandersetzung mit der in der Praxis tatsächlich umgesetzten Sicherheit bei den Wirtschaftsunternehmen. Die Sicherheitsprobleme sind enorm. Das hat gerade auch der Confiker-Vorfall gezeigt, von dem gerade die Unternehmen betroffen waren. Die aktuelle Sicherheitslücke im IE zeigt, wie anfällig die IT heute ist und wie leicht die vielen Schwachstellen auch für Wirtschaftsspionage (und nicht nur in den USA) genutzt werden. Die Verfassungsschutzämter warnen gerade auch den deutschen Mittelstand schon seit längerem vor Wirtschaftsspionage und empfehlen, mehr in die IT-Sicherheit zu investieren, damit ihre Investitionen und ihr Know-How geschützt sind. Gerade bei KMUs kann Wirtschaftsspionage zur Insolvenz führen.
Die Umsetzung von Sicherheit ist aufwändig, aber auch notwendig. Gerade der IT-Grundschutz stellt ein erprobtes Mittel dar, für ausreichende Sicherheit zu sorgen. Ich habe sehr gute Erfahrungen damit sammeln können.
Unterstützt wird der IT-GS übrigens im Bereich der Internetsicherheit durch die neue Internetsicherheits-Reihe (ISi-Reihe) des BSI. Diese hilft insbesondere bei einer grundschutzkonformen Konzeption und Umsetzung der Sicherheitsmaßnahmen (siehe auch http://www.isi-reihe.de).
hs
Ich kann die Kritik nur unterstreichen. Der Aufwand für eine Grundschutz-Zertifizierung ist (hier in Österreich) sogar so manchen großen Unternehmen zu viel. Die Alternative die wir dabei immer wieder wahrnehmen ist eine „einfache“ Zertifizierung nach ISO 27001 unabhängig von BSI IT-Grundschutz. Wobei schon anzumerken ist, als Nachschlagewerk und Orientierung wird BSI IT-Grundschutz auch von uns immer wieder empfohlen. Eine Zertifizierung nach ISO 27001 reicht aber den Unternehmen meist aus. Wir haben hier http://www.iso-27001.at/bsi-it-grundschutz-vs-iso-27001/ auch mal versucht eine Zusammenfassung der wesentlichen Unterschiede von BSI IT Grundschutz und ISO 27001 Zertifizierung übersichtlich darzustellen.