Das sieht auch Professor Paulus so. "Bei der Zertifizierung geht das BSI zu normativ vor. Das Verfahren lässt nur eine binäre Entscheidung zu." Trotz des Hinweises, dass ein Zertifizierungsverfahren nun einmal ausschließlich eine Entweder-oder-Entscheidung vorsehe – schließlich gibt es nicht "ein bisschen zertifiziert" - , zieht das BSI auch hier den Kürzeren.
Der native ISO-27001-Standard lässt durchaus einigen Spielraum beim Zertifikatsverfahren zu. Unternehmen müssen nachweisen, dass sie einen vernünftigen, sogenannten Plan-Do-Check-Act Cycle etabliert haben, jedoch in einigen Bereichen noch nicht so weit sind. "Wenn ein mittelständisches Unternehmen aufgrund seines Geschäftsmodells eine ISO-27001-Zertifizierung anstreben muss, würde ich immer nach ISO 27001 native beraten und nicht nach BSI-Grundschutz", so Blaauw.
Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg (Bild: privat).
Die Konsequenz daraus: Der BSI-Grundschutz spielt in der Praxis fast überhaupt keine Rolle. "Nur wenige Unternehmen entscheiden sich für diese Variante der Zertifizierung nach ISO 27001", sagt Gartner-Analyst Caspar. "Einen Trend, dass dies in Zukunft anders wird, kann ich nicht erkennen." Dies gelte nicht nur national, sondern auch auf der internationalen Ebene.
Hier erweist sich, nach Meinung von Professor Paulus, das enge Korsett des BSI-Grundschutzes als besonderer Nachteil. "Die internationalen Standards lassen Unternehmen viel mehr Spielraum bei der Umsetzung."
Wenig gelungene Übersetzung ins Englische
Hinzu kommt eine wenig gelungene Übersetzung des Katalogs ins Englische. Ein Beispiel: Der Begriff "Datenschutzbeauftragter" ist auch in der aktuellen Version immer noch mit "data protection officer" wiedergegeben. "Data protection heißt im Ausland aber nicht unbedingt 'personenbezogene Daten' so wie es in Deutschland in der Regel der Fall ist", gibt Caspar zu Bedenken. "Privacy Officer" wäre hier die glücklichere Übersetzung.
Dieses Problem ist dem BSI bekannt. "Wir haben als Behörde nur einen beschränkten Einfluss auf eine Korrektur", erklärt BSI-Referent Niggemann. Im europäischen Datenschutzrecht sei eben die Rede von "data protection" im Sinne von "Datenschutz" und nicht von "privacy protection". Trotzdem bleibt festzustellen, dass die aktuelle Übersetzung für die internationale Akzeptanz des BSI-Grundschutz-Katalogs nicht gerade förderlich ist.
Fazit
"Der Anspruch des BSI, Unternehmen einen nationalen und internationalen einheitlichen Standard zur Informationssicherheit zu schaffen, ist sicherlich lobens- und erstrebenswert“, sagt Professor Paulus. "Dazu muss sich das BSI aber von seiner normativen Vorgehensweise trennen." Aber dieser Schritt scheint in nächster Zeit nicht in Sicht zu sein.
Lesermeinungen zum Artikel
mit Interesse habe ich Ihren Artikel gelesen, der jedoch aus meiner Sicht und auf Grundlage meiner praktischen Erfahrung mit Zertifizierungen nach ISO 27001 auf Basis von BSI IT-Grundschutz an der Praxis weit vorbei geht.
Das von Ihnen erwähnte "Korsett des BSI" ist bei weitem nicht so eng wie Sie dies hier darstellen, da die Maßnahmenkataloge des BSI Maßnahmenempfehlungen und keine Vorschriften enthalten. Es besteht bei jeder Maßnahme die Möglichkeit eine "Entbehrlichkeitsbegründung" zu führen. Legitime Argumentation im Rahmen einer solchen Entbehrlichkeitsbegründung kann insbesondere auch ein nicht angemessenes Kosten-Nutzen-Verhältnis sein. Dies ermöglicht es KMUs nach einer kritischen Auseinandersetzung mit einer Maßnahme diese nicht zwangsweise umzusetzen, wenn das unter Berücksichtigung der Ziele, des Budgets, des Aufwandes für die Umsetzung und der Unternehmensgröße objektiv nicht sinnvoll und zielführend ist.
Weiterhin ist die Behauptung, dass sich das BSI nicht von dem aktuellen als "normativ" bezeichneten Vorgehen löst falsch. Das BSI hat durchaus erkannt, dass die Wahrnehmung von Grundschutz in der Öffentlichkeit als "komplex" und "zu aufwändig" zu bezeichnen ist. Aktuell arbeitet das BSI daher an einer Restrukturierung der Grundschutzkataloge in "primäre" und "sekundäre" Bausteine, Maßnahmen und Gefährdungen, die für den Anwender ein Fokussierung auf wesentliche Kernaspekte der Informationssicherheit ermöglicht. Zertifizierungsrelevant sind zukünftig nur noch die "primären" Maßnahmen. Bei Ihrer Recherche zu Ihrem Artikel hätte Ihnen diese Information jeder beim BSI lizenzierte ISO 27001-Auditor oder das BSI selbst bereit stellen können.
Weiterhin möchte ich Ihre Behauptung BSI IT-Grundschutz sei für KMUs nicht geeignet / realisierbar mit einem konkreten Beispiel widerlegen. Ich persönlich habe beratend ein Unternehmen mit weniger als 20 Mitarbeitern bis zur Zertifizierung ihres ISMS durch das BSI begleitet. Gern stelle ich Ihnen hierzu auch die Zertifikat-Nummer bereit.
Mit freundlichen Grüßen,
Knut Haufe,
CISA | CISM | CISSP | ISO 27001 Auditor (TÜV und BSI)
Mir ist aufgefallen, dass das BSI in Ihrer Darstellung nur wenig Platz erhalten hat. Bei den anderen zitierten Protagonisten kann man Zweifel bekommen, inwieweit diese tatsächlich praktische Erfahrung mit Grundschutzzertifizierungen besitzen. Die Aussage von Herrn Caspar, dass Grundschutz in der Praxis kaum eine Rolle spielt, ist - wie ausgeführt - nicht korrekt. Meine Erfahrung in den letzten zwei Jahren war, dass die Mehrzahl der zertifizierten KMUs auch die Rezertifizierung mit dem BSI als Zertifizierungsstelle durchgeführt haben. Die Statements von Herrn Blauuw verwundern, wo er doch selbst an den IT-Grundschutzkatalogen mitwirkt.
ich vermisse in Ihren Artikel die kritische Auseinandersetzung mit der in der Praxis tatsächlich umgesetzten Sicherheit bei den Wirtschaftsunternehmen. Die Sicherheitsprobleme sind enorm. Das hat gerade auch der Confiker-Vorfall gezeigt, von dem gerade die Unternehmen betroffen waren. Die aktuelle Sicherheitslücke im IE zeigt, wie anfällig die IT heute ist und wie leicht die vielen Schwachstellen auch für Wirtschaftsspionage (und nicht nur in den USA) genutzt werden. Die Verfassungsschutzämter warnen gerade auch den deutschen Mittelstand schon seit längerem vor Wirtschaftsspionage und empfehlen, mehr in die IT-Sicherheit zu investieren, damit ihre Investitionen und ihr Know-How geschützt sind. Gerade bei KMUs kann Wirtschaftsspionage zur Insolvenz führen.
Die Umsetzung von Sicherheit ist aufwändig, aber auch notwendig. Gerade der IT-Grundschutz stellt ein erprobtes Mittel dar, für ausreichende Sicherheit zu sorgen. Ich habe sehr gute Erfahrungen damit sammeln können.
Unterstützt wird der IT-GS übrigens im Bereich der Internetsicherheit durch die neue Internetsicherheits-Reihe (ISi-Reihe) des BSI. Diese hilft insbesondere bei einer grundschutzkonformen Konzeption und Umsetzung der Sicherheitsmaßnahmen (siehe auch www.isi-reihe.de/...).
hs