BSI-Grundschutz: zu komplex, zu aufwändig, zu deutsch

(http://www.zdnet.de/magazin/41525300/bsi-grundschutz-zu-komplex-zu-aufwaendig-zu-deutsch.htm)

von Markus Reppner, 11. Januar 2010

Auch Unternehmen sollen vom IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) profitieren. Dessen Ziel ist eine Zertifizierung nach ISO 27001. Ist es jedoch für KMUs überhaupt erreichbar?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI[1]) beschreibt seine IT-Grundschutz[2]-Kataloge als "die Basis für Informationssicherheit". Da Institutionen in Wirtschaft und Verwaltung vom dem einwandfreien Funktionieren der eingesetzten IT abhängig seien, gleichzeitig aber Gefährdungspotenziale vielfältiger und zahlreicher würden, sollten sie die Fragen beantworten, wie sich, wo und mit welchen Mitteln mehr Sicherheit erreichen lasse.

IT-Grundschutz, so das BSI, sei eine einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Das BSI stellt zudem einige Werkzeuge zur Verfügung, die bei der Umsetztung helfen sollen. Dazu gehört auch die "ISO-27001-Zertifizierung auf Basis von IT-Grundschutz". Sie umfasst sowohl eine Prüfung des Informationssicherheitsmanagements als auch der konkreten Sicherheitsmaßnahmen auf "Basis von IT-Grundschutz".


"Wenn Unternehmen eine Zertifizierung anstreben, passt der IT-Grundschutz in vielen Fällen nicht", kritisiert Herbert Blaauw, Sicherheitsberater beim Dienstleister Atos Origin (Bild: Atos Origin).

Deren Eignung für die Praxis wird jedoch in letzter Zeit immer häufiger in Frage gestellt. "Wenn Unternehmen eine Zertifizierung anstreben, passt der IT-Grundschutz in vielen Fällen nicht", stellt etwa Herbert Blaauw, Sicherheitsberater bei Atos Origin[3], fest.

"Das gilt vor allem für Unternehmen mit weniger als 300 Mitarbeitern. Die Prozesse und Maßnahmen, die das BSI vorschreibt, sind zu aufwändig für kleine Unternehmen." Das liege vor allem daran, dass das Zertifizierungsschema des BSI vorsieht, dass die Maßnahmen aus den Grundschutzkatalogen - bezogen auf den IT-Verbund - entsprechend umgesetzt werden müssen.

Bildergalerie

Auf Grundlage einer Befragung von über 450 mittelständischen Unternehmen in Deutschland hat Corporate Trust das "Gefahrenbarometer 2010" erstellt. Begleitet und unterstützt haben die Studie die Rechtsanwaltskanzlei Taylor Wessing, das Wirtschaftsprüfungsunternehmen Mazars Hemmelrath und der IT-Security-Anbieter RSA. Die meisten Antworten stammen von Unternehmen mit 10 bis 50 Millionen Euro Umsatz sowie 50 bis 250 Mitarbeitern. Bei der Mehrheit aller befragten Firmen ist der IT-Leiter auch für die IT-Sicherheit verantwortlich (Grafik: Corporate Trust).
Laut der Umfrage wurden gegen die größten Risiken für ein Unternehmen oft nur ungenügende Sicherheitsvorkehrungen getroffen. Bei den meisten Firmen gibt es zwar einen Brandschutzbeauftragten beziehungsweise eine Fachkraft für Arbeitssicherheit, jedoch keine ausreichenden Strukturen zur Bekämpfung der beiden Gefährdungskomplexe Diebstahl, Einbruch und Überfall sowie Unterschlagung, Korruption und Betrug. Und das, obwohl gerade durch diese Risiken mit 20,1 Prozent beziehungsweise 15,1 Prozent aller Vorfälle die meisten Schäden entstehen (Grafik: Corporate Trust).
Schutzvorkehrungen und standardisierte Mechanismen, um Wirtschaftskriminalität zu vermeiden oder wenigstens frühzeitig zu erkennen, sind generell kaum vorhanden. Beispielsweise verfügen nur 15,9 Prozent aller Unternehmen über eine Compliance-Abteilung oder eine eigene Struktur zur Bekämpfung von Wirtschaftskriminalität (Grafik: Corporate Trust).
Aber auch gegen den unbeabsichtigten Verlust wertvoller Daten und Informationen sind die Unternehmen nur mangelhaft abgesichert. Das fängt bereits damit an, dass die Mitarbeiter nur in 39,8 Prozent der Firmen wissen, wie Informationen zu klassifizieren sind, damit sie vertraulich behandelt werden (Grafik: Corporate Trust).

IT-Sicherheit und Compliance im Mittelstand[4]

» zur Bildergalerie ...[4]
Mit seiner Kritik ist Blaauw nicht alleine. Als zu detailliert und zu komplex bezeichnet auch Carsten Casper, Research Director Security & Privacy beim Analystenhaus Gartner[5], den BSI-Grundschutz: "Für öffentliche Behörden ist das ein hervorragender Standard - für KMUs ist er eher ungeeignet."

Auch Sachar Paulus[6], Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg[7], zweifelt an der Umsetzbarkeit des IT-Grundschutzes in KMUs. "Ein Mittelständler hat bereits einige Systeme im Einsatz. Dafür gibt es gemäß BSI eine ganze Reihe festgelegter Maßnahmen. Das kann ein Mittelständler finanziell und personell nicht bewältigen."

Harald Niggemann, Referent für IT-Sicherheitsmanagement und IT-Grundschutz beim BSI (Bild: BSI).
Harald Niggemann, Referent für IT-Sicherheitsmanagement und IT-Grundschutz beim BSI (Bild: BSI).

Harald Niggemann, Referent für IT-Sicherheitsmanagement und IT-Grundschutz beim BSI, will die Kritik so nicht stehen lassen: "Die Umsetzung des IT-Grundschutzes ist sicherlich keine Kleinigkeit. Dies gilt jedoch nicht nur für den IT-Grundschutz, sondern für jeden Standard, der einen ganzheitlichen Ansatz verfolgt und sich nicht auf kleinere Teilaspekte beschränkt." Komplex sei nicht nur der IT-Grundschutz, sondern Informationssicherheit an sich. Das ist ohne Frage eine richtige Feststellung, dennoch wehrt sie den Kern der Kritik nicht ab.

Grundsätzlich müssen Unternehmen nicht nach BSI-Grundschutz vorgehen, wenn sie eine angemessene Informationssicherheit anstreben. Sie müssen sich auch nicht nach dem BSI-Grundschutz richten, wenn sie eine Zertifizierung nach ISO 27001[8] anstreben, falls ihr Geschäftsmodell eine solche zwingend erfordert.

"Wer sich also für die ISO 27001 nach BSI-Grundschutz-Zertifizierung entscheidet, hat beim Zertifizierungsverfahren nur die Wahl zwischen ganz oder gar nicht", sagt Sicherheitsexperte Blaauw. "Unternehmen haben keine Chance, die Zertifizierung zu bekommen, wenn sie die entsprechenden Maßnahmen nicht im vollen Umfang umgesetzt haben."

Das sieht auch Professor Paulus so. "Bei der Zertifizierung geht das BSI zu normativ vor. Das Verfahren lässt nur eine binäre Entscheidung zu." Trotz des Hinweises, dass ein Zertifizierungsverfahren nun einmal ausschließlich eine Entweder-oder-Entscheidung vorsehe – schließlich gibt es nicht "ein bisschen zertifiziert" - , zieht das BSI auch hier den Kürzeren.

Der native ISO-27001-Standard lässt durchaus einigen Spielraum beim Zertifikatsverfahren zu. Unternehmen müssen nachweisen, dass sie einen vernünftigen, sogenannten Plan-Do-Check-Act Cycle[9] etabliert haben, jedoch in einigen Bereichen noch nicht so weit sind. "Wenn ein mittelständisches Unternehmen aufgrund seines Geschäftsmodells eine ISO-27001-Zertifizierung anstreben muss, würde ich immer nach ISO 27001 native beraten und nicht nach BSI-Grundschutz", so Blaauw.

Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg (Bild: privat).
Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg (Bild: privat).

Die Konsequenz daraus: Der BSI-Grundschutz spielt in der Praxis fast überhaupt keine Rolle. "Nur wenige Unternehmen entscheiden sich für diese Variante der Zertifizierung nach ISO 27001", sagt Gartner-Analyst Caspar. "Einen Trend, dass dies in Zukunft anders wird, kann ich nicht erkennen." Dies gelte nicht nur national, sondern auch auf der internationalen Ebene.

Hier erweist sich, nach Meinung von Professor Paulus, das enge Korsett des BSI-Grundschutzes als besonderer Nachteil. "Die internationalen Standards lassen Unternehmen viel mehr Spielraum bei der Umsetzung."

Wenig gelungene Übersetzung ins Englische

Hinzu kommt eine wenig gelungene Übersetzung des Katalogs ins Englische. Ein Beispiel: Der Begriff "Datenschutzbeauftragter" ist auch in der aktuellen Version immer noch mit "data protection officer" wiedergegeben. "Data protection heißt im Ausland aber nicht unbedingt 'personenbezogene Daten' so wie es in Deutschland in der Regel der Fall ist", gibt Caspar zu Bedenken. "Privacy Officer" wäre hier die glücklichere Übersetzung.

Dieses Problem ist dem BSI bekannt. "Wir haben als Behörde nur einen beschränkten Einfluss auf eine Korrektur", erklärt BSI-Referent Niggemann. Im europäischen Datenschutzrecht sei eben die Rede von "data protection" im Sinne von "Datenschutz" und nicht von "privacy protection". Trotzdem bleibt festzustellen, dass die aktuelle Übersetzung für die internationale Akzeptanz des BSI-Grundschutz-Katalogs nicht gerade förderlich ist.

Fazit

"Der Anspruch des BSI, Unternehmen einen nationalen und internationalen einheitlichen Standard zur Informationssicherheit zu schaffen, ist sicherlich lobens- und erstrebenswert“, sagt Professor Paulus. "Dazu muss sich das BSI aber von seiner normativen Vorgehensweise trennen." Aber dieser Schritt scheint in nächster Zeit nicht in Sicht zu sein.

URLs in diesem Artikel:
[1] = https://www.bsi.bund.de/
[2] = https://www.bsi.bund.de/cln_174/DE/Themen/ITGrundschutz/itgrundschutz_node.html
[3] = http://www.de.atosorigin.com/
[4] = http://www.zdnet.de/galerie/41006167/it-sicherheit-und-compliance-im-mittelstand.htm#sid=41525300
[5] = http://www.gartner.com
[6] = http://www.kompetenzzentrum-sicherheit.de/Sachar_Paulus.html
[7] = http://www.fh-brandenburg.de/
[8] = http://de.wikipedia.org/wiki/ISO_27001
[9] = http://en.wikipedia.org/wiki/PDCA
Copyright (c) 2012 NetMediaInteractive GmbH. Alle Rechte vorbehalten.