BSI-Grundschutz: Lohnt sich die Umsetzung doch?

Die aufkeimende Kritik am IT-Gundschutz des BSI weisen Befürworter entschieden zurück. Das Zertifizierungsverfahren sei weder aufwändiger noch normativer als andere Vorgehensweisen. ZDNet untersucht, was die Einwände wert sind.

"Sicherlich ist ein ISO-Zertifikat gemäß IT-Grundschutz^[1] nicht leicht zu bekommen", sagt Rainer Rumpel^[2], Inhaber des Lehrstuhls für Wirtschaftsinformatik an der Hochschule für Wirtschaft und Recht in Berlin^[3]. Außerdem sei der Vorbereitungsaufwand für kleine und mittelständische Unternehmen in der Tat erheblich höher als für große.

Von einem zu großen Aufwand, wie in letzter Zeit immer mehr Experten behaupten^[4], könne jedoch nicht die Rede sein. "Grundschutzbausteine müssen die Unternehmen nur dann anwenden, wenn es zugehörige Objekte im Informationsverbund gibt", sagt Rumpel. "Bei kleinen Verbünden sind also deutlich weniger Grundschutzmaßnahmen umzusetzen als bei großen."

Das BSI^[5] schreibe auch keine Maßnahmen und Prozesse sklavisch vor, sondern lege lediglich fest, mit welchen Aspekten sich Anwender auseinandersetzen müssen. "Es handelt sich bei den Maßnahmen der Grundschutzkataloge lediglich um Empfehlungen, für die jeder Anwender prüfen muss, ob diese zur Erreichung des angestrebten Sicherheitsniveaus geeignet sowie angemessen und sinnvoll umsetzbar sind", sagt Knut Haufe, Senior Consultant bei der Firma Persicon^[6], einem Anbeiter von Beratungs- und Prüfungsleistungen in den Bereichen Governance, Compliance und Security.

Doch treffen diese Argumente den Kern der Kritik? "Eines ist sicher richtig: Der IT-Grundschutz-Standard kann für kleinere Unternehmen eine wichtige Rolle spielen, wenn es darum geht, ein Basis-Sicherheitsniveau zu erreichen. Andere Länder beneiden uns um ein derartig umfangreiches Nachschlagwerk", räumt Herbert Blaauw, Sicherheitsberater beim Dienstleister Atos Origin^[7] ein.

"Die Maßnahmen in den IT-Grundschutzkatalogen können als Orientierungshilfe zur Absicherung der IT-Infrastruktur dienen. Aber nur insofern die KMUs keine Zertifizierung anstreben." Wenn der Grundschutz von einem kleineren Unternehmen die Umsetzung von beispielsweise 300 Maßnahmen verlange, um BSI-konform zu sein, dann sei das einfach zu aufwändig. "Da nützt es auch nichts, wenn einige wenige Maßnahmen als entbehrlich deklariert werden können."

Doch wie sieht es aus, wenn Unternehmen eine Zertifizierung anstreben? Ist dann die standardisierte Vorgehensweise des BSI ein Korsett und eine Umsetzung fast unmöglich? "Der Vorwurf gilt nur, wenn der BSI-Grundschutz erfordert, dass ein Unternehmen seine Geschäftsprozesse komplett umkrempeln muss um es so zu strukturieren ist, dass es konform ist," sagt Ralf Schlag, Team Lead DataCenter bei Interoute^[9]. "Dann ist es sicherlich kaum machbar sondern vielmehr empfehlenswert, eine flexiblere ISO-27001-Zertifizierung anzustreben."

Wenn dies aber nicht der Fall sei, habe das normative und standardisierte Vorgehen des BSI einen ganz entscheidenden Vorteil, findet Schlag: Die vorgegebenen Standards seien für Unternehmen eine wichtige Hilfestellung bei der Umsetzung.

"Die Mehrheit meiner Kunden hat sich eben deshalb für den Grundschutz entschieden, weil es ein checklistenartiges und außerordentlich standardisiertes Verfahren gibt", betont auch Professor Rumpel. Dieser Normierungsgrad existiere bei einem generellen ISO-27001-Ansatz nicht. "Firmen sind bei ISO-27001 zwar flexibler", sagt der Interoute-Experte Schlag, "allerdings müssen die Unternehmen dann viel größere Anstrengungen in die Entwicklung des eigenen Lösungsansatzes stecken."

Und letztendlich sei es doch so, dass unabhängig davon, welche Methode angewendet wird - ISO 27001 nativ oder auf Basis von IT-Grundschutz der Anwender bei richtiger Anwendung der Maßnahmen zum gleichen Ergebnis kommen müsse, sagt Sicherheitsexperte Haufe. Unterschiede im Detail kann es seiner Ansicht nach lediglich im Rahmen der Dokumentation der Maßnahmen oder der Dokumentation des Managementsystems für Informationssicherheit geben. Ein Beispiel hierfür sei das nach ISO 27001 geforderte Dokument "Statement of Applicability", welches im IT-Grundschutz dem Basis-Sicherheitscheck entspreche.

BSI-Kritiker^[4] Sachar Paulus^[10], Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg^[11], sieht das anders: "Ich bin nicht der Meinung, dass man zum gleichen Ergebnis kommen muss."

Es gebe vielmehr immer eine Vielzahl von Möglichkeiten, Maßnahmen zu ergreifen, um ein Risiko angemessen zu berücksichtigen. Beispiel Cloud Services: Dazu gebe es nach BSI-Katalog keine vorgeschlagene Maßnahme. "Sehr wohl kann man sich aber eine Fülle von guten Sicherheitsmaßnahmen vorstellen", sagt Paulus. Ein zweites Beispiel sei die digitale Signatur: Nicht immer sei diese tatsächlich die beste Wahl.Ist die gesamte Diskussion um den IT-Grundschutz, um Zertifizierung und Checklisten nun aber lediglich eien akademische Angelegenheit? Gar eine praxisferne Idealvorstellung? Die Befürworter verneinen das: Der IT-Grundschutz und daraus hervorgehende Zertifizierungen seien in der Praxis sehr wohl relevant.

Laut Rainer Runpel hat das BSI bislang etwa 60 Zertifikate vergeben. Die anderen deutschen Zertifizierungsstellen hätten seit 2005 etwas mehr als 300 Zertifikate vergeben. "Ein Marktanteil von 15 Prozent ist wohl nicht vernachlässigbar", so Rumpel.

Jedoch muss auch er einräumen, dass der deutsche IT-Grundschutz als Zertifizierungsverfahren auf internationaler Ebene tatsächlich kaum eine Rolle spiele. Als eine Art "Werkzeugkasten zur Herstellung besserer Sicherheit" habe er aber internationale Ausstrahlung. "Der BSI-Grundschutz wird aufgrund seiner standardisierten Vorgehensweise in Zukunft eine immer größere Rolle spielen", meint auch Interoute-Berater Schlag.

Fazit

Die Frage ist jedoch, warum sich ein Unternehmen mit Konzepten wie dem IT-Grundschutz auseinandersetzt und warum es eine Zertifizierung anstrebt: Aus eigenem, inneren Antrieb, oder um Anforderungen von Geschäftspartnern zu genügen. In der Regel wird wohl letzteres der Grund sein. Ist das so, erwächst daraus gleich die nächste Frage: Sind diese Geschäftspartner nur aus Deutschland, oder stammen sie auch aus anderen Ländern?

Abgesehen von Behörden oder staatlichen Organisationen wird auch hier die zweite Antwort die häufigere sein. Bei internationalen Geschäftspartnern aber gewinnen internationale Standards und Zertifizierungen an Bedeutung. Dass es sich dabei zunehmend um solche aus dem englischsprachigen Raum handelt, mag man bedauern, so leicht ändern lassen wird sich das jedoch nicht.

Die 15 Prozent Marktanteil an den vergebenen Zertifizierung in Deutschland sprechen da eine deutliche Sprache: Sie sind vielleicht nicht zu vernachlässigen, für ein lokales, über lange Jahre hinweg mit viel Mühe ausgearbeitetes Konzept jedoch auch wenig beeindruckend. Es bleibt also abzuwarten, ob der IT-Grundschutz sich außerhalb von Behörden tatsächlich behaupten kann.

Dass Berater den IT-Grundschutz und darauf aufbauende Zertifizierungen verteidigen, ist wenig verwunderlich: Für sie ist er ebenso wie die bei Softwareprojekten immer weiter ausufernden Pflichtenhefte eine ansehnliche Einnahmequelle. Fraglich ist jedoch, ob sich mittelständische Unternehmen das in Zukunft leisten können, wollen und müssen.

URLs in diesem Artikel:
[1] = https://www.bsi.bund.de/cln_174/DE/Themen/ITGrundschutz/itgrundschutz_node.html
[2] = http://www.hwr-berlin.de/hwr-berlin/lehrende/detailansicht/rumpel/
[3] = http://www.hwr-berlin.de/
[4] = http://www.zdnet.de/it_business_hintergrund_bsi_grundschutz_zu_komplex__zu_aufwaendig__zu_deutsch_story-11000006-41525300-1.htm
[5] = https://www.bsi.bund.de/
[6] = http://www.persicon.com/
[7] = http://www.de.atosorigin.com/
[8] = http://www.zdnet.de/galerie/41006167/it-sicherheit-und-compliance-im-mittelstand.htm#sid=41526890
[9] = http://www.interoute.de/
[10] = http://www.kompetenzzentrum-sicherheit.de/Sachar_Paulus.html
[11] = http://www.fh-brandenburg.de/