Der IT-Grundschutz des BSI bietet Orientierung

"Um IT-Sicherheit kommt niemand herum“, betont Severin Rast, Business-Unit-Leiter IT-Security Consulting beim Kölner Beratungs- und Systemhaus Infodas. Aber wie lässt sich dieses Ziel erreichen? Gerade kleinere und mittlere Unternehmen, also die KMUs, tun sich mit dieser Aufgabe häufig schwer. Dabei gibt es in Deutschland seit Jahrzehnten die umfassenden IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Der IT-Grundschutz ist eine Konkretisierung der interna­tional bedeutenden ISO-Norm 27001. Diese Norm beschreibt, wie sich Informations-Sicherheit in einem Unternehmen erreichen lässt – allerdings in eher abstrakter Form. Dieses Manko versucht der IT-Grundschutz mit seinen teils äußerst detaillierten und umfangreichen Hilfestellungen zu beheben.

Das Problem war bislang aber, dass viele IT-Leiter von der Aufgabe, den IT-Grundschutz umzusetzen, überfordert waren – oder das zumindest glaubten. Dabei muss man gar nicht alles umsetzen, sondern kann auch nur die für das eigene Unternehmen relevanten Teile heraussuchen und den Rest igno­rieren. Auch muss der IT-Grundschutz nicht in jedem Fall gleich zu einer regelrechten Zertifizierung führen.

So sagt etwa Klaus Foitzick, Geschäftsführer und Gründer von Global Access, dass er sein Unternehmen durch das BSI zertifizieren ließ, obwohl sie zu diesem Zeitpunkt nur zwölf Mitarbeiter gewesen seien. Bei der Zertifizierung nach ISO 27001 seien es sogar nur fünf Mitarbeiter gewesen. Foitzick: „Wer will, schafft das auch.“ Heute wirbt der Cloud-Dienstleister mit Sitz in München damit, dass die Daten seiner Kunden „vor Sicherheitsorganen aus der ganzen Welt sicher sind, einschließlich der NSA“. Die Basis dafür sei ein nach ISO und BSI zertifiziertes Managementsystem für Informationssicherheit (ISMS), das unter Zuhilfenahme des IT-Grundschutz­katalogs und der ISO-Norm 27001 erstellt worden sei.

Eingeführt wurde der IT-Grundschutz in den 90er-Jahren. Da auch die IT sich kontinuierlich weiterentwickelt hat, wurden die in den Grundschutzkatalogen des BSI empfohlenen Maßnahmen immer umfangreicher und unübersichtlicher. Zuletzt umfasste der gesamte IT-Grundschutzkatalog laut Klaus Foitzick, der auch Vorstand und Inhaber des Beratungshauses activeMind AG sowie BSI-Auditor ist, etwa 5500 DIN-A4-Seiten. Seiner Meinung nach ist die Detaillierung zuletzt „an manchen Stellen ein bisschen zu weit gegangen“. Er schätzt, dass sich „in Deutschland nur sehr wenige Firmen finden lassen, die diesen unglaublichen Aufwand auf sich genommen haben“.

Auch das BSI hat diese Schwierigkeiten erkannt und deswegen die Axt an den IT-Grundschutz gelegt. Herausgekommen ist im Herbst 2017 eine neue Version, die nur noch etwa 1.300 Seiten umfasst und wie bisher kostenlos als PDF heruntergeladen werden kann. Das sind aber immer noch sehr viele Informationen und Foitzick mag deswegen auch jetzt noch nicht von einem schmalen Werk sprechen. Er vergleicht die Arbeit des Bundesamts stattdessen mit der eines Gärtners, der einen Baum zurechtstutzt. „Der Baum ist gut, aber nach einer gewissen Zeit ufert er so aus, dass man es nicht mehr schafft, alles frisch zu halten.“ Die Änderungen hält er also für sinnvoll, trotzdem geht er davon aus, dass sie „sicher die eine oder andere Träne hinterlassen haben“.

Besonders gut gefällt Foitzick, dass sich die Grundschutzkataloge in der neuen Version „nicht mehr auf sich selbst beschränken“. Man habe beim BSI akzeptiert, dass man „keinen Monolithen mehr bauen kann, sondern dass man Teil eines Sicherheitsnetzwerks ist“. Es werde jetzt deswegen wesentlich mehr auf andere Quellen verlinkt als früher. Ein Vorgehen, das Foitzick als „absolut notwendig“ bezeichnet. „Wir sind in keiner Welt mehr, in der jemand ein allein stehendes Wissenskompendium bauen kann“, ergänzt der BSI-Kenner. Insbesondere die vielen neuen Verweise auf Empfehlungen der Hersteller hebt er positiv hervor.

Auch Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, bezeichnet Änderungen wie die neuen „Verweise auf andere Ausarbeitungen“ als „sehr sinnvoll“. Außerdem hebt sie hervor, dass neue Themenfelder wie Industrie 4.0 aufgenommen wurden und es nun ein „gestuftes Einstiegsmodell“ gebe. Foitzick ergänzt, dass man ja nicht immer sofort eine Zertifizierung anstreben müsse. Seiner Ansicht nach gibt es „kein freies Werk auf dem Markt, das so detaillierte und gute technische Vorschläge zur Umsetzung von Informationstechnik macht“. Das gehe so weit, dass ein IT-Leiter nachschlagen könne, worauf er aus Sicherheitssicht bei Türen für Server-Räume achten sollte. Auch vor Gericht würden die Grundschutzkataloge oft als „Common Sense“ verstanden und man könne damit belegen, nicht fahrlässig gehandelt zu haben.

Den Umfang des Materials findet auch Marit Hansen auf den ersten Blick abschreckend. „Doch es ist hilfreich, wenn konkrete Maßnahmen so detailliert beschrieben werden, wie man es in der Praxis braucht.“ Zudem werde es einfacher, da nicht jede Maßnahme und nicht jede Empfehlung die eigenen Verfahren betreffe.

Severin Rast von Infodas weist auf die unterschiedlichen Wege zum Ziel hin, die es nun gebe. „Die Möglichkeit des Einstiegs über Basis- und Kernabsicherung wird das Erreichen der Standardabsicherung für viele Organisationen vereinfachen“, so Rast. Die neuen Bausteine seien kompakter und effizienter geworden. So ließen sich jetzt „noch mehr Ansätze für maßgeschneiderte Lösungen“ finden. Der IT-Grundschutz biete „am Ende nicht nur ein angesehenes und belastbares Zertifikat für ein ISMS, sondern auf dem Weg dahin praxisnahe Hilfsmittel und Methodiken, die schnell zu einer Erhöhung der tatsächlichen Informationssicherheit führen können“.

Das BSI habe viel getan, gerade KMUs den Einstieg zu erleichtern. „Dennoch sind ein grundlegendes Verständnis für technische und organisatorische IT-Sicherheit, geeignete Managementprozesse und die unternehmensweite Sensibilisierung für die Notwendigkeit von Informationssicherheit nach wie vor Voraussetzungen, die in vielen Firmen erst noch geschaffen werden müssen“, betont Rast. Die neuen BSI-Standards und das IT-Grundschutzkompendium böten ein solides Gesamtpaket mit vielen Infos für IT-Sicherheitsbeauftragte.

Die Datenschutzbeauftragte Marit Hansen ist da etwas skeptischer. Einige KMUs seien gut aufgestellt, was IT und Informationssicherheit betreffe, andere könnten dies nicht aus dem Stand leisten. „Wichtig ist mir, dass immer dort, wo hohe Risiken durch die Datenverarbeitung entstehen können, Datenschutz und Informationssicherheit nicht vernachlässigt werden dürfen“, mahnt Hansen. Die Größe einer Firma dürfe bei „risikoträchtigen Informations-Systemen“ keine Rolle spielen. Auch kleine Organisationen müssten kritische Bereiche im Griff haben und Risiken vermeiden.

Angesichts der EU-Datenschutz-Grundverordnung (DSGVO) sei es besonders wichtig, „die Datenflüsse und den Einsatz von Informationstechnik in der eigenen Organisation sauber dokumentiert zu haben und die Risiken zu identifizieren“. Dies sei eine Pflicht für jeden. Unternehmen mit hohem Datenschutzrisiko müssen laut Hansen zudem künftig eine Datenschutz-Folgenabschätzung durchführen. Auch hier seien die IT-Grundschutzmethodik und das Standard-Datenschutzmodell hilfreich.

Klaus Foitzick empfiehlt all jenen Unternehmen, sich mit der IT-Grundschutzthematik auseinanderzusetzen, die „Leistungen für Bundes- und Landesbehörden anbieten oder die Wert auf eine native ISO-27001-Zertifizierung legen, aber nicht wissen, wie sie den abstrakten Ansatz interpretieren sollen, und die jetzt nach einem Beispiel für die Umsetzung suchen“. Manche Regelungen, etwa in Kapitel 11 und 12, könne man aber nicht verstehen, „wenn man nicht schon lange in der Branche ist“. Als Beispiel nennt er Event-Managementsysteme. Dort stehe in der ISO-Norm 27001 lediglich, dass man sie brauche, nicht mehr. „Aber was sind sie? Wozu braucht man sie? Welche Regelungen und welche Verantwortlichkeiten werden benötigt?“ Im IT-Grundschutz lassen sich ihm zufolge diese Angaben finden. „Dort haben wir sehr viel weniger abstrakte, ja geradezu hemdsärmelige How-tos, die genau beschreiben, wie etwas zu machen ist“, so Foitzick.

Für ihn ist der IT-Grundschutz deswegen ein notwendiges Referenzwerk, das sehr viel besser als viele Fachpublikationen sei, die es zu dem Thema gebe. Zudem seien die neuen Regelungen des BSI nicht mehr so starr wie früher. Foitzick: „Das ist jetzt freier geworden.“ Angesprochen auf die Dauer, die für eine native ISO-27001-Zertifizierung benötigt wird, nennt er einen Zeitrahmen von sechs bis zwölf Monaten. „Wenn es aber unbedingt sein muss, geht es auch in nur drei Monaten“, ergänzt er. Das sei jedoch völlig unmöglich, wenn man kein Fachwissen im Unternehmen habe. Für die BSI-Zertifizierung geht er vom doppelten Zeitrahmen aus.

„Wenn es darum geht, ein effizientes System innerhalb einer Zeit von unter einem Jahr einzuführen, wird man das nicht mit eigenen Mitarbeitern schaffen. Das würde auch zu teuer sein.“ activeMind bietet diese Leistung als Partner an und rechnet sie zu Monatspauschalen ab, die laut Foitzick bei Unternehmen unter 50 Mitarbeitern nicht höher lägen als für eine Halbtagesstelle. Wenn man sich dagegen selbst intensiv mit dem Thema beschäftigen und dazu einen eigenen Stamm von fünf Mitarbeitern aufbauen wolle, dann sei ein externer Dienstleister „für den ersten Anschub“ hilfreich.

IT-Grundschutz und Zertifizierung nach ISO 27001 werden auch künftig viele Unternehmen beschäftigen. Insbesondere da sich die DSGVO, die ja in wenigen Monaten in Kraft tritt, die Nachweisbarkeit bestimmter Maßnahmen auf die Fahnen geschrieben hat. In diesem Fall kann eine Zertifizierung eine externe Bestätigung dafür sein, dass das ISMS in einem Unternehmen wirklich funktioniert. Aber auch in Fällen, bei denen es zunächst nicht um eine Zertifizierung geht, ist der neue IT-Grundschutz eine wertvolle Hilfe bei der Umsetzung konkreter Maßnahmen zur Absicherung der Unternehmens-IT.

Die TÜV Informationstechnik GmbH (TÜViT), eine Tochter des TÜV Nord, hat nach eigenen Angaben in den vergangenen mehr als zehn Jahren über 600 Unternehmen in Deutschland auf dem Weg zur Zertifizierung nach ISO 27001 und IT-Grundschutz begleitet.

com! professional spricht mit Tobias Kippert, stellvertretender Abteilungsleiter und vom BSI zugelassener Teamleiter für Audits nach ISO 27001 auf der Basis von IT-Grundschutz, über die Auswirkungen der 2017 durch das BSI vorgenommenen Änderungen am IT-Grundschutzkatalog.

• 

   

  Tobias Kippert, IT-Grundschutzexperte bei TÜViT

  Quelle:

  TÜViT

Tobias Kippert: Der IT-Grundschutz ist ein sogenannter Best-Practice-Standard für die ISO-Norm 27001. Diese definiert Anforderungen an ein Informations-Sicherheits-Management­System (ISMS), also an das „Was“. Der IT-Grundschutz gibt zusätzlich Empfehlungen für Maßnahmen an die Hand, also neben dem „Was“ auch das „Wie“. Er beschreibt dabei eine zur ISO 27001 kompatible Vorgehensweise zum Aufbau eines ISMS.

Kippert: Der Grundschutz ist für all diejenigen eine gute Anlaufstelle, die sich mit dem Aufbau eines ISMS befassen.

Darüber hi­naus eignet sich gerade der modernisierte Grundschutz für unterschiedliche Zielgruppen wie KMUs, größere Firmen und Organisationen, die mit besonders sensiblen Daten umgehen müssen.

com! professional: Aus welchen Gründen war in Ihren Augen eine Modernisierung nötig?

Kippert: Die Modernisierung des IT-Grundschutzes ist auch für Organisationen, die vielleicht nicht sofort ein Zertifikat erlangen wollen, ein sinnvoller Einstieg in ein grundlegendes Sicherheitskonzept. Der „alte“ Grundschutz hatte das Image, dass die Einstiegshürde sehr hoch hängt. Durch die Modernisierung wird der Einstieg deutlich erleichtert. Der IT-Grundschutz wird dadurch überschaubarer und somit handhabbarer.

Kippert: Man muss beim Grundschutz nicht immer gleich die sogenannte Standard-Absicherung mit einer Zertifizierung als Ziel haben. Als „Zwischenschritte“ bietet der neue Grundschutz die Kernabsicherung und die Basisabsicherung. Gerade mit der Basisabsicherung können KMUs einen ersten Schritt in die organisierte Absicherung gehen.

Kippert: Es bietet sich an, das Projekt mit Grundschutz-erfahrenen Beratern zu initialisieren und gegebenenfalls durch diese begleiten zu lassen. Das gilt erst recht, wenn am Ende eine Zertifizierung ins Auge gefasst wird.