BSI-Grundschutz: zu komplex, zu aufwändig, zu deutsch

Mit seiner Kritik ist Blaauw nicht alleine. Als zu detailliert und zu komplex bezeichnet auch Carsten Casper, Research Director Security & Privacy beim Analystenhaus Gartner, den BSI-Grundschutz: „Für öffentliche Behörden ist das ein hervorragender Standard – für KMUs ist er eher ungeeignet.“

Auch Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg, zweifelt an der Umsetzbarkeit des IT-Grundschutzes in KMUs. „Ein Mittelständler hat bereits einige Systeme im Einsatz. Dafür gibt es gemäß BSI eine ganze Reihe festgelegter Maßnahmen. Das kann ein Mittelständler finanziell und personell nicht bewältigen.“

Harald Niggemann, Referent für IT-Sicherheitsmanagement und IT-Grundschutz beim BSI, will die Kritik so nicht stehen lassen: „Die Umsetzung des IT-Grundschutzes ist sicherlich keine Kleinigkeit. Dies gilt jedoch nicht nur für den IT-Grundschutz, sondern für jeden Standard, der einen ganzheitlichen Ansatz verfolgt und sich nicht auf kleinere Teilaspekte beschränkt.“ Komplex sei nicht nur der IT-Grundschutz, sondern Informationssicherheit an sich. Das ist ohne Frage eine richtige Feststellung, dennoch wehrt sie den Kern der Kritik nicht ab.

Grundsätzlich müssen Unternehmen nicht nach BSI-Grundschutz vorgehen, wenn sie eine angemessene Informationssicherheit anstreben. Sie müssen sich auch nicht nach dem BSI-Grundschutz richten, wenn sie eine Zertifizierung nach ISO 27001 anstreben, falls ihr Geschäftsmodell eine solche zwingend erfordert.

„Wer sich also für die ISO 27001 nach BSI-Grundschutz-Zertifizierung entscheidet, hat beim Zertifizierungsverfahren nur die Wahl zwischen ganz oder gar nicht“, sagt Sicherheitsexperte Blaauw. „Unternehmen haben keine Chance, die Zertifizierung zu bekommen, wenn sie die entsprechenden Maßnahmen nicht im vollen Umfang umgesetzt haben.“