Das sieht auch Professor Paulus so. „Bei der Zertifizierung geht das BSI zu normativ vor. Das Verfahren lässt nur eine binäre Entscheidung zu.“ Trotz des Hinweises, dass ein Zertifizierungsverfahren nun einmal ausschließlich eine Entweder-oder-Entscheidung vorsehe – schließlich gibt es nicht „ein bisschen zertifiziert“ – , zieht das BSI auch hier den Kürzeren.
Der native ISO-27001-Standard lässt durchaus einigen Spielraum beim Zertifikatsverfahren zu. Unternehmen müssen nachweisen, dass sie einen vernünftigen, sogenannten Plan-Do-Check-Act Cycle etabliert haben, jedoch in einigen Bereichen noch nicht so weit sind. „Wenn ein mittelständisches Unternehmen aufgrund seines Geschäftsmodells eine ISO-27001-Zertifizierung anstreben muss, würde ich immer nach ISO 27001 native beraten und nicht nach BSI-Grundschutz“, so Blaauw.
Die Konsequenz daraus: Der BSI-Grundschutz spielt in der Praxis fast überhaupt keine Rolle. „Nur wenige Unternehmen entscheiden sich für diese Variante der Zertifizierung nach ISO 27001“, sagt Gartner-Analyst Caspar. „Einen Trend, dass dies in Zukunft anders wird, kann ich nicht erkennen.“ Dies gelte nicht nur national, sondern auch auf der internationalen Ebene.
Hier erweist sich, nach Meinung von Professor Paulus, das enge Korsett des BSI-Grundschutzes als besonderer Nachteil. „Die internationalen Standards lassen Unternehmen viel mehr Spielraum bei der Umsetzung.“
Wenig gelungene Übersetzung ins Englische
Hinzu kommt eine wenig gelungene Übersetzung des Katalogs ins Englische. Ein Beispiel: Der Begriff „Datenschutzbeauftragter“ ist auch in der aktuellen Version immer noch mit „data protection officer“ wiedergegeben. „Data protection heißt im Ausland aber nicht unbedingt ‚personenbezogene Daten‘ so wie es in Deutschland in der Regel der Fall ist“, gibt Caspar zu Bedenken. „Privacy Officer“ wäre hier die glücklichere Übersetzung.
Dieses Problem ist dem BSI bekannt. „Wir haben als Behörde nur einen beschränkten Einfluss auf eine Korrektur“, erklärt BSI-Referent Niggemann. Im europäischen Datenschutzrecht sei eben die Rede von „data protection“ im Sinne von „Datenschutz“ und nicht von „privacy protection“. Trotzdem bleibt festzustellen, dass die aktuelle Übersetzung für die internationale Akzeptanz des BSI-Grundschutz-Katalogs nicht gerade förderlich ist.
Fazit
„Der Anspruch des BSI, Unternehmen einen nationalen und internationalen einheitlichen Standard zur Informationssicherheit zu schaffen, ist sicherlich lobens- und erstrebenswert“, sagt Professor Paulus. „Dazu muss sich das BSI aber von seiner normativen Vorgehensweise trennen.“ Aber dieser Schritt scheint in nächster Zeit nicht in Sicht zu sein.
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…
Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…
KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…