BSI-Grundschutz: Lohnt sich die Umsetzung doch?

Doch wie sieht es aus, wenn Unternehmen eine Zertifizierung anstreben? Ist dann die standardisierte Vorgehensweise des BSI ein Korsett und eine Umsetzung fast unmöglich? „Der Vorwurf gilt nur, wenn der BSI-Grundschutz erfordert, dass ein Unternehmen seine Geschäftsprozesse komplett umkrempeln muss um es so zu strukturieren ist, dass es konform ist,“ sagt Ralf Schlag, Team Lead DataCenter bei Interoute. „Dann ist es sicherlich kaum machbar sondern vielmehr empfehlenswert, eine flexiblere ISO-27001-Zertifizierung anzustreben.“

Wenn dies aber nicht der Fall sei, habe das normative und standardisierte Vorgehen des BSI einen ganz entscheidenden Vorteil, findet Schlag: Die vorgegebenen Standards seien für Unternehmen eine wichtige Hilfestellung bei der Umsetzung.

„Die Mehrheit meiner Kunden hat sich eben deshalb für den Grundschutz entschieden, weil es ein checklistenartiges und außerordentlich standardisiertes Verfahren gibt“, betont auch Professor Rumpel. Dieser Normierungsgrad existiere bei einem generellen ISO-27001-Ansatz nicht. „Firmen sind bei ISO-27001 zwar flexibler“, sagt der Interoute-Experte Schlag, „allerdings müssen die Unternehmen dann viel größere Anstrengungen in die Entwicklung des eigenen Lösungsansatzes stecken.“

Und letztendlich sei es doch so, dass unabhängig davon, welche Methode angewendet wird – ISO 27001 nativ oder auf Basis von IT-Grundschutz der Anwender bei richtiger Anwendung der Maßnahmen zum gleichen Ergebnis kommen müsse, sagt Sicherheitsexperte Haufe. Unterschiede im Detail kann es seiner Ansicht nach lediglich im Rahmen der Dokumentation der Maßnahmen oder der Dokumentation des Managementsystems für Informationssicherheit geben. Ein Beispiel hierfür sei das nach ISO 27001 geforderte Dokument „Statement of Applicability“, welches im IT-Grundschutz dem Basis-Sicherheitscheck entspreche.

BSI-Kritiker Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg, sieht das anders: „Ich bin nicht der Meinung, dass man zum gleichen Ergebnis kommen muss.“

Es gebe vielmehr immer eine Vielzahl von Möglichkeiten, Maßnahmen zu ergreifen, um ein Risiko angemessen zu berücksichtigen. Beispiel Cloud Services: Dazu gebe es nach BSI-Katalog keine vorgeschlagene Maßnahme. „Sehr wohl kann man sich aber eine Fülle von guten Sicherheitsmaßnahmen vorstellen“, sagt Paulus. Ein zweites Beispiel sei die digitale Signatur: Nicht immer sei diese tatsächlich die beste Wahl.