BSI-Grundschutz: Lohnt sich die Umsetzung doch?

Doch wie sieht es aus, wenn Unternehmen eine Zertifizierung anstreben? Ist dann die standardisierte Vorgehensweise des BSI ein Korsett und eine Umsetzung fast unmöglich? „Der Vorwurf gilt nur, wenn der BSI-Grundschutz erfordert, dass ein Unternehmen seine Geschäftsprozesse komplett umkrempeln muss um es so zu strukturieren ist, dass es konform ist,“ sagt Ralf Schlag, Team Lead DataCenter bei Interoute. „Dann ist es sicherlich kaum machbar sondern vielmehr empfehlenswert, eine flexiblere ISO-27001-Zertifizierung anzustreben.“

Wenn dies aber nicht der Fall sei, habe das normative und standardisierte Vorgehen des BSI einen ganz entscheidenden Vorteil, findet Schlag: Die vorgegebenen Standards seien für Unternehmen eine wichtige Hilfestellung bei der Umsetzung.


Ralf Schlag, Team Lead DataCenter bei Interoute (Bild: Interoute).

„Die Mehrheit meiner Kunden hat sich eben deshalb für den Grundschutz entschieden, weil es ein checklistenartiges und außerordentlich standardisiertes Verfahren gibt“, betont auch Professor Rumpel. Dieser Normierungsgrad existiere bei einem generellen ISO-27001-Ansatz nicht. „Firmen sind bei ISO-27001 zwar flexibler“, sagt der Interoute-Experte Schlag, „allerdings müssen die Unternehmen dann viel größere Anstrengungen in die Entwicklung des eigenen Lösungsansatzes stecken.“

Und letztendlich sei es doch so, dass unabhängig davon, welche Methode angewendet wird – ISO 27001 nativ oder auf Basis von IT-Grundschutz der Anwender bei richtiger Anwendung der Maßnahmen zum gleichen Ergebnis kommen müsse, sagt Sicherheitsexperte Haufe. Unterschiede im Detail kann es seiner Ansicht nach lediglich im Rahmen der Dokumentation der Maßnahmen oder der Dokumentation des Managementsystems für Informationssicherheit geben. Ein Beispiel hierfür sei das nach ISO 27001 geforderte Dokument „Statement of Applicability“, welches im IT-Grundschutz dem Basis-Sicherheitscheck entspreche.

BSI-Kritiker Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg, sieht das anders: „Ich bin nicht der Meinung, dass man zum gleichen Ergebnis kommen muss.“

Es gebe vielmehr immer eine Vielzahl von Möglichkeiten, Maßnahmen zu ergreifen, um ein Risiko angemessen zu berücksichtigen. Beispiel Cloud Services: Dazu gebe es nach BSI-Katalog keine vorgeschlagene Maßnahme. „Sehr wohl kann man sich aber eine Fülle von guten Sicherheitsmaßnahmen vorstellen“, sagt Paulus. Ein zweites Beispiel sei die digitale Signatur: Nicht immer sei diese tatsächlich die beste Wahl.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

2 Tagen ago

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

5 Tagen ago

Baseus Bowie 30 Max: Erste Bluetooth-Kopfhörer mit Head-Tracking-Spatial-Audio

Neue Over-Headset-Kopfhörer von Baseus bieten Raumklang-Audio und unterdrücken Störgeräusche um rund 96 Prozent.

6 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

6 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

6 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

6 Tagen ago