„BSI & ISO Campus 2014“ der Vogel IT-Akademie BSI IT-Grundschutz oder ISO 27001 – ein Ziel, zwei Wege

Redakteur: Michael Hase

Beim Sicherheitsmanagement haben Unternehmen, aber auch Verwaltungen und Organisationen die Wahl zwischen dem IT-Grundschutz des BSI und der ISO-Norm 27001. Der „BSI & ISO Campus 2014“ zeigte Gemeinsamkeiten und Unterschiede der beiden Sicherheitstandards auf.

Firma zum Thema

Unabhängig von einer Zertifizierung nach BSI oder ISO ist es sinnvoll, die IT-Sicherheit eines Unternehmens in regelmäßigen Abständen zu überprüfen.
Unabhängig von einer Zertifizierung nach BSI oder ISO ist es sinnvoll, die IT-Sicherheit eines Unternehmens in regelmäßigen Abständen zu überprüfen.
(Bild: © Steven Jamroofer.com)

Beim Virenschutz werden die Unterschiede zwischen den Standards besonders augenfällig: Die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) handeln die „Auswahl eines geeigneten Viren-Schutzprogramms“ auf fast vier Seiten ab. Dagegen beschränkt sich die ISO-Norm 27001 unter dem gleichen Aspekt auf einen lapidaren Satz: „Es sind Erkennungs-, Präventions- und Wiederherstellungsmaßnahmen zum Schutz vor Malware in Verbindung mit einer angemessenen Sensibilisierung der Benutzer zu implementieren.“

Wer ein Sicherheits- und Notfallmanagement im Unter­nehmen etablieren möchte, hat die Qual der Wahl zwischen zwei Normen: Eine Zertifizierung ist entweder nach BSI IT-Grundschutz oder nach dem inter­nationalen Standard ISO 27001 möglich. Um diesen Optionen angemessen Rechnung zu tragen, erweiterte die Vogel IT-Akademie den „BSI Campus“ in diesem Jahr zum „BSI & ISO Campus 2014“. Hauptziel des zweitägigen Workshops war es, den Teilnehmern die Gemeinsamkeiten und Unterschiede der beiden Normen zu vermitteln und ihnen aufzuzeigen, wie sie Standards bestmöglich für die Security-Anforderungen ihrer Organisation nutzen können.

Am ersten Tag führte der Aachener Berater und Sicherheitsexperte Dr. Markus a Campo in die Thematik ein und stellte die beiden Standards ausführlich dar. Der zweite Tag widmete sich dem Thema Notfallmanagement, das von der Trainerin Manuela Reiss, Eigentümerin des Dokumentations-Spezialisten Dokuit aus dem hessischen Limeshain, behandelt wurde.

Zu den vier Workshops, die von Mitte November bis Anfang Dezember in Frankfurt, Hamburg, München und Neuss stattfanden, kamen insgesamt rund 40 IT-Profis. Deren Vorwissen hinsichtlich eines auf Standards basierenden Sicherheits- und Notfallmanagements war unterschiedlich ausgeprägt: Von Security-Beauftragten, die selbst als Auditoren tätig sind, bis zu IT-Managern, die ihr Unternehmen erstmals auf eine Zertifizierung vorbereiten, reichte das Spektrum. Gerade aus den unterschiedlichen Voraussetzungen ergaben sich Anknüpfungspunkte für einen spannenden Austausch unter den Teilnehmern.

Große Unterschiede im Detail

IT-Grundschutz des BSI und ISO 27001 sind vom Ansatz her kompatibel, wie a Campo ausführte. Beide können für ein „Information Security Management System (ISMS)“ genutzt werden, mit dem sich Risiken für die IT ermitteln und durch geeignete Maßnahmen auf ein akzeptables Maß reduzieren lassen. „Sie unterscheiden sich nicht so sehr in ihren Zielen und prinzipiellen Vorgehensweisen“, erläuterte der Referent. „Im Detail gibt es aber große Unterschiede.“

So sind nach beiden Standards zwar Zertifizierungen möglich. Die dafür erforderlichen Vorgehensweisen und die Referenzdokumente weichen allerdings erheblich voneinander ab. Daher sollten Organisationen frühzeitig klären, welcher Standard für sie infrage kommt.

Worauf es beim Notfallmanagement in erster Linie ankommt, lesen Sie auf der nächsten Seite.

Abstrakt versus konkret

Ein wesentlicher Unterschied zwischen den Standards ergibt sich daraus, dass sich ISO 27001 an Geschäftsprozessen orientiert. Entsprechend abstrakter und offener ist die Norm gehalten, die Unternehmen mehr Freiheitsgrade bei der Umsetzung eines ISMS lässt. Der BSI-Grundschutz ist dagegen technisch ausgerichtet und beschreibt konkret und detailliert, wie Organisationen bei der Minimierung von IT-Risiken vorgehen sollten. Während die ISO-Norm kaum 30 Seiten füllt, umfassen die Grundschutzkataloge mehr als 350 Seiten.

Für welche der beiden Normen sich ein Unternehmen beim ISMS und bei dessen Zertifizierung auch entscheidet, ein Blick auf die Alternative lohne sich in jedem Fall, empfahl a Campo den Teilnehmern. „Unabhängig von einer Zertifizierung ist es sinnvoll, die eigene Sicherheit in regelmäßigen Abständen zu überprüfen.“ Solche internen Audits dienten dazu, das ISMS jeweils den aktuellen Security-Anforderungen anzupassen und es auf die Weise kontinuierlich zu verbessern.

Notfallmanagement ist Aufgabe der Geschäftsleitung

Die Notfallplanung wird in Unternehmen oft der IT-Organisation zugeordnet. „Aber richtiges Notfallmanagement entscheidet über den Fortbestand des Unternehmens mit und sollte deshalb ein Thema der Geschäftsleitung sein“, lautete eine Kernbotschaft von Beraterin Reiss am zweiten Tag des „BSI & ISO Campus 2014“.

Sowohl die ISO-Norm 27001 als auch der BSI-Grundschutz fordern ein effektives Notfallmanagement, ohne das ein ISMS gar nicht zertifiziert werden kann. Sinn und Zweck des Notfallmanagements ist es, das Risiko von Notfällen zu reduzieren. Der Referentin zufolge werden Notfälle häufig auf den Ausfall von IT-Komponenten reduziert und die IT-Abteilung damit beauftragt, ein Notfallhandbuch zu erstellen.

IT-Notfallmanagement muss aber stets im unternehmensweiten Kontext betrachtet werden. In erster Linie geht es beim Notfallmanagement darum, „die für das Unternehmen lebensnotwendigen Geschäftsprozesse abzusichern“, wie Reiss betonte. „Was ein Notfall ist, muss daher immer individuell betrachtet und auf der Managementebene beantwortet werden.“

Dokumentation ist Pflicht

Alle Standards fordern die Erstellung und Pflege von Dokumenten, die bei einer Zertifizierung dem Auditor vorgelegt werden müssen und die er als Basis für seine Prüfungen nimmt. Noch wichtiger sind Dokumente aber laut der Expertin als Arbeitsgrundlage. Auf dem Notfallkonzept beruht beispielsweise die Umsetzung aller Maßnahmen, und für die Notfallbewältigung sind schriftliche Anweisungen unerlässlich. Denn Notfallpläne im Kopf zu haben, reicht nicht aus.

Damit die Anweisungen stets aktuell sind, geben sowohl der BSI IT-Grundschutz als auch der ISO-Standard vor, wie wirksame Dokumentationsprozesse auszusehen haben. Die ISO-Normen gehen in den aktuellen Versionen sogar noch einen Schritt weiter und fordern ein durch die Geschäftsleitung gesteuertes Dokumentationsmanagement.

(ID:43121089)