Realisierung und Schwierigkeiten
Nach dem Soll-Ist-Vergleich erfolgt eine Realisierungsplanung für die noch benötigten Maßnahmen. Dafür wird der Aufwand der Maßnahme als Geldbetrag und Stundenaufwand kalkuliert und terminiert.
Schwierigkeiten kann noch die sogenannte ergänzende Sicherheitsanalyse und Risikoanalyse machen. In diesem Abschnitt erfolgt eine Art Gefährdungsbeurteilung samt Risikomanagement für Zielobjekte mit folgenden Kriterien:
Der Schutzbedarf ist in mindestens einem der drei Grundwerte hoch oder sehr hoch.
Für das zu behandelnde Zielobjekt gibt es keinen Baustein (wie derzeit beispielsweise für das Betriebssystem Windows 8).
Der vorhandene Baustein des BSI reicht vom Umfang oder der Qualität her nicht aus.
Die Zertifizierung
Die Zertifizierung selbst ist mit der herkömmlichen ISO 27001 vergleichbar, wobei die Zertifizierungsstelle in diesem Fall das BSI selbst ist, das auch an den Prüfer respektive Auditor einige Anforderungen stellt. Diese müssen unter anderem nachweisen, dass sie ihrer Tätigkeit stets nachkommen. Das wird mit eine Art Punkteverfahren sichergestellt. So hat ein lizensierter BSI-Auditor die Aufgabe, eine bestimmte Anzahl an Tätigkeiten innerhalb von drei Jahren nachzuweisen. Das können Audits, der Besuch von Fachmessen oder Weiterbildungskurse sein. Das Verfahren soll die Kompetenz der Auditoren sicherstellen. Schaffen Auditoren nicht die geforderte Punktzahl, kann das BSI dem Auditor die Re-Zertifizierung verwehren.
Vor der eigentlichen Zertifizierung müssen Auditortestate erlangt werden, die zwei Jahre lang gültig und nicht wiederholbar sind. Im Rahmen der Testierung soll eine zunehmende Zahl geforderter Maßnahmen umgesetzt werden. Beim ersten Testat, der Einstiegsstufe, sind rund 55 Prozent der Maßnahmen erforderlich. Das zweite Testat, die Aufbaustufe, verlangt bereits 72 Prozent. Ist der Zertifizierungsprozess mit 82 Prozent der Maßnahmen überstanden, ist das ISO 27001-Zertifikat drei Jahre lang gültig.
Teuscher dazu: "Wie alle Zertifizierungsstellen unterliegt auch das BSI mit seiner Zertifizierungsstelle der ISO-17021-Norm. Teil dieser Norm ist unter anderem auch die Qualifikation der Leitenden Auditoren. Diese müssen in der Berufungszeit mindestens drei Zertifizierungsaudits durchlaufen sowie am jährlichen Erfahrungsaustausch und noch an weiteren Maßnahmen zur Weiterentwicklung teilgenommen haben." Das Ziel dieses Vorgangs sei es, nicht praktizierende Auditoren, die beispielsweise nur beraten, den Titel abzuerkennen. In der Praxis stelle es sich laut Teuscher aber wesentlich schwieriger dar, als man annehmen könne: "Es gibt das berühmte Henne-Ei-Problem. In den meisten meisten Beratungsprojekten wird ausdrücklich nach leitenden Auditoren gefragt, die ihren Fokus wiederum auf die Auditierung und nicht auf die Beratung legen sollten." Dieses Dilemma könne man wohl nur durch weitere Aufklärung in den Behörden entschärfen.
- Fürsprecher in der Chefetage gewinnen
Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird. - Branchenspezifische Anforderungen
In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind. - Nicht nur ein Zertifikat besitzen wollen
So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden. - Mit einer GAP-Analyse beginnen
In der Regel bestehen bereits rudimentäre IT-Sicherheitsmaßnahmen. Mit einer GAP-Analyse finden Sie heraus, auf welchen von ihnen sich aufbauen lässt. Dadurch sinkt der Aufwand der Implementierung eines ISO-konformen ISMS erheblich. - Unrealistische Projektierungszeiten vermeiden
Zu anspruchsvolle Ziele können bei einer ehrgzeigen Projektplanung auch kontraproduktiv sein. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb sollten Unternehmen die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren versuchen zu wahren. - Schlanke Realisierungsmethoden nutzen
Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen. - Augenmaß bei der Komplexität
Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren. - Keine standardisierte Policy anderer nutzen
Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht. - Ausufernde Dokumentationen vermeiden
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen. - Für ein breites ISMS-Verständnis sorgen
Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören. - Geschäftsleitung in die Schulungen einbeziehen
Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen. - Frühzeitig für eine KVP-Kultur sorgen
In einem Kontinuierlichen Verbesserungsprozessen (KVP) werden die Sicherheitsmaßnahmen weiterentwickelt. Das verlangt auch ein organisatorisches Selbstverständnis, das über Schulungen hinauentwickelt werden muss. <br /><br /> <em>(Tipps zusammengestellt von der mikado AG)</em>
Mit Re-Zertifizierungsaudits kann die Zertifizierung anschließend aufrechterhalten werden. Ein jährliches Überwachungsaudit umschließt den Wartungsprozess. Überwachungsaudits sind nicht zu unterschätzen. Erfolgen nämlich "wesentliche Änderungen am zertifizierten Unternehmen", sind diese der Zertifizierungsstelle des BSI schriftlich mitzuteilen. Wechselndes outgesourctes Personal würde beispielsweise darunter fallen.
Die Geschäftsleitung soll sich auch die Frage stellen, welche Unternehmensphilosophie sie vorgibt. Denn eine ISO 27001 auf der Basis von IT-Grundschutz verschlingt nicht unerhebliche Ressourcen. Es empfiehlt sich, nicht gleich aufgrund von Minimalunterschieden im Stunden- oder Tagessatz den Dienstleister zu wechseln. Überhaupt steht das eindeutig erhöhte Sicherheitsrisiko durch wechselndes Personal in keinem Verhältnis zu den Instandhaltungskosten der Zertifizierung, zumal allein die Einarbeitungszeit bereits für sich spricht.
Wolfgang Berger, Leiter des Business Reframing Instituts in Karlsruhe, meint dazu: "Wechselndes Personal ist ein Kostenrisiko. Die Kosten der Neubesetzung und der Einarbeitungszeit stehen in keinem Verhältnis zu den Instandhaltungskosten der Zertifizierung. Wechselndes Personal ist aber vor allem auch ein Sicherheitsrisiko. Wer sich in eine ihm nicht vertraute Unternehmenskultur nicht einlebt, reagiert seinen Frust manchmal durch Verrat ab."
Vor- und Nachteile gegenüber der ISO 27001
Was nun? Auf der Basis von IT-Grundschutz oder doch die "einfache" ISO 27001? Es ist eine Abwägungssache. Natürlich ist die "BSI-Zertifizierung" mit der ISO 27001 vollständig kompatibel. Auch berücksichtigt diese Empfehlungen der kürzlich neu überarbeiteten ISO 27002. Das Verfahren ähnelt einer Bedienungsanleitung - versteht man es erst einmal, lässt es sich im Regelfall ohne größere Hürden umsetzen.
Foto: Stanislav Wittmann
Auf der anderen Seite stehen neben dem enormen Dokumentationsaufwand kaum Freiheiten gegenüber einem Verfahren, dass zwar kaum Schwächen besitzt, gleichwohl aber aktuell zu halten ist. Denn die Abhängigkeit vom GS-Katalog kann durchaus zum Verhängnis werden. Sollte das BSI nicht seiner Pflicht nachkommen können, Gefahren, Maßnahmen oder Bausteine rechtzeitig zu aktualisieren, können Risiken für bestimmte Gefahren beträchtlich steigen. Gerade die IT-Branche ist ein schnelllebiges Geschäft. So sollte beispielsweise der Baustein Windows 8 möglichst vor der Vorstellung des nächsten Betriebssystems erscheinen.
Fazit
Ob nun ISO 27001 oder ISO 27001 auf der Basis von IT-Grundschutz: Unternehmen sollten die Zertifizierung nicht rein aus juristischen Exkulpationsabsichten, sondern vielmehr aus sicherheitsbewusstem Eigeninteresse anstreben. Dann wird vermutlich jede Form einer ISO 27001 - Zertifizierung ihren Zweck erfüllen
Letztlich ist es eine Frage der Abwägung. Möchte ein Unternehmen mehr Freiheiten und eine individuelleres Konzept mit dem Mut zur Lücke, ist die wohl die "herkömmliche" Version der ISO 27001 die richtige Lösung.
Entscheidet es sich hingegen für eine strikte, dafür umfassende und höchst wahrscheinlich aufwändigere Lösung, kann die ISO 27001 auf der Basis von IT-Grundschutz eine Option sein. Hinzu kommt eine gewisse Abhängigkeit vom BSI, da dieser die Entwicklungen der Sicherheitstechnik verfolgen muss, um den GS-Katalog aktuell zu halten.
Eine Norm ist und bleibt auch eine Norm. Vom Gesetzgeber gefordert ist sie nicht. Die ISO 27001 hat keinen öffentlich-rechtlichen Charakter, gleichwohl reflektieren Normen den Stand der Technik. Es besteht ja auch die Möglichkeit, die ISO 27001 als Vorlage für ein Sicherheitskonzept zu verwenden, jedoch keine Zertifizierung zu beabsichtigen. Eine weitere Möglichkeit wäre, einzelne Teile der Norm oder des GS-Kataloges für sein Unternehmen zu verwenden. Das BSI stellt immerhin die GS-Kataloge und sehr umfangreiches weiterführendes Material kostenlos zum Download zur Verfügung. (sh)