Vergleich von ISO 27001 und BSI-Grundschutz

Sowohl die internationale Norm ISO/IEC 27001 (nativ) als auch die deutsche ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) erlauben die Beurteilung und ggf. Zertifizierung eines Informationssicherheits-Managementsystems (ISMS). Beide Normen haben größere inhaltliche Schnittmengen, unterscheiden sich jedoch in der Methodik und auch die Zertifikate haben eine unterschiedliche Aussagekraft.

Gemeinsamkeiten von ISO/IEC 27001 (nativ) und ISO 27001 auf Basis IT-Grundschutz

Voraussetzung für eine Zertifizierung ist jeweils, dass ein Managementsystem für die Informationssicherheit aufgebaut ist und betrieben wird. Entsprechend des hierfür üblichen Plan-Do-Check-Act-Zyklus (PDCA-Zyklus) werden geplante, dokumentierte und funktionierende Prozesse erwartet, die es nicht nur erlauben, die Informationssicherheit aufzubauen, sondern auch, diese zu kontrollieren und laufend zu verbessern.

Sind diese Voraussetzungen erfüllt und nach Prüfung durch einen Auditor gegenüber der Zertifizierungsstelle bestätigt, kann grundsätzlich ein offizielles Zertifikat ausgestellt werden. Die Zertifikate haben eine Gültigkeit von drei Jahren bevor sie erneuert werden müssen. Während der Gültigkeitsdauer erfolgen jährliche Überwachungsaudits, die bestanden werden müssen.

Unterschiede von ISO IEC 27001 und BSI-Grundschutz

Der wesentliche Unterschied der beiden Normen für Informationssicherheit liegt darin, wie sie formal aufgebaut sind und was im Rahmen einer Zertifizierung belegt und durch das Zertifikat bestätigt wird. Ein Zertifikat nach ISO 27001 bescheinigt nur das korrekt eingerichtete ISMS. Nach IT-Grundschutz wird zusätzlich bezeugt, dass ein ausreichendes IT-Sicherheitsniveau erreicht wurde; neben dem funktionierenden Prozess wird also auch dessen tatsächliches Ergebnis bescheinigt.

ISO/IEC27001

Die ISO/IEC27001 konzentriert sich auf den Informationssicherheits-Prozess an sich. Die relevanten Regelungen sind mit noch nicht einmal 30 Seiten Text sehr knapp. Unternehmen müssen selbst geeignete Verfahren und Maßnahmen finden und umsetzen, um die identifizierten und analysierten Risiken auf ein akzeptables Niveau zu senken. Die Norm gibt hierfür zwar auch einige Maßnahmen vor, die allerdings ebenfalls allgemein gehalten sind und vom Verwender noch richtig interpretiert werden müssen (Anhang A zur ISO 27001 sowie die ergänzende Norm ISO 27002).

Das Vorgehen bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber in besonderem Maße, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen. Zentral ist die ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf sind erheblich.

Das Zertifikat selbst sagt im Ergebnis nur aus, dass ein taugliches Informationssicherheits-Managementsystem eingerichtet ist und betrieben wird. Ein bestimmtes Niveau an Informationssicherheit wird nicht bescheinigt. Erst Recht wird keine Aussage über konkrete Maßnahmen getroffen. Bei einem sehr frischen Zertifikat kann es also durchaus sein, dass das tatsächlich erreichte Informationssicherheitsniveau noch nicht sehr hoch ist; der Inhaber ist lediglich bereits auf dem richtigen Weg.

Weiterlesen: Hier geht es zur ausführlichen Darstellung der ISO 27001.

BSI-Grundschutz

Die ISO 27001 auf Basis IT-Grundschutz betrachtet die Informationssicherheits-Prozesse selbstverständlich auch, jedoch ist die Herangehensweise eine andere. Das Vorgehen und die Anforderungen sind deutlich formalisierter.

Statt mit einer Risikoanalyse zu beginnen, ist beim IT-Grundschutz zuerst ein Managementsystem aufzubauen, welches den Vorgaben insbesondere des BSI-Standards 200-2 entspricht. In diesem Werk ist auf gut 180 Seiten die IT-Grundschutzmethodik festgehalten. Die Umsetzung hat grundsätzlich unabhängig eines konkreten Risikos zu erfolgen.

Der wesentliche Unterschied zur nativen Vorgehensweise ist der Umgang mit Risiken und den umzusetzenden Maßnahmen. Der IT-Grundschutz verlangt die Umsetzung bestimmter Maßnahmen ohne Betrachtung des Risikos. Diese Maßnahmen sollen einen allgemeintauglichen IT-Grundschutz sicherstellen. Erst nach Umsetzung der entsprechenden Maßnahmen wird dann überlegt, wo diese möglicherweise nicht ausreichen und müssen ggf. durch weitere Maßnahmen ergänzt werden. Insgesamt ist der Aufwand zur Zertifizierung damit höher, wenn auch linearer und aufgrund der Schematisierung vielleicht weniger fehleranfällig.

Die angesprochenen Maßnahmen waren früher in den IT-Grundschutzkatalogen enthalten und sehr exakt und bis ins Detail vorgegeben. Jedes Unternehmen musste genau die gleichen Dinge tun. Mit dem aktuellen IT-Grundschutzkompendium wurde vor einigen Jahren versucht, den abschreckenden Umfang des Werks zu verkleinern, um mehr Stellen zur Umsetzung des IT-Grundschutzes zu motivieren. Diese Änderung ging aber deutlich zu Lasten der Klarheit, da jetzt weitaus allgemeiner formulierte Anforderungen enthalten sind.

Trotz des im Vergleich zur Norm ISO 27001 bzw. ISO 27002 weiterhin wesentlich größeren Umfangs des Grundschutz-Kompendiums ist damit nun auch im Bereich IT-Grundschutz reichlich viel Interpretation gefragt. Das aber eröffnet auch Raum für unterschiedliche Auffassungen. Wo früher klar war, welche konkreten Maßnahmen ein Unternehmen mit IT-Grundschutz Zertifikat umgesetzt hatte, fehlt diese Eindeutigkeit nun. Auch wenn das IT-Grundschutz Zertifikat nach wie vor bescheinigt, dass nicht nur das Managementsystem eingerichtet ist, sondern eben auch das für den IT-Grundschutz notwendige IT-Sicherheitsniveau erreicht ist, können im Fragen im Einzelfall offenbleiben – etwa für Auftraggeber, die sehr konkrete Anforderungen haben. Ob diese erfüllt sind, kann nicht mehr im IT-Grundschutz nachgelesen werden, sondern ist beim Inhaber des Zertifikats zu erfragen. Die frühere Vergleichbarkeit im IT-Grundschutz ist leider verloren.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen und profitieren von Datensicherheit zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.