Grundschutz-Zertifizierung für kleine Unternehmen : Zu komplex oder durchaus möglich?
Der BSI IT-Grundschutz ist umfangreich: Allein das Grundschutz-Kompendium hat bisher 800 Seiten, hinzu kommen die vier Standards und unzählige andere relevante Dokumente im Internet. Deswegen fragen sich viele kleine Unternehmen, ob eine Zertifizierung auf Basis von IT-Grundschutz für sie grundsätzlich machbar ist.
Bei Beratungen kleiner Unternehmen zeigt sich oft das gleiche Bild: Es gibt ein rudimentäres IT-Sicherheitsmanagement, das meist wenig strukturiert, kaum formalisiert und erst recht nicht dokumentiert ist. Zudem ist ein Großteil der IT-Systeme nicht selbst betrieben, da sie ausgelagert worden sind – über die Umsetzung und den Stand der Sicherheit ist vom Dienstleister jedoch nichts bekannt. Trotzdem soll für Kunden und Partner ein Zertifikat her, das dem Unternehmen ein ausreichendes Sicherheitsniveau bescheinigt.
Eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) steht grundsätzlich allen Organisationen offen. Formal ist nur ein Antrag bei der BSI-Zertifizierungsstelle nötig, indem man den Informationsverbund und den zu betrachtenden Gegenstand für das BSI darstellt. Zudem muss man einen vom BSI ausgebildeten und akzeptierten Auditor für das Zertifizierungsaudit engagieren. Mit der Erteilung der Verfahrensnummer kann das Unternehmen nun in einem genau definierten Zeitrahmen das Zertifizierungsaudit vorbereiten. Der gesamte Prozess wird detailliert im Zertifizierungsschema [1] beschrieben.
Reif für die Zertifizierung?
Bis zur Anmeldung sollte eine Organisation eine gewisse Zertifizierungsreife erreicht haben. Grundlage dafür ist ein Informationssicherheitsmanagement als feste Instanz; jedoch gibt es das in kleinen Organisationen selten bis gar nicht. Wenn allerdings ein IT-Sicherheitsbeauftragter vorhanden ist oder zumindest ein im Thema Sicherheit engagierter Chef oder Mitarbeiter und es eventuell Gremien oder regelmäßige Abstimmungen dieser Personengruppen gibt, dann ist in vielen Fällen bereits eine gute Basis gegeben.
Beim folgenden Aufbau und Ausgestalten des im BSI-Standard geforderten Informationssicherheitsmanagementsystems (ISMS) hilft die IT-Grundschutz-Vorgehensweise, die im BSI-Standard 200-2 [2] dokumentiert ist. Dort ist das gesamte Vorgehen detailliert beschrieben, sodass es auch kleine Unternehmen gut umsetzen können. Entscheidet man sich, ein ISMS einzuführen und dafür die IT-Grundschutz-Vorgehensweise zu nutzen, ist eine Zertifizierung in greifbarer Nähe – unabhängig von der Größe der Institution.
Was muss in den Verbund?
Zudem kennt der modernisierte IT-Grundschutz neben der klassischen Vorgehensweise Standardabsicherung nun auch die Basis- und die Kernabsicherung. Bei der Kernabsicherung werden beispielsweise nur besonders schützenswerte Zielobjekte/Assets aufgenommen – somit können kleinere Unternehmen die bisherige Hürde der Vollständigkeit und der daraus folgenden Komplexität des Informationsverbundes umschiffen. Für die stark reduzierte Basisabsicherung gibt es allerdings keine Möglichkeit, ein Zertifikat zu erlangen – ein Auditor kann lediglich ein Testat [3] erteilen.
Darüber hinaus darf man die eigenen ITDienstleister nicht vergessen. Meistens ist über die dort umgesetzten Schutzmaßnahmen bis auf die Marketingaussagen zur IT-Sicherheit nichts weiter bekannt. Will ein Unternehmen den BSI IT-Grundschutz anwenden, muss sich das ändern. Denn für die Zertifizierung relevante Zielobjekte aufseiten des Dienstleisters sind Teil des Informationsverbundes und müssen somit im Rahmen der IT-Grundschutz-Vorgehensweise analog zu den eigenen betrachtet werden. Für das Zertifikat wählt das BSI einen ganzheitlichen Ansatz. Das Auslagern von Geschäftsprozessen und Dienstleistungen ist beim IT-Grundschutz durch den Begriff Outsourcing definiert.
Stolperstein Outsourcing
Wie Outsourcing im IT-Grundschutz abgesichert wird, ist beispielsweise im Hilfsmittel zum Outsourcing [4] aktuell und detailliert beschrieben. Das zertifizierungsrelevante Dokument besagt, dass Prüfungen beim Dienstleister (Lieferanten-Audits) durchgeführt werden müssen. Nur wenn der IT-Dienstleister ebenso nach IT Grundschutz zertifiziert ist, kann man auf Lieferanten-Audits ganz verzichten, da in diesem Fall das BSI von einem vergleichbaren Sicherheitsniveau ausgeht. Sollte der Dienstleister ein Zertifikat nach ISO 27001 ohne den Zusatz „auf Basis von BSI IT-Grundschutz“ haben, dann reduziert sich der Aufwand zumindest hinsichtlich der externen Bausteinprüfungen. Unter Umständen reicht es dann aus, den Outsourcing-Baustein anzuwenden.
Weiter gibt es im IT-Grundschutz-Kompendium zwei Bausteine, mit denen sich das Outsourcing ebenfalls absichern lässt: OPS.2.1 Outsourcing für Kunden und OPS.3.1 Outsourcing für Dienstleister. Ziel des Bausteins für Kunden ist es, entstandene Risiken möglichst zu minimieren, das Sicherheitsniveau beim Outsourcing dauerhaft aufrechtzuerhalten und es kontinuierlich zu verbessern. Deshalb müssen für jedes Outsourcing-Vorhaben anfänglich Sicherheitsanforderungen festgelegt, Regelungen getroffen und das Vertragsverhältnis von Anfang bis Ende sicher ausgestaltet werden.
Der Baustein für Dienstleister definiert Anforderungen, die umzusetzen vorrangig in seinem Interesse sind. Risiken, die aus der Geschäftsbeziehung kommen, sollen vermieden werden. Somit verlangt das Kompendium in seinen Vorschriften zur Modellierung, dass ein Dienstleister den Baustein in seinem ISMS umsetzen muss, sofern er eine Zertifizierung nach BSI IT-Grundschutz anstrebt.
Das Audit naht
Gemäß Zertifizierungsschema muss nach der Anmeldung ein strikter Zeitplan für die nächsten drei Jahre eingehalten werden. Frühestens einen Monat nach Abgabe des vollständigen Zertifizierungsantrags kann das Audit beginnen. Mit Beginn des Audits tickt die Uhr, denn alle Prüfungen der Auditoren müssen innerhalb von drei Monaten an das BSI übermittelt werden. Eine Prüfung des BSI führt gegebenenfalls zu Nachforderungen, die wiederum innerhalb von einem Monat erfüllt werden müssen. Mit Erteilung des Zertifikates gilt dieses unter Vorbehalt für genau drei Jahre. Damit es gültig bleibt, muss der Auditor jedes Jahr ein Überwachungsaudit durchführen. Nach drei Jahren muss sich das Unternehmen dann wieder neu zertifizieren beziehungsweise rezertifizieren lassen.
Das Audit beginnt immer mit einem Dokumentenaudit: Sogenannte Referenzdokumente müssen auf sicherem Wege an den Auditor vollständig übermittelt werden. Es folgt eine formale Prüfung, ob alle zertifizierungsrelevanten Dokumente vorliegen – hier kann es schon zu den ersten Abweichungen und Empfehlungen durch den Auditor kommen. Ist das Dokumentenaudit erfolgreich beendet, muss nun die Vor-Ort-Prüfung geplant und durchgeführt werden.
Nach der Zertifizierung ist vor der Zertifizierung
Nach einer erfolgreichen Zertifizierung muss man den Status der Zertifizierung aufrechterhalten und darf sich nur bedingt auf die faule Haut legen. Eine Zertifizierung ist nämlich nie wirklich erreicht, sondern muss immer aufrechterhalten werden. So ist bei gewichtigen Änderungen im Informationsverbund das BSI zu informieren. Das wäre zum Beispiel der Fall, wenn der gesamte IT-Betrieb umgestaltet werden würde oder die Organisation an eine andere angeschlossen und sich dadurch ein Großteil der Prozesse und Anwendungen im Verbund ändern würde. Unter bestimmten Voraussetzungen muss somit eine erneute Zertifizierung früher als nach drei Jahren durchgeführt werden.
Ebenso kann es sein, dass der Auditor zur Zertifizierung oder in einem späteren Überwachungsaudit Abweichungen zum Standard vorfindet. Die können entweder geringfügig oder schwerwiegend sein. Geringfügige Abweichungen sind in einem vom Auditor bestimmten Zeitraum innerhalb der Zertifikatsgültigkeit zu beheben und haben nur indirekt Auswirkungen auf das Votum eines Auditors zur Zertifikatserteilung. Schwerwiegende Abweichungen sind hingegen innerhalb kürzester Zeit zu beheben, da hier die Funktion des ISMS nicht gegeben ist und die daraus resultierenden gravierenden Risiken für den Auditor nicht tragbar sind.
Ein Zertifikat kann man bei einer bestehenden schwerwiegenden Abweichung auch ganz verlieren. Um es erneut zu erhalten, müsste sich das Unternehmen für einen neuen Zyklus anmelden und profilieren. Allerdings gibt es die Möglichkeit, ein Zertifikat für eine bestimmte Zeit auszusetzen – so verliert man es auch bei schwerwiegenden Problematiken nicht gleich vollständig.
Fazit
Der mittlerweile modernisierte Standard bietet alle wichtigen Informationen kostenlos an. Das BSI stellt darüber hinaus einige wichtige Hilfsmittel für Organisationen und Auditoren zur Verfügung, sodass genügend Transparenz hinsichtlich einer Zertifizierung herrscht. Geschäftsführer und Leiter von kleinen Organisationen können ihre IT nach IT-Grundschutz kompakt und auf die Bedürfnisse ausgerichtet zertifizieren – gegebenenfalls auch mit einer größtenteils ausgelagerten IT-Infrastruktur. Gerade der modernisierte Grundschutz kann durch neue Eigenschaften und Betrachtungswinkel seine Stärken ausspielen. Weg von den Anfängen als „Behördenstandard“ gibt es nach über 25 Jahren eine ausgereifte Vorgehensweise, die mehr Interpretationsspielraum bietet als bisher allgemein bekannt ist und sich durchaus auch für kleinere Unternehmen eignet.
Andreas Floß ist Berater im Bereich Security Consulting der HiSolutions AG.
Literatur
[1] BSI, Zertifizierungsschema, www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Managementsystemzertifizierung/Zertifizierung27001/Zertifizierungsschema/schema_node.html
[2] BSI, BSI-Standard 200-2, November 2017, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_2.pdf
[3] BSI, Prüfschema für die Erteilung eines Testats nach der Basis-Absicherung gemäß IT-Grundschutz, Version 1.0,
März 2019, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Testat/Pruefschema.pdf
[4] BSI, Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz – Outsourcing, Version 2, Oktober 2017, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Outsourcing_Kompendium.pdf