IT-Grundschutz des BSI bietet Orientierung

"Um IT-Sicherheit kommt niemand herum“, betont Severin Rast, Business-Unit-Leiter IT-Security Consulting beim Kölner Beratungs- und Systemhaus Infodas. Aber wie lässt sich dieses Ziel erreichen? Gerade kleinere und mittlere Unternehmen, also die KMUs, tun sich mit dieser Aufgabe häufig schwer. Dabei gibt es in Deutschland seit Jahrzehnten die umfassenden IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Der IT-Grundschutz ist eine Konkretisierung der interna­tional bedeutenden ISO-Norm 27001. Diese Norm beschreibt, wie sich Informations-Sicherheit in einem Unternehmen erreichen lässt – allerdings in eher abstrakter Form. Dieses Manko versucht der IT-Grundschutz mit seinen teils äußerst detaillierten und umfangreichen Hilfestellungen zu beheben.

Das Problem war bislang aber, dass viele IT-Leiter von der Aufgabe, den IT-Grundschutz umzusetzen, überfordert waren – oder das zumindest glaubten. Dabei muss man gar nicht alles umsetzen, sondern kann auch nur die für das eigene Unternehmen relevanten Teile heraussuchen und den Rest igno­rieren. Auch muss der IT-Grundschutz nicht in jedem Fall gleich zu einer regelrechten Zertifizierung führen.

So sagt etwa Klaus Foitzick, Geschäftsführer und Gründer von Global Access, dass er sein Unternehmen durch das BSI zertifizieren ließ, obwohl sie zu diesem Zeitpunkt nur zwölf Mitarbeiter gewesen seien. Bei der Zertifizierung nach ISO 27001 seien es sogar nur fünf Mitarbeiter gewesen. Foitzick: „Wer will, schafft das auch.“ Heute wirbt der Cloud-Dienstleister mit Sitz in München damit, dass die Daten seiner Kunden „vor Sicherheitsorganen aus der ganzen Welt sicher sind, einschließlich der NSA“. Die Basis dafür sei ein nach ISO und BSI zertifiziertes Managementsystem für Informationssicherheit (ISMS), das unter Zuhilfenahme des IT-Grundschutz­katalogs und der ISO-Norm 27001 erstellt worden sei.

Eingeführt wurde der IT-Grundschutz in den 90er-Jahren. Da auch die IT sich kontinuierlich weiterentwickelt hat, wurden die in den Grundschutzkatalogen des BSI empfohlenen Maßnahmen immer umfangreicher und unübersichtlicher. Zuletzt umfasste der gesamte IT-Grundschutzkatalog laut Klaus Foitzick, der auch Vorstand und Inhaber des Beratungshauses activeMind AG sowie BSI-Auditor ist, etwa 5500 DIN-A4-Seiten. Seiner Meinung nach ist die Detaillierung zuletzt „an manchen Stellen ein bisschen zu weit gegangen“. Er schätzt, dass sich „in Deutschland nur sehr wenige Firmen finden lassen, die diesen unglaublichen Aufwand auf sich genommen haben“.