IT-Grundschutz des BSI bietet Orientierung

Die Zeit drängt

von - 18.01.2018
Seiten des neuen IT-Grunschtzrechts
Quelle: acitveMind
Angesichts der EU-Datenschutz-Grundverordnung (DSGVO) sei es besonders wichtig, „die Datenflüsse und den Einsatz von Informationstechnik in der eigenen Organisation sauber dokumentiert zu haben und die Risiken zu identifizieren“. Dies sei eine Pflicht für jeden. Unternehmen mit hohem Datenschutzrisiko müssen laut Hansen zudem künftig eine Datenschutz-Folgenabschätzung durchführen. Auch hier seien die IT-Grundschutzmethodik und das Standard-Datenschutzmodell hilfreich.
Klaus Foitzick empfiehlt all jenen Unternehmen, sich mit der IT-Grundschutzthematik auseinanderzusetzen, die „Leistungen für Bundes- und Landesbehörden anbieten oder die Wert auf eine native ISO-27001-Zertifizierung legen, aber nicht wissen, wie sie den abstrakten Ansatz interpretieren sollen, und die jetzt nach einem Beispiel für die Umsetzung suchen“. Manche Regelungen, etwa in Kapitel 11 und 12, könne man aber nicht verstehen, „wenn man nicht schon lange in der Branche ist“. Als Beispiel nennt er Event-Managementsysteme. Dort stehe in der ISO-Norm 27001 lediglich, dass man sie brauche, nicht mehr. „Aber was sind sie? Wozu braucht man sie? Welche Regelungen und welche Verantwortlichkeiten werden benötigt?“ Im IT-Grundschutz lassen sich ihm zufolge diese Angaben finden. „Dort haben wir sehr viel weniger abstrakte, ja geradezu hemdsärmelige How-tos, die genau beschreiben, wie etwas zu machen ist“, so Foitzick.
Marit Hansen
Marit Hansen
Landesbeauftragte für den Datenschutz in Schleswig Holstein
www.datenschutzzentrum.de
Foto: Landeszentrum für Datenschutz
„Immer dort, wo hohe Risiken durch Datenverarbeitung entstehen, dürfen Datenschutz und Informationssicherheit nicht vernachlässigt werden.“
Für ihn ist der IT-Grundschutz deswegen ein notwendiges Referenzwerk, das sehr viel besser als viele Fachpublikationen sei, die es zu dem Thema gebe. Zudem seien die neuen Regelungen des BSI nicht mehr so starr wie früher. Foitzick: „Das ist jetzt freier geworden.“ Angesprochen auf die Dauer, die für eine native ISO-27001-Zertifizierung benötigt wird, nennt er einen Zeitrahmen von sechs bis zwölf Monaten. „Wenn es aber unbedingt sein muss, geht es auch in nur drei Monaten“, ergänzt er. Das sei jedoch völlig unmöglich, wenn man kein Fachwissen im Unternehmen habe. Für die BSI-Zertifizierung geht er vom doppelten Zeitrahmen aus.
„Wenn es darum geht, ein effizientes System innerhalb einer Zeit von unter einem Jahr einzuführen, wird man das nicht mit eigenen Mitarbeitern schaffen. Das würde auch zu teuer sein.“ activeMind bietet diese Leistung als Partner an und rechnet sie zu Monatspauschalen ab, die laut Foitzick bei Unternehmen unter 50 Mitarbeitern nicht höher lägen als für eine Halbtagesstelle. Wenn man sich dagegen selbst intensiv mit dem Thema beschäftigen und dazu einen eigenen Stamm von fünf Mitarbeitern aufbauen wolle, dann sei ein externer Dienstleister „für den ersten Anschub“ hilfreich.
IT-Grundschutz und Zertifizierung nach ISO 27001 werden auch künftig viele Unternehmen beschäftigen. Insbesondere da sich die DSGVO, die ja in wenigen Monaten in Kraft tritt, die Nachweisbarkeit bestimmter Maßnahmen auf die Fahnen geschrieben hat. In diesem Fall kann eine Zertifizierung eine externe Bestätigung dafür sein, dass das ISMS in einem Unternehmen wirklich funktioniert. Aber auch in Fällen, bei denen es zunächst nicht um eine Zertifizierung geht, ist der neue IT-Grundschutz eine wertvolle Hilfe bei der Umsetzung konkreter Maßnahmen zur Absicherung der Unternehmens-IT.
Verwandte Themen