Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) hat sich zum Ziel gesetzt, das Sicherheitsniveau in mittelständischen und kleinen Unternehmen zu verbessern. Der BSI-IT-Grundschutz stellt einen Katalog mit Standard-Sicherheitsmaßnahmen dar, der Vorgehensweisen zur Optimierung von unternehmerischen Infrastrukturen empfiehlt. Ihre Umsetzungen können dann im laufenden Unternehmens-Alltag geplant werden. Marco Bläsing, unser technischer Leiter bei m2guard, ist verantwortlich für die Entwicklung der IT-Sicherheits-Komponenten. Es handelt sich dabei um das Aufdecken von Schwachstellen in gewerblichen Infrastrukturen und die Findung von Lösungen. Er hat für Sie den BSI-Grundschutz unter die Lupe genommen.
Warum lohnt es sich, über den zertifizierten IT-Grundschutz des BSI nachzudenken?
„Mittels der Zertifizierung der eigenen Sicherheitspolitik durch das BSI erbringen Unternehmen den vertrauenswürdigen Nachweis, dass sie Maßnahmen nach der IT-Grundschutz-Verordnung realisiert haben. So können sich kooperierende Geschäftspartner sicher sein, welchen Grad an IT-Sicherheit das Unternehmen aufweist. Auch können Unternehmen, die neu an ein Netz angeschlossen werden möchten, den Nachweis erbringen, dass sie eine ausreichende IT-Sicherheit besitzen und durch den Anschluss ans Netz keine untragbaren Risiken entstehen. Das BSI verfolgt das Ziel, mit seinen Empfehlungen von Sicherheitsmaßnahmen einen Standard für IT-Sicherheit darzustellen. Vorsicht! Dieser Satz an Instrumenten kann zu eng für die vielfältigen Strukturen und Prozesse der deutschen Unternehmenslandschaft gefasst sein.“
Wie geeignet ist der BSI-Grundschutz in der praktischen Anwendung?
„Für die Zertifizierung im Rahmen des BSI-Grundschutzes werden nach der Analyse der jeweiligen Geschäftsprozesse Maßnahmen vorgegeben, die von großen, mittelständischen aber auch kleinen Unternehmen finanziell und personell bewältigt werden müssen. In der Praxis passt der IT-Grundschutz oft nicht. Vor allem für Unternehmen unter 300 Mitarbeitern sind die entsprechenden Maßnahmen und Prozesse, die erfüllt und durchlaufen werden müssen, zu aufwendig und zu teuer.“
Wie bewerten Sie die BSI-Zertifizierung?
„Die meisten Unternehmen haben bereits ein Sicherheitssystem, das zwar rudimentär sein kann, aber für das dennoch entsprechende Investitionen getätigt wurden. Und das ist der springende Punkt, denn Unternehmen verlieren ihre bisherigen Investitionen oder können Summen für eine individuelle Lösung nicht mehr aufbringen. Hier muss die Waage zwischen Herausforderungen, die die fortschreitende Digitalisierung mit sich bringt, unternehmerischer Optimierung und Aufwand gehalten werden. Denn die Zertifizierung kann nur dann erfolgen, wenn alle entsprechenden Maßnahmen, die vom BSI vorgegeben wurden, in vollem Umfang umgesetzt werden. Dementsprechend stehen Anwender vor der Wahl: Ganz oder gar nicht!“
Was empfehlen Sie Unternehmen, die ihren IT-Schutz optimieren müssen?
„Kein Unternehmen sollte es versäumen, die eigenen Maßnahmen der Informations-Sicherheit aktiv zu planen. Strukturen und Geschäftsprozesse müssen regelmäßig und immer mit Blick auf einen sicheren Umgang mit ihnen überprüft werden. Jede Informations-Sicherheit benötigt ein kompetentes Management. Ich empfehle Unternehmen, die vor der Aufgabe der Optimierung ihrer Sicherheitspolitik stehen, unbedingt die Beratung bei einem IT-Sicherheits-Experten in Anspruch zu nehmen. Dieser wägt gemeinsam mit dem Unternehmen objektive Möglichkeiten ab und findet die optimale Lösung, maßgeschneidert auf das Unternehmen.“
Die ISO-Norm 27001 bezeichnet ein vom BSI im Rahmen des IT-Grundschutzes erstelltes Zertifikat, das nach Erfüllen von sicherheitstechnischen Maßnahmen ausgestellt wird. Der IT-Grundschutz schreibt sich auf die Fahne, dass für jeden Sicherheitsstand passend eine IT-Lösung gefunden werden kann. Je nach Bedürfnis werden so entsprechende Werkzeuge zur Verfügung gestellt.
Ab dem 1. Februar 2018 umfasst der IT-Grundschutz laut BSI die Inhalte der früheren Grundschutz-Kataloge in einer verschlankten und klarer strukturierten Form. Neben einer grundlegenden Einführung in die IT-Grundschutz-Methodik beinhaltet es 80 modernisierte Prozess- und System-Bausteine, die bei der Optimierung einer sicheren IT-Infrastruktur helfen sollen.
Online-Kurse
Neu eingeführte Online-Kurse richten sich besonders an kleine und mittelgroße Unternehmen. In einzelnen Lektionen soll, angerichtet in „Informationshäppchen“, der thematische Einstieg für Unwissende erleichtert werden.
Verschaffen Sie sich einen Überblick über die tatsächliche IT-Sicherheit in Ihrem Unternehmen. Ein umfassender IT-Sicherheits-Check mit m2GUARD bringt Klarheit!