ISO 27001 vs. BSI-IT-Grundschutz – Vergleich und Handlungsempfehlungen
ISMS-Standards wie die ISO 27001 oder der BSI-IT-Grundschutz ermöglichen die Strukturierung und Koordination des Informationssicherheitsprozesses in Organisationen. Häufig wird auch eine Zertifizierung des ISMS nach dem entsprechenden Standard angestrebt. Doch für welchen Standard soll man sich entscheiden? Hier erfahren Sie, welche Vorteile die „großen“ Standards bieten und welche Hürden aufkommen können.
Was sind Standards für Informationssicherheitsmanagementsysteme (ISMS)?
ISMS-Standards wie die ISO 27001 oder der BSI-IT-Grundschutz ermöglichen die Strukturierung und Koordination des Informationssicherheitsprozesses in Organisationen. Häufig wird auch eine Zertifizierung des ISMS nach dem entsprechenden Standard angestrebt. Doch für welchen Standard soll man sich entscheiden? Hier erfahren Sie, welche Vorteile die „großen“ Standards bieten und welche Hürden aufkommen können.
Wie unterscheiden sich ISO 27001 und BSI-IT-Grundschutz?
Die Wahl eines Standards für ISMS fällt in Deutschland häufig auf die ISO 27001 oder den BSI-IT-Grundschutz. Die Auswahl an möglichen Standards ist damit aber keinesfalls erschöpft. Weitere, teils branchenspezifische Standards wie TISAX für die Automobilbranche oder VDS 10.000 für kleine und mittlere Unternehmen kommen ebenfalls zum Einsatz. Da BSI-IT-Grundschutz und ISO 27001 jedoch am weitesten verbreitet sind, konzentriert sich dieser Vergleich auf diese beiden Standards.
Allgemeines
Die ISO 27001 ist als Standard der International Organization for Standardization (ISO) weltweit bekannt. Auch global agierende Unternehmen können sich sicher sein, dass potenziellen Geschäftspartnern bekannt ist, was eine Zertifizierung nach ISO 27001 bedeutet.
Die ISO 27001 verfolgt das Ziel, auf Organisationen jeder Art anwendbar zu sein. Dadurch ist sie sehr allgemein gehalten, in der Anwendung sind viele Anpassungen an die eigene Organisation nötig. Ergänzende Informationen können die weiteren Standards der ISO-27.0xx-Reihe liefern. Der Standard ISO 27002 hilft beispielsweise, die Sicherheitsanforderungen des Standards ISO 27001 besser zu verstehen.
Der IT-Grundschutz wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben.
Der Standard orientiert sich an der ISO 27001 und wird dabei deutlich konkreter. Das IT-Grundschutzkompendium beinhaltet verschiedene Bausteine, in denen Anforderungen und Maßnahmen beschrieben werden. Die Bausteine beziehen sich dabei auf konkrete Themengebiete, IT-Systeme und Anwendungen.
Der IT-Grundschutz ist ein nationaler Standard, der sich an deutsche Organisationen richtet. Entsprechend kann bei internationalen Geschäftsbeziehungen nicht davon ausgegangen werden, dass die Zertifikate anerkannt werden.
Vergleich
Dadurch, dass die ISO 27001 sehr allgemein gehalten ist, besteht für Organisationen auch ein sehr hoher Freiheitsgrad bei der Umsetzung. Es werden Anforderungen definiert, die Art und Weise, wie die Anforderungen erfüllt werden, bleibt aber offen. Beim IT-Grundschutz bleibt bei der Umsetzung dagegen nur ein mittlerer Freiheitsgrad. Hier werden zu den Anforderungen detaillierte Handlungsempfehlungen ausgesprochen.
Die Zertifizierung eines ISMS nach ISO 27001 kann von beliebigen, entsprechend akkreditierten Auditoren durchgeführt werden. Beim IT-Grundschutz hingegen erfolgt die Zertifizierung durch das BSI selbst. Bei beiden Standards sind jährliche Überwachungsaudits vorgesehen, die Zertifizierung ist jeweils drei Jahre lang gültig. Im Anschluss ist eine Rezertifizierung nötig.
Allgemeine Vorgehensweise
Das Vorgehen bei der ISMS-Einführung ist bei beiden Standards ähnlich. Zunächst werden der Geltungsbereich des ISMS festgelegt und die Informationswerte (Assets) identifiziert. Anschließend werden für diese Assets Maßnahmen abgeleitet und umgesetzt. Zuletzt findet der Übergang in einen kontinuierlichen Verbesserungsprozess statt, bei dem das ISMS regelmäßig überprüft und aktualisiert wird.
Wie ist das Vorgehen nach BSI-IT-Grundschutz?
Schutzbedarf, Modellierung und Risikoanalyse
Beim IT-Grundschutz wird nach dem Erfassen der Assets der jeweilige Schutzbedarf der Assets festgestellt und dokumentiert. Dabei handelt es sich um eine Einschätzung, wie hoch der Schaden für die Organisation ausfällt, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit des Assets beeinträchtigt wird. Das BSI empfiehlt, den Schutzbedarf in die Kategorien „normal“, „hoch“ und „sehr hoch“ einzuteilen.
Das Ableiten der Maßnahmen für die Assets erfolgt durch die Modellierung mit IT-Grundschutzbausteinen und gegebenenfalls durch eine ergänzende Risikoanalyse. Bei der Modellierung werden für jedes Asset die passenden Bausteine aus dem IT-Grundschutzkompendium identifiziert. In den Bausteinen werden die Anforderungen beschrieben, die konkret zu erfüllen sind.
Für Assets, bei denen ein erhöhter Schutzbedarf festgestellt wurde, wird in einem zweiten Schritt zusätzlich eine ergänzende Risikoanalyse durchgeführt. Dabei werden mögliche Gefährdungen für das Asset identifiziert, das Risiko bewertet und Maßnahmen ergriffen, um das Risiko zu senken. Die genaue Methodik ist im BSI-Standard 200-3 beschrieben.
Absicherungsstufen
Eine weitere Besonderheit des IT-Grundschutzes liegt in den Absicherungsstufen. Um den Einstieg in das Thema ISMS und die Einführung zu erleichtern, bietet der IT-Grundschutz drei Absicherungsstufen an, die sich im Umfang des ISMS und in der Höhe der Absicherung unterscheiden.
Die Standard-Absicherung umfasst die gesamte Vorgehensweise nach BSI-IT-Grundschutz, die auf den gesamten definierten Geltungsbereich angewendet wird. Das Ziel des ISMS-Prozesses soll immer sein, das Niveau der Standard-Absicherung zu erreichen. Bei einer Zertifizierung wird die Standard-Absicherung vorausgesetzt.
Die Basis-Absicherung und die Kern-Absicherung dienen als Einstiegsstufen, um schnell ein Mindest-Sicherheitsniveau in der Organisation zu etablieren. Sowohl die Kern- als auch die Basisabsicherung sehen als letzten Schritt vor, eine weitere Absicherungsstufe anzugehen, um zuletzt die Standardabsicherung zu erreichen.
Wie ist das Vorgehen nach ISO 27001?
Weniger Vorgaben
Die ISO 27001 ist deutlich abstrakter als der IT-Grundschutz. Das bedeutet einerseits, dass die Anforderungen weniger konkret sind als beim IT-Grundschutz. Entsprechend gibt es für Organisationen mehr Handlungsspielraum, die Anforderungen zu erfüllen. Andererseits sind auch die Prozesse nicht eindeutig festgehalten. Es gibt zwar Best-Practice-Leitfäden wie die ISO 27003, diese sind jedoch nicht bindend. Es steht Organisationen also frei, eigene Prozesse für das ISMS zu definieren, sofern diese den Anforderungen der ISO 27001 an die ISMS-Prozesse genügen.
Risikomanagement
Die Ableitung der Maßnahmen geschieht bei der Vorgehensweise nach ISO 27001 durch den Risikomanagementprozess. Maßnahmenkataloge wie die IT-Grundschutzbausteine gibt es ebenso wenig wie einen vorgegebenen Prozess für das Risikomanagement.
Organisationen, die ein ISMS nach ISO 27001 aufbauen, können sich aber an bestehenden Standards für Risikomanagementprozesse orientieren. Neben dem BSI-Standard 200-3 erfüllen etwa die ISO-Standards 31000 und 27005 die Anforderungen der ISO 27001.
Statement of Applicability
Das Statement of Applicability ist das zentrale Dokument eines ISMS nach ISO 27001. Das Dokument stellt einen Katalog der Informationssicherheitsmaßnahmen der Organisation dar. Die Maßnahmen, die sich aus dem Risikomanagementprozess ergeben, werden hier strukturiert aufgelistet. Die Strukturierung ergibt sich durch die Zuordnung der Maßnahmen zu den eher abstrakten Sicherheitsanforderungen („Controls“) der ISO 27001.
Handlungsempfehlungen für die Praxis
Um den passenden ISMS-Standard auszuwählen, sind einige Faktoren relevant:
- Ist die Organisation international tätig?
- Wird eine Zertifizierung angestrebt?
- Wie viele Ressourcen stehen für die Einführung und den Betrieb des ISMS zur Verfügung?
- Ist die Organisation in einem Sektor tätig, für den es branchenspezifische Standards gibt?
- Gibt es regulatorische oder vertragliche Anforderungen, nach bestimmten Standards zu arbeiten?
Unabhängig davon, welcher Standard letztlich genutzt wird, ist es sinnvoll, andere Standards nicht außer Acht zu lassen. Der IT-Grundschutz kann bei einer ISMS-Einführung nach ISO 27001 als Katalog von Beispielmaßnahmen herangezogen werden. Umgekehrt können die Standards der ISO-27.0xx-Reihe weitergehende Hintergrundinformationen zu Prozessen liefern.
Zuletzt sind sich viele Standards bei der Vorgehensweise ähnlich. Dadurch ist es auch nach der Wahl eines Standards noch möglich, auf einen anderen ISMS-Standard zu wechseln.
Fazit: Der Standard muss zur Organisation passen
Die grundlegende Vorgehensweise bei IT-Grundschutz und ISO 27001 ist zwar ähnlich, insgesamt gibt es aber doch große Unterschiede. Der IT-Grundschutz ist durch die zur Verfügung stehenden Materialien, die klareren Anforderungen und die zur Verfügung stehenden Absicherungsstufen besonders gut für Einsteiger im Themenbereich ISMS geeignet. Auch die Rücksichtnahme auf Besonderheiten in Deutschland spricht für diesen Standard.
Wenn eine international anerkannte Zertifizierung gewünscht ist, fällt die Wahl in der Regel auf die ISO 27001. Auch die höheren Freiheitsgrade bei der Umsetzung können für diesen Standard sprechen.
Letztlich sollte die Wahl so getroffen werden, dass sie den Bedürfnissen der Organisation entspricht. Auch branchenspezifische ISMS-Standards sollten, sofern vorhanden, in Betracht gezogen werden. Nach der Wahl eines bestimmten Standards können die anderen Standards weiterhin als ergänzende Ressourcen mit einbezogen werden.