Mit Brief und Siegel: Zertifizierte Sicherheit

Basel II und Haftungsfragen sind gute Gründe, ein zertifiziertes Sicherheitsniveau vorweisen zu können – aber bei weitem nicht die einzigen.

Was eine ISO 9001 für die Qualitätssicherung ist, ist die ISO 27001 für die IT-Sicherheit. “Man wird für die Kunden transparenter”, nennt Knut Krabbes, IT-Security Manager bei dem Neckarsulmer IT-Dienstleister TDS, einen Grund, warum sich ein Unternehmen einer Zertifizierung unterzieht. TDS hat dies kürzlich als erstes deutsches Unternehmen für sein IT-Sicherheitsmanagement getan. “Wir waren nach der bisher gültigen Norm BS 7799-2 zertifiziert und haben im vergangenen Jahr bereits die Weichen für eine Zertifizierung nach der neuen ISO 27001 gestellt”, sagt Krabbes.

Das Zertifikat bescheinigt der TDS, dass ihre Prozesse im Bereich der IT-Sicherheit überprüfbaren Kriterien unterliegen. “Wir sind verpflichtet, die Methoden für die Risikobewertung zu beschreiben”, so Krabbes weiter. Die bislang gültige BS 7799-2 habe zwar ebenfalls eine Risikoanalyse vorgesehen, aber eben keine Bewertung. “Ich kann der Geschäftsleitung nun darlegen, welche Restrisiken bestehen, so dass sie entscheiden kann, ob sie diese tragen oder beseitigen möchte”, verdeutlicht der IT-Security Manager. So seien E-Mails selbst bei Verwendung der besten Filter nicht hundertprozentig sicher, nennt Krabbes ein Beispiel.

TDS betreibt für mittlere und große Unternehmen Outsourcing, Personalservices und Consulting. Natürlich geht es dabei auch um sensible Daten. So ist der Dienstleister nach eigenen Angaben Marktführer beim Outsourcing von Geschäftsprozessen des Personalwesens: Monatlich rechnet das Unternehmen mehr als 570.000 Personalstammsätze ab. Natürlich ist für die TDS ein Sicherheitszertifikat ein Verkaufsargument, mit dem man bei Kunden Vertrauen schaffen will.

Zwischen Marketing und Haftung

Aber, so Krabbes, es gehe dabei nicht nur um Marketing: “Konnte man bei Ausschreibungen in den vergangenen eineinhalb Jahren keine entsprechenden Sicherheitszertifikate vorweisen, war dies ein K.o.-Kriterium – auch bei mittelständischen Unternehmen.” Denn selbst mittelgroße GmbHs brauchen wegen der Unternehmenshaftung inzwischen Testate für ihren Wirtschaftsprüfer. Da die IT heutzutage in Risikobewertungen einfließe, müsse man deren zuverlässiges Funktionieren auch belegen können, sagt Krabbes.

Die internationale Norm ISO 27001 spezifiziert die Anforderungen für sämtliche Aspekte eines dokumentierten IT-Sicherheitsmanagementsystems (ISMS) – von der Einführung über den Betrieb und die Wartung bis zur Verbesserung. Dies geschieht nicht auf der grünen Wiese, sondern berücksichtigt die Eigenheiten und Risiken innerhalb einer Organisation – egal, ob es sich um ein Unternehmen, eine Behörde oder eine gemeinnützige Einrichtung handelt.

Die Norm ist aus ihrem Vorläufer BS7799 hervorgegangen, der 1995 vom British Standard Institute veröffentlicht worden ist. In Deutschland gibt es laut dem Internationalen Register derzeit 52 zertifizierte ISMS nach BS7799. Die Länder Japan, Großbritannien, Indien und Taiwan verfügen laut dem Register noch über – teils deutlich mehr – Zertifikate.

Vorarbeit in mehreren Schritten

Wer sich nach ISO 27001 zertifizieren lassen möchte, muss einiges an Vorarbeit leisten. Die Vorbereitung auf das eigentliche Audit erfolgt meist in mehren Schritten. Zunächst steht da die eigene Analyse der IT-Sicherheit und der betroffenen Prozesse. Das IT-Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) könne dabei als Leitfaden dienen, sagt Krabbes, der auch Auditor für die ISO 27001 ist. Denn das Handbuch sei “zwar sehr trocken, aber auch sehr detailliert”.

Wenn es ein Unternehmen wünscht, kann es sich im Vorfeld von einem Auditor quasi zur Probe bewerten lassen. Hieraus ergeben sich auch wichtige Empfehlungen für den Aufbau des ISMS. Schließlich findet das eigentliche Audit statt. Ein Zertifikat nach ISO 27001 ist dann drei Jahre gültig, sieht aber jährliche Folgeüberprüfungen vor. “Das macht auch Sinn”, sagt Krabbes, “weil IT-Sicherheit etwas sehr flüchtiges ist.”

Für TDS waren die Kosten für die Zertifizierung laut Krabbes recht überschaubar, weil man bereits die BS 7799-2 erfüllte: “30 Manntage intern und 6000 Euro an externen Kosten.” Wer dagegen erstmals eine Zertifizierung anstrebt, kann locker auf 150 Manntage intern und 9000 bis 14.000 Euro an externen Kosten kommen. “Und das auch nur dann, wenn die Prozesse im Unternehmen bereits dokumentiert sind, etwa durch die Best-Practices-Sammlung ITIL”, so Krabbes.

Einstieg über den BSI-Grundschutz

Unternehmen, die in der Vergangenheit vor dem hohen Aufwand für BS-7799-Zertifikate zurückschreckten, konnten beispielsweise beim BSI ein so genanntes IT-Grundschutz-Zertifikat erwerben. Es besagt, dass in der jeweiligen Organisation oder Organisationseinheit IT-Sicherheit ein anerkannter Wert ist, ein entsprechendes Management stattfindet und zu einem bestimmten Zeitpunkt ein definiertes Niveau der IT-Sicherheit erreicht wurde. Laut BSI haben in der Vergangenheit 14 Unternehmen ein solches Zertifikat erworben – unter anderem die SAP-Tochter SAP SI und der Mautbetreiber Toll Collect – sowie weitere 14 Firmen eine Selbsterklärung abgegeben.

Nach Inkrafttreten der ISO 27001 erteilt das BSI künftig ebenfalls Zertifikate nach der neuen Norm auf der Basis des IT-Grundschutzes. Dazu hat das Amt die Vorgehensweise, das Zertifizierungsschema und die IT-Grundschutz-Kataloge angepasst.

Auch die Sicherheitsinitiative S4B, hinter der Unternehmen wie T-Systems und das Fraunhofer-Institut für Sichere Informationstechnologie stehen, hat im vergangenen Jahr ein Zertifikat entwickelt, das laut S4B-Geschäftsführer Erich Zimmermann in seiner höchsten Stufe dem ISO-27001-Zertifikat entspricht: “Wir bieten ein dreistufiges, aufeinander aufbauendes Schema an, damit die Unternehmen nicht den ganzen Weg für die ISO-Zertifizierung auf einmal gehen müssen.”

Wer wagt den ersten Schritt?

Jede Firma kann grundsätzlich auf dem IT-Sicherheitsniveau aufhören, das ihren Anforderungen genügt. Das Erreichen der Stufe 1, auch ‘Basissicherheit’ bezeichnet, kostet ein Unternehmen 1650 Euro, die Stufe 2 (‘Standardsicherheit’) rund 14.000 Euro, die Stufe 3 (‘professionelle Sicherheit’)  rund  50.000 Euro. Die jährlichen Folgeüberprüfungen schlagen mit durchschnittlich 15.000 Euro zu Buche.

S4B wendet sich mit seinem Zertifikat an Unternehmen ab 50 Mitarbeiter. Nach den Vorarbeiten im vergangenen Jahr befindet sich S4B laut Zimmermann nun in der Phase der Vermarktung: “Wir suchen Partner.” Mit einem österreichischen Firmenverbund beispielsweise hat S4B ein entsprechendes Rahmenabkommen geschlossen. “Dieser hat die S4B-Zertifizierung für seine rund 1000 Mitgliedsunternehmen in Auftrag gegeben”, erläutert Zimmermann.

Trotz aller Aktivitäten, so der größte Zertifizierer DQS, sei die ISO 27001 und ihr Vorgänger BS 7799-2 bislang vor allem ein Thema bei Unternehmen gewesen, die an der Spitze agierten. Wobei DQS durchaus eine wachsende Nachfrage auf seinen Informationsveranstaltungen feststellen kann. Dass die Bedeutung von IT-Sicherheitszertifikaten bei den Unternehmen intern diskutiert wird, kann auch S4B anhand einer Umfrage unter knapp 260 deutschen mittelständischen Firmen bestätigen. So gaben zwei Drittel der Befragten an, dass eine Zertifizierung ihrer IT-Sicherheit nach anerkannten Standards die Unternehmensrisiken verringern könne. Aber die Umsetzung solcher Projekte wollen die Befragten davon abhängig machen, inwiefern in ihrer Branche ein faktischer Zwang zur Zertifizierung entsteht, weil es Mitbewerber auch tun. Die Frage lautet also, wer den ersten Schritt wagt.