Ein Veranstaltungsrückblick von Carsten Pinnow

[datensicherheit.de, 27.09.2010] Der IT-Grundschutztag 2010 fand am 24. September im Presse- und Besucherzentrum des Presse- und Informationsamtes der Bundesregierung statt:

Unter dem Motto „Zertifizierung aus verschiedenen Blickwinkeln“ stellten im Auftrag des Veranstalters HiSolutions AG in Kooperation mit dem BSI IT-Experten unterschiedliche Facetten des Themas IT-Grundschutz und Zertifizierung vor.

In seiner Begrüßung zeigte sich Timo Kob, Gründer und Vorstand der HiSolutions AG, erfreut darüber, dass die große Nachfrage nach dieser Veranstaltung die wachsende Bedeutung des Themas Sicherheit mit all ihren Facetten unterstreicht. Im Hause HiSolutions spiegele sich diese Entwicklung seit der Gründung vor rund 16 Jahren wider. So sind heute 50 Berater im Unternehmen mit der Thematik beschäftigt.

Isabel Münch, Referatsleiterin IT-Grundschutz beim BSI, stellte zu Beginn ihres Vortrags „IT-Grundschutz – Informationssicherheit ohne Risiken und Nebenwirkungen“ zunächst die seit 1991 als nationale Behörde fungierende Institution vor. Das Bundesamt verfüge über ein Jahresbudget von 64 Millionen Euro und 500 Mitarbeiter am Standort Bonn. Aufgabe des BSI sei es, operativ für die Bundesverwaltung, kooperativ mit der Wirtschaft und informativ für Bürger zu wirken. Prävention, Reaktion und Nachhaltigkeit prägten das BSI-Leitbild. Münch betonte, dass der Schutz von Informationen und Geschäftsprozessen im Vordergrund stehen würden – und richtig eingesetzte, angemessene Technik diesen Anspruch unterstütze. „Sicherheit“ sei indes weder Produkt noch Projekt, sondern ein ständiger Geschäftsprozess – und damit eindeutig „Chefsache“!
Der IT-Grundschutz im BSI-Verständnis verfolge einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen würden helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen würden jedoch bereits höherwertige Maßnahmen geliefert, die die Basis für die sensibleren Bereiche seien.
Den Bedarf für Zertifizierungen begründete sie mit der Notwendigkeit zur Teilnahme an Ausschreibungen von Behörden und Kunden, der Optimierung und Strukturierung der eigenen Geschäftsprozesse sowie der Öffentlichkeitswirksamkeit.
Auf Wunsch vieler Unternehmen würden die Grundschutzkataloge in Hinblick auf ihre Anwendbarkeit überarbeitet – mit dem Ziel einer Komplexitätsreduktion. Ziel sei die Einführung des sogenannten „E-V-Modells“ (E: elemetarer Baustein, generisch, Zertifizierungsrelevantes z.B. bei Orga/Personal; V: vertiefende Bausteine, spezifiziert, produktspezifisch). Letzte Überarbeitungen seien noch notwendig, so dass zeitnah die Dokumente in der aktuellen Fassung verliegen würden. Auch werde es einen Migrationspfad für Unternehmen geben, die die mit der Implementierung von IT-Grundschutz vor der Einführung des „E-V-Modells“ begonnen hätten.

Uwe Schmidt stellte in seinem Vortrag „Informationssicherheit und Zertifizierung in der Praxis” die Umsetzung von IT-Grundschutz und Zertifizierung bei der Nürnberger Versicherung vor. Vorgabe im Unternehmen seitens des Vorstands sei es gewesen, die Zertifizierung „nicht um jeden Preis“ durchzuführen. Für eine erfolgreiche Durchführung sei es insbesondere wichtig, die betroffenen Mitarbeiter frühzeitig mit „ins Boot“ zu holen und die sachkundige Hilfe externer Berater mit der Gewissheit zu nutzen, dass eine solche Zertifizierung ein Projekt größeren Ausmaßes ist.

Harald Wacker von der TÜViT GmbH sprach über die „Aufrechterhaltung der Informationssicherheit/Überwachungsaudit“ und gab Einblicke in die Arbeit eines Auditors. Er zeigte die Unterschiede im Aufwand von Zertifizierungsaudits (Erstaudit) und Überwachungsaudits zur Beibehaltung der Zertifizierung auf.
Es sprach sich insbesondere für eine stärkere Gewichtung der „Vor-Ort-Zeiten“ von Auditoren beim Kunden aus und äußerte diesen Wunsch auch in Richtung des BSI.

Mit „ISO 27001 mit oder ohne IT-Grundschutz?“ war der Beitrag des Referenten Ronny Frankenstein für die HiSolutions AG überschrieben.
Er zeigte die Unterschiede zwischen der Zertifizierung nach ISO 27001 mit IT-Grundschutz und Zertifizierung nach ISO 27001 native auf. Demnach ist die Zertifierung nach ISO 27001 mit IT-Grundschutz für nationale Behörden zwingend und findet bevorzugt in normalen Anwendungsbereichen und Sicherheitsanforderungen mit standardisierter IT-Infrastruktur Anwendung. Durch die klare Vorgehensweise eignet sich dies Art der Zertifierung gut für die Ersteinführung.
Zertifizierungen nach ISO 27001 „native“ eignen sich vor allem bei internationaler Ausrichtung – diese berücksichtigt die unterschiedlichen Anforderungen in den einzelnen Ländern – und für Hochsicherheitsanforderungen mit universeller Anwendbarkeit.

„Synergien zwischen IT-Grundschutz und ISO 20000-Zertifizierung“ stellte Holger Bley von der HiSolutions AG vor.
Die ISO/IEC 20000 ist ein international anerkannter Standard zum IT-Service-Management, in dem die Anforderungen für ein professionelles IT-Service-Management dokumentiert sind.
Bley gewährte einen „Blick über den Tellerrand“ – er unterstrich die unterschiedlichen Zertifizierungsansätze und betonte den möglichen Nutzen einer ISO 20000-Zertifizierung. Dabei machte er Ausführungen zu0 Nutzen der Zertifizierung u.a. als Kriterium für Ausschreibungen, zur konkreten Verbesserung der Servicequalität und zur Erhöhung des internen Qualitätsbewusstseins.

Weitere Informationen zum Thema:

BSI & HiSolutions
Agenda IT-Grundschutz-Tag am 24.09.2010

HiSolutions AG
24.09.2010: HiSolutions und der BSI laden zum IT-Grundschutz-Tag 2010