Die Qual der Wahl

Aufgrund steigender Cyber-Kriminalität gewinnt die Informationssicherheit in Unternehmen immer mehr an Bedeutung. Um alle Unternehmensbereiche in Schutzmaßnahmen einzubeziehen, entschließen sich viele Firmen zur Einführung eines Informationssicherheitsmanagementsystems (ISMS).

Ein ISMS auf Basis bestehender Normen hat drei Vorteile:
Man greift auf bewährte Praktiken zurück und muss nicht alles selbst erarbeiten.
Man konzentriert sich auf das Wesentliche und lässt Überflüssiges weg.
Alle wichtigen Punkte werden berücksichtigt, kein Aspekt vergessen.

Manager zeigt Daumen hoch

Alle diese Systeme basieren auf Informationssicherheitsstandards. Sie haben alle zum Ziel, Projektrisiken zu minimieren, die Informationssicherheit zu erhöhen und den Verwaltungsaufwand zu reduzieren. Im Weg dorthin unterscheiden sie sich zwar, können sich aber an manchen Stellen auch ergänzen.

Die unterschiedlichen ISMS Konzepte erläutern, wie ein Informationssicherheitsmanagementsystem eingerichtet und entwickelt wird. Wichtig ist aber auch, welche organisatorischen und technischen Schritte notwendig sind und wie es aktuell gehalten wird. Außerdem werden Prüfkriterien aufgezeigt, nach denen Unternehmer die Angemessenheit der eruierten Maßnahmen selbst einschätzen können.

Die beiden wichtigsten Standards sind DIN EN ISO IEC 27001 und den vom BSI entwickelten IT-Grundschutz. Der amerikanische NIST Standard des National Institute of Standards and Technology (NIST) spielt im europäischen Raum eine untergeordnete Rolle.
Die ITIL-Zertifizierung (IT Infrastructure Library) ist ein Rahmenwerk für das Management von IT-Services. Als Qualifizierungsschema bezieht ITIL sich auf einzelne Personen im IT-Service-Management, nicht auf ein gesamtes Unternehmen.

Wir haben uns in unserem Vergleich daher auf die beiden ersten Normen fokussiert.

ISO/IEC 27001-9 BSI Grundschutz NIST
SP 800-130
ITIL
Geeignet als ISMS Ja Ja Nein Nein
Anerkannt International in Deutschland in den USA International
Unternehmensgröße Alle, auch kleine Unternehmen, da anpassbar Grundsätzlich alle alle
Geeignet für Alle Unternehmen und Schutzbedarfe, für international tätige Unternehmen Behörden, Dienstleister für Behörden, Unternehmen mit hochsensiblen Daten, KRITIS Verpflichtend für US-Behörden
Technologieunabhängig Ja Ja
Orientierung an Prozess Technik Prozess Ziel
Unternehmensweite Zertifizierung Ja Ja Nein Nur für einzelne Personen im IT-Service-Management
bietet Richtlinien, Anforderungsdefinition
Internationaler Standard, mehr Freiheit bei der Umsetzung
Konkrete Maßnahmenbeschreibung Standards, Dokumentationen, Best-Practice-Vorgehensweisen Maßnahmenbeschreibung, Best-Practice-Rahmenwerk
zusätzliche Bemerkungen Geht über IT hinaus, bezieht sich auf alle Arten von Informationen (auch Notizen)

Was sind die Grundvoraussetzungen für eine ISMS Zertifizierung nach BSI Grundschutz und ISO 27001?

Wer eine Zertifizierung anstrebt, muss ein entsprechendes Managementsystem einführen. Darin werden Prozesse und Informationssicherheitsrisiken des Unternehmens bewertet und regelmäßig geprüft. Außerdem werden darin Maßnahmen festgelegt, die in den verschiedenen Unternehmensbereichen beachtet werden müssen. Nicht zuletzt müssen Verantwortliche berufen, alle Mitarbeitenden geschult und in die regelmäßige Umsetzung mit einbezogen werden.

Alle festgelegten Maßnahmen müssen schriftlich dokumentiert werden. Die Dokumentation dient zum einem dem Auditor und in internen Audits als Basis für die Prüfung. Zum anderen stellt sie aber eine Arbeitsgrundlage dar, die gerade im Notfall hilfreich ist.

Da alle Schritte des Notfallkonzepts festgehalten sind, weiß man schnell, was zu tun ist. So sind alle Geschäftsprozesse abgesichert, die für das Überleben eines Unternehmens notwendig sind. Diese Anweisungen müssen immer aktuell gehalten werden, was nach bestimmten Dokumentationsprozessen geschehen sollte. Für eine ISO-Zertifizierung muss das Dokumentationsmanagement sogar durch die Geschäftsleitung gelenkt werden.

Personen im SitzungssaalWer sollte sich nach BSI Grundschutz zertifizieren lassen?

Der IT-Grundschutz wendet sich an

  • Behörden
  • vertrauenswürdige Organisation, die mit Behörden zusammenarbeiten
  • Unternehmen, die mit sensiblen und personenbezogenen Daten umgehen.

Er ist national anerkannt und liefert konkrete Handlungsempfehlungen, Vorgehensweisen und Angaben zur Analyse und Minimierung von IT-Risiken. Dabei ist er technisch ausgerichtet, so dass die Empfehlungen oft direkt umsetzbar sind. Das macht das IT-Grundschutz-Kompendium sehr umfassend. (Das PDF der Edition 2022 hat 900 Seiten.)

Für wen ist eine Zertifizierung nach ISO 27001 die richtige Wahl?

Ziele der ISO 27001

Ist Ihr Unternehmen europaweit oder international tätig, sollte ein ISMS nach ISO 27001 anstreben. Diese internationale Norm orientiert sich an den in Unternehmen etablierten Geschäftsprozessen.

Dazu ist die standardisierte Norm offener gehalten und bietet mehr Gestaltungsspielraum als der IT-Grundschutz. Deshalb kann sie auch gut auf die Gegebenheiten und IT Systeme kleinerer Unternehmen und Organisationen adaptiert werden. Das macht die Norm ISO IEC 27001 auch für Unternehmen interessant, die nicht mit hochsensiblen Daten umgehen. Für sie sind die Kryptographie-Vorgaben des IT-Grundschutz meist zu weitreichend.

Laptop, über dem Icons der IT-Sicherheit schwebenBSI oder ISO 27001? Das Beste aus zwei Welten!

Sie streben aufgrund internationaler Tätigkeit die ISO 27001 an? Deshalb möchten Sie die optimale Vertraulichkeit der Unternehmensdaten gewährleisten? Dann ziehen Sie für bestimmte Bereiche den IT-Grundschutz als Basis heran. Diese Kombination hat sich bereits vielfach bewährt.

xc und die Standards

Sowohl die ISO 27001 als auch der IT-Grundschutz stellen spezifische Anforderungen an das zu implementierende Kryptokonzept:

  • Es müssen geeignete kryptographische Verfahren angewandt werden.
  • Kryptographische Schlüssel müssen geeignete Algorithmen verwenden und die aktuell empfohlene Länge haben.
  • Kryptoprodukte sollten archiviert, ihre Konfigurationsdaten gesichert werden.
  • Eine geeignete Schlüsselerzeugung und -verwaltung inklusive Prüfung der Herkunft und Integrität.
  • Eine festgelegte Vorgehensweise für den Fall kompromittierter Schlüssel.
  • Erhöhter Schutzbedarf bringt zusätzliche Anforderungen mit sich.

Deshalb müssen bereits beim Erstellen eines Kryptokonzepts unter anderem folgende Aspekte bedacht werden. Für den Fall eines Audits sollten sie außerdem revisionssicher dokumentiert sein.

1. Kryptografische Richtlinien

  • Welche Informationen müssen geschützt werden?
  • Wann müssen die Informationen wie intensiv geschützt werden?
  • Sind für den Schutz / Signierung gewisser Informationen externe Authentifizierungsstellen (CAs) erforderlich?
  • Prozesse: Wer macht was?
  • Wer ist für die Einhaltung der Konventionen verantwortlich?
  • Wie sieht ein nachhaltiges Controlling aus?

Darstellung eines kryptografischen Schlüssels2. Schlüsselverwaltung

  • Welches Verschlüsselungsverfahren soll genutzt werden?
  • Management und Transparenz über vorhandene Schlüssel?
  • Definierte Prozesse im Umgang mit Schlüsseln, z.B. für Ausstellung, Verteilen, Erneuerung etc.?
  • Wer ist für die Einhaltung der Vorgaben zuständig?
  • Verhalten bei Verlust der Schlüssel?
  • Lebensdauer der Schlüssel?
  • Wer hat Zugriff auf die Schlüssel, inkl. archivierter Schlüssel?

Die Kunst dabei ist, alle Vorgaben jederzeit fehlerfrei umzusetzen. Tools zur Verwaltung kryptographischer Schlüssel und digitaler Zertifikate können dazu einen wertvollen Beitrag leisten. Eines davon ist unser essendi xc. Er wird einmal sorgfältig konfiguriert und wendet die Vorgaben zukünftig zuverlässig und automatisiert an.

Logo essendi xc auf Monitoressendi xc unterstützt Sie dabei, Ihre Krypto-Richtlinien erfolgreich und effizient umsetzen.

xc lässt sich individuell konfigurieren. So können Sie alle gewünschten Richtlinien und Normen abbilden und das System an vorhandene Strukturen anbinden.

Über das Process Engine werden effiziente Prozesse definiert und automatisiert.

Besonders komfortabel macht ihn das 360°-Zertifikats-Cockpit. Es unterstützt beim Risikomanagement durch einfaches Monitoring und Reporting. Dadurch wird es auch zur wertvollen Auditing-Unterstützung.

Zuverlässige, dokumentierte Schlüsselverwaltung mit essendi xc

  • Schlüsselerzeugung nach festen Vorgaben (Algorithmus, Länge etc.)
  • Schlüsselmanagement: Überwachung der Lebensdauer und des Status, inkl. Alertfunktion (service lifecycle)
  • Zertifikats- und Schlüsselspeicherung: in HSM und Schlüsseltresor
  • Kontrollierte Wiederherstellung und Verfügbarkeit von Schlüsseln im Falle von Vernichtung oder Verlust
  • Zertifikats- und Schlüsselhandling: Erzeugen, Erneuern, Transport etc. (strukturiert nach Standardprozessen und festen, firmeninternen Vorgaben)
  • Vorausschauendes Risikomanagement
  • Dokumentation

essendi xc dokumentiert alle Bereiche des Krypto-Management, die für die Informationssicherheit relevant sind. Dazu gehören z. B. das Schlüsselmaterial, die Zertifikatsprozesse und die Berechtigungen. Dies macht xc zu einem ISO-konformen Tool.