IT-Sicherheitsstandards für KMU im Überblick

In Deutschland haben sich zwei wesentliche Standards für den Bereich IT-Sicherheit etabliert. Dabei handelt es sich um die Standards nach ISO/IEC 27001 und den Grundschutz nach den Vorgaben des Bundesministeriums für Sicherheit (BSI). Daneben existieren aber auch noch weitere rechtliche Vorgaben.

Standard Kurzbeschreibung Vorteile Nachteile
ISO / IEC 15408

„Common Criteria“

Dieser Standard wird oftmals als „Common Criteria“ bezeichnet und zertifiziert insbesondere IT-Produkte und IT-Systeme.1http://www.kompass-sicherheitsstandards.de/43836.aspx (Abgerufen am 30.11.2016). Common Criteria umfasst mehrere (ISO-)Normen, die die Basis einer IT-Sicherheitsprüfung darstellen.2Quiring-Kock, DuD 2010, 178, 179. Aus der Zertifizierung können sich für den Hersteller sowohl technische als auch wirtschaftliche Vorteile ergeben, da eine solche Schwachstellenanalyse die Anzahl der nicht geplanten Updates deutlich senken kann und somit ein wirtschaftlich rentableres Produkt auf den Markt gebracht wird.3Volkamer/Hauff, DuD 2007, 766, 766. Die Umsetzung der Vorgaben ist mit teils hohen Kosten verbunden, ein einmal zertifiziertes Produkt ist in seiner Weiterentwicklung gehindert, da Updates unter Umständen erneut zertifiziert werden müssen.4Volkamer/Hauff, DuD 2007, 766, 768.
ISO/IEC 27001 Der Standard definiert allgemeine, grundsätzliche Anforderungen an die IT-Sicherheit.5Doubrava/Münch, Münchener Anwaltshandbuch IT-Recht, 3. Auflage 2013, Teil 4 D. II. 1 Rn. 63. Durch einen prozessorientierten Ansatz soll im Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) etabliert werden.6BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 9 ...continue Der international anerkannte Standard stellt auf lediglich 30 Seiten die notwendigen Schritte zur Einführung eines ISMS dar. Der Standard ist zudem kompatibel mit weiteren ISO-Normen. Der Standard erzeugt Akzeptanz, da er bereits vorhandene Prozesse optimiert.7Katz, ISMS nach ISO 27001 für KMU (http://www.wissen.org/wp-content/uploads/2015/10/ISMS-fuer-KMU-Organisator-201510.pdf, abgerufen am 1.12.2016). Die Zertifizierung kann mit hohen Kosten verbunden sein.8Greveler/Reinermann, CCZ 2015, 274, 275.

Zudem sind die Anforderungen an die IT Sicherheit nicht konkretisiert,9BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 64. so dass die praktische Umsetzung oftmals problematisch ist.10Weck, DuD 2007, 84, 84.

ISO/IEC 27002 Dieser Standard enthält Empfehlungen auf Management-Ebene zum Informationssicherheitsmanagement und ist eine von mehreren Möglichkeiten, die Vorgaben von ISO 27011 zu erfüllen.11BSI, Leitfaden Informationssicherheit, S. 74. ...continue Es können nach Bedarf die Ziele und Kontrollen dieses Standards weggelassen oder durch eigene ersetzt werden.12BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 9 f. Da es sich nur um Empfehlungen handelt, ist eine eigenständige Zertifizierung nicht möglich.13BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 9 f.
IT Grund-schutz

BSI

Auch nach dem BSI-Standard wird ein ISMS für das Unternehmen erstellt, dabei wird allerdings auf standardisierte und vorformulierte Vorgaben gesetzt.14Kilian, DuD 2007, 49, 52. Der IT-Grundschutz besteht aus vier BSI-Standards sowie den Grundschutzkatalogen und ermöglicht eine Zertifizierung nach ISO 27001.15Kramer/Meints, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, 43. Ergänzungslieferung 2016, Teil 16.5 F. I. 4 Rn. 59 ff. Umfangreiche Maßnahmen-Kataloge, die Schritt für Schritt im Unternehmen implementiert werden können. Möglichkeit der Zertifizierung nach ISO 27001. Für kleinere Unternehmen, insbesondere unter 300 Angestellten, können die Prozesse zur Einführung des Grundschutzkataloges  zu aufwändig sein.16ZDNet, BSI-Grundschutz: zu komplex, zu aufwändig, zu deutsch (http://www.zdnet.de/41525300/bsi-grundschutz-zu-komplex-zu-aufwaendig-zu-deutsch/, ...continue
ISIS 12 ISIS 12 stellt eine für KMU und Kommunen entwickelte Alternative dar, die wesentliche Punkte des IT-Grundschutzkataloges einbezieht, so dass eine spätere Aufstockung auf diese Standards möglich ist.17Stoklas, ZD-Aktuell 2016, 05146. Die Implementierung eines ISMS erfolgt in 12 Schritten, wobei der Kunde durch einen ISIS12-Berater unterstützt wird.18Aisec Fraunhofer, Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung, Stand November 2014, S. 6 ...continue Der Standard eignet sich insbesondere für kleinere Unternehmen und Kommunen, da dieser wesentlich geringere Anforderungen an die IT-Sicherheit stellt, zudem wird die Einführung teilweise staatliche gefördert.19Bayerische Staatszeitung, Bayern und Nordrhein-Westfalen kooperieren, 21.10.2016 ...continue ISIS 12 hat nur unternehmerische Anwendungen im Fokus und bietet dabei weniger umfangreiche Maßnahmen, so dass es letztlich nur als Vorstufe zu einer Zertifizierung nach ISO/IEC 27001 beziehungsweise BSI IT Grundschutz anzusehen ist.20Ronny Frankenstein, Alternative Vorgehensweisen zu BSI IT-Grundschutz, HiSolution 2016, S. 9 ...continue

Es entstehen zusätzliche Kosten durch die Beauftragung des Netzwerkes für Informationssicherheit im Mittelstand (NIM).21Weitere Informationen unter: https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.html, abgerufen am 2.12.2016.

VdS Cyber-Richtlinie3473 Der sechs-stufige Maßnahmenkatalog der VdS-Richtlinien reduziert die technischen und organisatorischen Vorgaben für KMU und Behörden, so dass eine einfachere Implementierung dieses Standards möglich ist.22Greveler/Reinermann, CCZ 2015, 274, 277. Leichte Implementierung im Unternehmen, die auch durch eigenes Personal möglich ist.23Security Insider, VdS 3473 – eine Security-Richtlinie für KMUs, 13.9.2016 ...continue Die Maßnahmenreduzierung hat ein geringeres Schutzniveau zur Folge, zudem ist der Standard nicht international anerkannt.24Greveler/Reinermann, CCZ 2015, 274, 279.

Auch eine VdS-Zertifizierung ist mit zusätzlichen Kosten verbunden.25Weitere Informationen unter https://www.vds.de/cyber/, abgerufen am 2.12.2016.

CobiT CobiT enthält nach eigenen Angaben weltweit anerkannte Prinzipien, Praktiken, analytische Instrumente und Modelle, die eine ordnungsgemäße IT-Sicherheit im Unternehmen sicherstellen (IT-Governance)26Zum Begriff: Grützner/Jakob, Compliance von A-Z, 2. Auflage 2015, IT-Governance..27http://www.isaca.org/COBIT/Pages/COBIT-5-german.aspx (Abgerufen am 30.11.2016); vgl. auch: ...continue Die notwendigen Steuerungsprozesse im Betrieb sollen umfassend begutachtet werden.28Meints/Thomsen, DuD 2007, 749, 750. Umfangreiche Vorgaben zu Prüf- und Überwachungssystemen im Unternehmen.29Schröder, Datenschutzrecht, 6. Kapitel Technische Organisatorische Maßnahmen/ Datensicherheit, II. 2. b). Auf Grund der sehr weiten Verbreitung des CobiT-Standards und der Verwendung in vielen international tätigen Wirtschaftsprüfungsgesellschaften,30Schröder, Datenschutzrecht, 6. Kapitel Technische Organisatorische Maßnahmen/ Datensicherheit, II. 2. hat sich der CobiT-Standard zum De-Facto-Standard31Meints/Thomsen, DuD 2007, 749, 750. entwickelt. Kritisiert werden die mangelhafte Analyse der Prozessbeziehungen  und das nur partielle Vorhandensein von Rollendefinitionen. Letzteres ist vor allem für die Unterscheidung  von Verantwortlichkeits- und Zuständigkeitsbereichen von Bedeutung.32Moch, in: It-Governance und Sarbanes-Oxley: Itil und Cobit als Mittel zur Umsetzung regulatorischer Anforderungen, 2014, S. 87.

Derzeit existiert kein Zertifizierungsschema für Organisationen, sondern nur für Personen.33Kramer/Meints, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, 43. Ergänzungslieferung 2016, Teil 16.5 F. I. 3. Rn. 58.

Referenzen   [ + ]

1. http://www.kompass-sicherheitsstandards.de/43836.aspx (Abgerufen am 30.11.2016).
2. Quiring-Kock, DuD 2010, 178, 179.
3. Volkamer/Hauff, DuD 2007, 766, 766.
4. Volkamer/Hauff, DuD 2007, 766, 768.
5. Doubrava/Münch, Münchener Anwaltshandbuch IT-Recht, 3. Auflage 2013, Teil 4 D. II. 1 Rn. 63.
6. BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 9 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Doku/studie_ueberblick-standards.pdf?__blob=publicationFile, abgerufen am 1.12.2016).
7. Katz, ISMS nach ISO 27001 für KMU (http://www.wissen.org/wp-content/uploads/2015/10/ISMS-fuer-KMU-Organisator-201510.pdf, abgerufen am 1.12.2016).
8. Greveler/Reinermann, CCZ 2015, 274, 275.
9. BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 64.
10. Weck, DuD 2007, 84, 84.
11. BSI, Leitfaden Informationssicherheit, S. 74. (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf.pdf?__blob=publicationFile, abgerufen am 30.11.2016); http://www.kompass-sicherheitsstandards.de/43785.aspx, abgerufen am 01.12.2016; vgl. auch Greveler/Reinermann, CCZ 2015, 274.
12. BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 9 f.
13. BSI, Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken, 1. Auflage 2009, S. 9 f.
14. Kilian, DuD 2007, 49, 52.
15. Kramer/Meints, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, 43. Ergänzungslieferung 2016, Teil 16.5 F. I. 4 Rn. 59 ff.
16. ZDNet, BSI-Grundschutz: zu komplex, zu aufwändig, zu deutsch (http://www.zdnet.de/41525300/bsi-grundschutz-zu-komplex-zu-aufwaendig-zu-deutsch/, abgerufen am 30.11.2016).
17. Stoklas, ZD-Aktuell 2016, 05146.
18. Aisec Fraunhofer, Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung, Stand November 2014, S. 6 (http://www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/16_Sitzung/05_Gutachten%20ISIS12.pdf?__blob=publicationFile&v=2, abgerufen am 1.12.2016).
19. Bayerische Staatszeitung, Bayern und Nordrhein-Westfalen kooperieren, 21.10.2016 (http://www.bayerische-staatszeitung.de/staatszeitung/wirtschaft/detailansicht-wirtschaft/artikel/bayern-und-nordrhein-westfalen-kooperieren.html, abgerufen am 1.12.2016).
20. Ronny Frankenstein, Alternative Vorgehensweisen zu BSI IT-Grundschutz, HiSolution 2016, S. 9 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/3GS_Tag_2016/Alternative_Vorgehensweisen_zum_BSI_IT-Grundschutz.pdf?__blob=publicationFile&v=1, abgerufen am 1.12.2016).
21. Weitere Informationen unter: https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12.html, abgerufen am 2.12.2016.
22. Greveler/Reinermann, CCZ 2015, 274, 277.
23. Security Insider, VdS 3473 – eine Security-Richtlinie für KMUs, 13.9.2016 (http://www.security-insider.de/vds-3473-eine-security-richtlinie-fuer-kmus-a-549220/, abgerufen am 1.12.2016).
24. Greveler/Reinermann, CCZ 2015, 274, 279.
25. Weitere Informationen unter https://www.vds.de/cyber/, abgerufen am 2.12.2016.
26. Zum Begriff: Grützner/Jakob, Compliance von A-Z, 2. Auflage 2015, IT-Governance.
27. http://www.isaca.org/COBIT/Pages/COBIT-5-german.aspx (Abgerufen am 30.11.2016); vgl. auch: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf.pdf?__blob=publicationFile , S. 72 (Abgerufen am 30.11.2016).
28. Meints/Thomsen, DuD 2007, 749, 750.
29. Schröder, Datenschutzrecht, 6. Kapitel Technische Organisatorische Maßnahmen/ Datensicherheit, II. 2. b).
30. Schröder, Datenschutzrecht, 6. Kapitel Technische Organisatorische Maßnahmen/ Datensicherheit, II. 2.
31. Meints/Thomsen, DuD 2007, 749, 750.
32. Moch, in: It-Governance und Sarbanes-Oxley: Itil und Cobit als Mittel zur Umsetzung regulatorischer Anforderungen, 2014, S. 87.
33. Kramer/Meints, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, 43. Ergänzungslieferung 2016, Teil 16.5 F. I. 3. Rn. 58.