Zusammenfassung

Sowohl der Standard ISO/IEC 27001 als auch der BSI Grundschutz bieten eine gute belastbare Grundlage für die IT-Sicherheit im Unternehmen.

Dem niedrigen technischen Detaillierungsgrad des ISO/IEC 27001 Standards stehen dabei hohe Kosten beim Aufbau der Organisation und des Zertifizierungsprozesses gegenüber.1Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281). Das ist für KMU in zweifacher Hinsicht unattraktiv: Technische Details müssen aufwändig intern erarbeitet oder über die Beauftragung externer Dienstleister entwickelt werden; der anschließende Zertifizierungsprozess ist zeitaufwändig und erzeugt weitere Kosten, denen keine sichtbare Verbesserung der Risikosituation gegenüber steht.2Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281).

Im Vergleich zum prozessorientierten Ansatz der ISO 27001 werden KMU durch die BSI-Grundschutzstandards dadurch stärker befähigt, konkrete Regelungen und organisatorische wie technische Implementierungen umzusetzen, die einerseits eine Zertifizierung ermöglichen und andererseits in der Praxis erprobt sind.3Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281). Eine Zertifizierung nach IT-Grundschutz ist ISO-27001-kompatibel, so dass keine verfrühte Vorentscheidung getroffen werden muss.4Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281). Nachteilig ist beim umfassenden BSI-Ansatz, dass der Umfang der Kataloge überfordert zudem viele IT-Verantwortliche von KMU, da diese nicht über ausreichende Ressourcen verfügen bzw. das IT-Management nur als Nebenaufgabe wahrnehmen.5Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281).

Als mögliche Vorstufe beziehungsweise als Einstieg in die IT-Sicherheit im Unternehmen kann auf einen kostenpflichtigen IT-Sicherheitsdienstleister zurückgegriffen werden, dabei ist allerdings zu beachten, dass gegebenenfalls weitere Schritte in der Zukunft notwendig sind.

Referenzen   [ + ]

1. Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281).
2. Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281).
3. Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281).
4. Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281).
5. Greveler/Reinermann, Schutzstandards für Informationssicherheit in KMU – Ein Vergleich, CCZ 2015, 274 (281).