(openPR) Zertifizierungen sind ein echter Wettbewerbsvorteil. Durch sie können Unternehmen ihre Zuverlässigkeit bei der Informationssicherheit unter Beweis stellen. Vorteile bei öffentlichen und privaten Ausschreibungen und ein produktiver Fluss von Informationen mit Partnern gehören zu den Vorteilen von Zertifizierungen. So viel steht fest. Die Frage ist nur, welche Zertifizierungen oder Testate für welche Zwecke erworben werden sollten. Von TISAX über ISO27001 bis C5 und dem dahinter stehenden Begriff des ISMS bringen wir in diesem Artikel für Sie Licht ins Dunkel.
Was ist ein ISMS?
Ein ISMS ist eine Sammlung von Regeln, Methoden und Abläufen, die dazu dienen, das IT-System eines Unternehmens zu sichern und diesen sicheren Zustand dauerhaft zu erhalten und zu steigern. Dafür werden in der Regel durch die Unternehmensleitung Anweisungen in Form von Zielen und Leitlinien vorgegeben. Die konkrete Umsetzung in Form von Maßnahmen, Verhaltensregeln, Protokollen et cetera erfolgt dann auf der Arbeitsebene. Die genaue Dokumentierung und Überwachung der Einhaltung der IT-Sicherheitsregeln kann einem IT-Sicherheitsbeauftragten übertragen werden. Wichtig ist dabei, dass Sicherheitszertifizierungen immer ergebnisoffen sind. Das heißt sie geben keine konkreten Maßnahmen, sondern Ziele und Aufträge vor. Wie das Unternehmen diese erreicht, ist dabei für eine erfolgreiche Zertifizierung nicht wichtig. Eine Einschränkung der eigenen Flexibilität brauchen Unternehmen also durch die Zertifizierung nicht zu fürchten.
Arten von Zertifizierungen
Zertifizierungen für Informationssicherheit gibt es zahlreich: ISO 27001, IT-Grundschutz, VDA / TISAX, VdS 10000, VAIT. Aber welche dieser Zertifizierungen sind für welche Unternehmen sinnvoll oder sogar notwendig?
Zertifikate, die den grundlegenden IT-Schutz sicher stellen, sind das ISO 27001 und der IT-Grundschutz des BSI. Im Gegensatz zu TISAX, VAIT, C5 und VDS 10000 sind diese Zertifikate nicht nur für Unternehmen aus gewissen Branchen oder einer gewissen Größe sinnvoll, sondern grundsätzlich für alle Unternehmen. Die Voraussetzung für möglichst reibungslose und produktive Arbeitsabläufe ist in fast allen modernen Unternehmen eine zuverlässige und sichere IT-Infrastruktur. Dieses Ziel kann man durch eine Zertifizierung nach IT-Grundschutz oder ISO 27001 unterstützen. Kern beider Zertifikate ist die Implementierung eines Informationsmanagementsystem (ISMS). Dieses soll die Integrität des IT-Systems gegen Angriffe von außen und seine Stabilität sicher stellen.
Wenn ein Unternehmen alle Prozesse, Daten und Komponenten seiner IT-Infrastruktur unter technischen, organisatorischen und personellen Gesichtspunkten grundlegend im Sinne des IT-Grundschutzes abgesichert hat, kann ein vom BSI zertifizierter Auditor darüber ein Testat des BSI ausstellen. Dieses ist dann wiederum die Grundlage für die Prüfung der Vorgaben der ISO 27001 durch einen externen Auditor und die anschließende Erteilung des Zertifikates. Das ISO 27001-Zertifikat ist sowohl national als auch international anerkannt. Durch die Erweiterung ISO 27701 sind erstmals Vorgaben für guten Datenschutz in einem Unternehmen in einer ISO Norm festgehalten worden. Diese Norm erfüllt zwar noch nicht die Vorgaben des Art 43 DSGVO. Es ist auch noch nicht möglich für Unternehmen, sich nach ihr zertifizieren zu lassen. Jedoch zeigt sie, dass die Zertifizierung eines guten Datenschutzes möglich ist. Es bleibt abzuwarten, ab wann die ersten Zertifizierungen, im Einklang mit Art 43 DSGVO guten Datenschutz bescheinigen können. Damit verbunden wäre eine große Erleichterung der Arbeit vieler Unternehmen und ein wünschenswerter Pragmatismus im Umgang mit dem Thema Datenschutz.
Spezieller ist die Zielgruppe des VDA/TISAX Zertifikates. Diese besteht vor allem aus Unternehmen der Automobilbranche. Die Anforderungen des TISAX-Zertifikates gehen dabei insbesondere bei Fragen der Einbindung von Partnern in die eigene IT-Infrastruktur und dem Prototypenschutz über die Standards der ISO 27001 hinaus. Nach TISAX zertifizierte Unternehmen können ohne Angst vor dem Verlust von Entwicklungsgeheimnissen oder anderem Wettbewerbssensitivem Wissen mit Herstellern, Zulieferern und anderen Unternehmen der Automobilbranche zusammenarbeiten.
Auch die VDS 10000 ist für einen genauer umrissenen Kreis von Adressaten gedacht. Sie soll kleinen und mittleren Unternehmen (KMU) ermöglichen, ein ISMS mit verhältnismäßig geringem Aufwand aufzubauen und sich dieses zertifizieren zu lassen. Je nach Aufwand der Umsetzung, kann sich diese Zertifizierung jedoch auch schon für kleine und mittlere Unternehmen lohnen.
Die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen VAIT (Versicherungsaufsichtliche Anforderungen an die IT) sind weniger eine Zertifizierung als eine Auslegung der rechtlichen Anforderungen aus den §§ 23 bis 32 Versicherungsaufsichtsgesetz (VAG). Die Einhaltung dieser Richtlinien ist dementsprechend nicht nur vorteilhaft, sondern für Versicherungen schlicht zwingend notwendig.
Der Cloud Computing Compliance Controls Catalogue (C5) des BSI fasst Sicherheitsanforderungen an Cloudanbieter zusammen. Neben den Anforderungen an ein ISMS, bei denen sich der Standard nicht von anderen gängigen Normen wie zum Beispiel der ISO 27001 unterscheidet, enthält der Prüfbericht für C5 auch sogenannte Umfeldparameter wie Angaben zu zuständigen Gerichten, dem Ort der Datenspeicherung und -verarbeitung, Offenbarungspflichten gegenüber und Ermittlungsbefugnisse von Ermittlungsbehörden und die für den Cloud-Dienst bereits erteilten Zertifikate und Testate. Dadurch sollen Kunden leichter erkennen können, ob ein Cloudanbieter die relevanten Anforderungen zum Beispiel für den Datenschutz oder unternehmensinterne Richtlinien erfüllt. Unternehmen, die bereits nach ISO 27001 zertifiziert sind, oder dieses Zertifikat noch erwerben wollen, sollten jedoch überlegen, ob sie wirklich die Zertifizierung nach C5 anstreben wollen. Die ISO Normen 27017 und 27018 können nämlich auch im Rahmen einer Zertifizierung nach ISO 27001 umgesetzt werden, was eine Zertifizierung nach C5 überflüssig machen kann, da die Anforderungen beider Normen weitestgehend deckungsgleich mit den Anforderungen der C5 sind.
Wer kritische Infrastruktur (KRITIS) nach §8a BSiG betreibt, muss angemessene organisatorische und technische Vorkehrungen treffen, um seine IT vor Störungen zu schützen. Diesen angemessenen Schutz muss der Betreiber alle zwei Jahre nachweisen. Welche Infrastruktur dabei als kritische Infrastruktur einzustufen ist, richtet sich nach den §§ 2-8 BSI-KritisV.
Fazit
Wer sich nach dem für ihn sinnvollen Sicherheitsstandard zertifizieren lässt, hat viele Vorteile.
Zertifikate sind ein wichtiges Qualitätssiegel gegenüber potenziellen Kunden.
Sie ermöglichen den Zugang zu Ausschreibungsverfahren und schaffen Vertrauen in bestehende Geschäftsbeziehungen.
Sie bilden also sowohl im Vertrieb als auch im laufenden Geschäft einen greifbaren Mehrwert. Darüber hinaus zeigen Zertifikate, dass Unternehmen weithin anerkannte Qualitätsstandards einhalten. Die Einführung eines solchen Systems kann jedoch ohne fachkundige Beratung schnell zu einer großen zeitlichen organisatorischen und damit auch finanziellen Belastung führen. Es lohnt sich daher für Unternehmen, die die zahlreichen Vorteile einer Zertifizierung ihrer IT-Infrastruktur nutzen wollen, Beratungsdienstleistungen in Anspruch zu nehmen. Das so eingeführte ISMS kann mit einem schlanken und effektiven Risikomanagement sogar zu einer größeren Produktivität und aufgrund geklärter Zuständigkeiten sowie einer starken Feedback-Kultur zu größerer Zufriedenheit bei den Mitarbeitern führen. Es lohnt sich also durchaus das Thema Zertifikate anzugehen!
Sie haben Fragen rund um die Zertifizierung Ihres Unternehmens? Wir wählen mit Ihnen den passenden Zertifizierungs-Standard aus und begleiten Sie bei der Zertifizierung Ihres Unternehmens nach den Standards ISO 27001, TISAX, C5 sowie für Kritische Infrastrukturen (KRITIS). Kontaktieren Sie uns!
