<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content
    Quick Links
    Jetzt Beratungstermin vereinbaren!

    Blogs

    Weitere Leistungen

    Engagement

    Sonstiges

    Wie man IT Sicherheit richtig zertifizeren lässt

    Picture of Eric Weis
    2
    min. read
    Wie man IT Sicherheit richtig zertifizeren lässt

    Informationen sind ein wesentlicher Wert für Unternehmen sowie Organisationen und enthüllen sich bei unzureichendem Schutz schnell als ernstzunehmender Risikofaktor. Dabei ist eine Grundsicherung der IT ebenso wie ein vernünftiger Informationsschutz als Teil eines umfassenden Sicherheitsmanagements bereits mit einfachen Mitteln zu erreichen. Möchte ein Unternehmen z.B. den Nachweis, dass es definierte Sicherheitsstandards erfüllt, auch nach außen hin sichtbar machen, so bietet sich eine Zertifizierung an. Neben zwei bereits etablierten Zertifizierungswegen möchte ich Ihnen im folgenden Beitrag auch zwei weniger bekannte, dafür jedoch speziell auf KMU ausgerichtete Verfahren aufzeigen.

     

    Warum sind Zertifizierungen in der IT so wichtig?

    Informationstechnische Produkte und Systeme haben inzwischen alle gesellschaftlichen Bereiche erfasst und dennoch ist deren Funktionsweise für viele Anwender nicht sofort durchschaubar. Nur wenn sich die Nutzer auf Ihre Anwendungen verlassen können, entsteht Vertrauen in die IT. Dies gilt vor allem für die Sicherheit von Daten in Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit. Zertifizierungen helfen dabei, den Zustand der eigenen IT Sicherheit zu erfassen sowie Sicherheitsstandards zu entwickeln und einzuhalten. Damit gehören Zertifizierungen zu einem umfassenden Sicherheitsmanagement in Ihrem Unternehmen. Nicht zuletzt positionieren Sie sich damit am Markt als vertrauenswürdiges, sicheres und zukunftsfähiges Unternehmen.

     

    IT-Grundschutz

    Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz ist die Basis für Informationssicherheit und ermöglicht es, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Dabei ist es das Ziel ein mittleres, angemessenes und ausreichendes Schutzniveau für IT-Systeme zu erreichen. Auf etwa 4000 Seiten lassen sich in den IT-Grundschutz-Katalogen über 1000 definierte Maßnahmen sowie detaillierte Vorgaben und eine strikt geführte Umsetzung finden.

     

    ISO/IEC 27001

    Die ISO/IEC 27100 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS) und gilt für sämtliche Unternehmen, unabhängig von ihrer Größe (z.B. staatliche Organisationen, Non-Profitorganisationen, Handelsunternehmen). Sie legt die Anforderungen für die Herstellung, Einführung, Umsetzung, Überwachung, Wartung und fortlaufende Verbesserung eines dokumentierten ISMS fest. Dabei werden die IT-Risiken und individuellen Bedürfnisse der jeweiligen Organisation berücksichtigt.

    Mit ca. 32 Seiten im Hauptteil ist die ISO/IEC 27001 deutlich kürzer als der IT-Grundschutz. Der Hauptteil umfasst grundsätzliche Anforderungen an die Organisation, Prozesse sowie Dokumente, während der Anhang A insgesamt 114 Controls (Maßnahmen) für Infrastruktur, Technik, Prozesse und Dokumente umfasst. Generell ist diese Norm allgemeiner gefasst als der IT-Grundschutz und erlaubt daher mehr Spielraum bei der Umsetzung.

     

    Jetzt IT-Security Blog abonnieren!

     

    ITQ-13-Zertifizierung

    Das ITQ-13-Audit ist ein bundesweit einheitliches, aus der Praxis entstandenes sowie bewährtes Konzept und richtet sich primär an mittelständische Unternehmen und deren Bedürfnisse. Dabei zeigt es hauptsächlich die persönlichen Haftungsrisiken in der IT verständlich auf und schließt diese mit überschaubarem Aufwand weitestgehend aus. Die ITQ-13-Zertifizierung ist in 14 Prüfgruppen mit insgesamt 95 Prüffragen, welche auf dem IT-Grundschutz basieren, unterteilt. Dabei werden die zentralen Informationssysteme betrachtet und auf Schwachstellen geprüft. Das Ergebnis ist ein Audit-Bericht, welcher Ihnen einen aktuellen Überblick über den Sicherheitsstand Ihrer Firmen-IT gewährleistet. Ihr Vorteil: wenn Sie erst einmal ITQ-13 zertifiziert sind, dann ist der Weg bis zur ISO 27001 nicht mehr weit.

     

    VdS-Richtlinie 3473

    Die branchenneutralen Richtlinien VdS 3473 enthalten einen speziell auf KMU sowie auf kleinere und mittlere Organisationen ausgerichteten Maßnahmenkatalog, mit welchem der Informationssicherheitsstatus eines Unternehmens verbessert werden kann. Die Mindestanforderungen an die Informationssicherheit sind dabei so gestaltet, dass sie Unternehmen weder finanziell noch organisatorisch überfordern. Die umzusetzenden Maßnahmen der VdS-3473 sind für die meisten Organisationen direkt und praxisnah umsetzbar, da sie sich auf das technisch und organisatorisch Wesentliche für KMU konzentrieren. Auf Basis der Richtlinien kann ein VdS-Zertifikat erlangt oder sogar auf die anerkannten Standards ISO/IEC und IT-Grundschutz aufgestockt werden.

     

    Fazit

    Wenn es um die Zertifizierung der IT Sicherheit geht, so gab es lange Zeit nur wenig Auswahl. Mit der ITQ-13-Zertifizierung und den VdS-Richtlinien 3473 stehen vor allem kleinen und mittelständischen Unternehmen ab sofort echte Alternativen zur Verfügung, welche mit einem vertretbaren Aufwand umzusetzen sind. Sofern es keine speziellen Vorgaben seitens des Gesetzgebers oder Branchenverbänden gibt, bieten sie eine solide Grundlage, auf der Sie jederzeit aufbauen können.

     

    Tipp

    Sie benötigen geprüfte IT Sicherheit? BRANDMAUER IT Security auditiert Ihre IT-Abteilung und Ihre Prozesse und bestätigt dies mit anerkannten Zertifikaten nach ISO 27001,  ITQ13, und VdS.