Mit einer unabhängigen Prüfung der baulichen, personellen, organisatorischen und technischen Schutzmaßnahmen nach dem Grundschutzhandbuch (GSHB) bietet das BSI Behörden und Unternehmen die Möglichkeit, sich die Sicherheit ihrer IT amtlich bestätigen zu lassen. "Bei der Konzeption des GSHB war von einem Sicherheits-zertifikat noch gar nicht die Rede; das ist von Außen an uns herangetragen worden", sagt Isabel Münch, Leiterin des BSI-Referats Systemsicherheit und IT-Grundschutz. Das GSHB sollte ein klares Regelwerk für IT-Sicherheit sein.

Seit den Anfängen im Jahr 1995 ist die Zahl der Anwender erheblich gewachsen. "Wir wissen nicht genau, wie viele Anwender das GSHB in welchem Maße umsetzen, aber bei den registrierten Nutzern, CD-Bestellungen und Zugriffen auf unsere Website verzeichnen wir ein wachsendes Interesse", so Münch. Rund 5000 Anwender haben sich bisher registrieren lassen; zirka 35000 CDs verschickte das BSI im letzten Jahr. Das GSHB ist als aktualisierbare Loseblattsammlung, als CD und online in Deutsch und Englisch verfügbar.

Vorteil des GSHB: Mit verhältnismäßig geringem Aufwand lässt sich ein definierter Sicherheitsstandard erreichen. Bei der traditionellen Risikoanalyse werden zunächst die Gefährdungen und deren Eintrittswahrscheinlichkeiten ermittelt, dann die geeigneten IT-Sicherheitsmaßnahmen ausgewählt und anschließend die Restrisiken bewertet.

Das GSHB dagegen erfordert nur einen Soll-Ist-Vergleich zwischen empfohlenen und realisierten Maßnahmen. Die festgestellten Sicherheitsdefizite können auf die im GSHB dargestellte Weise relativ einfach behoben werden. "Mit 20 Prozent des Aufwands erhält man 80 Prozent definierte Sicherheit auf messbarem Niveau - günstig und revisionssicher", sagt Kornel Knöpfle, IT-Sicherheitsberater bei Danet in Weiterstadt, einem Software- und Beratungsunternehmen mit 920 Mitarbeitern. Allerdings handelt es sich tatsächlich nur um einen Grundschutz; spezielle Gefahrenlagen oder unternehmensspezifische Besonderheiten deckt das GSHB nicht ab.

Hohe Qualifikationshürden für Auditoren

Knöpfle ist einer der ersten Sicherheitsexperten, die das BSI als Auditor lizenziert hat. Obwohl das Amt nicht für das Lizenzierungsprogramm geworben hat, liegen bereits mehr als 200 Anträge vor. "Allerdings konnten nur etwa 30 Kandidaten im ersten Anlauf die geforderten Qualifikationen nachweisen", verrät Referatsleiterin Münch. Die Hürden sind tatsächlich ziemlich hoch. Neben den entsprechenden Fachkenntnissen sind mindestens zwei Jahre Praxiserfahrung in IT-Sicherheitsprojekten und im Umgang mit dem GSHB erforderlich, um überhaupt zur Prüfung beim BSI zugelassen zu werden. Die Zahl der Auditoren ist nicht festgelegt. "Wir lizenzieren jeden, der die Voraussetzungen erfüllt", verspricht Münch.