Mit einer unabhängigen Prüfung der baulichen, personellen, organisatorischen und technischen Schutzmaßnahmen nach dem Grundschutzhandbuch (GSHB) bietet das BSI Behörden und Unternehmen die Möglichkeit, sich die Sicherheit ihrer IT amtlich bestätigen zu lassen. "Bei der Konzeption des GSHB war von einem Sicherheits-zertifikat noch gar nicht die Rede; das ist von Außen an uns herangetragen worden", sagt Isabel Münch, Leiterin des BSI-Referats Systemsicherheit und IT-Grundschutz. Das GSHB sollte ein klares Regelwerk für IT-Sicherheit sein.
Seit den Anfängen im Jahr 1995 ist die Zahl der Anwender erheblich gewachsen. "Wir wissen nicht genau, wie viele Anwender das GSHB in welchem Maße umsetzen, aber bei den registrierten Nutzern, CD-Bestellungen und Zugriffen auf unsere Website verzeichnen wir ein wachsendes Interesse", so Münch. Rund 5000 Anwender haben sich bisher registrieren lassen; zirka 35000 CDs verschickte das BSI im letzten Jahr. Das GSHB ist als aktualisierbare Loseblattsammlung, als CD und online in Deutsch und Englisch verfügbar.
Vorteil des GSHB: Mit verhältnismäßig geringem Aufwand lässt sich ein definierter Sicherheitsstandard erreichen. Bei der traditionellen Risikoanalyse werden zunächst die Gefährdungen und deren Eintrittswahrscheinlichkeiten ermittelt, dann die geeigneten IT-Sicherheitsmaßnahmen ausgewählt und anschließend die Restrisiken bewertet.
Das GSHB dagegen erfordert nur einen Soll-Ist-Vergleich zwischen empfohlenen und realisierten Maßnahmen. Die festgestellten Sicherheitsdefizite können auf die im GSHB dargestellte Weise relativ einfach behoben werden. "Mit 20 Prozent des Aufwands erhält man 80 Prozent definierte Sicherheit auf messbarem Niveau - günstig und revisionssicher", sagt Kornel Knöpfle, IT-Sicherheitsberater bei Danet in Weiterstadt, einem Software- und Beratungsunternehmen mit 920 Mitarbeitern. Allerdings handelt es sich tatsächlich nur um einen Grundschutz; spezielle Gefahrenlagen oder unternehmensspezifische Besonderheiten deckt das GSHB nicht ab.
Hohe Qualifikationshürden für Auditoren
Knöpfle ist einer der ersten Sicherheitsexperten, die das BSI als Auditor lizenziert hat. Obwohl das Amt nicht für das Lizenzierungsprogramm geworben hat, liegen bereits mehr als 200 Anträge vor. "Allerdings konnten nur etwa 30 Kandidaten im ersten Anlauf die geforderten Qualifikationen nachweisen", verrät Referatsleiterin Münch. Die Hürden sind tatsächlich ziemlich hoch. Neben den entsprechenden Fachkenntnissen sind mindestens zwei Jahre Praxiserfahrung in IT-Sicherheitsprojekten und im Umgang mit dem GSHB erforderlich, um überhaupt zur Prüfung beim BSI zugelassen zu werden. Die Zahl der Auditoren ist nicht festgelegt. "Wir lizenzieren jeden, der die Voraussetzungen erfüllt", verspricht Münch.
Ein Audit zum Erwerb des Grundschutzzertifikats hat Knöpfle bisher noch nicht durchgeführt. Aus der Praxis als Berater weiß er jedoch: "Schon jetzt orientieren sich viele Unternehmen bei ihrer Sicherheitsplanung am GSHB; ich kenne jedoch keines, das bereits alle notwendigen Maßnahmen umgesetzt hat."
Prüfsiegel fördert auch das Image
Der Ruf nach einem amtlichen Prüfsiegel kam vor allem aus den Behörden und Unternehmen selbst, die damit ganz unterschiedliche Ziele verfolgen: "Zum einen wollen sie sich der korrekten Umsetzung des Grundschutzes versichern; zum anderen gibt es aber auch einen Marketing-Aspekt, denn das Zertifikat dient Partnern und Kunden als Beweis für eine etablierte IT-Sicherheit", so Münch. Zu ihrem Erstaunen hat die BSI-Referatsleiterin in Ausschreibungen schon Anforderungen aus dem GSHB entdeckt, bevor es das Zertifikat überhaupt gab.
Hier sieht Auditor Knöpfle den möglichen Ausgangspunkt für eine wachsende Nachfrage - nicht zuletzt deshalb, weil ähnlich verbreitete andere Standards fehlen. "Ich kann mir sehr gut vorstellen, dass, ausgehend von den Behörden, der Grundschutz zu einer Art Mindestanforderung in Sachen IT-Sicherheit wird." Bei seinen Kunden verzeichne er jedenfalls wachsendes Interesse. Noch aber steckt das Amtssiegel in den Kinderschuhen: Bisher hat das BSI kein einziges Zertifikat erteilt.
Zeitaufwand und Kosten für das Audit sind absehbar: Zwei bis sechs Wochen dauert das Prüfverfahren - je nach Unternehmensgröße und Komplexität. "Monopolpreise gibt es selbstverständlich nicht. Abhängig von der Zahl der Auditoren wird das der Markt regeln", sagt Knöpfle. Für die Grundschutzprüfung gelten Tagessätze wie für andere Tätigkeiten in der Sicherheitsberatung.
Am Ende des Audits steht ein Prüfbericht, auf dessen Grundlage das BSI dann das Zertifikat erteilen kann. "Das ist natürlich eine Momentaufnahme; deshalb gilt das Zertifikat nur für zwei Jahre und muss dann wiederholt werden", sagt Münch. Um Interessenkonflikte auszuschließen, stellt sie klar: "Die Auditoren sind oft selbst als Sicherheitsberater tätig. Natürlich darf ein Auditor nicht das kontrollieren, was er selbst entworfen hat."