Ein Audit zum Erwerb des Grundschutzzertifikats hat Knöpfle bisher noch nicht durchgeführt. Aus der Praxis als Berater weiß er jedoch: "Schon jetzt orientieren sich viele Unternehmen bei ihrer Sicherheitsplanung am GSHB; ich kenne jedoch keines, das bereits alle notwendigen Maßnahmen umgesetzt hat."

Prüfsiegel fördert auch das Image

Der Ruf nach einem amtlichen Prüfsiegel kam vor allem aus den Behörden und Unternehmen selbst, die damit ganz unterschiedliche Ziele verfolgen: "Zum einen wollen sie sich der korrekten Umsetzung des Grundschutzes versichern; zum anderen gibt es aber auch einen Marketing-Aspekt, denn das Zertifikat dient Partnern und Kunden als Beweis für eine etablierte IT-Sicherheit", so Münch. Zu ihrem Erstaunen hat die BSI-Referatsleiterin in Ausschreibungen schon Anforderungen aus dem GSHB entdeckt, bevor es das Zertifikat überhaupt gab.

Hier sieht Auditor Knöpfle den möglichen Ausgangspunkt für eine wachsende Nachfrage - nicht zuletzt deshalb, weil ähnlich verbreitete andere Standards fehlen. "Ich kann mir sehr gut vorstellen, dass, ausgehend von den Behörden, der Grundschutz zu einer Art Mindestanforderung in Sachen IT-Sicherheit wird." Bei seinen Kunden verzeichne er jedenfalls wachsendes Interesse. Noch aber steckt das Amtssiegel in den Kinderschuhen: Bisher hat das BSI kein einziges Zertifikat erteilt.

Zeitaufwand und Kosten für das Audit sind absehbar: Zwei bis sechs Wochen dauert das Prüfverfahren - je nach Unternehmensgröße und Komplexität. "Monopolpreise gibt es selbstverständlich nicht. Abhängig von der Zahl der Auditoren wird das der Markt regeln", sagt Knöpfle. Für die Grundschutzprüfung gelten Tagessätze wie für andere Tätigkeiten in der Sicherheitsberatung.

Am Ende des Audits steht ein Prüfbericht, auf dessen Grundlage das BSI dann das Zertifikat erteilen kann. "Das ist natürlich eine Momentaufnahme; deshalb gilt das Zertifikat nur für zwei Jahre und muss dann wiederholt werden", sagt Münch. Um Interessenkonflikte auszuschließen, stellt sie klar: "Die Auditoren sind oft selbst als Sicherheitsberater tätig. Natürlich darf ein Auditor nicht das kontrollieren, was er selbst entworfen hat."