Überblick Sicherheits-Zertifizierungen: ISO/IEC 27000, IT-Grundschutz, VdS 3473

Unternehmen profitieren von einer zertifizierten Informationssicherheit. Die erforderlichen Management-Systeme bedeuten allerdings einiges an Aufwand.

Dieser Artikel behandelt

Datenschutz

Nicht nur Cloud-Nutzer achten zunehmend auf Zertifizierungen der Anbieter. Die herrschende Bedrohungslage in der IT beunruhigt viele Anwenderunternehmen, sie suchen nach vertrauenswürdigen Anbietern, die zum Beispiel die ihnen anvertrauten Daten wirkungsvoll schützen.

Einen sicheren Lösungsanbieter oder Dienstleister zu erkennen, ist nicht einfach, so dass sich der Blick auf anerkannte Zertifikate für Informationssicherheit richtet. Basis solcher Zertifikate sind Standards, internationale, nationale oder auch spezifische Standards, die von bestimmten Organisationen und Verbänden entwickelt wurden.

Für Anwender und Anbieter gleichermaßen ist es ein Problem, dass es viele verschiedene Standards mit Bezug zur Informationssicherheit gibt: Anbieter müssen wissen, welches der richtige Standard für sie ist, nach dem sie sich zertifizieren lassen sollten. 

Anwender müssen verstehen, was eine Zertifizierung nach einem bestimmten Standard wirklich bedeutet. Doch die Vielfalt der Standards hat auch seine Vorzüge: So bieten sich mitunter verschiedene Zugänge zu dem Ziel eines zertifizierten Informationssicherheits-Management-Systems (ISMS).

Der Klassiker: ISO/IEC 27000-Reihe

Wenn es um die Zertifizierung der Informationssicherheit beziehungsweise des entsprechenden Management-Systems geht, kommen schnell die ISO-Standards zur Sprache. Angaben zu vorhandenen Zertifikaten nach ISO/IEC 27001 oder die Forderungen nach solchen Zertifikaten muss man nicht lange suchen, die Datenblätter der Anbieter und die Checklisten der Einkäufer sind voll davon. 

Die Liste anerkannter Zertifizierungsstellen ist lang, so dass es keinen Mangel an passenden Zertifizierungsleistungen gibt. Doch gerade kleine und mittlere Anbieter scheuen den internen Aufwand, der sich mit dieser Zertifizierung ergibt, sowie die externen Kosten. Aus Anwendersicht jedoch ist eine Zertifizierung nach ISO/IEC 27000 zu begrüßen, denn sie ist weit verbreitet und international bestens bekannt.

Die BSI-Variante: ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinen IT-Grundschutz-Katalogen ebenfalls eine Basis für die Informationssicherheit, ebenso eigene BSI-Standards zum Informationssicherheits-Management.

Die Erfahrung hat allerdings gezeigt, dass auch der IT-Grundschutz manchen kleinen und mittleren Unternehmen als zu aufwändig in der Umsetzung erscheint. Gegenwärtig läuft deshalb eine Modernisierung des IT-Grundschutzes, so dass dieser unter anderem besser an die Unternehmensgröße angepasst werden kann.

Während der IT-Grundschutz nationalen Ursprungs ist, ist der Standard ISO 27001 international. Eine Zuordnung zwischen IT-Grundschutz und ISO 27001 bietet das BSI in einem speziellen Dokument an. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist möglich. Welche Unternehmen diesen Weg bereits beschritten haben, kann man in einer Übersicht einsehen.

Die VdS-Variante: VdS-Richtlinien für zertifizierte Cyber-Sicherheit (VdS 3473)

Unter der Leitung der VdS Schadenverhütung GmbH wurde ein speziell auf kleine und mittlere Unternehmen (KMU) zugeschnittenes Verfahren entwickelt, mit dem der Informationssicherheitsstatus eines Unternehmens auditiert und zertifiziert werden kann. 

Der Bedarf an Orientierung über Standards und ihre Bedeutung steigt, doch der Zugang zu einem ISMS wird einfacher.

Vorgestellt wurden die VdS-Richtlinien für zertifizierte Cyber-Sicherheit (VdS 3473) auf der CeBIT 2015.

Laut VdS zeigen die Erfahrungen der letzten Jahre, dass die Hürden für eine Zertifizierung nach ISO 27001 insbesondere für KMU in den allermeisten Fällen viel zu hoch sind. 

Das VdS-Zertifikat richtet sich speziell an die kleinen und mittleren Unternehmen und kann nach Angaben des VdS Versicherern zur Risikoeinschätzung beim Angebot für Deckungen von Cyberschäden dienen.

Gespräche des Autors mit deutschen Systemhäusern und IT-Dienstleistern zeigen, dass diese einen Bedarf für Zertifizierungen und Standards sehen, die sich mehr an den KMU orientieren. Es zeigt sich, dass die Zahl der Wege hin zu einer zertifizierten Informationssicherheit zunimmt, der Bedarf an Orientierung über Standards und ihre Bedeutung steigt, dafür aber der Zugang zu einem ISMS einfacher wird.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

‪#‎Cloud_Zertifizierung‬
Trusted Cloud-Datenschutzprofil für Cloud-Dienste (‪#‎TCDP‬)
Version 0.9
Stand: April 2015
PDF 533 KB
http://www.trusted-cloud.de/me…/content/Publikation_TCDP.pdf
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close