21.02.2018

ISO/IEC 27001 oder BSI-Grundschutz - welches ist die bessere Wahl?

Von Bodo Piening

Die zunehmende Bedrohung durch Cyberkriminalität sowie neue Anforderungen von Gesetzgeber, Kunden und Auftraggeber verlangen zunehmend von den Unternehmen, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen. Für die Implementierung und Zertifizierung eines ISMS stehen in Deutschland dafür die internationale Norm ISO/IEC 27001 sowie die vom Bundesamt für Informationssicherheit (BSI) entwickelte nationale Norm "ISO 27001 auf Basis von IT-Grundschutz" (BSI-Grundschutz) zur Verfügung. Doch welches ist die bessere Wahl? Wir haben beide einmal gegenübergestellt.

Die Vor- und Nachteile der beiden Normen
Obwohl sich natürlich prinzipiell beide Verfahren für die Implementierung eines ISMS eignen, gibt es eine Reihe von Unterschieden, die in nachfolgender Tabelle im Überblick dargestellt sind.

Vorgehensmodell
Den wohl gravierendsten Unterscheid weisen die jeweiligen Vorgehensmodelle auf. Ausgangspunkt des Vorgehensmodells nach BSI-Grundschutz ist die Nachbildung der eigenen zuvor erhobenen und dokumentierten IT-Infrastruktur mittels der einzelnen Grundschutzbausteine und in der Folge die Umsetzung der in diesen Bausteinen dokumentierten technischen Maßnahmen. Eine separate Risikoanalyse ist nur für bei hohem oder sehr hohem Bedarf an Vertraulichkeit, Integrität oder Verfügbarkeit vorgesehen.

Mittelpunkt der Methodik nach ISO 27001 bildet demgegenüber die Risikoanalyse. Abhängig vom Schutzbedarf sowie Risikobewertung und -akzeptanz ist zu entscheiden, welche Maßnahmen in welcher Tiefe umzusetzen sind.

Fazit

  • Die BSI-Grundschutz-Methodik ist sehr formalistisch; der Nutzer wird relativ stark durch die Norm geführt und hat weniger Freiheiten der Anpassung. Entsprechend der Nachbildung der eigenen IT-Infrastruktur mit den Grundschutz-Bausteinen ist man gezwungen, diese Controls gesamthaft umzusetzen.
  • Gleichzeitig Stärke und Schwäche der Grundschutzmethodik sind die umfangreichen Grundschutzkataloge. Diese sind in der Erstellung so aufwändig, dass sie neuen Entwicklungen, z. B. bei aktuellen Betriebssystemen, teilweise um Jahre hinterherhinken. Bei fehlenden Bausteinen ist der Nutzer jedoch gefordert, (übergangsweise) eigene Bausteine zu entwickeln.
  • Demgegenüber gewährt die ISO 27001 Spielräume für eine flexible Umsetzung sowie für eine individuelle Ausgestaltung des ISMS, da sich die Umsetzung von Sicherheitsmaßnahmen an der individuellen Einschätzung und Akzeptanz der Risiken orientiert.
  • Auch im Aufwand unterscheiden sich beide Vorgehensweisen deutlich. Für eine Zertifizierung nach BSI-Grundschutz inkl. Vorbereitung ist mindestens der doppelte Aufwand gegenüber einer Zertifizierung nach ISO 27001 zu veranschlagen.
  • Die jeweilige konkrete Eignung der Methodik ist stark von den unternehmensspezifischen Gegebenheiten und Anforderungen abhängig und sollte daher das Ergebnis einer Voruntersuchung sein.
  • Dennoch lässt sich aufgrund der o. a. Vorteile eine generelle Empfehlung für die ISO 27001 bei der Implementierung und Zertifizierung eines ISMS aussprechen; ggf. kombiniert mit Anleihen aus den Grundschutzkatalogen für die Umsetzung der technischen Sicherheitsmaßnahmen.

Übrigens: Kennen Sie schon unser Tool zur Messung des Reifegrades Ihrer Informationssicherheit? Laden Sie sich dies kostenlos hier herunter.

Wir helfen Ihnen dabei, Ihre Anforderungen effizient und wirtschaftlich umzusetzen. Lassen Sie uns drüber sprechen!

zurück