"IT-Grundschutz-Auditoren" sollen Vertrauen schaffen
Das BSI hat jetzt ein "Sicherheitszertifikat auf Basis des allgemein anerkannten IT-Grundschutzhandbuchs" geschaffen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will dem Problem der Datensicherheit in Unternehmen und Behörden beikommen. Mangelnde Sicherheit ist dabei aber wohl nicht das eigentliche Problem: Bislang gibt es anscheinend vielerorts genügend Sicherheit, doch niemand ist offiziell dazu zertifiziert, dies zu bestätigen. Deshalb geraten nach Meinung des BSI Wirtschaft und Verwaltung "zunehmend unter Druck", denn sie kommen angeblich in Zugzwang, "die Umsetzung aller erforderlichen Standardsicherheitsmaßnahmen eines IT-Bereichs mittels Zertifikaten nachweisen zu können".
Deshalb hat das BSI jetzt ein "Sicherheitszertifikat auf Basis des allgemein anerkannten IT-Grundschutzhandbuchs" eingeführt. Damit soll es möglich werden, Sicherheitsmaßnahmen durch einen unabhängigen, lizenzierten Auditor prüfen zu lassen -- genannt "IT-Grundschutz-Auditor".
Dieser weiß dann laut Grundschutzhandbuch, worin die Gefährdungen des Grundschutzes beispielsweise eines DOS-PC bestehen können: Etwa durch höhere Gewalt wie Personalausfall, Feuer und Wasser oder durch menschliche Fehlhandlungen wie fahrlässige Zerstörung des Gerätes oder der Daten. Zu jeder möglichen Grundschutzgefährdung am Einzelplatz oder im Netzwerk, unter Unix, Windows oder NetWare, aber auch zur Büroumgebung ist dem Grundschutzhandbuch ein Maßnahmenbündel zugeordnet. Diesem sind Hinweise zu entnehmen wie: "Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben, die üblicherweise auf der Verpackung zu finden sind, heranzuziehen."
Diese Zertifikate sollen nicht nur bestätigen, sie sollen sich auch für Wirtschaftsunternehmen oder Behörden auszahlen. Sie können dann nämlich "für einen ausgewählten IT-Bereich" nachweisen, dass ein Sicherheitsmanagementsystem etabliert ist und dass die "erforderlichen baulichen, personellen, organisatorischen und technischen IT-Grundschutzmaßnahmen realisiert sind". Unternehmen und Behörden können derlei dann für Werbezwecke nutzen und so vielleicht endlich das Vertrauen der Bürger in E-Commerce und E-Government steigern, hofft das BSI.
Das Zertifizierungsschema ist nun definiert, teilt das BSI mit. Jetzt folgte der nächste Schritt: Die ersten 20 IT-Grundschutz-Auditoren wurden lizenziert. Diese haben die Erlaubnis, IT-Grundschutz-Audits zur Erlangung eines Zertifikats durchzuführen. Im Laufe des Jahres sollen weitere Interessenten nach einer entsprechenden Schulung und Prüfung lizenziert werden. (anw)
