RZ-Zerti­­fi­­zierung – ISO 27001 klassisch oder auf Basis von IT-Grund­­schutz?

Zerti­fi­zie­rungen für Rechen­zentren (RZ) sind mittler­weile weit verbreitet und werden von Nutzern, Kunden und je nach Branche auch von Prüfor­ga­ni­sa­tionen gefordert. Dabei „konkur­rieren“ am Markt verschiedene Zerti­fi­zie­rungen. Neben einer klassi­schen Infra­struk­tur­zer­ti­fi­zierung, die eine Aussage über die Sicherheit und Verfüg­barkeit eines Rechen­zen­trums trifft, kann man sein Rechen­zentrum auch hinsichtlich der Betriebs­führung, der Energie­ef­fi­zienz, einer Kombi­nation aus vorge­nannten oder eben auch unter Gesichts­punkten des Infor­ma­ti­ons­si­cher­heits­ma­nage­ments zerti­fi­zieren. Die inter­na­tionale Norm ISO/IEC 27001 IT-Sicher­heits­ver­fahren – Infor­ma­ti­ons­si­cher­heits-Manage­ment­systeme – Anfor­de­rungen spezi­fi­ziert die Anfor­de­rungen für die Einrichtung, Umsetzung, Aufrecht­erhaltung und fortlau­fende Verbes­serung eines dokumen­tierten Infor­ma­ti­ons­si­cher­heits-Manage­ment­systems unter Berück­sich­tigung des Kontexts einer Organi­sation.

Eine besondere Form stellt dabei die Zerti­fi­zierung nach ISO 27001 auf der Basis von IT-Grund­schutz dar. Die Frage ist, wo liegen die Unter­schiede und gibt es sogar einen „Mehrwert“ gegenüber einer klassi­schen ISO 27001 Zerti­fi­zierung?

Um es vorweg­zu­nehmen, die Zerti­fi­zierung auf Basis des IT-Grund­schutzes deckt die ISO 27001 komplett ab. Und die weitere gute Nachricht ist, dass dieser Weg zur Zerti­fi­zierung sich in weiten Teilen mit der ISO 27001 überschneidet. Aller­dings ist das Verfahren sehr strikt vorge­geben und weitaus arbeits­in­ten­siver als eine klassische ISO 27001 Zerti­fi­zierung. Dies gilt insbe­sondere dann, wenn die in vielen Betrieben geführte Dokumen­tation über die IT schlecht struk­tu­riert, lückenhaft oder gar nicht vorhanden ist.

Wie bei der ISO 27001 sind in einer Sicher­heits­leit­linie (sog. Security Policy) zunächst die Kernpunkte der Sicher­heits­stra­tegie festzu­halten. Diese Kernpunkte sollen die Grund­sätze zur Informations­sicherheit vermitteln können. Und diese behandeln letztlich immer die Grund­werte in der Informations­sicherheit:

• Vertrau­lichkeit,
• Integrität und
• Verfüg­barkeit.

Diese müssen in ausrei­chender Qualität vorhanden sein, damit das System „IT“ notwendige Infor­ma­tionen zu jeder Zeit, unver­fälscht und an den berech­tigten Adres­saten bereit­stellt.

Doch mit einer Sicher­heits­leit­linie oder Policy ist das Ziel noch nicht erreicht. Der schwie­rigste Teil auf dem Weg zu einer erfolg­reichen Zerti­fi­zierung ist die Erfüllung der oftmals ungeliebten Dokumen­ta­ti­ons­an­for­de­rungen. Auf ein Rechen­zentrum bezogen ergeben sich eine Vielzahl an zu beach­tenden Punkten aus dem Baukasten des IT-Grund­schutzes des BSI (Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik, www.bsi.bund.de). Es gilt, einen Infor­ma­ti­ons­verbund zu model­lieren, der in Bezug auf ein Rechen­zentrum die Bausteine für den Standort und dessen Risiken, für das Gebäude an sich, die Räume, die Server, die verbin­denden Netze sowie für die Anwen­dungen und Daten in Relation zuein­ander bringt. Diese Infor­ma­tionen sind tabel­la­risch zu proto­kol­lieren und darüber hinaus soll die Vernetzung der vorhan­denen Systeme über einen Netzplan visua­li­siert werden.

Diesen sicherlich aufwen­digsten Teil auf dem Weg zur Zerti­fi­zierung fasst man unter dem Oberbe­griff „IT-Struk­tur­analyse“ zusammen. Früher hat das BSI dafür ein Softwaretool bereit­ge­stellt (das sog. GSTOOL) – aller­dings nur bis Ende 2014. Neben dem offizi­ellen GSTOOL des BSI gab es bereits seit mehreren Jahren von verschie­denen Dritt­an­bietern entwi­ckelte Tools, welche ebenfalls die BSI-Standards umsetzen konnten. Heute stellt das BSI daher nur noch eine aktuelle Übersicht an Tools zur Verfügung, mit denen man seinen Infor­ma­ti­ons­verbund BSI-konform model­lieren kann (Kurzlink: https://bit.ly/2DvZypi ).

Der nächste Schritt beinhaltet die sogenannte Schutz­be­darfs­fest­stellung. Das BSI gibt drei Schutz­be­darfs­ka­te­gorien vor: normal, hoch und sehr hoch. Mit der Einstufung „sehr hoch“ sollte man sehr bewusst und eher sparsam umgehen, weil diese Einstufung einen oft unver­hält­nis­mäßig hohen opera­tiven Aufwand bedeuten kann und dann zwangs­läufig auch zu einem hohen finan­zi­ellen Aufwand führt. Das hängt u. a. damit zusammen, dass z. B. nicht nur der Server in die Schutz­be­darfs­ka­te­gorie „sehr hoch“ einge­stuft wird, sondern dann auch der Raum, das Gebäude, das Netz etc. zwangs­läufig und nach dem Grundsatz der Gleich­wer­tigkeit als „sehr hoch“ einzu­stufen sind. Das BSI verwendet hierfür den Begriff des „Maximie­rungs­prinzips“. Doch was soll man sich eigentlich im Rahmen der Schutz­be­darfs­fest­stellung unter „sehr hoch“ vorstellen? Nun, die Schutz­be­darfs­fest­stellung erfolgt zunächst allgemein bezogen auf die drei eingangs erwähnten Grund­werte der Informations­sicherheit. Das kann in der Praxis bedeuten, dass ein IT-Sicher­heits­vorfall zu existenz­be­dro­henden Konse­quenzen des Unter­nehmens führen kann oder mindestens zu einem beträcht­lichen finan­zi­ellen Schaden, der so hoch ist, dass man diesen im Boxsport­jargon als „Wirkungs­treffer“ bezeichnen würde.

Ist die Model­lierung und Schutz­be­darfs­fest­stellung abgeschlossen, erfolgt ein weiterer, ebenfalls zeitauf­wen­diger Arbeits­schritt auf dem Weg zur Zerti­fi­zierung: ein Soll-Ist-Abgleich (auch als Basis-Sicher­heits­check bezeichnet). Dabei wird jeder Baustein des IT-Grund­schutzes berück­sichtigt und die damit verbun­denen Maßnahmen werden auf deren Umset­zungsgrad geprüft. So beinhaltet der Baustein „INF.2 – Infra­struktur Rechenzentrum/ Serverraum“ insgesamt 28 Basis­an­for­de­rungen. Jede Maßnahme der ausge­wählten Bausteine wird auf den Umset­zungsgrad hin überprüft.

Für die Zerti­fi­zierung sind vom BSI 82 Prozent an erfüllten Maßnahmen als Richtwert vorge­geben. Dabei steht die Sinnhaf­tigkeit der Maßnahmen im Vorder­grund. Das Unter­nehmen ist nicht verpflichtet, alle Maßnahmen umzusetzen, wenn es plausible Begrün­dungen und Kompen­sa­tionen vorlegen kann. Hier hilft wie bei jeder Zerti­fi­zierung eine offene Kommu­ni­kation mit dem verant­wort­lichen Auditor. Die Zerti­fi­zierung selbst ist mit der herkömm­lichen ISO 27001 vergleichbar, wobei die Zerti­fi­zie­rungs­stelle in diesem Fall das BSI selbst ist, das auch an den Prüfer (Auditor) einige Anfor­de­rungen stellt.

Vor der eigent­lichen Zerti­fi­zierung müssen Audito­ren­testate erlangt werden, die zwei Jahre lang gültig und nicht wieder­holbar sind. Beim ersten Testat ist eine Erfüllung von rund 55 Prozent der Maßnahmen erfor­derlich. Beim zweiten bereits 72 Prozent, bis schließlich zu den bereits erwähnten bzw. gefor­derten 82 Prozent. Das Zerti­fikat gilt dann für drei Jahre.

Fazit:

Mit Re-Zerti­fi­zie­rungs­audits kann die Zerti­fi­zierung anschließend aufrecht­erhalten werden. Doch für welche Variante soll man sich entscheiden? Für den RZ-Bereich ist es letztlich eine Kosten-Nutzen Rechnung, denn eine ISO 27001 auf der Basis von IT-Grund­schutz verschlingt nicht unerheb­liche Ressourcen. Natürlich ist die „BSI-Zerti­fi­zierung“ mit der ISO 27001 vollständig kompa­tibel. Ob nun aber ISO 27001 oder ISO 27001 auf der Basis von IT-Grund­schutz: Unter­nehmen sollten die Zerti­fi­zierung immer aus sicher­heits­be­wusstem Eigen­in­teresse anstreben. Exkul­pation (Entlastung vom Vorwurf des Verschuldens) oder positive Marke­ting­aspekte sollten nur als „Beifang “betrachtet werden.