“IT-Grundschutz ist Qualitätssiegel”

silicon.de: Entsteht in manchen Branchen schon ein gewisser Druck, sich nach IT-Grundschutz zertifizieren zu lassen?

Schildt: Wir beobachten bei Behörden und Unternehmen einen allgemeinen Trend zur Zertifizierung. Mit einem IT-Grundschutz-Zertifikat verdeutlicht man gegenüber Kunden und Geschäftspartnern, dass die IT-Sicherheit in der eigenen Institution ein anerkannter Wert ist. Das schätzen auch die Kunden und Geschäftspartner. Natürlich bilden auch Vorgaben wie Basel II und das KonTraG eine Motivation. Mit dem Nachweis eines aktiven Risikomanagements kann man zum Beispiel die Kreditkosten senken.

silicon.de: Wie Sie sagten, entwickelt das BSI den IT-Grundschutz ständig weiter. Was sind aktuell die wichtigsten Projekte?

Schildt: Bei der Fortentwicklung des IT-Grundschutz unterscheiden wir zwischen der Aktualisierung und Ergänzung der IT-Grundschutz-Kataloge sowie der Weiterentwicklung der Vorgehensweise. Die IT unterliegt einem fortlaufenden Wandel, ständig kommen neue Technologien und Szenarien hinzu. Wir begegnen diesen Herausforderungen durch die jährliche Aktualisierung der IT-Grundschutz-Kataloge.

Bei der Festlegung der Themen der Bausteine berücksichtigen wir die Anregungen der Anwender. Denn sie wissen aus dem täglichen Arbeitsalltag, welche neuen Programme und Anwendungen im Schutzkonzept berücksichtigt werden müssen. So wird es in der nächsten Ergänzungslieferung einen Baustein zur freien Software Samba geben. Zusätzlich werden bereits bestehende Bausteine aktualisiert und ergänzt.

Neben den IT-Grundschutz-Katalogen wird auch die Vorgehensweise weiterentwickelt und zusätzliche Standards veröffentlicht. In der jüngsten Version haben wir beispielsweise den Paradigmenwechsel vom Schutz der Informationstechnik zum Schutz von Informationen in die BSI-Standards einfließen lassen.

Darüber hinaus wurde das Thema Datenschutz verstärkt in den IT-Grundschutz integriert. Als zusätzlicher Standard ist der ‘BSI-Standard 100-4 zum Notfallmanagement’ hinzu gekommen, der kostenlos von der BSI-Webseite bezogen werden kann. Grundsätzlich reicht es nicht, nur die technische Seite zu betrachten. Unerlässlich ist, organisatorische Prozesse festzulegen und die Mitarbeiter in Unternehmen und Behörden in die Umsetzung von IT-Sicherheitskonzepten mit einzubinden.