Seit Juni 2007 bin ich als Auditteamleiter für ISO 27001-Audits auf Basis IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (letzte Lizenz-Nummer BSI-IGL-0150-2015), als IS Revisionsexperte und als Senior Consultant Information Security insbesondere mit IT-Grundschutz tätig.

Der IT-Grundschutz des BSI definiert den Aufbau eines ISMS gemäss dem „Plan-Do-Check-Act“ Zyklus. Er liefert ausserdem einen modularen Ansatz, um alle organisatorischen, infrastrukturellen, personellen und technischen Komponenten zu modellieren, die zur Abwickung eines IT-gestützten Geschäftsprozesses notwendig sind (Informationsverbund). Anhand dieser Modellierung werden diesem IT-Verbund bereits vordefinierte Gefährdungen zu geordnet und gleichzeitig Massnahmen bestimmt, die zu deren Bekämpfung erforderlich sind.

Dieser Ansatz macht eine zeitaufwändige und fehlerträchtige Risikoanalyse mit der Betrachtung von Eintrittswahrscheinlichkeiten und Schadenshöhen überflüssig und implementiert eine Basissicherheit, die für die Befriedigung normaler Schutzbedarfsanforderungen genügt. Für hohe und sehr hohe Anforderungen bietet diese Basissicherheit eine solide Grundlage für weitergehende Analysen und zusätzliche Massnahmen.

Der Inhalt des IT-Grundschutzes ist in den folgenden Dokumenten niedergelegt:

1. BSI Standard 200-1: Allgemeine Beschreibung des Ansatzes „ISO 27001 auf Basis IT-Grundschutz“
2. BSI Standard 200-2: IT-Grundschutz Methodik (Zertifizierbar)
3. BSI Standard 200-3: Risikoanalyse auf Basis IT-Grundschutz
4. BSI Standard 200-4: Notfallvorsorge
5. IT-Grundschutzkompendium: Bausteinsammlung zur Modellierung von Informationsverbünden, Anforderungen an die Absicherung von Zielobjekten und Darstellung typischer Gefährdungen.
   • Anforderungen der Basisabsicherung: Eine Nichterfüllung ist grob fahrlässig
   • Anforderungen der Standardabsicherung: Zusammen mit der Basisabsicherung bilden diese Anforderungen den Stand der Technik ab.
   • Anforderungen für erhöhten Schutzbedarf: Vorschläge für zusätzliche Maßnahmen bei hohem oder sehr hohem Schutzbedarf; hier ist i.d.R. eine Risikoanalyse erforderlich.

Es ist möglich, das ISMS für einen IT-Verbund vor diesem Hintergrund auditieren und zertifizieren zu lassen. Dies kann auf zwei Arten geschehen:

1. Testat Basisabsicherung: Ein Auditor prüft die Umsetzung aller Anforderungen der Basisabsicherung, das BSI stellt einmalig ein zwei Jahre gültiges Testat aus.
2. Zertifikat „ISO 27001 auf Basis IT-Grundschutz“: Ein Auditor prüft die Umsetzung aller Anforderungen bei einer Standard- oder Kernabsicherung, das BSI stellt ein drei Jahre gültiges Zertifikat aus. Es finden jährliche Überwachungsaudits statt, alle drei Jahre ein Rezertifizierungsaudit.

Das Audit wird immer durch einen unabhängigen Auditor durchgeführt, dieser legt die Prüfergebnisse in einem Auditreport nieder. Das BSI prüft und bestätigt in jedem Fall die Abgrenzung des IT-Verbunds, bei Zertifikaten zusätzlich den vollständigen Auditreport.

Hinweis: Das Verfahren der IS-Revision ist mittlerweile nicht mehr aktuell

Die Informationssicherheitsrevision (IS-Revision) untersucht regelmässig die Lage der Informationssicherheit einer Organisation. Grundlage des Verfahrens ist der IT-Grundschutz des BSI. Im Gegensatz zu einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist für eine erfolgreiche IS-Revision jedoch keine vollständige Umsetzung des IT-Grundschutzes erforderlich.
Die Durchführung von IS-Revisionen ist für Bundesbehörden durch den Umsetzungsplan Bund (UP Bund) verpflich-tend und muss alle zwei Jahre geschehen. Der UP Bund beschreibt, wie die Vorgaben des nationalen Plans für den Schutz von Informationsinfrastrukturen (NPSI) in Bundesbehörden umzusetzen sind.
Folgende Arten von IS-Revisionen sind möglich:

1. IS-Kurzrevision
   Die IS-Kurzrevision verschafft dem IS-Management mit wenig Aufwand einen Überblick über den Sicherheitsstatus beim Auftraggeber. Betrachtet werden Aspekte aus dem IT-Grundschutz, die eine wesentliche Grundlage für Informationssicherheit bilden und sich aufgrund von Erfahrungswerten als problembehaftet erwiesen haben (z. B. Sicherheitsorganisation, Umgang mit mobilen Datenträgern). Die IS-Kurzrevision betrachtet dabei die gesamte Institution.

2. IS-Querschnittsrevision
   Eine IS-Querschnittsrevision betrachtet nach einem risikobasierten Ansatz wichtige Teile der IT-Struktur einer Organisation. Grundlage der Prüfung sind die jeweiligen Bausteine der IT-Grundschutzkataloge. Dieses Vorgehen schafft einen vollständigen Überblick zur Sicherheitslage in den relevanten Bereichen einer Organisation. Es setzt eine begonnene IT-Sicherheitskonzeption nach BSI Standard 100-2 voraus, da die Referenzdokumente zur IT-Struktur, dem Schutzbedarf und der Modellierung des Informationsverbunds vor Beginn der Prüfung vorliegen müssen.

3. IS-Partialrevision
   
   Eine IS-Partialrevision beschränkt sich auf einen speziellen Ausschnitt der Institution. Die Prüftiefe ist wesentlich größer als bei der IS-Kurzrevision. Sie ist prädestiniert für die IS-Revision von kritischen Geschäftsprozessen. Da sich eine IS-Partialrevision auf bestimmte IT-Verfahren beschränkt, werden auch nur die damit verbundenen Systeme und die hierfür anzuwendenden Bausteine des IT-Grundschutzes betrachtet. Abhängig vom definierten Prüfumfang kann bei einer IS-Partialrevision eine stichprobenbasierte Prüfung oder eine vollständige Prüfung aller zutreffenden Maßnahmen sinnvoll sein. Darüber hinaus gelten die gleichen Regelungen und Abläufe wie bei der IS-Querschnittsrevision.

Ich führe IS-Revisionen in allen drei Kategorien durch, je nach Prüfgegenstand auch gemeinsam mit technischen Experten. Die Ergebnisse werden in der seitens des BSI vorgegebenen Form dokumentiert und auf Wunsch in Form von zielgruppenorientierten Workshops erläutert.