Zertifizierungspflicht: Die Übergangsfrist für ISO 27000 läuft ab
Jahrelange Haft für einen 29-jährigen Internetbetrüger. Der Mann hatte nicht vorhandene Waren auf der Auktionsplattform Ebay versteigert. Dass IT-Dienstleister sicher und vertrauenswürdig sind, sollen künftig Prüfsiegel belegen. So sieht es die Digitale Agenda 2014 – 2017 der Bundesregierung vor. Die Prüfsiegel sollen beweisen, dass ein IT-Dienstleister echt ist und seine Software zum Beispiel regelmäßig auf Viren überprüft oder Hackerangriffen vorbeugt. Das Ziel: Laut Bundesinnenministerium sollen die "IT-Systeme und digitalen Infrastrukturen Deutschlands [...] zu den sichersten weltweit werden." Darum hat die Bundesregierung ihr IT-Sicherheitsgesetz(öffnet im neuen Fenster) beschlossen. Das wirft allerdings mehr Fragen auf, als es beantwortet.
Der Gesetzesentwurf der Bundesregierung sieht vor, dass "mindestens alle zwei Jahre" nachgewiesen werden muss, dass die Unternehmen "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme" getroffen haben (§ 8a, Absatz 1 bis 3). Das betrifft Betreiber sogenannter "kritischer Infrastrukturen(öffnet im neuen Fenster)" wie zum Beispiel Energieversorger und Telekommunikationsbetreiber. Nachweise könnten durch Sicherheitsaudits oder Zertifizierungen durch Prüfstellen erfolgen. Deren Beschäftigte sollten die Erlaubnis haben, nach ISO-Normen zu prüfen.
Aber wer soll prüfen – und was genau?
Was die Prüfer alles begutachten sollen, steht allerdings nicht im Gesetzentwurf. Ein Beispiel: Ein Hardwarehersteller sollte seinen Kunden regelmäßige Firmware-Updates zur Verfügung stellen. Diese Firmware könnte, geht es nach der Bundesregierung, künftig zertifiziert werden. Muss dafür die komplette Infrastruktur eines Unternehmens geprüft werden wie Fertigungsanlagen und Arbeitsabläufe? Oder wird nur die Arbeit der Entwickler zertifiziert?
Eine andere Frage: Wer prüft eigentlich? Darf die Firmware von eigenen dazu berechtigten Mitarbeitern zertifiziert werden, oder darf das Prüfsiegel nur von externen Experten vergeben werden?
Eine Vielzahl von Instituten entwickelt IT-Normen. Deren Mitarbeiter könnten die Zertifikate zum Beispiel vergeben. So will ein Prüfinstitut aus dem Umkreis der Versicherungswirtschaft mit einem Prüf- und Zertifizierungsverfahren das Risiko für Schäden aus der IT definieren. Am bekanntesten sind freilich die internationalen Normenorganisationen ISO(öffnet im neuen Fenster) und IEC(öffnet im neuen Fenster). Die Standards der europäischen Normenorganisationen CEN(öffnet im neuen Fenster), CENELEC(öffnet im neuen Fenster) oder ETSI(öffnet im neuen Fenster) erkennt man an den beiden Anfangsbuchstaben EN. Und während es sich bei der DIN um eine deutsche Norm handelt, gibt es noch die DIN EN – eine europäische Norm, die vom Deutschen Institut der Normung(öffnet im neuen Fenster) e.V. in das deutsche Normenwerk integriert wurde.
Dass sich so viele internationale Normenorganisationen damit beschäftigen, könnte zu einem Problem werden, befürchten Experten. In einer Veranstaltung im Bundeswirtschaftsministerium hieß es(öffnet im neuen Fenster): "Der Mangel an Koordination [...] der voneinander unabhängigen nationalen, europäischen, internationalen Normungsorganisationen und anderen 'Standards schaffenden Organisationen'" führe zum gleichzeitigen Start von inhaltlich ähnlichen oder gleichen Normungsprojekten auf diversen Plattformen. Im Klartext: Durch zu viele Standards könnte der Überblick verloren gehen.
Darum arbeitet zum Beispiel die Cyber Security Coordination Group (CSCG)(öffnet im neuen Fenster) an einer gemeinsamen europäischen Normung für Internetsicherheit.
ISO/IEC 27001:2005 – Frist endet am 1. Oktober 2015
Das im Jahr 2011 gegründete Gremium CSCG bündelt die Aktivitäten der drei großen europäischen Normungsorganisationen CEN, Cenelec und Etsi, und zwar unter der Organisation des DIN-Normenausschusses Informationstechnik und Anwendungen (NIA). "Die Ereignisse im Zusammenhang mit Informations- und Kommunikationssicherheit in der letzten Zeit zeigen, dass bei den Sicherheitsstandards noch Verbesserungspotential existiert", sagte Torsten Bahke(öffnet im neuen Fenster), Vorstandsvorsitzender des DIN, anlässlich der Übergabe eines Strategiepapiers(öffnet im neuen Fenster) an die damalige EU-Kommissarin für die Digitale Agenda, Neelie Kroes. "Hier ist es wichtig, dass Europa mit einer Stimme spricht und letztlich seinen Bürgern und Unternehmen vorbildliche Lösungen bietet."
Die gemeinsame Stimme könnte die zentrale Norm in der IT sein – die DIN ISO/IEC 27001(öffnet im neuen Fenster). Dabei handelt es sich um eine ganze Norm-Reihe, weshalb auch von der ISO 27000(öffnet im neuen Fenster)-Familie gesprochen wird. Sie beschreibt Anforderungen für IT-Sicherheitsverfahren und Informationssicherheits-Managementsysteme (ISMS) und ist weltweit anerkannt. Ein systematisches Vorgehen soll das Risiko zum Beispiel für Hackerangriffe senken und eine hohe Sicherheit garantieren.
Vieles ist noch vage
Am 1. Oktober dieses Jahres läuft die Übergangsfrist für bestehende Zertifikate nach der Norm ISO/IEC 27001:2005 aus. Deshalb dürfen bereits seit dem 1. Oktober 2014 Zertifikate nach der reformierten Norm ISO/IEC 27001:2013(öffnet im neuen Fenster) ausgestellt werden. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt, können seit Anfang 2006 beim BSI ISO 27001-Zertifikate(öffnet im neuen Fenster) beantragt werden. Wer sich für das ISO 27001-Zertifikat qualifiziert, schafft auch die Basis für die sogenannten IT-Grundschutz-Kataloge(öffnet im neuen Fenster). Hierbei handelt es sich um strukturierte Handreichungen, die IT-Risiken und Vorkehrungen zum Schutz vor Angriffen beschreiben.
In welcher Form die Zertifikate in Kraft treten, entscheidet letztendlich der Bundesrat. Die Länderkammer hatte sich vor einigen Wochen mit dem IT-Gesetz beschäftigt – und Korrekturen gefordert. Der Gesetzentwurf enthalte in "zentralen Punkten unbestimmte Rechtsbegriffe", hieß es. Die Pflicht, einen Mindeststandard bei der IT-Sicherheit einzuhalten, bleibe "ebenfalls zu vage". Die Bundesregierung muss darauf reagieren.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.