BSI-Forum

Das IT-Grundschutz-Zertifikat

Von Isabel Münch, BSI

Das IT-Grundschutzhandbuch hat sich inzwischen als Standardwerk zur ökonomischen Erarbeitung wirksamer IT-Sicherheitskonzepte etabliert. Nach erfolgreicher Umsetzung der im IT-Grundschutzhandbuch beschriebenen Standard-Sicherheitsmaßnahmen stellt sich für viele Institutionen die Frage, wie sie ihre Bemühungen um IT-Sicherheit nach außen transparent machen können. Um diesen Bedürfnissen nachzukommen, führt das BSI die Qualifizierung nach IT-Grundschutz ein, die aufgrund der ständigen Aktualisierung und Erweiterung des Handbuchs praktisch auf der Höhe der Zeit bleibt.

Status Quo IT-Grundschutz

Nachdem mit der Ausgabe Oktober 2000 die Vorgehensweise zur Nutzung des IT-Grundschutzhandbuchs grundlegend aktualisiert und den heutigen Bedürfnissen für Sicherheit vernetzter Systeme angepasst wurde, ist im Juli 2001 die neueste Fassung des IT-Grundschutzhandbuchs veröffentlicht worden. Als neue Bausteine wurden

hinzugefügt. Auf der Grundlage einer Anwenderbefragung sind die folgenden Bausteine zur weiteren Bearbeitung ausgewählt worden:

In vielen Behörden und Unternehmen bildet das IT-Grundschutzhandbuch des BSI die Basis für die tägliche Arbeit des IT-Sicherheits-Managements und die kontinuierliche Umsetzung von Standard-Sicherheitsmaßnahmen. Belegt wird dies durch die ständig wachsende Zahl freiwillig registrierter Anwender im In- und Ausland und die intensive und aktive Nutzung der vom BSI bereitgestellten IT-Grundschutz-Hotline.

Nach Abschluss eines Qualifizierungsprozesses kann ein IT-Grundschutz-Zertifikat erteilt werden, um die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen zu verdeutlichen. Ein IT-Grundschutz-Zertifikat soll verschiedene Zielgruppen ansprechen und dabei zum Vertrauensgewinn beitragen, indem nachgewiesen wird, dass IT-Sicherheit nach IT-Grundschutz umgesetzt ist und aufrechterhalten wird. Als Zielgruppen und Einsatzbereiche kommen in Frage:

Ziel der IT-Grundschutz-Qualifizierung ist es, einen Maßstab für die tatsächlich umgesetzten Standard-Sicherheitsmaßnahmen in informationstechnischen Einrichtungen von Behörden und Unternehmen zu etablieren und damit die Möglichkeit des Nachweises eines definierten Sicherheitsniveaus anzubieten.

Ausprägungen der IT-Grundschutz-Qualifizierung

Unter Beteiligung registrierter IT-Grundschutzanwender und IT-Sicherheitsexperten hat das BSI drei Ausprägungen der IT-Grundschutz-Qualifizierung definiert:

IT-Grundschutz-Zertifikat

Innerhalb der drei Ausprägungen der IT-Grundschutz-Qualifizierung stellt das IT-Grundschutz-Zertifikat den höchsten Grad an Vertrauenswürdigkeit und das höchste Sicherheitsniveau dar. Das Zertifikat wird durch Zertifizierungsstellen vergeben, die für die Vergabe des IT-Grundschutz-Zertifikats akkreditiert sind. Voraussetzung ist, dass die Umsetzung der im IT-Grundschutzhandbuch beschriebenen und im vorliegenden Fall relevanten Standard-Sicherheitsmaßnahmen durch einen lizenzierten Auditor bestätigt ist.

IT-Grundschutz ist eine arbeitsökonomische Vorgehensweise, trotzdem kann die Umsetzung aller für einen vorliegenden Anwendungsfall relevanten IT-Grundschutzmaßnahmen unter Umständen mit erheblichem Aufwand verbunden sein. Um Behörden und Unternehmen einen Migrationspfad anbieten und wichtige Meilensteine bei der schrittweisen Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen zu können, definiert das BSI daher zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats.

Selbsterklärung "IT-Grundschutz Aufbaustufe"

Voraussetzung für die Selbsterklärung "IT-Grundschutz Aufbaustufe" ist, dass die Behörde oder das Unternehmen die wichtigsten Standard-Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs umgesetzt hat. Die notwendigen Vorarbeiten und Erhebungen können dabei sowohl von Dritten als auch von Mitarbeitern der eigenen Institution erfolgen. Die Selbsterklärung wird darauf basierend von einem zeichnungsbefugten Vertreter der Institution abgegeben.

Selbsterklärung "IT-Grundschutz Einstiegsstufe"

Die IT-Grundschutz-Qualifizierung in der Einstiegsstufe wird erreicht, wenn die Behörde oder das Unternehmen lediglich die unabdingbaren Standard-Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs umgesetzt hat. Wie bei der Aufbaustufe können die Vorarbeiten und Erhebungen sowohl durch Dritte als auch durch eigene Mitarbeiter erfolgen. Die Selbsterklärung wird wiederum von einem zeichnungsbefugten Vertreter der Institution abgegeben. Das durch die Selbsterklärung "IT-Grundschutz Einstiegsstufe" dargestellte Sicherheitsniveau ist das geringste der drei Ausprägungen.

Interpretation

Entscheidend bei der Interpretation der drei Ausprägungen der IT-Grundschutz-Qualifizierung ist, dass die Einstiegs- und die Aufbaustufe zwar ein definiertes niedriges, jedoch noch kein ausreichendes Sicherheitsniveau gemäß IT-Grundschutzhandbuch festlegen. Sie dienen als Meilensteine bis zur Erreichung des IT-Grundschutz-Zertifikats. Nur das IT-Grundschutz-Zertifikat attestiert die Realisierung eines "umfassenden IT-Grundschutzes".

[GRAFIK]
Sicherheitsniveau und Vertrauenswürdigkeit der drei Ausprägungen der IT-Grundschutz-Qualifizierung

Zuordnung der Maßnahmen

Unter Beteiligung von registrierten Anwendern des IT-Grundschutzhandbuchs und von Sicherheitsexperten hat das BSI festgelegt, welche Maßnahmen für welche Stufe der IT-Grundschutz-Qualifizierung umgesetzt sein müssen. Hierzu wird in jedem Baustein des IT-Grundschutzhandbuchs jede Maßnahme wie folgt gekennzeichnet:

  1. Die Umsetzung dieser Maßnahme ist für alle drei Stufen der IT-Grundschutz-Qualifizierung erforderlich.
  2. Die Umsetzung dieser Maßnahme ist für die Aufbaustufe und für das Zertifikat erforderlich.
  3. Die Umsetzung dieser Maßnahme ist nur für das IT-Grundschutz-Zertifikat erforderlich.

Darüber hinaus sind im IT-Grundschutzhandbuch Maßnahmen enthalten, die nicht mit einem dieser drei Buchstaben gekennzeichnet werden. Die Umsetzung dieser zusätzlichen IT-Sicherheitsmaßnahmen sollte zur Steigerung der IT-Sicherheit erfolgen, ist jedoch zur Qualifizierung nach IT-Grundschutz nicht erforderlich.

Qualifizierungsschema

Der Qualifizierungsprozess nach IT-Grundschutz ist in zwei Phasen unterteilt: die Erhebungsphase und die Qualifizierungsphase.

Erhebungsphase

Die nachfolgend dargestellten Schritte 1 bis 4 stellen Vorarbeiten im Hinblick auf die Qualifizierung dar. Sie sind durch die Institution selbst, gegebenenfalls mit Unterstützung durch Dritte, durchzuführen.

Schritt 1: Definition des Untersuchungsgegenstands

Im ersten Schritt wird festgelegt, welcher Teilbereich des Unternehmens oder der Behörde untersucht werden soll, und somit auch, für welchen Teilbereich die angestrebte IT-Grundschutz-Qualifizierung erfolgen soll. Der Untersuchungsgegenstand wird im Nachfolgenden als "IT-Verbund" bezeichnet. Um eine angemessene Sicherheitsaussage zu gewährleisten, sollte der betrachtete IT-Verbund mindestens die Fachanwendungen einer Organisationseinheit und alle hierzu benötigten informationstechnischen Komponenten umfassen. Beispielsweise kann innerhalb einer Stadtverwaltung die Informationstechnik des Einwohnermeldeamts ein sinnvoll abgegrenzter Teilbereich sein, da hier eigenständige Aufgaben wahrgenommen werden. Ungeeignete Untersuchungsgegenstände sind zum Beispiel einzelne Clients, Server oder Netzverbindungen.

Schritt 2: Vorarbeiten

Grundlage für die Qualifizierung nach IT-Grundschutz ist das IT-Grundschutzhandbuch des BSI. Dabei muss entweder die zum Zeitpunkt der Qualifizierungsaussage beziehungsweise Zertifikatsvergabe aktuelle Version oder deren unmittelbare Vorgängerversion des IT-Grundschutzhandbuchs als Basis verwendet werden. Kapitel 2 des IT-Grundschutzhandbuchs beschreibt einige Vorarbeiten, die im Hinblick auf die Qualifizierung zu leisten sind. Im Einzelnen sind dies:

Die Bausteine des IT-Grundschutzhandbuchs, die für den jeweiligen IT-Verbund obligatorisch für die Qualifizierung sind, werden in Kapitel 2.3 des Handbuchs definiert und sind bei der Modellierung zu berücksichtigen.

Schritt 3: Basis-Sicherheitscheck

Die Vorgehensweise zur Durchführung eines Basis-Sicherheitschecks ist in Kapitel 2.4 des IT-Grundschutzhandbuchs beschrieben. Beim Basis-Sicherheitscheck wird mithilfe von Interviews der entsprechenden Ansprechpartner ermittelt, welche Standard-Sicherheitsmaßnahmen der modellierten Bausteine des IT-Grundschutzhandbuchs umgesetzt sind.

Für jede Maßnahme der modellierten Bausteine des Handbuchs liegt nach der Durchführung des Basis-Sicherheitschecks der Status der Umsetzung vor. Dieser kann vier verschiedene Werte annehmen:

ja:
Alle Empfehlungen in der Maßnahme sind sinngemäß umgesetzt.
entbehrlich:
Die Maßnahme muss im vorliegenden Umfeld nicht umgesetzt werden. Eine stichhaltige und nachvollziehbare Begründung liegt vor.
teilweise:
Einige Empfehlungen in der Maßnahme sind nicht oder nur teilweise umgesetzt.
nein:
Die Empfehlungen in der Maßnahme sind größtenteils nicht umgesetzt.

Der Status "entbehrlich" kann beispielsweise aus folgenden Gründen vorliegen:

Für jede IT-Grundschutzmaßnahme, der der Status "entbehrlich" zugeordnet wird, ist in jedem Fall eine Begründung erforderlich. Alle Standard-Sicherheitsmaßnahmen, die für die angestrebte Stufe der IT-Grundschutz-Qualifizierung erforderlich sind, müssen entweder den Umsetzungsstatus "entbehrlich" oder "ja" haben. Entscheidend ist dabei, dass die Maßnahmen nach Sinn und Zweck umgesetzt sind. Aufgrund der vielfältigen Einsatzumgebungen und individuellen Randbedingungen ist eine "wortgetreue" Umsetzung der IT-Grundschutzmaßnahmen in vielen Fällen nicht zweckmäßig.

Schritt 4: Festlegung der weiteren Vorgehensweise

Nachdem der Umsetzungsstatus der relevanten IT-Grundschutzmaßnahmen ermittelt ist, kann eine Voraussage darüber getroffen werden, ob eine Qualifizierung nach IT-Grundschutz möglich ist:

Falls nicht alle der für die angestrebte Ausprägung der IT-Grundschutz-Qualifizierung erforderlichen Maßnahmen den Umsetzungsstatus "ja" oder "entbehrlich" haben, sind Nachbesserungen erforderlich. Nach Umsetzung der fehlenden Maßnahmen ist der Umsetzungsstatus zu aktualisieren.

Qualifizierungsphase
Schritt 5: Plausibilitätsprüfung

In diesem Schritt hat der Auditor (unabhängiger Mitarbeiter in der Institution im Falle der Selbsterklärung oder der lizenzierte Auditor im Falle der Zertifizierung) folgende Plausibilitätsprüfungen vorzunehmen:

Schritt 6: Realisierungsprüfung

Ziel der Realisierungsprüfung ist es, den im Basis-Sicherheitscheck typischerweise über Interviews ermittelten Umsetzungsstatus stichprobenartig zu überprüfen. Ausgangspunkt hierzu ist die gemäß Kapitel 2.3 des IT-Grundschutzhandbuchs erarbeitete Modellierung des vorliegenden IT-Verbunds. Diese Modellierung beschreibt die Zuordnung von Bausteinen des IT-Grundschutzhandbuchs zu den einzelnen Teilkomponenten und Aspekten des betrachteten IT-Verbunds. Dabei können einzelne Bausteine mehrmals enthalten sein, wobei sie jeweils auf verschiedene Teilkomponenten oder Aspekte angewendet werden. Zur Strukturierung werden diese Bausteine in fünf Schichten aufgeteilt: Übergeordnete Aspekte, Infrastruktur, IT-Systeme, Netze und Anwendungen.

[GRAFIK]
Schichtenmodell für die Anwendung des IT-Grundschutzhandbuchs

Für die Realisierungsprüfung wählt der Auditor aus der Modellierung des vorliegenden IT-Verbunds folgende Bausteine aus:

Anschließend wird die tatsächliche Realisierung dieser zehn Bausteine überprüft. Eine Auskunft über die Realisierung der Maßnahmen dieser Bausteine reicht hierbei nicht, sondern die praktische Realisierung wird im Detail anhand von Dokumentation, Begehung, Rechnerkonfiguration und so weiter überprüft. Maßnahmen, denen der Status "entbehrlich" zugewiesen wurde, sind bezüglich der Sinnhaftigkeit ihrer Begründung zu hinterfragen.

Stellt sich bei dieser Realisierungsprüfung heraus, dass sämtliche Angaben des Basis-Sicherheitschecks korrekt waren und die erforderlichen Maßnahmen tatsächlich realisiert sind, wird davon ausgegangen, dass die Ergebnisse des Basis-Sicherheitschecks den tatsächlichen Sicherheitsstatus des IT-Verbundes widerspiegeln.

Sollte sich herausstellen, dass die Angaben im Basis-Sicherheitschecks nicht korrekt sind, so wird der Institution eine Frist eingeräumt, die fehlenden Maßnahmen zu realisieren. Anschließend prüft der Auditor, ob alle festgestellten Mängel behoben worden sind. Zusätzlich wählt der Auditor nach eigenem Ermessen drei weitere Bausteine aus und überprüft deren korrekte Umsetzung. Stellt sich bei dieser zweiten Realisierungsprüfung heraus, dass sämtliche notwendigen Maßnahmen realisiert sind, wird die Prüfung positiv gewertet. Sollten sich wiederum Unstimmigkeiten ergeben, wird eine zweite Nachbesserung zugestanden. Sollte die Nachprüfung dieser zweiten Nachbesserung ebenfalls negativ ausfallen, wird die Qualifizierung abgebrochen. Sie kann später wiederum mit Schritt 1 beginnend wiederholt werden.

Die Annahme, dass durch diese Realisierungsprüfung ein hinreichender Nachweis der Maßnahmenumsetzung erreicht wird, wird durch folgende Mechanismen gestützt:

Schritt 7: Selbsterklärung/Zertifizierung

Für die Herausgabe einer Selbsterklärung oder der Erteilung eines IT-Grundschutz-Zertifikates werden folgende Bedingungen als erfüllt vorausgesetzt:

Selbsterklärung

Bei Erfüllung dieser Bedingungen kann die Institution eine IT-Grundschutz-Selbsterklärung abgeben, wenn sie die notwendigen Maßnahmen der Einstiegsstufe oder der Aufbaustufe erfüllt hat. Sowohl in der Erhebungs- als auch in der Qualifizierungsphase kann zur Unterstützung ein Dritter hinzugezogen werden. Die Selbsterklärung muss jedoch von einem zeichnungsbefugten Vertreter der Institution ausgesprochen werden. Ist geplant, zur Außendarstellung das entsprechende IT-Grundschutz-Siegel (siehe unten) zu verwenden, muss diese Selbsterklärung gegenüber dem BSI erfolgen. Falls die Plausibilitäts- und Realisierungsprüfung durch einen externen, vom BSI lizenzierten Auditor durchgeführt wurde, kann dieser die Selbsterklärung zusätzlich durch ein Testat bestätigen.

IT-Grundschutz-Zertifikat

Eine unabhängige akkreditierte Zertifizierungsstelle kann der Institution das IT-Grundschutz-Zertifikat verleihen, wenn die obigen Voraussetzungen erfüllt sind. Die Schritte 5, 6 und 7 müssen dann von einem für IT-Grundschutz lizenzierten Auditor durchgeführt worden sein. Die Vergabe eines Zertifikats wird dem BSI von der Zertifizierungsstelle mitgeteilt.

[GRAFIK]
Aufgabenverteilung bei der IT-Grundschutz-Zertifizierung

In vielen Fällen wird eine Institution zur Erlangung eines IT-Grundschutz-Zertifikats im Vorfeld auf externe Beratungsleistungen zurückgreifen. Audit und Zertifizierung sollten jedoch nicht durch Personen erfolgen, die an Konzeption, Beratung oder Umsetzung beteiligt waren.

Dies bedeutet für den Auditor, dass er im konkreten Umfeld mindestens zwei Jahre nicht beratend tätig gewesen sein darf, dies gilt jedoch nicht für andere Mitarbeiter des Unternehmens, dem er angehört. Für die Zertifizierungsstelle heißt das, dass kein Mitarbeiter in den zurückliegenden zwei Jahren dort beraten haben darf.

Schritt 8: Re-Qualifizierung

Wenn eine Institution ein funktionierendes IT-Sicherheitsmanagement hat, ist dieses in der Lage, ein einmal erreichtes Sicherheitsniveau mindestens zu bewahren beziehungsweise zu verbessern. Da der Baustein "IT-Sicherheitsmanagement" obligatorisch für die Realisierungsprüfung ist, wird daher davon ausgegangen, dass der nachgewiesene IT-Sicherheitszustand für die Dauer von zwei Jahren aufrechterhalten werden kann.

Rechtzeitig vor Ablauf der Gültigkeit des Zertifikates sollte eine Wiederholungsprüfung (Re-Qualifizierung) angestoßen werden. Eine Re-Qualifizierung ist natürlich auch vorher möglich. Dies ist insbesondere dann sinnvoll, wenn sicherheitsrelevante Veränderungen im Unternehmen beziehungsweise in der Behörde oder erhebliche Änderungen am Qualifizierungsschema vorgenommen wurden.

Ergebnisse

Eine Qualifizierungsaussage nach IT-Grundschutz, sei es eine Selbsterklärung oder ein Zertifikat, muss verschiedene Aspekte umfassen, die mit der Qualifizierungsaussage veröffentlicht werden:

Abgrenzung

Der IT-Verbund, für den die Qualifizierungsaussage gilt, ist abzugrenzen und verbal zu beschreiben.

Sicherheitsaussage

Die Qualifizierungsstufe (Einstiegsstufe, Aufbaustufe, Zertifikat) ist anzugeben.

Gültigkeitszeitraum

Die Gültigkeit einer Qualifizierungsaussage (Selbsterklärung, Zertifikat) wird zeitlich begrenzt, um Änderungen in der IT und neue Versionen des IT-Grundschutzhandbuchs einfließen lassen zu können. Die Gültigkeit ist auf einen Zeitraum von zwei Jahren zwischen dem Ausstellungsdatum und dem Ablaufdatum beschränkt.

Version

Eine Qualifizierungsaussage beruht auf einer bestimmten Version des IT-Grundschutzhandbuchs. Diese Version ist in der Qualifizierungsaussage anzugeben. Dies ist entweder die zum Zeitpunkt der Qualifizierungsaussage aktuell gültige oder die vorherige Fassung.

Qualifizierende Stelle

Es ist anzugeben, wer die Qualifizierungsentscheidung gefällt hat und die Selbsterklärung beziehungsweise das Zertifikat verantwortet. Bei einem Zertifikat ist im Gegensatz zu einer Selbsterklärung sowohl der Auditor als auch die Zertifizierungsstelle zu benennen.

Unabhängig von der Qualifizierungsaussage ist ein Auditreport zu erstellen, der die Ergebnisse der Schritte 1 bis 7 umfasst. Insbesondere die Ergebnisse der Schritte 1 bis 3 stellen dabei ein IT-Sicherheitskonzept nach IT-Grundschutz dar, dass vom IT-Sicherheitsmanagement weiterverwendet werden kann. Die Ergebnisse der Schritte 5 bis 7 müssen nachvollziehbar dokumentieren, dass die Plausibilitäts- und Realisierungsprüfungen ordnungsgemäß durchgeführt wurden. Der Auditreport, der vom Auditor und der qualifizierten Institution zu unterzeichnen ist, wird nicht veröffentlicht. Im Fall der Zertifizierung wird der Auditreport der Zertifizierungsstelle vorgelegt.

Veröffentlichung

Das BSI bietet an, Qualifizierungsaussagen auf dem BSI-WWW-Server zu veröffentlichen. Zur Sicherstellung der Authentizität werden vom BSI online veröffentlichte Qualifizierungsaussagen mit einer qualifizierten digitalen Signatur versehen. Darüber hinaus veröffentlicht das BSI regelmäßig das IT-Grundschutzhandbuch, das Qualifizierungsschema und die akkreditierten Zertifizierungsstellen.

Für die drei Ausprägungen der Qualifizierungsaussage wird das BSI ein Siegel entwerfen, um den Wiedererkennungswert und eine vereinfachte Online-Darstellung zu fördern. Dieses wird als Marke geschützt. Als optische Information wird

dem Siegel zu entnehmen sein. Die Verwendung eines Siegels wird einer Institution, die das Qualifizierungsschema erfolgreich durchlaufen hat, innerhalb des Gültigkeitszeitraums erlaubt,

Wird das Siegel online verwendet, muss damit ein Link auf den entsprechenden Server des BSI beziehungsweise der Zertifizierungsstelle verbunden sein.

Eine Qualifizierungsaussage kann auf verschiedenen Wegen veröffentlicht werden. Eine Veröffentlichung durch Dritte erfolgt jedoch nur nach Zustimmung der qualifizierten Institution. Hier sind die Selbsterklärungen und die Zertifikate zu unterscheiden:

Selbsterklärung

Die Institution kann die Selbsterklärung selbst veröffentlichen. Eine gegenüber dem BSI vorgenommene Selbsterklärung wird das BSI einmalig für den Zeitraum der Gültigkeit veröffentlichen, falls die Institution dies verlangt. Eine wiederholte Veröffentlichung einer Selbsterklärung der gleichen Ausprägung ist ausgeschlossen.

IT-Grundschutz-Zertifikat

Das IT-Grundschutz-Zertifikat hat eine akkreditierte Stelle zu vergeben und dem BSI anzuzeigen. Die zertifizierte Institution kann das Zertifikat selbst veröffentlichen. Sie kann auch der akkreditierten Stelle und dem BSI das Recht der Veröffentlichung einräumen. Die Zertifizierungsstelle und das BSI veröffentlichen dafür freigegebene IT-Grundschutz-Zertifikate für die Dauer der Gültigkeit.

Lizenzierung und Akkreditierung

Zusammenfassend sagt das IT-Grundschutz-Zertifikat aus, dass eine Behörde oder ein Unternehmen einen definierten IT-Sicherheitszustand nachweislich erreicht hat. Das Zertifikat wird nach erfolgreicher Qualifizierung, deren Vorgehensweise einheitlich festgelegt ist, erteilt.

Lizenzierungsbedarf

Es stellt sich die Frage, wodurch angemessenes Vertrauen in einen Auditor entsteht, also wie gewährleistet ist, dass er über das erforderliche Fachwissen verfügt und das vorgegebene Schema einhält. Es bedarf also eines Nachweises, dass diese Anforderungen erfüllt sind. Dies kann durch eine Lizenzierung des Auditors erreicht werden. Mit der Lizenz wird sichergestellt, dass die Ergebnisse des Audits wiederholbar und reproduzierbar ermittelt werden.

Lizenzierungsanforderungen

Der Auditor hat den Nachweis seiner Kompetenz zu erbringen. Ein Auditor ist fachlich kompetent, wenn er seine Kenntnisse bezüglich IT-Grundschutz und Qualifizierungsschema fundiert darlegen kann. Es wird davon ausgegangen, dass diese Kompetenz nachgewiesen werden kann, wenn man aktiv an der Erarbeitung des Qualifizierungsschemas und an der Durchführung von IT-Grundschutz-Projekten mitgewirkt hat. Das BSI wird zukünftig die Schulung von Auditoren zum Qualifizierungsschema anbieten. Die Zugangsvoraussetzung dazu ist der Nachweis von mindestens zweijähriger Berufserfahrung im Umfeld IT-Sicherheit und IT-Grundschutz. Im Anschluss an diese Schulung wird das BSI die Prüfung der erworbenen Kenntnisse durchführen und bei Erfolg die Lizenz vergeben.

Akkreditierung

[GRAFIK]
Lizenzierung und Akkreditierung von Auditoren

Voraussetzung für die Erteilung eines Zertifikates ist, dass angemessenes Vertrauen besteht, dass die Zertifizierungsstelle über das erforderliche Fachwissen verfügt, die notwendige Unabhängigkeit aufweist sowie das vorgegebene Schema einhält. Es bedarf also eines Nachweises, dass diese Anforderungen erfüllt sind – mit anderen Worten: die Zertifizierungsstelle im Besitz einer gültigen Akkreditierung ist. Mit der Akkreditierung ist sichergestellt, dass zum einen die Ergebnisse der Zertifizierung wiederholbar und reproduzierbar ermittelt wurden, also vergleichbar mit anderen Ergebnissen sind, und dass zum anderen das Verfahren der Zertifizierung unvoreingenommen und objektiv angewandt wurde, also gleichwertig zu anderen Verfahren ist. Die Akkreditierung weist eine Zertifizierungsstelle als unparteiische dritte Stelle aus, die kompetent und zuverlässig Zertifizierungen durchführt.

Akkreditierungsgrundlagen

Die Grundlage für die Akkreditierung bildet die europäische Normenreihe 45000. Eine Stelle, die Zertifizierungen nach IT-Grundschutz durchführt, muss nach EN 45011 oder EN 45012 akkreditiert sein. Diese beiden Normen definieren allgemeine Anforderungen an Stellen, die Produkt- beziehungsweise Managementzertifizierungssysteme betreiben, wobei die Bezeichnung "Produkt" im weitesten Sinne verwendet wird und Verfahren und Dienstleistungen mit einschließt.

Die Erteilung einer beantragten Akkreditierung erfolgt, nachdem die Zertifizierungsstelle unter formalen und fachlichen Gesichtspunkten begutachtet wurde. Im Rahmen der Begutachtung werden sowohl die technisch-organisatorischen Rahmenbedingungen als auch die fachlich-qualitativen Voraussetzungen überprüft. Das Ergebnis der Begutachtung wird in einem Bericht festgehalten, auf dessen Grundlage die Entscheidung über die Akkreditierung getroffen wird. Zurzeit sind auf dem hier relevanten Gebiet der IT-Sicherheit in Deutschland vier Akkreditierungsstellen tätig: BSI, RegTP, DEKITZ und TGA.

Akkreditierungsanforderungen

Von der Zertifizierungsstelle ist neben der Erfüllung der Normanforderungen auch der Nachweis der Kompetenz des Personals zu erbringen. Ein Mitarbeiter ist fachlich kompetent, wenn er seine Kenntnisse bezüglich IT-Grundschutz und Qualifizierungsschema fundiert darlegen kann. Eine Voraussetzung für die Akkreditierung ist, dass mindestens ein festangestellter Mitarbeiter eine solche Kompetenz – deren Vorhandensein während der Begutachtung zu überprüfen ist – nachweisen kann. Es wird davon ausgegangen, dass diese Kompetenz nachgewiesen werden kann, wenn man aktiv an der Erarbeitung des Qualifizierungsschemas oder an der Durchführung von IT-Grundschutz-Projekten mitgewirkt hat. Bei hinreichender Nachfrage kann das BSI zusätzlich eine Fallstudie erarbeiten lassen, deren erfolgreiche Bearbeitung im Sinne eines Prüfbausteins ebenfalls einen Kompetenznachweis darstellt.

Selbsterklärung

Die Abgabe einer Selbsterklärung setzt keine vorhergehende Akkreditierung oder die Einschaltung eines lizenzierten Auditors voraus, schließt sie aber nicht aus. Die Selbsterklärung muss abschließend von einem Zeichnungsbefugten unterzeichnet werden. Hierzu sind insbesondere Behördenleiter, Vorstandsmitglieder oder Mitglieder der Geschäftsführung zu zählen.

Aberkennung des Zertifikates

Ergeben sich Anhaltspunkte, dass die erforderlichen Sicherheitsmaßnahmen für eine Selbsterklärung oder für ein IT-Grundschutz-Zertifikat nicht im notwendigen Maße realisiert sind, können diesbezügliche Anhaltspunkte dem BSI oder der akkreditierten Zertifizierungsstelle mitgeteilt werden.

Selbsterklärung

Das BSI behält sich vor, die betroffene Institution zur Klärung des Sachverhalts und gegebenenfalls zur Nachbesserung der Sicherheitsmaßnahmen aufzufordern. Da jedoch die Verwendung des Siegels für die Selbsterklärung "Einstiegsstufe" oder "Aufbaustufe" jeweils auf maximal zwei Jahre beschränkt ist, wird auf ein formales Aberkennungsverfahren verzichtet.

IT-Grundschutz-Zertifikat

Die betroffene Institution wird von der Zertifizierungsstelle, die das jeweilige Zertifikat vergeben hat, zur Klärung des Sachverhaltes aufgefordert. Im Bedarfsfall wird sie aufgefordert, die notwendigen Maßnahmen innerhalb einer angemessenen Frist zu ergreifen. Ist eine Nachprüfung nicht möglich oder fällt sie negativ aus, so wird das Zertifikat zurückgezogen. Eine entsprechende Veröffentlichung bleibt dem BSI und der Zertifizierungsstelle vorbehalten.

Status Quo IT-Grundschutz-Zertifikat

Der aktuelle Stand zum IT-Grundschutz-Zertifikat kann auf den Internet-Seiten des BSI unter [externer Link] www.bsi.bund.de/gshb/zert/ nachgelesen werden. Zur Diskussion gestellt sind das Prüfschema für Auditoren und die Aufgaben des Zertifizierers. Darüber hinaus findet man dort eine Übersicht, welche IT-Grundschutzmaßnahmen in welcher Stufe der Qualifizierung realisiert sein müssen.

Aktuell wird das Lizenzierungsschema für Auditoren vorbereitet. Die Voraussetzung zur Lizenzierung ist der Nachweis ausreichender Fachkunde auf dem Gebiet IT-Sicherheit und IT-Grundschutz. Es wird eine 1,5-tägige Schulung zum IT-Grundschutz-Audit stattfinden, die mit einer Prüfung abgeschlossen wird. Erste Lizenzierungen von IT-Grundschutz-Auditoren werden voraussichtlich Ende 2001 durchgeführt werden.

Wer Interesse an der weiteren Entwicklung des IT-Grundschutz-Zertifikats hat oder sogar Auditor für IT-Grundschutz werden will, kann sich für eine Mailing-Liste unter gssiegel@bsi.bund.de registrieren lassen.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 36