ISO 31000, ISO 27005, BSI 200-3 – Drei Frameworks zur selben Thematik?
Drei Frameworks mit ähnlichem Aufbau, Ablauf und demselben Ziel. So scheint es jedenfalls auf den ersten Blick. Jedoch unterscheiden sich die drei Frameworks im Detail wesentlich voneinander. Umso wichtiger ist es herauszufinden, welches davon für das eigene Unternehmen das Richtige ist.
Obwohl sich jedes Framework durch die Abgrenzung über den Geltungs- bzw. Anwendungsbereichs in einem Unternehmen umsetzen lässt, ist die Auswahl wichtig bei der Umsetzbarkeit und dem Nutzen im Unternehmen. Während sich die ISO-Normen sehr allgemein halten, wurde im BSI-Standard die Umsetzung praxisorientiert beschrieben und vereinfacht und ist so ebenfalls für KMU umsetzbar gestaltet. Dies macht den BSI-Standard gerade für die Schweiz interessant, da über 99 % der Unternehmen als KMU bzw. knapp 90 % der Unternehmen als Mikrounternehmen gemeldet sind [1].
Wozu ein Risikomanagementsystem?
Zu den wichtigsten Aufgaben jeder Behörden- und Unternehmensleitung gehört das Risiko-Management. Dabei umfasst es die Identifikation und Bewertung von Risiken sowie die nötigen Massnahmen, um mit den Risiken effektiv umzugehen. Ziel eines Risiko-Management-Systems ist es:
- Entwicklung innerhalb und ausserhalb einer Institution auf Risiken zu untersuchen,
- Indikatoren zu identifizieren und zu beobachten,
- Gefährdungen und Sicherheitsvorfälle realistisch zu bewerten und
- hieraus Rahmenbedingungen für angemessene Massnahmen abzuleiten.
Dabei ist es wichtig, dass das Risiko-Management im Einklang mit der Geschäftsstrategie steht und daraus eine Risiko-Kultur zum Umgang mit individuellen Risiken gelebt wird [2].
BSI-Standard
Während sich der BSI-Standard bei der Methodik auf die ISO 27005 und ISO 31000 bezieht, bestehen doch wesentliche Unterschiede in der Umsetzung. Der Einsatz des BSI-Standards 200-3 setzt die Umsetzung des BSI-Standards 200-2 voraus. Dies sticht vor allem beim markantesten Unterschied zwischen dem BSI-Standard und den ISO-Normen heraus.
Im BSI-Standard 200-2 wird dabei nebst dem Aufbau des Grundschutzes im Gegensatz zur ISO-Norm in folgenden drei Kategorien unterschieden:
- Basis-Absicherung
- Kern-Absicherung
- Standard-Absicherung
Basis-Absicherung Die Basis-Absicherung bietet eine breite und grundlegende Erst-Absicherung aller relevanten Geschäftsprozesse eines Unternehmens. Mit dieser lassen sich die wichtigsten Sicherheitsanforderungen umsetzen, um darauf aufbauend zu einem späteren Zeitpunkt das Sicherheitsniveau weiter zu erhöhen. Bei der Standard-Absicherung wird kein aktives Risiko-Management-System eingesetzt. Eine Zertifizierung nach ISO 27001 ist in dieser Umsetzungsstufe nicht möglich.
Kern-Absicherung
Über die Kern-Absicherung kann ein Unternehmen zunächst besonders gefährdete Geschäftsprozesse und Assets absichern. Dazu muss die Menge der Geschäftsprozesse und schützenswerten Assets überschaubar und klar abzugrenzen sein. Bei der Kern-Absicherung wird mittels BSI-Standard 200-3 ein Risiko-Management-System über die eingegrenzten Geschäftsprozesse und Assets eingesetzt (Abbildung 1). Dabei ist eine Zertifizierung nach ISO 27001 für den abgegrenzten Bereich grundsätzlich möglich.
Standard-Absicherung Mit der Standard-Absicherung kann ein Unternehmen umfassend und tiefgehend abgesichert werden. Dabei behandelt das Unternehmen sämtliche Gefahrenpotenziale der Geschäftsprozesse und schützenswerten Assets gleichermassen. Gleichzeitig ist die stufenweise Absicherung von Basis- über Kern- zur Standard-Absicherung möglich. Hierbei wird über alle relevanten Geschäftsprozesse und Assets ein Risiko-Management-System eingesetzt. Die Zertifizierung nach ISO 27001 ist im Geltungsbereich möglich und dient als Grundlage [3].
Der Vergleich zur ISO 27000-Reihe und ISO 31000
Während sich der BSI-Standard 200-3 sehr praxisorientiert und vereinfacht einsetzen lässt, beschäftigen sich die ISO-Normen mehr mit dem Management der Informationssicherheit (ISMS). Dabei sind die ISO-27005- und ISO-31000-Normen sehr umfassend und offen als Werkzeug aufgebaut. Als Ergänzung zur theoretischen Umsetzung eignet sich dazu nebst der ISO 27001 zusätzlich die ISO 27002 mit ihren Best-Practices-Ansätzen. Selbst beim direkten Einsatz der ISO-27000-Reihe, lohnt es sich, das eigene ISMS mit dem BSI-Standard abzugleichen bzw. zu ergänzen.
Da die ISO 27001 immer eine Risikoanalyse verlangt und dazu die ISO 27005 nur vorschlägt, kann stattdessen auch der BSI-Standard 200-3 eingesetzt werden. Während sich die ISO 27005 und der BSI-Standard 200-3 bei den Risiken auf die Informationssicherheit fokussieren, liegt der Einsatzzweck der ISO 31000 vermehrt auf der Organisationsebene. Dabei stellt der Risikomanagementprozess die verschiedenen Risiken in einen organisatorischen Kontext, bewertet und behandelt diese übergeordnet [4].
Fazit
Obwohl alle drei Frameworks dasselbe Ziel anstreben, unterscheiden sie sich grundsätzlich im Aufbau und der Handhabung. Dabei sollte man den BSI-Standard 200-3 keinesfalls als Ersatz der ISO 27005 sehen oder umgekehrt. Während der BSI-Standard vorgelagert einen einfacheren Einstieg im Bereich der Informationssicherheit bietet, sollte ab Einsatz der Kern- bzw. Standard-Absicherung ebenfalls die ISO 27005 inkl. ISO 27002 ergänzend beachtet werden. Gleichzeitig sollte bei Einführung der ISO 27001 ergänzend zur ISO 27005 der BSI-Standard 200-3 nicht vernachlässigt werden. So können sowohl kleinere Unternehmen sich schrittweise über den BSI-Standard zur ISO 27001 vorarbeiten, wie auch grössere durch den Einsatz der ISO 27001 vom BSI-Standard inspirieren lassen.
Literaturverzeichnis:
[1] | BFS, „Kleine und mittlere Unternehmen,“ 28 August 2020. [Online]. Available: https://www.bfs.admin.ch/bfs/de/home/statistiken/industrie-dienstleistungen/unternehmen-beschaeftigte/wirtschaftsstruktur-unternehmen/kmu.html. |
[2] | BSI, BSI-Standard 200-3, Bonn: BSI, 2016. |
[3] | BSI, BSI-Standard 200-2, Bonn: BSI, 2017. |
[4] | M. Latzenhofer, S. Schauer, S. König und C. Kollmitzer, „Ansatz zur Auswahl von Risikomanagement-Methoden,“ 2018. |
Autorenteam:
Darko Miljkovic
LinkedIn: https://www.linkedin.com/in/darko-miljkovic-b29b65115/
Roger Hafner
LinkedIn: https://www.linkedin.com/in/roger-hafner-5b517a223