Befragung von führenden Unternehmen in Österreich: Der internationale Standard ISO 17799 wird als flexibles Managementmodell zur Optimierung von Information-Security-Systemen bewertet - auch für KMU.
"Informationssicherheit ist so komplex geworden, dass ein Managementsystem notwendig ist, um wettbewerbsfähige Sicherheit nachhaltig zu gewährleisten." So fasst CIS-Geschäftsführer Erich Scheiber das Ergebnis einer qualitativen Befragung von führenden österreichischen Unternehmen zusammen, die Informationssicherheit nach der internationalen Information-Security-Norm ISO 17799/BS 7799 umsetzen.
Die CIS (Certfication & Information Security Services GmbH) ist die österreichische Zertifizierungsorganisation für den Security-Standard mit Sitz in Wien. Von August bis September 2004 wurden im Auftrag der CIS heimische Unternehmen über die Anwendbarkeit der Information-Security-Norm ISO 17799 in der Praxis befragt. Die Ergebnisse sollen als österreichischer Beitrag in das internationale Normungsgremium unter der Leitung des Norm-Begründers Ted Humphreys einfließen.
Messbares und kontrollierbares System
Als größten Vorteil nennen die befragten Unternehmen den Aufbau des ISO-Standards als Managementsystem. Durch die einheitliche Struktur, rund 130 definierte Kontrollziele und integrierte Best-Practice-Methoden wird Informationssicherheit messbar, kontrollierbar und optimierbar. Michael Ausmann, Chief-Security-Officer der Raiffeisen Informatik GmbH: "Das Betreiben und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems - ISMS - ist heute unumgänglich. Mit der ISO 17799 setzen wir ein Werkzeug mit einer breiten Auswahl an Kontrollmechanismen ein, das auf international bewährten Methoden basiert."
IT-Sicherheit und andere Aspekte
Als weiteren Pluspunkt bewerten die befragten Unternehmen den umfassenden Inhalt der Norm. Mit ihrem Fokus auf "Informationssicherheit" bezieht die ISO 17799 neben IT-Sicherheit auch Faktoren wie Gebäude-, Umgebungs- und personelle Sicherheit mit ein - vom Alarmsystem bis zur Zutrittskontrolle. Katharina Lindengrün, Chief Security Manager im Bundesrechenzentrum: "Unser Security-System umfasst neben IT-Sicherheit auch organisatorische und bauliche Aspekte. Diese komplexen Zusammenhänge werden durch das Managementsystem der ISO-Norm einheitlich abbildbar und kontrollierbar."
Wettbewerbsvorteil durch Zertifikat
Auch die Zertifizierbarkeit eines Security-Systems nach ISO 17799/BS 7799 wird als Vorteil im Vergleich zu anderen Sicherheitsstandards wie Cobit oder Deutsches Grundschutzhandbuch gesehen. Das Zertifikat mache das Sicherheitsniveau auch für die Kunden sichtbar, lautet der Tenor zu diesem Punkt. "Bei Angeboten legen wir das Information-Security-Zertifikat bei und ersparen uns zusätzliche Nachweise für Informationssicherheit - wir erleben das immer wieder als Wettbewerbsvorteil", erklärt Günther Puffer, Information-Security-Manager bei Siemens Business Services.
Managementsystem - auch für KMU
Die Flexibilität der Security-Norm wird vor allem von kleineren Unternehmen betont: Die ISO 17799 stellt ein praxisorientiertes Framework dar, das von Unternehmen jeder Größe in allen Industrie- und Geschäftsbereichen eingesetzt werden kann. Durch eine anfängliche Risikoanalyse, die den individuellen Sicherheitsbedarf der Firma definiert, ist die Norm auch für Klein- und Mittelbetriebe anwendbar. Die GeniaConsult als Beratungsunternehmen im Gesundheitssektor beschäftigt 13 Mitarbeiter. Geschäftsführer Michel Haas: "Um unseren KundInnen zu garantieren, dass sämtliche Daten vor unbefugtem Zugriff geschützt sind, wollten wir ein ISMS nach international gültigen Maßstäben einführen. Die ISO 17799 lässt sich genau auf unsere Anforderungen anwenden."
Verbesserungen: Vereinheitlichung der Norm
Der am häufigsten geäußerte Verbesserungsvorschlag betrifft die noch ausständige Umwandlung des zweiten Teils in eine ISO-Norm. Der zweite Teil heißt noch immer BS 7799 und ist ein britischer Standard, während der erste Teil im Jahr 2000 in die international gültige ISO 17799 umgewandelt wurde. Die vollkommene Vereinheitlichung wird in dem zuständigen Normungsgremium auf internationaler Ebene diskutiert.