BSI-Compliance in Deutschland gilt nicht nur für Deutschland

Wenn Sie in der Sicherheitsbranche arbeiten (oder vielleicht auch nur in irgendeiner anderen internationalen Geschäftsfunktion), haben Sie wahrscheinlich schon einmal von "BSI-Standards" gehört. Vielleicht haben Sie sogar im Internet recherchiert, um zu erfahren, was das BSI ist - ob es Sie, Ihre Team oder Ihr Unternehmen betrifft - und erfahren, dass es sich um eine Abkürzung für das deutsche Bundesamt für Sicherheit in der Informationstechnik handelt. Und wenn Sie das getan haben, haben Sie wahrscheinlich auch Hinweise auf den "IT-Grundschutz" gesehen, was "IT-Grundschutz" bedeutet.

Was sind BSI-Sicherheitsstandards?

Dies geht aus der englischsprachigen Version der Website der deutschen Agentur hervor:

"Die BSI-Standards enthalten Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu Methoden, Prozessen, Verfahren, Ansätzen und Maßnahmen der Informationssicherheit. Dabei greift das BSI Themen auf, die für die Informationssicherheit in Behörden und Unternehmen von grundlegender Bedeutung sind und für die geeignete, praxisnahe, nationale oder internationale Ansätze etabliert sind."

Auf dieser Website finden Sie technische Leitlinien und Downloads für jede der Normen sowie zusätzliche Informationen, z. B. zur Einhaltung der aufgeführten Vorschriften:

• BSI-Norm 100-1 Informationssicherheits-Managementsysteme (ISMS)
• BSI-Standard 100-2: IT-Grundschutz Methodik
• BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz
• BSI-Standard 100-4: Geschäftskontinuitätsmanagement

Neben der Einhaltung von Vorschriften als Endziel können die BSI-Standards im weiteren Sinne als Verbraucherschutzgesetze betrachtet werden, da sie Unternehmen auch dabei helfen können, sicherere Produkte anzubieten. Dies zeigt sich auch daran, dass das BSI Firefox als den sichersten unter den getesteten Browsern auszeichnete (ZDNet berichtete):

Deutschlands Cybersicherheitsbehörde empfiehlt Firefox als sichersten Browser

Das deutsche BSI hat Firefox, Chrome, IE und Edge getestet. Firefox war der einzige Browser, der alle Mindestanforderungen für obligatorische Sicherheitsfunktionen erfüllte.

- Von Catalin Cimpanu für Zero Day | 17. Oktober 2019

Und nun die (potenzielle) Millionen-Dollar-Frage...

Gelten BSI-Standards auch außerhalb von Deutschland?

Die kurze und schnelle Antwort lautet: JA.

Ähnlich wie Unternehmen innerhalb und außerhalb der Europäischen Union vor nicht allzu langer Zeit über die EU-Datenschutzgrundverordnung (GDPR) und ihre Auswirkungen auf Unternehmen, die außerhalb der EU tätig sind, verwirrt waren (und möglicherweise immer noch sind), sind auch die BSI-Standards ein Bereich, in dem Unklarheit herrscht.

Das deutsche Unternehmen Global Access Internet Services GmbH beschreibt es so:

"...wer sich um Projekte im öffentlichen und juristischen Bereich in Deutschland bewerben möchte, wird kaum um ein BSI-Grundschutzzertifikat herumkommen. Dementsprechend hat das Bundesministerium des Inneren (BMI) den BSI-Grundschutzkatalog als Maßstab für seinen Nationalen Aktionsplan 2017 für Behörden festgelegt. Werden sicherheitsrelevante Informationen oder Prozesse ausgelagert (zum Beispiel in die Cloud), dann ist ein ISMS auf Basis des IT-Grundschutzes sogar zwingend erforderlich."

Das heißt, eine ISO-Zertifizierung auf Basis des BSI-Grundschutzes ist für alle Organisationen notwendig, die in Deutschland Kunden im öffentlichen oder juristischen Bereich haben.

Ein Wirtschaftsprüfer von EY sagte gegenüber Runecast zum Wert von BSI für nicht-deutsche Kunden: "IT-Dienstleister mit Kunden in Deutschland sollten ebenfalls IT-Grundschutz implementieren, wenn ihre Kunden dies verlangen oder zumindest ihre eigenen Kontrollen darauf abstellen."

Hinweis: Dies gilt für JEDEN SEKTOR - auch wenn der öffentliche und der juristische Sektor bereits zur Einhaltung verpflichtet sind. Es macht keinen Unterschied, ob Sie ein deutscher oder ein nicht-deutscher Dienstleister sind, diese Gesetze gelten.

Keine Sorge, Runecast ist die Rettung

Im Oktober 2019 hat Runecast Analyzer mit der Version 3.1 die BSI-Sicherheitsstandards (BSI IT-Grundschutz) automatisiert, um kontinuierliche Audits gegen die BSI-Standards durchzuführen.

Runecast-CEO Stanimir Markov (VCDX #74) und Product Owner Robert Bergner gaben ein einführendes Webinar darüber, wie man am besten die Einhaltung des BSI IT-Grundschutzes für virtualisierte Rechenzentren sicherstellen kann:

Webinar: BSI IT-Grundschutz Automation im Runecast Analyzer

Lassen Sie Runecast Ihr Leitfaden für die Stabilität virtualisierter Rechenzentren sein. Holen Sie sich eine kostenlose 14-tägige Testversion, analysieren Sie Ihre Umgebung und profitieren Sie von automatisierten Scans, die manuelle Arbeit überflüssig machen und eine kontinuierliche Audit-Bereitschaft sicherstellen - auch gegenüber deutschen Cybersicherheitsbehörden.