BSI IT-Grundschutz und ISO/IEC 27001 bei LamaPoll


Der Betrieb und die Entwicklung von LamaPoll sind durch den TÜV (DAkkS akkreditierte Auditoren) nach der international anerkannten Norm DIN EN ISO/IEC 27001:2022 zertifiziert, jedoch noch nicht nach dem BSI IT-Grundschutz. Allerdings ist unsere Infrastruktur und damit auch Ihre Daten parallel und redundant in ISO 27001- und auch BSI IT-Grundschutz-zertifizierte Rechenzentren aufgebaut. ISO 27001 legt Anforderungen an Implementierung, Aufrechterhaltung und vor allem kontinuierliche Verbesserung eines ISMS (Informationssicherheits-Managementsystem). Die Norm bietet einen strategischen, risikoorientierten Ansatz, um Informationen zu schützen. Der BSI IT-Grundschutz basiert auf ISO 27001, verfolgt die gleichen Ziele, jedoch mit einem anderen (praxisorientierten) Ansatz. Während die ISO 27001-Zertifizierung auf ein wirksames ISMS hinweist, zeigt eine BSI IT-Grundschutz-Zertifizierung, dass spezifische Sicherheitsmaßnahmen nach deutschem Standard umgesetzt wurden. Im Folgenden möchten wir aufzeigen, was die Gemeinsamkeiten und Unterschiede beider Normen sind, und was das Zertifikat für den Schutz Ihrer Daten bedeutet.
 

a. Vergleich BSI IT-Grundschutz und ISO 27001: Maßnahmen und Controls

ISO 27001 BSI IT-Grundschutz
Stellt Anforderungen an und bietet einen Rahmen für das Management von Informationssicherheit Bietet konkrete Maßnahmenkataloge für verschiedene IT-Bereiche und Szenarien
Maßnahmen (Controls) sind in ISO 27002 beschrieben

Spezifische Sicherheitsanforderungen im IT-Grundschutz-Kompendium gelistet

b. Vergleich ISO 27001 und BSI IT-Grundschutz: risikobasierter Ansatz

Norm ISO 27001 BSI IT-Grundschutz
Anforderung Abschnitt 6.1.2: Informationssicherheits-Risikobewertung Baustein B 1.3: Risikomanagement
Ziel Systematische Identifizierung, Analyse und Bewertung von Informationssicherheitsrisiken. Systematische Identifizierung, Analyse und Bewertung von Informationssicherheitsrisiken.
Vorgehensweise
  1. Definition von Kriterien für die Risikobewertung, Akzeptanzkriterien sowie Kriterien für Eintrittswahrscheinlichkeit und Schadenshöhe
  2. Identifikation von Risiken: Ermittlung von Bedrohungen, Risiken und spezifische Risiken
  3. Analyse der Risiken: Bewertung der identifizierten Risiken hinsichtlich ihrer Wahrscheinlichkeit und möglichen Auswirkungen.
  4. Priorisierung der Risiken, die behandelt werden müssen.
  5. Behandlung der Risiken: Implementierung von Maßnahmen zur Risikominderung, -vermeidung, -übertragung oder -akzeptanz.

 

  1. Vorbereitung und Planung: Definition des Umfangs des Risikomanagements und Festlegung von Verantwortlichkeiten.
  2. Durchführung der Schutzbedarfsfeststellung: Bestimmung des Schutzbedarfs für die einzelnen IT-Systeme, Anwendungen und Daten.
  3. Modellierung nach IT-Grundschutz: Nutzung von IT-Grundschutz-Bausteinen zur Erstellung eines Sicherheitskonzepts, das die spezifischen Anforderungen der Organisation abdeckt.
  4. Risikobewertung und -analyse: Durchführung einer ergänzenden Sicherheitsanalyse für Bereiche, die nicht durch den Standard-Grundschutz abgedeckt sind.
  5. Behandlung der Risiken: Implementierung von Maßnahmen aus den IT-Grundschutz-Katalogen sowie weiteren spezifischen Maßnahmen zur Risikominimierung.
  6. Überwachung und Verbesserung: Regelmäßige Überprüfung der implementierten Maßnahmen und Anpassung des Sicherheitskonzepts bei Veränderungen.
Vergleich/Fazit Flexibler, risikobasierter Ansatz für maßgeschneiderte Risikobewertung und -behandlung Strukturierte Methodik mit vorgefertigten Bausteinen und spezifischen Anforderungen. Der Grundschutz geht detailliert auf die Schutzbedarfsfeststellung und Modellierung ein.

c. Ziele, Vorteile und Nachteile - ISO 27001 vs. BSI-Grundschutz

  ISO 27001 BSI IT-Grundschutz
Ziel ISO 27001 legt Anforderungen für ein ISMS (Informationssicherheits-Managementsystem) fest. Damit werden Unternehmen unterstützt, Informationen sicher zu verwalten und ein international anerkanntes Framework für Informationssicherheit zu implementieren. Der BSI IT-Grundschutz bietet eine detaillierte Sammlung von Sicherheitsmaßnahmen, die Unternehmen dabei unterstützen, ihre IT-Systeme vor Bedrohungen zu schützen.
Vorteile
  • Flexibilität: ISO 27001 ermöglicht es Unternehmen, ihre Sicherheitsmaßnahmen basierend auf ihren individuellen Risiken und Bedürfnissen anzupassen
  • Internationale Anerkennung: ISO 27001 ist ein weltweit anerkannter Standard
  • Kontinuierliche Verbesserung: ISO 27001 wird regelmäßig durch das International Accreditation Forum (IAF) auf Aktualität geprüft und überarbeitet
  • Detailliertes Framework: Der IT-Grundschutz bietet ein detailliertes und klar strukturiertes Framework mit vorgefertigten Bausteinen und Maßnahmen
  • Hoher Detailgrad lässt kaum Raum für Interpretation und kann die Implementierung erleichtern
  • Standardisierung: Der IT-Grundschutz fördert durch konkrete Vorgaben die Standardisierung und erleichtert so die Vergleichbarkeit und Bewertung (Benchmark) der Sicherheit
Nachteile
  • Allgemeine Vorgaben lassen Raum für Interpretationen und theoretisch auch für unwirksame Maßnahmen (müssen allerdings vor dem externen Auditor und in Deutschland vor der DAkkS gerechtfertigt werden)
  • Starr und statisch: Der BSI-Grundschutz ist weniger flexibel und kann möglicherweise nicht schnell genug auf sich ändernde Sicherheitsbedrohungen und Technologien reagieren
  • ISMS ist nicht nah am Unternehmen, individuelle Bedürfnisse werden weniger berücksichtigt
  • Kreative, innovative Maßnahmen werden kaum gefördert oder berücksichtigt

d. Beispiel anhand einer konkreten Anforderung

Norm ISO 27002 BSI IT-Grundschutz
Anforderung ISO 27002 - Abschnitt 9.1.2: Zugangskontrolle in Netzwerken BSI IT-Grundschutz - Maßnahme M 4.110: Einsatz von Firewalls
Ziel Unbefugten Zugriff und Angriffe auf IT-Systeme und Netzwerke verhindern Unbefugten Zugriff und Angriffe auf IT-Systeme und Netzwerke verhindern
Maßnahmen

Netzwerkdienste sollten durch geeignete Mechanismen geschützt werden, wie z. B. durch Firewalls, VPNs (Virtual Private Networks), und dem Einsatz sicherer Kommunikationsprotokolle (z. B. SSL/TLS).

 

Konkrete BSI-Anforderungen wie die stetige Überprüfung und Aktualisierung der Firewall sind jedoch auch bei ISO 27001 implizit vorhanden, indem es die Wichtigkeit von Wartung und Überprüfung der Sicherheitsmaßnahmen betont:

 

  • Abschnitt A.12.1.1 - Dokumentierte Betriebsverfahren: Diese Anforderung betont, dass alle Betriebsvorgänge dokumentiert und regelmäßig überprüft werden sollen. Dies umfasst auch die Betriebsverfahren für die Firewall.
  • Abschnitt A.12.4.1 - Ereignisprotokollierung: Es wird empfohlen, dass Ereignisprotokolle (wie die Firewall-Logs) regelmäßig überprüft werden, um sicherzustellen, dass alle sicherheitsrelevanten Ereignisse erkannt und behandelt werden.
  • Abschnitt 13.1.1 - Netzwerksteuerungen: Hier wird empfohlen, Netzwerke durch geeignete Maßnahmen zu schützen, was impliziert, dass diese Maßnahmen (wie Firewalls) regelmäßig gewartet und aktualisiert werden sollten. 
  • Abschnitt 13.2.1 - Informationsübertragungspolitik und -verfahren: Diese betonen die Notwendigkeit, sicherzustellen, dass Schutzmaßnahmen wie Firewalls regelmäßig überprüft und auf dem neuesten Stand gehalten werden, um die Integrität und Vertraulichkeit der übertragenen Informationen zu gewährleisten. 
  • Der Datenverkehr zwischen internen und externen Netzen sollte durch eine Firewall geregelt werden. Diese Firewall sollte so konfiguriert sein, dass nur die unbedingt notwendigen Dienste zugelassen werden.
  • Regelmäßige Überprüfung und Aktualisierung der Firewall-Regeln sollten durchgeführt werden.
  • Firewall-Logs sollten regelmäßig kontrolliert werden, um verdächtige Aktivitäten frühzeitig zu erkennen. 
Stand LamaPoll Alle Anforderungen wurden geplant, umgesetzt, werden überwacht und stetig verbessert. Der Prozess wird jährlich intern und extern auditiert.  Konkrete Anforderungen: Datenverkehr wird auch durch Firewall geregelt, nur notwendige Dienste und Ports sind freigegeben, die Regeln werden regelmäßig überprüft und aktualisiert, die Logs werden überwacht. 
Vergleich ISO 27002: Die Maßnahme in ISO 27002 ist allgemeiner. Das Unternehmen muss selbst bestimmen und rechtfertigen, was geeignete Schutzmechanismen sind. Diese sind dann vor dem Auditor nachzuweisen, zu rechtfertigen und zu begründen. Es gibt die Anweisung, Zugangskontrollen durch den Einsatz von Firewalls und sicheren Kommunikationsprotokollen zu implementieren.  BSI IT-Grundschutz: Die Maßnahme im IT-Grundschutz ist spezifischer und detaillierter. Das BSI beschreibt konkrete Anforderungen und Schritte zur Implementierung und Überwachung von Firewalls. 
Fazit Konkrete Maßnahmen wie eine Firewall werden vom BSI zwingend erfordert, während ISO 27001 diese zumindest theoretisch nur beispielhaft nennt. Die ISO-Norm nennt keinen spezifischen Baustein „Firewall“, fordert jedoch geeignete Maßnahmen zur Zugangskontrolle - inklusive Protokollierung, Dokumentation, Steuerung und Verfahren zur regelmäßigen Überprüfung. Innerhalb ISO 27001 wäre es jedoch auch möglich, die Anforderungen durch andere innovativere alternative Maßnahmen mit gleichem oder höherem Schutzniveau zu erfüllen, während der BSI IT-Grundschutz zwingend eine Firewall vorschreibt.

e. Fazit

Beide Standards bieten wertvolle Ansätze zur Gewährleistung der Informationssicherheit in Unternehmen. Die ISO-Norm stellt konkrete Anforderungen, lässt dem Unternehmen jedoch flexible Freiräume für individuelle, passgenaue Maßnahmen. Der BSI IT-Grundschutz stellt konkrete Anforderungen und fordert spezifische Maßnahmen. In beiden Fällen muss die Wirksamkeit des implementierten Systems extern durch geschulte und akkreditierte Auditoren geprüft werden.

 

Dank des auditierten LamaPoll ISMS können Sie sich darauf verlassen, dass unser Höchstmaß an Sicherheit für Ihre Daten keine Floskel ist. Ihre Daten sind bei LamaPoll gemäß international anerkannten Standards und Normen geschützt; der Schutz wird kontinuierlich überwacht und verbessert. ISO 27001 bringt die strengen Anforderungen - wir können gleichzeitig proaktiv, innovativ und individuell auf Bedrohungslagen reagieren.

 

 

Gunther Koschnick
(5/5)
sagt über LamaPoll
Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir erstmals eine Sicherheitsumfrage durchgeführt. Für Datenschutz, Cybersicherheit und Anonymität bestanden hohe Anforderungen seitens der Unternehmen. Lamapoll konnte diese technisch und organisatorisch bestens umsetzen. Zudem war bei jeder Gelegenheit ein Ansprechpartner zur Stelle. Wir sind mit der Zusammenarbeit äußerst zufrieden.

 

Umfrage erstellen

 

 

Haben Sie Fragen an unser Team?

Wir beantworten Ihnen gern alle Fragen rund um das Thema Sicherheit bei LamaPoll.

Zögern Sie nicht uns zu kontaktieren

Warum LamaPoll?

 

  • DSGVO-konform
  • Zertifizierte Server
  • Hosting in Deutschland

 

unverbindlich Free Account erstellen
 
Wir beraten Sie gern!
Rufen Sie uns an!
 030 120 885 12
Mitarbeiterbefragungen - wertvolles Wissen über Ihre Mitarbeiter auswerten und Unternehmensprozesse optimieren

© golubovy

Mitarbeiterumfragen mit LamaPoll

  • Einfaches & intuitives Tool
  • 100% DSGVO-konform 
  • Professioneller Funktionsumfang
  • Umfangreiche Auswertungen
  • Attraktiv auf allen Geräten

 

Mehr als 10.000 Unternehmen erstellen bereits Online Umfragen mit unserem Umfragetool.
Bekannt aus:
Made in Germany, © 2007-2025 LamaPoll

 

 Kontakt

Schreiben Sie uns!

Unser Support-Team hilft bei Fragen oder Problemen gern weiter.

LamaPoll Logo
030 120 88 512
support@lamapoll.de
Ihr Online Umfragetool
Saubere Homepage: keine Tracker, keine Cookies!
Wir respektieren WIRKLICH Ihre Privatsphäre: Auf unserer Website setzen wir KEINE Tracking-, Werbe- oder Drittanbieter-Cookies ein.

Und selbstverständlich verfolgen wir auch NICHT Ihr Verhalten auf unserer Webseite!

Ist mir egal Find ich super!