Vergabe des ersten ISO 27001-Zertifikats auf Basis IT-Grundschutz

Die Bochum-Gelsenkirchener Straßenbahnen AG, BOGESTRA, zählt mit über 2.200 Beschäftigten, mehr als 110 Schienenfahrzeugen sowie rund 250 Bussen zu den großen Nahverkehrsunternehmen der Bundesrepublik. Das Einzugsgebiet umfasst mehr als 400 Quadratkilometer. Rund 140 Millionen Fahrgäste im Jahr nutzen u.a. in Bochum, Gelsenkirchen, Herne, Witten, Hattingen und Castrop-Rauxel das Angebot der BOGESTRA. Um diese attraktive Alternative zum Individualverkehr sicherstellen zu können, wird neben dem Produktiv-Rechenzentrum ein Redundanz-Rechenzentrum unterhalten. Vom Produktiv-Rechenzentrum werden 70 Server und über acht Standorte verteilte 700 Clients betreut.

Ausgehend von der Initiative der Geschäftsführung, welche die IT-Sicherheit der BOGESTRA nicht nur einmalig schaffen sondern vielmehr zukünftig aufrecht erhalten will, wurde INFODAS mit der Begleitung des entsprechenden Projektes beauftragt. Ziel war es dabei, ein umfassendes IT-Sicherheitsmanagement zu etablieren und dieses mit Hilfe eines Zertifikats gegenüber Kunden, Mitarbeitern und Geschäftspartnern transparent zu machen. Neben den (auch gesetzlichen) Anforderungen an ein IT-Risikomanagement (vgl. KonTraG, Basel II) sollte somit ebenfalls die Wettbewerbsposition gestärkt werden.

Gemeinsam mit INFODAS wurde die IT-Grundschutzmethodik des Bundesamts für Informationstechnik (BSI) als standardisierte und anerkannte Vorgehensweise ausgewählt. Ein entsprechend aufgebauter IT-Sicherheitsprozess basiert auf den drei IT-Grundschutz-Standards: Der Standard 100-1 unterstützt den Aufbau und die Etablierung eines geeigneten IT-Sicherheitsmanagements. In dem Standard 100-2 wird die konkrete Vorgehensweise erläutert, die es ermöglicht, mittels eines ständig aktuellen Soll-/Ist-Vergleichs ein Standard-Sicherheitsniveau durch die Umsetzung von Standardmaßnahmen zu erreichen. Für besonders schutzwürdige Bereiche umfasst der Standard 100-3 eine ergänzende Risikoanalyse.

Mit einem vom BSI lizenzierten Auditor begleitete INFODAS die BOGESTRA umfassend von der Konzeption und Planung des IT-Sicherheitsprozesses über die Formulierung einer IT-Sicherheitsleitlinie sowie der Umsetzung und Dokumentation der Sicherheitsmaßnahmen bis hin zur Zertifizierung. Dabei wurde durchgängig die IT-Sicherheitsdatenbank SAVe® eingesetzt, welche die Etablierung eines IT-Sicherheitsprozesses vollständig unterstützt und neben den aktuellen IT-Grundschutz-Katalogen auch das Bundesdatenschutzgesetz innerhalb der Maßnahmenempfehlung berücksichtigt.

Gemäß dem BSI-Prüfschema für ISO 27001-Audits ist die Voraussetzung einer Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz eine Überprüfung durch einen unabhängigen vom BSI lizenzierten ISO 27001-Grundschutz-Auditor. Im Rahmen der durch die INFODAS durchgeführten Audits wurden die erstellten Referenzdokumente gesichtet, über mehrere Monate die gesamte Informationstechnik des Verkehrsbetriebs überprüft und ein Audit-Report erstellt, der die Grundlage für die Vergabe des Zertifikates darstellte. Auch hierbei zeigte sich der Nutzen des durchgängigen Einsatzes sowohl der INFODAS-Beratung als auch der IT-Sicherheitsdatenbank SAVe® (bspw. anhand des umfangreichen Berichtswesens).

Für das auf diesem Weg erreichte hohe Sicherheitsniveau wurde das bundesweit erste ISO 27001-Zertifikat auf Basis IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI) vergeben. "Das Zertifikat bescheinigt nicht nur den entsprechend hohen Sicherheitsstandard zum Schutz von Attacken von außen. Das IT-Sicherheitsmanagement, die Organisation, das Notfallvorsorge-Konzept wurde ebenso auf den Prüfstand gestellt wie die Datenbanken, Router und Switches, das Kryptokonzept oder die Firewall." (Sicher und mobil auf allen Wegen; Meldung der media NRW vom 13.12.2006)

Aufgrund der Kompatibilität der IT-Grundschutz-Vorgehensweise mit der internationalen Norm ISO 27001 (Standard zur Zertifizierung von Informationssicherheits-Managementsystemen), beinhaltet die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz gleichzeitig eine ISO-Zertifizierung nach ISO 27001; ist aber wegen der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung ist: "Aufgrund der zusätzlichen technischen und organisatorischen Prüfungen gibt das kombinierte Zertifikat einen nachvollziehbareren Überblick über die eingesetzten Maßnahmen als eine reine ISO-Zertifizierung", so Dr. Udo Helmbrecht, Präsident des BSI.

Positive Auswirkungen der erfolgreichen Etablierung des IT-Sicherheitsmanagements der BOGESTRA umfassen den Profit bestehender Prozessen wie bspw. Bestandsführung oder Lizenzmanagement sowie das gestiegene Bewusstsein der Mitarbeiter, wodurch die IT-Sicherheit im Rahmen neuer Projekte / Prozesse integriert wird, so A. Brast, Leiter Informationsverarbeitung BOGESTRA auf dem 4. Stuttgarter IT-Sicherheitstag 2006. Mit der Zertifizierung nach ISO 27001 hören die Anstrengungen der BOGESTRA in Sachen IT-Sicherheit nicht auf. Nach dem Prinzip eines sich weiterbewegenden Kreislaufs wird auch künftig für IT-Sicherheit auf hohem Niveau gesorgt.