Grundschutz für KMU? 3473 ist die Alternative!
Auf dem 14. Deutschen IT-Sicherheitskongress in Bonn hat das BSI das ausgesprochen, was die Spatzen schon seit langem von den Dächern pfeifen: IT-Grundschutz hat sich für KMU als Fehlkonstruktion erwiesen (siehe z.B. Bericht auf heise).
Nun soll der Grundschutz reformiert werden, damit er in Zukunft anfänger- und managerfreundlicher ist. Ich bin gespannt auf die Ergebnisse der angestrebten Schlankheitskur und hoffe, dass sich der IT-Grundschutz vielleicht wieder (ein Stück weit) aus seinem Grab erheben kann. Aktuell tendiert nämlich der GAF (Geschäftsführer-Akzeptanz-Faktor) für den Grundschutz bei KMU gegen Null.
An dieser Stelle möchte ich anmerken, dass das BSI hier leider nicht Innovator, sondern Getriebener ist. Die ISO 27k-Famile z.B. nagt seit Jahren an der Daseinsberechtigung des GS und der nächste Mitspieler drängt auf den Markt - die VdS ist nämlich schon da, wo das BSI gerne 2016 sein möchte: Am 01.07. erscheint die VdS-Richtlinie 3473. Diese Richtlinie ist speziell für KMU entwickelt, zertifizierungsfähig, kostenfrei verfügbar, praxistauglich und fasst auf weniger als 40 Seiten so ziemlich alles zusammen, was ein KMU für seine Informationssicherheit tun sollte.
Für Interessierte:
ps:
Um keinen falschen Eindruck aufkommen zu lassen. Ich mag den Grundschutz. Grundschutz ist klasse. Aufbau und Ideen sind super. Er ist leider für KMU nicht umsetzbar. Genau wie ISO 27001. :-/
pps:
Aufgrund einiger Proteste und interessanten Diskussionen im Laufe der letzten 24 Stunden nehme ich den letzten Satz gerne zurück. ISO 27001 ist für KMU umsetzbar.
ppps:
Selten bis manchmal. =)