Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TÜV TRUST IT als IT-Sicherheitsdienstleister für den Bereich „IS-Revision und Beratung“ zertifiziert. Das Zertifikat erlaubt TÜV TRUST IT, unter anderem die Informationssicherheit (IS) von Behörden zu überprüfen. Bundesweit besitzen nur fünf weitere Sicherheitsspezialisten dieses Zertifikat.
Die Bundesregierung verlangt, dass Bundesbehörden die Sicherheit ihrer Informationsinfrastrukturen regelmäßig einer umfassenden Prüfung auf Basis von IT-Grundschutz unterziehen. Behörden können dafür ab sofort ein externes Revisionsteam der TÜV TRUST IT beauftragen. Die Revisoren überprüfen die Effektivität der Sicherheitsorganisation und stellen fest, ob eine Behörde die vorgegebenen Standards und gesetzlichen Anforderungen im Bereich der Informationssicherheit einhält.
Die Prüfer untersuchen, ob das Sicherheitskonzept aktuellen Sicherheitsanforderungen gerecht wird, Sicherheitsmaßnahmen umgesetzt werden und erwartungsgemäß wirken oder ob Mängel vorliegen. Anschließend erstellen die Revisoren einen Bericht, der den Sicherheitsstatus der Behörde aufzeigt. In einem Abschlussgespräch erklären die Prüfer, wie die Behörde eventuell festgestellte Sicherheitsmängel beheben kann und ihre Informationssicherheit im Rahmen eines Informationssicherheits-Managementsystems (ISMS) insgesamt verbessert.
Die Grundlage für IS-Revisionen in Bundesbehörden ist der „Umsetzungsplan für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung (UP Bund)“. Diese verbindliche interne IT-Sicherheitsrichtlinie der Bundesregierung beschreibt Maßnahmen, die der mittel- und langfristigen Gewährleistung der IT-Sicherheit in der Bundesverwaltung dienen. Der UP Bund ist ein wichtiger Baustein der Dachstrategie der Bundesregierung zu IT-Sicherheit, dem „Nationalen Plan zum Schutz der Informationsinfrastrukturen in Deutschland (NPSI)“.
Externe Dienstleister müssen ihre Vertrauenswürdigkeit und Fachkompetenz gegenüber dem BSI in einem Zertifizierungsverfahren nachweisen, um IS-Revisionen bei Behörden durchführen zu dürfen. Dazu zählen ein eigenes, an ISO 27001 auf Basis von IT-Grundschutz angelehntes Informationssicherheits-Managementsystem sowie ein Qualitätsmanagementsystem nach ISO 17025. Die TÜV TRUST IT hat diese Nachweise erbracht. Das erlaubt ihr auch, Behörden bei der Erstellung von Sicherheitskonzepten nach IT-Grundschutz zu unterstützen sowie bei der Durchführung von Sicherheits- und Risikoanalysen zu beraten.
Vergleichbare Dienstleistungen bietet TÜV TRUST IT bereits seit vielen Jahren für Wirtschaftsunternehmen an. Detlev Henze, Geschäftsführer der TÜV TRUST IT, berichtet: „IS-Revisionen sind nicht nur bei Behörden, sondern auch bei Finanzdienstleistern und etwa in der Automobilzulieferindustrie erforderlich. Automobilhersteller fordern zum Beispiel nicht selten von ihren Lieferanten, dass diese ein Informationssicherheits-Managementsystem nach ISO 27001 aufbauen.“
Insbesondere Banken und Versicherungen unterliegen ähnlichen Anforderungen wie Behörden. Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) definiert gesetzliche Mindestanforderungen an das Risikomanagement (MaRisk), die für die Ausgestaltung von IT-Systemen und die entsprechenden IT-Prozesse relevant sind. „Für das Risikomanagement in Banken“, erklärt Detlev Henze, „bieten die IT-Grundschutzkataloge des BSI und die Normenreihe der ISO 2700x eine gute Grundlage.“ In diesem Bereich arbeitet TÜV TRUST IT mit eigenen, bewährten Prüfplänen.