Freitag, 17. Juli 2026

ISO-ZertifizierungSichere Informationen

[21.10.2015] Vertrauen ist gut, Kontrolle ist besser – aus diesem Grund lässt der Zweckverband Kommunale Datenverarbeitung Oldenburg (KDO) die Informationssicherheit seiner Daten per Zertifizierung nachweisen.

Die Informationstechnik hat inzwischen fast alle gesellschaftlichen Bereiche erfasst und ist ein selbstverständlicher und teilweise unsichtbarer Bestandteil des Alltags geworden. Gerade Arbeits- und Geschäftsprozesse basieren zunehmend auf IT-Lösungen, sowohl in der Produktion als auch bei Einkauf, Vertrieb und Verwaltung. Aus diesem Grund wird auch der Schutz von IT-Systemen in Behörden und Unternehmen immer wichtiger. Denn die Liste potenzieller Gefährdungen und Schadensfälle ist lang: Mangelhafte Datensicherung und Befall durch Computer-Viren gehören ebenso dazu wie der kurzfristige Ausfall des Systemadministrators, Hackerangriffe oder Spionage. Unzureichend geschützte Informationen sind ein häufig unterschätztes Sicherheitsrisiko, das massive wirtschaftliche oder Imageschäden zur Folge haben kann. Dabei ist „ein vernünftiger Informationsschutz ebenso wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen und der Weg zu mehr Sicherheit auch ohne große Budgets möglich“, wie Michael Hange, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) bereits im Jahr 2012 in einem Leitfaden zur Informationssicherheit sagte. Laut BSI ist die noch immer weit verbreitete Ansicht, dass Sicherheitsmaßnahmen zwangsläufig mit hohen Investitionen in Sicherheitstechnik und mit der Beschäftigung hoch qualifizierten Personals verknüpft sind, so nicht haltbar. Das Bundesamt fordert stattdessen einen „gesunden Menschenverstand, durchdachte organisatorische Regelungen sowie zuverlässige und gut informierte Mitarbeiter, die selbständig Sicherheitserfordernisse diszipliniert und routiniert beachten“.

Umfassende Lösung

Informationssicherheit darf allerdings keine Insellösung sein, da sie nicht nur die jeweiligen Einzelorganisationen, sondern auch Partner wie Lieferanten oder IT-Dienstleister betrifft. „Ein Zertifikat bestätigt, dass ein Unternehmen ein angemessenes Sicherheitsniveau erreicht hat, dieses aufrecht erhält und somit ein zuverlässiger Partner ist“, erklärt Matthias Lohmann von der Beratungsfirma Jester Secure IT aus Bergisch-Gladbach. Allerdings koste mehr Sicherheit zunächst einmal Geld – in der Regel ohne erkennbar mehr Umsatz zu generieren. An dieser Stelle sind aber die internen Nutzen nicht zu unterschätzen. Beispielsweise wird laut Lohmann die Qualität der Geschäftsprozesse oder die Kundenbindung verbessert oder die möglichen Verluste infolge von Sicherheitsschwachstellen reduziert. Nicht zuletzt kann sich eine Zertifizierung aber auch durch geringere Versicherungsprämien auszahlen. „Beim Thema Informationssicherheit müssen wir das, was unsere Kunden bisher auf vertraulicher Basis geglaubt haben, jetzt objektiv in Form von Zertifikaten nachweisen“, skizziert Rolf Beyer, Geschäftsführer des Zweckverbands Kommunale Datenverarbeitung Oldenburg (KDO), die jüngsten Entwicklungen. Grund sei ein wachsender Marktdruck durch andere Datenzentralen oder IT-Dienstleister bei öffentlichen Ausschreibungen. „Verfügbarkeit, Integrität und Vertraulichkeit sowie die Kontrolle von Daten sind heute das Gut, mit dem Unternehmen wettbewerbsfähig bleiben“, bestätigt Matthias Lohmann.

Native Implementierung nach ISO

Jester Secure IT implementiert bei der KDO derzeit ein Management-System nach der Norm ISO 27001 nativ, ein international anerkanntes und aus der Unternehmenspraxis stammendes Modell für Informationssicherheit. ISO 27001 auf Basis IT-Grundschutz nennt sich das zweite hierzulande übliche Verfahren. Es wurde Mitte der 1990er Jahre vom BSI entwickelt und gilt nur in Deutschland. Obwohl es sich bei beiden Verfahren um ISO-Zertifizierungen handelt, sind die Ansätze unterschiedlich. Die internationale Norm ISO 27001 nativ geht als Management-System prozesshaft der Frage nach, wie Informationssicherheit in einem Unternehmen gehandhabt wird. Wie werden Sicherheitslücken identifiziert und Sicherheitsmaßnahmen geplant und umgesetzt? Wie werden die Maßnahmen kontrolliert und gegebenenfalls verbessert? „Dabei steht der Schutz verschiedenster Informationen im Mittelpunkt, ob in geschriebener, elektronischer oder gesprochener Form“, erklärt Berater Matthias Lohmann. Der IT-Grundschutz betrifft mehr die Informationstechnik, zum Beispiel die Sicherheit der Server für einen konkret definierten Informationsverbund. Das Verfahren schafft zwar konkrete technische Sicherheit, ist aber unflexibel wenn es um Prozesse oder neue Technologien geht. Warum die KDO die Norm ISO 27001 native präferiert, erklärt Geschäftsführer Rolf Beyer: „Technische Innovationen sind in unserem Unternehmen sehr wichtig und entwickeln sich schneller als man den IT-Grundschutz anpassen könnte. Da würden wir ständig hinterher hängen.“

BSI-Zertifizierung

Allerdings wird in öffentlichen Ausschreibungen zunehmend die Zertifizierung nach BSI Grundschutz verlangt – aus Unwissenheit über die Qualität der nativen Zertifizierung, wie der KDO-Geschäftsführer vermutet. Das kann zur Folge haben, dass fachlich geeignete Anbieter nicht teilnehmen können – und damit die Auswahl für die ausschreibenden Stellen enorm eingeschränkt wird. Darüber hinaus ist bei einer BSI-Zertifizierung immer zu beachten, für welchen Informationsverbund sie vorliegt. Denn beim BSI-Grundschutz wird meist nicht das Unternehmen als Ganzes zertifiziert, sondern lediglich bestimmte Bereiche, etwa ein Fachverfahren, das Helpdesk oder eine Server-Landschaft. Sinnvoll kann auch eine Kombination der beiden Verfahren sein. Mit der ISO 27001 native lässt sich beispielsweise ein Management-System aufbauen und ein bestimmtes Fachverfahren, etwa für das Personenstandswesen, per Add-on-Sicherheitskonzept zusätzlich nach IT-Grundschutz zertifizieren. In einem Übersichtspapier des Branchenverbands Bitkom zur Zertifizierung von Informationssicherheit in Unternehmen kommen die Autoren zu dem Ergebnis, dass für mehr Sicherheit beim Einsatz von IT-Systemen beide Ansätze gleichermaßen geeignet sind. Trotzdem besagt das Papier, dass ISO 27001 native mehr Spielraum besitzt, die BSI-Norm starrer und insgesamt meist aufwendiger ist und aufgrund der speziellen Dokumentationsanforderungen nur als Insellösung betrieben werden kann. Auch bei der internationalen Ausrichtung eines Unternehmens führt laut Bitkom kein Weg am ISO-native-Verfahren vorbei.

York Schaefer ist freier Journalist aus Bremen.




Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Miniatur-Rettungsring auf einer Tastatur

ITEBO: Auch im Ernstfall arbeiten können

[16.07.2026] Um den Verwaltungsbetrieb auch im Krisenfall aufrechthalten zu können, sollten Kommunen einen vorbereiteten Notfallarbeitsplatz vorhalten. Eine solche Lösung bietet unter anderem ITEBO an. mehr...

Illustration zum Thema Cybersicherheit: Im Vordergrund sitzt eine dunkel gekleidete Person mit tief ins Gesicht gezogener Kapuze vor einem Laptop. Im Hintergrund sind schemenhafte Silhouetten von Menschen zu sehen, die miteinander sprechen oder arbeiten. Überlagerte digitale Elemente und eine angedeutete Stadtlandschaft in Blau- und Grautönen vermitteln den Eindruck einer vernetzten digitalen Welt und symbolisieren die Bedrohung durch Cyberangriffe auf Organisationen und Verwaltungen.
bericht

Komm.ONE: Cyber-Sicherheit wird zur Daueraufgabe

[29.06.2026] Der IT-Dienstleister Komm.ONE warnt beim Cybersicherheitstag 2026 vor zunehmender Professionalisierung der Angreifer. Prävention, Zusammenarbeit und Künstliche Intelligenz gewinnen an Bedeutung. mehr...

Bild in Blautönen: Junger Mann in Office-Umgebung stützt Kopf in Hand, un ihn herum eingeblendet Icons für Dokumente und Daten und Vernetzung

CSBW: Neues Handbuch für IT-Notfälle

[23.06.2026] Für Verwaltungen bestehen jederzeit Risiken für Sicherheitsvorfälle und Datenschutzverletzungen – mit möglichen schweren Folgen. Die Cybersicherheitsagentur Baden-Württemberg unterstützt Land und Kommunen mit neuen Angeboten, ein belastbares Informationssicherheits-Managementsystem aufzubauen. mehr...

Etwas düster wirkende Bühne mit der obligaten Großprojektion, davor Personen in förmlicher Business-Kleidung in Gruppenfopto-Aufstellung

BSI/NExT: Drei Projekte für mehr Sicherheit

[22.06.2026] Den InfoSec Impact Award von BSI und NExT erhielten drei herausragende IT-Sicherheitslösungen aus dem Public Sector, die sich mit Software-Lieferketten, Cyber-Trainings und interkommunaler Zusammenarbeit befassen. Die Projekte werden als Best Practices veröffentlicht und der Fachöffentlichkeit vorgestellt. mehr...

Im Homeoffice für Cyber-Sicherheit sensibilisieren.

Schleswig-Holstein: Maßnahmenpaket für Cyber-Sicherheit

[01.06.2026] Schleswig-Holstein baut die Cyber-Sicherheit für Land und Kommunen aus. Zum Schutzschirm gehören unter anderem ein erweitertes Schwachstellenmanagement, mobile IT für Krisenlagen und Vor-Ort-Supportteams. Digitale souveräne Arbeitsplätze und IT-Infrastruktur sichern Behörden weiter ab. mehr...

Blick in einen Vortragssaal auf der SaarSecurity Roadshow

eGo-Saar: Erfolgreiche SaarSecurity Roadshow

[27.05.2026] In einer gemeinsamen Veranstaltungsreihe haben der Zweckverband eGo-Saar und das saarländische Wirtschaftsministerium über NIS2, IT-Notfallmanagement und digitale Resilienz informiert. Bei den Kommunen stieß die SaarSecurity Roadshow 2026 auf großes Interesse. 
 mehr...

G-DAta_leitzgen_bölting_porträt
interview

Cyber-Sicherheit: Kommunen sind leichte Beute

[12.05.2026] Wie Städte und Kreise ihre IT trotz Fachkräftemangel wirksam vor Cyber-Kriminellen schützen können, erläutern im Interview Kira Groß-Bölting und Jan Leitzgen vom Computer Security Incident Response Team (CSIRT) des Unternehmens G DATA Advanced Analytics. mehr...

BSI: Frühwarnsystem für Cyber-Sicherheitsvorfälle

[30.03.2026] Angesichts der angespannten Cyber-Sicherheitslage stärkt das BSI die Reaktionsfähigkeit gegen IT-Sicherheitsvorfälle. Mit den öffentlichen IT-Dienstleistern von Ländern und Kommunen soll der Einsatz von Datensensorik ausgebaut werden – als Grundlage für Echtzeitanalysen und erster Schritt Richtung Cyberdome. mehr...

Markus Bauer (Landrat Salzlandkreis), Hendrik Nitz (Chief Governance Officer GISA GmbH), Dirk Helbig (Stabsstellenleiter und CDO / CIO Salzlandkreis)
(Quelle: GISA GmbH)

Salzlandkreis: IT digital resilient machen

[04.03.2026] Um die digitale Resilienz seiner Verwaltung nachhaltig zu erhöhen, setzt der Salzlandkreis auf eine umfassende Sicherheitsinitiative. Unterstützt wird die Kommune dabei von dem Unternehmen GISA. mehr...

Meeting im Büro, Person am Kopfende des Tisches sieht sehr angespannt aus, die anderen sind unscharf (Bewegungsunschärfe)

CSBW: IT-Notfallübung für Krisenstäbe in Kommunen

[02.03.2026] Die Cybersicherheitsagentur Baden-Württemberg (CSBW) bietet Kommunen IT-Notfallübungen an. Unter realistischen Bedingungen werden Krisenstab, Krisenkommunikation und IT-Notfallhandbuch geübt, anschließend erhalten die Teilnehmenden einen individuellen Maßnahmenplan. Termine für 2026 sind ab sofort buchbar. mehr...

Kommunen benötigen einen Notfallplan für Cyber-Attacken.

Hessen: Neue Angebote für kommunale Cyber-Sicherheit

[18.02.2026] Angesichts wachsender Cyber-Angriffe erweitert Hessen sein Unterstützungsangebot für Kommunen: Neu sind eine Notfallhilfe bei IT-Ausfällen sowie Trainings zur Sensibilisierung von Beschäftigten. Innenminister Roman Poseck ruft Städte und Gemeinden auf, die kostenfreien Angebote zu nutzen. mehr...

Symbolische Darstellung eines digitalen Schutzschildes gegen Cyberattacken.

Berlin: 12. Kommunaler IT-Sicherheitskongress

[04.02.2026] Die kommunalen Spitzenverbände laden am 27. und 28. April zum 12. Kommunalen IT-Sicherheitskongress (KITS) in einem hybriden Format ein. Die Themen reichen vom Grundschutz++ über Erfolgsmodelle für die kommunale Zusammenarbeit bis hin zu Open Source und Künstlicher Intelligenz (KI). Die Veranstaltung ist kostenfrei. mehr...

Alt-Text: Vier Männer in dunklen Anzügen stehen vor einer blauen Wand. Zwei Männer halten ein Zertifikat in die Kamera.

BSI/SIT: Zertifizierte Sicherheit

[27.01.2026] Der kommunale IT-Dienstleister Südwestfalen-IT (SIT) hat vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz erhalten. Zertifiziert wurden unter anderem Rechenzentrumsbetrieb und Verwaltungs-PKI. mehr...

Silhouette einer gesichtslosen Person mit Kapuzenpulli die auf einer Tastatur tippt, im Bildvordergrund ist ein abstrakt dargestelltes Schutzschild zu sehen.

Heidelberg: Hacker-Angriffe abgewehrt

[23.01.2026] Heidelberg verzeichnet seit Wochen wiederholte DDOS-Attacken auf die Website der Stadt. Dank kontinuierlich angepasster Sicherheitsmaßnahmen konnten die Angriffe allesamt abgewehrt werden. Durch die Maßnahmen war lediglich die Website hin und wieder für wenige Minuten nicht erreichbar. mehr...

Mann im weißen Hemd sitzt vor mehreren Monitoren und zeigt auf einen davon.
bericht

Kreis Breisgau-Hochschwarzwald: Managed Security für sensible Daten

[22.01.2026] Das Landratsamt Breisgau-Hochschwarzwald verwaltet sensible Bürger- und Sozialdaten – IT-Sicherheit hat hohe Priorität. Die Behörde nutzt eine Managed-Extended-Detection-and-Response-Lösung des Bochumer Sicherheitsspezialisten G Data. Ein Praxisbericht zeigt, welche Anforderungen es gab und wie Zusammenarbeit und Roll-out verliefen. mehr...