BSI-Compliance über Deutschland hinaus – Was Sie wissen müssen

Wenn Sie in der Sicherheitsbranche arbeiten (oder vielleicht sogar in irgendeiner Art von internationaler Geschäftstätigkeit), haben Sie wahrscheinlich schon von „BSI-Normen“ gehört. Vielleicht haben Sie sogar eine Web-Suche durchgeführt, um zu erfahren, was BSI ist – ob es Sie, Ihr Team oder Ihre Organisation betrifft – und haben erfahren, dass es ein Akronym für das deutsche Bundesamt für Sicherheit in der Informationstechnik ist. Und wenn Sie etwas davon gehört haben, haben Sie wahrscheinlich auch Hinweise auf „IT-Grundschutz“ gesehen und was „IT-Grundschutz“ bedeutet.

Was sind BSI-Sicherheitsstandards?

Laut der englischsprachigen Version der Website der deutschen Agentur:

„Die BSI-Standards enthalten Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu Methoden, Prozessen, Verfahren, Ansätzen und Maßnahmen der Informationssicherheit. Dabei geht das BSI auf Fragen ein, die für die Informationssicherheit in Behörden und Unternehmen von grundlegender Bedeutung sind und für die sich geeignete, praxisnahe, nationale oder internationale Ansätze etabliert haben.“

Auf dieser Seite finden Sie technische Richtlinien und Downloads zu den einzelnen Normen sowie zusätzliche Informationen z.B. zur Einhaltung der aufgeführten Vorschriften:

  • BSI-Norm 100-1 Informationssicherheits-Management-Systeme (ISMS)
  • BSI-Standard 100-2: IT-Grundschutz-Methodik
  • BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz
  • BSI-Standard 100-4: Geschäftskontinuitätsmanagement

Gelten BSI-Standards außerhalb Deutschlands?

Die kurze und schnelle Antwort lautet: JA.

Vor nicht allzu langer Zeit (und möglicherweise immer noch) sind Unternehmen innerhalb und außerhalb der Europäischen Union über die allgemeine Datenschutzverordnung der EU (GDPR) und deren Auswirkungen auf Unternehmen, die außerhalb der EU tätig sind, verwirrt. Die BSI-Normen waren immer ein Bereich, in dem Unklarheiten bestanden.

Die deutsche Firma Global Access Internet Services GmbH beschreibt sie so:

„…wer ein Angebot für Projekte im öffentlichen und juristischen Bereich in Deutschland abgeben möchte, wird kaum um ein BSI-Grundschutzzertifikat herumkommen. Dementsprechend hat das Bundesministerium des Inneren (BMI) den BSI-Grundschutzkatalog als Maßstab für seinen Nationalen Aktionsplan 2017 für die öffentliche Hand festgelegt. Sollten sicherheitsrelevante Informationen oder Prozesse ausgelagert werden (z.B. in der Cloud gespeichert), dann ist ein ISMS, das auf dem IT-Grundschutz basiert, in der Tat zwingend erforderlich“.

Das heißt, eine ISO-Zertifizierung auf Basis des BSI-Grundschutzes ist für alle Organisationen, die Kunden aus dem öffentlichen oder juristischen Bereich in Deutschland haben, notwendig.

Ein Auditor von EY (Ernst & Young) sagte gegenüber Runecast, dass das BSI für nicht-deutsche Kunden von großem Wert sei: „IT-Dienstleister mit Kunden in Deutschland sollten den IT-Grundschutz auch dann einführen, wenn ihre Kunden ihn benötigen oder zumindest ihre eigenen Kontrollen darauf abbilden lassen.

Hinweis: Dies gilt für JEDEN SEKTOR – auch wenn der öffentliche und der juristische Sektor bereits zur Einhaltung verpflichtet sind. Es macht keinen Unterschied, ob Sie ein deutscher oder nicht-deutscher Dienstleister sind, diese Gesetze gelten.

Keine Sorge, Runecast hilft hier

Im Oktober 2019 hat der Runecast Analyzer bereits schon in der Version 3.1 die Automatisierung der BSI-Sicherheitsstandards (BSI IT-Grundschutz) für kontinuierliche Audits gegen die BSI-Standards freigegeben.

Damals gaben wir bereits ein einführendes Webinar darüber, wie die Einhaltung der BSI IT-Grundschutzbestimmungen für virtualisierte Rechenzentren am besten gewährleistet werden kann:

Sehen Sie sich „BSI IT-Grundschutz-Automatisierung im Runecast Analyzer“ an.

Für weitere Informationen können Sie sich direkt an das EUCV-Team der Prianto wenden.
EUCV-Team
Email: runecast@prianto.com
Tel.: +49 (0) 89 416 148 238

Weitere Information oder einen telefonischen Rückruf erhalten Sie auch unkompliziert über das nachfolgende Formular.


Über Runecast
Runecast Solutions Ltd. hat seinen Hauptsitz in London, Großbritannien, mit mehreren Niederlassungen weltweit und ist ein führender Anbieter von Hybrid-Cloud-Lösungen für zum Patent angemeldete, umsetzbare prädiktive Analysen für VMware (vSphere, vSAN, NSX, Horizon) und AWS (IAM, EC2, VPC, S3).

Die preisgekrönte Runecast Analyzer-Software, die regelmäßig von Virtualisierungsexperten gelobt wird, bietet automatisierte Echtzeit-Supportinformationen für VMware und AWS für Unternehmen jeder Größe. IDG Connect ernannte Runecast zu einem der „20 Red-Hot, Pre-IPO Companies to Watch in the 2019 B2B Tech“.


Andreas Fleischmann
follow me