Interview

IT-Grundschutz leichtgemacht.

© SIMEDIA Akademie GmbH

29.8.2019 (cg) - Die SIMEDIA Akademie bietet erstmals die Schulung zum IT-Grundschutz-Praktiker nach dem BSI-Curriculum (Bundesamt für Sicherheit in der Informationstechnik) an. Werner Metterhausen (wme) erklärt im Gespräch mit Caroline Glaser (cg), warum er den IT-Grundschutz des BSI empfiehlt.

 

"Die Befähigung zum Informationssicherheitsbeauftragten"

Werner Metterhausen
Diplom-Informatiker, Berater der VZM GmbH
und Redakteur des Sicherheits-Berater

Das vierköpfige Referententeam dieser Schulung, die im November 2019 in Bonn stattfinden wird, besteht aus erfahrenen IT-Sicherheitsberatern der von zur Mühlen'sche GmbH. Einer von ihnen ist Diplom-Informatiker Werner Metterhausen (wme). Er beantwortete die Fragen von Caroline Glaser (cg):

cg: Was versteht man unter dem IT-Grundschutz nach BSI?

wme: Der IT-Grundschutz ist ein vom BSI entwickelter Standard, der Empfehlungen für den sicheren IT Betrieb gibt. Er befasst sich mit allen Aspekten dessen, was früher mal EDV Sicherheit hieß und mittlerweile sprachlich zur Cyber Security mutiert ist. Es geht immer noch um die gar nicht so einfache Frage, was muss ich tun, um Informationen angemessen sicher zu verarbeiten?

cg: Für wen ist der IT-Grundschutz des BSI besonders sinnvoll?

wme: Für jeden, der in einem Unternehmen oder einer Behörde mit dem Thema IT-Sicherheit in Berührung kommt. Das sind natürlich die IT-Leiter und IT-Administratoren. Es sind aber auch die Verantwortlichen der Bereiche Informationssicherheit, Risikomanagement, Business Continuity Management und IT-Revision. Der IT-Grundschutz ist eine ausgereifte Systematik und – er ist kostenfrei. Genau gesagt ist er in Form von Steuern bereits bezahlt. Jeder der sich mit Fragen der IT-Sicherheit befassen will oder muss, sollte zunächst einmal auf den BSI-Seiten forschen. Da gibt es umfangreiche Informationen und Serviceangebote.

cg: Wie erleben Sie die Situation in den Unternehmen und Behörden in Bezug auf die Anforderungen an die IT-Sicherheit?

wme: Es gibt viel zu wenig Leute, die sich um das Thema kümmern können. Und die, die es können, haben viel zu wenig Zeit.

cg: Sie und die meisten Ihrer Kollegen sind zertifizierte ISMS ISO 27001 Lead Auditoren. Wie passen der IT-Grundschutz nach BSI und die ISO 27001 zusammen und wo liegen die Unterschiede?

wme: Der IT-Grundschutz nach BSI und die ISO 27001 sind zwei Seiten derselben Medaille. Bei der Annäherung an das Thema Informationssicherheit unterscheiden sie sich, im Resultat kommt jedoch bei beiden ein Managementsystem für Informationssicherheit heraus.

Der deutliche Unterschied ist die Detailliertheit des IT-Grundschutzes. Dort werden Themen durchdekliniert. Die ISO 27001 beschreibt, um welche Themen das Unternehmen sich kümmern muss, der BSI Grundschutz führt die To-dos detailliert auf. So gibt der Grundschutz mehr Anleitung und ist hilfreicher für den Einsteiger oder einen Teilzeit-Sicherheitsbeauftragten. Zudem benutzt der Grundschutz inzwischen Normensprache. Was im Grundschutz-Kompendium als "MUSS" gefordert ist, das muss man auch wirklich mindestens umsetzen.

cg: Warum empfehlen Sie die viertägige Schulung zum IT-Grundschutz-Praktiker?

wme: Der IT-Grundschutz ist für Unternehmen und Behörden ein guter Weg in eine sichere Digitalisierung. Die Inhalte der Schulung versetzen den Teilnehmer in die Lage die Aufgaben eines Informationssicherheitsbeauftragten zu übernehmen. Der Lehrstoff ist didaktisch sinnvoll aufbereitet und wird mit viel Praxisbezug interaktiv vermittelt.

cg: Könnte man sich das Know-how zum IT-Grundschutz auch im Selbststudium aneignen?

wme: Definitiv ja – und ebenso definitiv mit einem Vielfachen an Zeit. Ein Selbststudium im normalen Arbeitsalltag ist mühsam. Die externe Schulung ist einfach der effizientere Weg. Und mit der Prüfung zum IT-Grundschutz-Praktiker gibt es sofort eine vorzeigbare Qualifikation.

cg: Bis zu welchem Grad befähigt diese Schulung einen Teilnehmer zur Umsetzung der IT-Grundschutz-Maßnahmen?

wme: Die Grenze liegt beim fachlichen Wissensstand. Um z. B. Sicherheitsmaßnahmen, die einen hohen Schutzbedarf eines IT-Systems abdecken sollen, umzusetzen, muss man sich mit dem System ordentlich auskennen. Genauso wird ein IT-affiner Sicherheitsspezi dankend zurücktreten, wenn es um Brand- und Einbruchschutz von Türen oder um Brandschottungen für Mauerdurchbrüche geht.

cg: Welche Inhalte werden dem Teilnehmer der Schulung "IT-Grundschutz-Praktiker" konkret vermittelt?

wme: Wir gehen sozusagen quer durch den Garten und würzen mit Praxis. Konkret ist die Schulung in sechs Themenblöcke aufgeteilt: Grundlagen der IT-Sicherheit, Einführung in den IT-Grundschutz, Implementierung des IT-Grundschutzes, Zertifizierung und Erwerb des IT-Grundschutz-Zertifikats auf Basis von ISO 27001, Audit-Vorbereitung nach BSI IT-Grundschutz und zum Schluss das Notfallmanagement. Wer es genauer wissen möchte findet Einzelheiten auf den Seiten der SIMEDIA.

cg: Sind die Inhalte aller vom BSI zugelassenen Schulungsanbieter identisch? Welchen Vorteil bietet die Schulung der SIMEDIA Akademie?

wme: Die Inhalte werden hochgradig ähnlich sein, denn das Thema ist bei allen IT-Grundschutz. Unterschiedlich ist der Background der Dozenten. Ich bin z. B. seit über 20 Jahren Sicherheitsberater, das heißt, die praxisorientierte Vermittlung der Inhalte, die das BSI gerne sehen möchte, fällt mir recht leicht. Ich habe schon viel gesehen und viele Fragen beantworten dürfen.

cg: Vielen Dank für das Gespräch.

 

Kontakt zum Interviewpartner:
wme@vzm.de (Werner Metterhausen)

Kontakt zur Interviewerin:
cg@vzm.de (Caroline Glaser)