Kaum eine Firma kann genaue Aussagen über die Effektivität der Maßnahmen machen, die sie zum Schutz ihrer IT ergriffen hat. Da sich beim heiklen Thema Sicherheit zudem niemand gern in die Karten schauen lässt, bleibt Anwendern oft nichts anderes übrig, als ihren Partnern oder Kunden zu vertrauen. Hier will die herstellerunabhängige Initiative Security for Business (S4B), die Anfang 2003 ins Leben gerufen wurde, Abhilfe schaffen.

Gemeinsam mit Partnern wie T-Systems, Sercon oder dem Bundesverband mittelständische Wirtschaft (BVMW) will S4B ein standardisiertes Verfahren etablieren, das den Status der Sicherheit im Unternehmen dokumentieren und zertifizieren soll. Dabei spielt die IT eine zentrale Rolle, S4B geht jedoch darüber hinaus. Abgefragt und verbessert werden auch Aspekte des physikalischen Schutzes sowie der Katastrophenvorsorge. Damit hebt sich S4B von anderen Zertifizierungen ab, wie sie etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit Partnern bietet und die sich rein auf die IT konzentrieren.

Von einer derartigen Zertifizierung durch eine unabhängige Instanz, kombiniert mit der Vergabe eines Siegels, könnten Unternehmen mehrfach profitieren. Zum einen, da sie so eine neutrale Einschätzung ihrer getroffenen Sicherheitsmaßnahmen erhalten, die durch Empfehlungen ergänzt wird, wie vorhandene Schwachstellen zu beseitigen sind. Außerdem, so die Vorstellung von S4B-Geschäftsführer Erich Zimmermann, wirke sich ein derartiges Zertifikat positiv auf die Kontakte zu anderen Unternehmen aus, da diese nun erstmals ebenfalls eine Möglichkeit hätten, die Sicherheit ihrer Partner einzuschätzen.

Tests richten sich nach Bedürfnis der Anwender

Die Zertifizierung soll in verschiedenen Stufen möglich sein. Die unterste (Basissicherheit) besteht aus einer rund 300 Fragen umfassenden elektronischen Checkliste, die das Unternehmen vollständig ausfüllen muss. S4B wertet diesen Fragenkatalog anschließend aus und kommentiert ihn. Das beinhaltet laut Zimmermann auch konkrete Handlungsanweisungen, wie entdeckte Sicherheitslecks zu beseitigen sind. Weitere Leistungen sind regelmäßige Informationen zu sicherheitsrelevanten Themen, zum Beispiel in Form von Newslettern. Eine Siegelvergabe erfolgt dabei jedoch nicht.

Die gibt es erst ab Stufe zwei. Sie dokumentiert, dass "wichtige zentrale Sicherheitsmaßnahmen vorhanden und geprüft" sind, und beinhaltet neben den Leistungen der Stufe eins unter anderem einen aktiven Penetrationstest der IT-Infrastruktur von außen. Direkt vor Ort werden wichtige Prozesse und Verantwortlichkeiten im Rahmen eines administrativen Audits unter die Lupe genommen. Ist das Gesamtergebnis positiv, dürfen sich die jeweiligen Unternehmen mit dem Siegel "Security for Business" schmücken.

Die Stufe drei schließlich soll professionelle Sicherheitsansprüche demonstrieren. In Ergänzung zu den bereits genannten Maßnahmen finden dazu außerdem noch Penetrationstests innerhalb des Unternehmens statt, zusätzlich kommt eine zentrale IT-Anwendung auf den Prüfstand. Das komplette Sicherheits-Management wird nach Angaben von Zimmermann gemäß ISO17799 beziehungsweise BS7799 gecheckt. Verläuft all das ohne Beanstandungen, erfolgt neben der Vergabe des Sicherheitssiegels eine Zertifizierung von Organisation und Technik durch T-Systems.

Die Überprüfungen sollen jeweils nicht einmalig erfolgen, sondern sind darauf ausgelegt, regelmäßig einmal im Jahr wiederholt zu werden. Da Sicherheit kein ein für allemal zu erreichender Zustand sei, lasse sich nur so ein gleich bleibender Standard einhalten, argumentiert Zimmermann. Deshalb versucht S4B, die Kunden per Abonnement an sich zu binden.

Mit dem Sicherheitsniveau steigt auch der Preis

Die Preise für die Sicherheitsbestätigung sind gestaffelt. Da sich das Angebot in erster Linie an Mittelständler richtet, bietet S4B die Sicherheitstests zu Fixpreisen an. So werden für die erste Stufe 900 Euro pro Jahr fällig. Der Baustein "Standardsicherheit" kostet rund 9500 Euro, wobei diese Summe bei größeren Installationen je nach Anzahl der zu überprüfenden IP-Adressen und der in den Tests zu untersuchenden Standorte auch darüber liegen kann. Jedes Unternehmen kann aber entscheiden, ob es solche zusätzlichen Leistungen benötigt oder nicht.

Wer sich für die höchste Stufe entscheidet, muss einmalig 39500 Euro für die Erstprüfung zahlen, ab dem zweiten Jahr wird eine Gebühr in Höhe von 12500 Euro berechnet. Auch hier können zusätzliche Leistungen den Preis noch in die Höhe treiben. (ave)