Die IT-Grundschutz-Zertifizierung des BSI ist einer der anspruchsvollsten Nachweise bezüglich Informationssicherheit, den ein deutsches IT-Unternehmen erbringen kann. Was das Zertifikat für uns und für unsere Kunden bedeutet, lesen Sie hier.
Inhaltsverzeichnis
Was ist IT-Grundschutz?
Der IT-Grundschutz ist ein Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er beschreibt systematisch, wie Organisationen ein Informationssicherheits-Managementsystem (ISMS) aufbauen und betreiben sollen. Anders als rein abstrakte Normen liefert er über 110 konkrete, vorgefertigte Sicherheitsbausteine, gegliedert in zehn Schichten von Anwendungen über Netzwerke bis hin zu industrieller IT.
Der Weg zur IT-Sicherheit erfolgt über drei Stufen: Den Einstieg bildet die Basis-Absicherung, die bereits die wichtigsten Kernanforderungen abdeckt und das Fundament für jedes Zertifikat ist. Darauf setzen die Kern-Absicherung (Fokus auf kritische Assets) und die Standard-Absicherung als vollständige ISMS-Umsetzung auf.
Letztere bildet die Grundlage für die Zertifizierung, die plusserver kürzlich erhalten hat: ISO 27001 auf der Basis von IT-Grundschutz. Während die native ISO 27001:2022 Unternehmen noch einigen Spielraum bei der Umsetzung lässt, schreibt der IT-Grundschutz konkrete MUSS- und SOLLTE-Anforderungen verbindlich vor. Ein Unterschreiten dieses hohen Mindestniveaus ist unmöglich, was diese Zertifizierung besonders aussagekräftig macht.
Cloud-Sicherheit nach BSI-Standard
Damit ist belegt, dass unsere Sicherheitsprozesse sowohl die strengen deutschen BSI-Anforderungen als auch den international anerkannten ISO-27001-Standard erfüllen. Da die Zertifizierung periodisch erneuert wird, besteht für Kunden die Gewissheit, dass unsere Sicherheitsmaßnahmen dauerhaft auf aktuellem Stand sind und das gegenüber einem unabhängigen Prüfer nachgewiesen werden kann.
Warum eigene Sicherheitsmaßnahmen unverzichtbar bleiben
In der Cloud gilt rechtlich und regulatorisch das Prinzip der geteilten Verantwortung (Shared Responsibility Model). Das bedeutet, dass wir die Rechenzentren, die zugrundeliegende Hardware, die Virtualisierungsschichten sowie die von uns betriebenen Managed Services absichern.
Für alles, was Sie in der Cloud betreiben, bleiben Sie selbst verantwortlich. Dazu gehören die sichere Konfiguration Ihrer genutzten Anwendungen, das Identitäts- und Zugriffsmanagement, die Verschlüsselung Ihrer Daten auf Anwendungsebene sowie die Sensibilisierung Ihrer eigenen Mitarbeitenden.
Nützlich für eigene Audits
Für Ihre eigene Compliance-Dokumentation erhalten Sie auf dieser Seite unsere Testate und Zertifikate sowohl für IT-Grundschutz als auch für BSI C5, ISAE 3402 und viele weitere. Sie können diese unter anderem nutzen, um bei ihren eigenen Audits Zeit und Ressourcen zu sparen. Zum Vergleich: Der Aufbau und das Audit für eine eigene Standard-Absicherung nach IT-Grundschutz beansprucht in Unternehmen meist 9 bis 18 Monate und bedeutet hohe externe Kosten. Durch die Nutzung unserer bereits zertifizierten Infrastruktur reduzieren Sie diesen Aufwand für Ihren Verantwortungsbereich.
IT-Grundschutz und NIS2
Die NIS2-Richtlinie stellt Unternehmen vor erhebliche Anforderungen: Risikomanagement, Meldepflichten, Sicherheit der Lieferkette, Zugriffskontrolle. Da IT-Grundschutz die zehn Pflichtbereiche der NIS2-Richtlinie weitgehend abdeckt, können Unternehmen ihren Prüfaufwand reduzieren, wenn sie mit einem nach IT-Grundschutz zertifizierten Partner arbeiten. Die Zertifizierung funktioniert dabei wie ein strukturiertes Sicherheitsgutachten.
Sprechen Sie mit uns über Ihre Anforderungen
Wird Ihre IT-Modernisierung bisher durch Sicherheits- und Compliance-Bedenken ausgebremst? Wir zeigen Ihnen, wie unsere zertifizierte Infrastruktur konkret auf Ihre Anforderungen einzahlt und beraten Sie gerne zur Absicherung Ihrer Daten und Anwendungen in der Cloud.
