CeBIT 2006: NIFIS mit neuestem Zertifizierungsverfahren für die Wirtschaft Halle 1 Stand F33

NIFIS-Siegel: Unternehmen erhalten ohne großen Aufwand in Anlehnung an ISO/IEC 27001 entwickeltes Sicherheitssiegel

Frankfurt am Main, 8. März 2006 - Die Nationale Initiative für Internet-Sicherheit (NIFIS) präsentiert pünktlich zur diesjährigen CeBIT das neue Sicherheitssiegel für die Wirtschaft. Das NIFIS-Siegel ist der erste Baustein eines umfassenden dreistufigen Prozesses, welchen das Kompetenzzentrum für IT-Sicherheit entwickelt hat, um die Vertraulichkeit, Verfügbarkeit und Integrität von geschäftskritischen Daten in digitalen Unternehmensnetzwerken zu fördern und sicherzustellen. Entwickelt wurde das NIFIS-Sicherheitssiegel in Anlehnung an die bewährte ISO/IEC 27001-Zertifizierungsmethode und richtet sich primär an die mittelständische Wirtschaft.

Das NIFIS-Siegel adressiert gleichermaßen all die Unternehmen, die sich heute noch nicht mit dem Thema Zertifizierung von Internet- und Informations-Sicherheit auseinander setzen, sowie auch solche Betriebe, die langfristig eine Zertifizierung nach ISO/ IEC 27001 anstreben und den Reifegrad ihrer Systeme und Prozesse überprüfen möchten.

Mit dem NIFIS-Siegel gehen Unternehmen den ersten Schritt in eine sichere Zukunft, indem sie eine Selbstüberprüfung durchführen und den Umfang der eingesetzten Sicherheitsvorkehrungen kritisch aus technischem und organisatorischem Blickwinkel betrachten. Gegenüber anderen Selbstaudits wurde das NIFIS-Siegel in Anlehnung an den anerkannten ISO/IEC 27001-Standard konzipiert und deckt somit alle wesentlichen Bereiche ab. "Ziel ist es, im Rahmen einer Freiwilligen Selbstkontrolle für Internet- und Informations-Sicherheit mit geringem Aufwand die Basis für einen erhöhten Schutz zu legen. Dabei sollen im ersten Schritt innerbetriebliche Lücken und Mängel in den eingesetzten Sicherheitssystemen und Prozessen aufgedeckt werden, um anschließend geeignete Maßnahmen zur Schließung dieser Lücken ergreifen zu können, die auf anerkannten Standards basieren" sagt Brad Chapman, NIFIS-Vorstand sowie Partner und Certified Information Security Manager (CISM-ISACA) bei KPMG, der maßgeblich an der Entwicklung des NIFIS-Siegels beteiligt war. "Nicht nur im Hinblick auf die Sicherheit der Daten sondern auch im Zusammenhang mit den Richtlinien zur Kreditvergabe gemäß Basel II und der persönlichen Haftung von Geschäftsführern und Vorständen, die beispielsweise im KonTraG geregelt ist, sollte jedes Unternehmen ein gesteigertes Interesse an einer maximalen Informations-Sicherheit haben."

Mitglieder der Nationalen Initiative für Internet-Sicherheit können sich kostenlos um das Siegel bewerben. Für Nichtmitglieder liegen die Kosten mit € 150,00 in einem absolut überschaubaren Rahmen. Das Bewerbungsverfahren beginnt mit dem Selbstaudit. Der Antragsteller muss 82 Fragen, die sich auf 11 Kapitel aufteilen, zur Sicherheit in seinem Unternehmen beantworten. Inhaltlich befassen sich die Fragen mit allen relevanten Themen aus den Bereichen organisatorische Sicherheit, logische Sicherheit, technische Sicherheit und physikalische Sicherheit. Nach Auswertung durch ein Experten-Gremium, dem NIFIS-Siegelrat, erhält jeder Bewerber basierend auf den Ergebnissen eine Analyse.

Im Falle des Bestehens bekommt das Unternehmen zusätzlich eine Urkunde überreicht und darf zwölf Monate in der Unternehmenskommunikation das NIFIS-Siegel führen. "Mit dem Selbstaudit können Lücken und Mängel aufgedeckt werden, die dem Unternehmen zuvor nicht bekannt waren. Durch die Schließung dieser Lücken kann die Sicherheit im Unternehmen nachhaltig erhöht werden", so Peter Knapp, Vorstandsvorsitzender der NIFIS. "Außerdem ist es in Zeiten hoher Internet-Kriminalität essentiell, aber leider immer noch nicht selbstverständlich, ausreichende Vorkehrungen zu treffen und implementierte Sicherheitssysteme sowie -abläufe permanent zu überprüfen. Deshalb sollten sich "sichere Unternehmen" dies durch das NIFIS-Siegel bestätigen lassen und ihren Wettbewerbsvorteil auch kommunizieren."

Das NIFIS-Siegel ist die erste Stufe im Prozess zur Zertifizierung gemäß des anerkannten Standards ISO/ IEC 27001, der aus Sicht von NIFIS derzeit höchsten Zertifizierung in diesem Bereich. Bei der zweiten Stufe des Prozesses, die NIFIS in den nächsten Monaten präsentieren wird, handelt es sich um eine Vor-Ort-Validierung, die in Form einer Auditierung durchgeführt werden soll. Die Validierungsergebnisse werden in einem Bericht strukturiert dargestellt und mit dem auditierten Unternehmen abgestimmt. Mit der Validierung soll sichergestellt werden, dass auf Seiten des Unternehmens alle Maßnahmen getroffen wurden, die für eine erfolgreiche ISO/ IEC 27001-Zertifizierung nötig sind.

---