IT-Zertifikate gehören zum Standard im Internet und sollten von jedem Webseitenbetreiber eingebunden werden. Was ist das überhaupt genau und welchen Nutzen hat der Besitz eines solchen Zertifikats?
Uwe Gerstenberg: Mit einem IT-Zertifikat weisen Betreiber einer Webseite nach, dass sie bestimmte Sicherheitsanforderungen als Mindestmaß erfüllen. Dabei handelt es sich um einen Prozess, den Betreiber durchlaufen, um ihre Systeme zu härten. Mit einem solchen Zertifikat sorgen Unternehmen und andere Anbieter für Vertrauen, Authentizität und Transparenz bei ihren Adressaten. Es wird nach außen deutlich, dass das Thema IT-Sicherheit ernstgenommen wird, was ein Wettbewerbsvorteil sein kann und natürlich die Aufrechterhaltung der eigenen Systeme sicherstellt.
Wie unterscheiden sich aber Hochschulnoten und IT-Zertifikate?
Uwe Gerstenberg: Ein ausgestelltes IT-Zertifikat belegt die Erfüllung bestimmter Sicherheitsforderungen am Ende eines Zertifizierungsprozesses. Im Gegensatz zur Notenskala gibt es hier keine Einschätzung über den Grad der Erfüllung der Anforderungen. So kann es sein, dass zertifizierte Betreiber die Bedingungen gerade so erreicht oder übererfüllt haben.
Für wen sind die IT-Zertifikate besonders attraktiv und sind diese immer an das System einer Firma oder Hersteller gebunden?
Uwe Gerstenberg: Grundsätzlich sollten alle Anbieter eine IT-Zertifizierung durchlaufen. In vielen Bereichen wird unterstellt, dass Systeme sicher sind. Besonders gilt dies für sensible Bereiche, die auf Verlässlichkeit und Vertrauenswürdigkeit angewiesen sind. Dazu zählt beispielsweise die kritische Infrastruktur. Energieversorger, Krankenhäuser, Supermärkte, Verkehrsbetriebe oder Medienhäuser sind Teil dieser besonders schutzbedürftigen Sektoren und sollten das Thema Cybersicherheit als Teil ihrer Existenzgrundlage begreifen.
IT-Zertifikate sind normalerweise nicht kostenfrei. Über welche Kosten sprechen wir eigentlich und was sind die Unterschiede zwischen den günstigen und eher hochpreisigen Anbietern?
Uwe Gerstenberg: Ein gebräuchlicher Standard ist die Zertifizierung nach der ISO-Norm 27001, die das Informationssicherheitsmanagementsystem (ISMS) eines Anbieters überprüft. Je nach Größe und Struktur einer Organisation geht es hier um einen 12 bis 16-monatigen Prozess, der mit entsprechend vielen Arbeitsstunden verknüpft ist. Dies sorgt für erhebliche Kosten, auch weil in diesen Prozessen oft auffällt, dass bestimmte Grundvoraussetzungen wie ein IT-Notfallplan nicht vorhanden sind. Diese Grundlagen müssen dann zusätzlich geschaffen werden, was den Prozess verlängert und verteuert. Nichtsdestotrotz sind diese Kosten angemessen und sehr niedrig, verglichen mit dem Schaden, der durch erfolgreiche Cyberangriffe entstehen kann. Neben finanziellen Ressourcen geht es dabei nämlich auch um Vertrauen und Renommee.
IT-Zertifikate sind nicht für die Ewigkeit, durch die rasend schnelle Entwicklung von Methoden und Systemen verlieren die Nachweise über Zeit ihren Wert. Worauf sollte man beim Erwerb von einem IT-Zertifikat achten?
Uwe Gerstenberg: Ein Zertifikat ist eine Momentaufnahme, die durch konsequenten Einsatz weitergeführt werden muss. Dazu benötigt man innerhalb der Organisation eine angemessen ausgestattete IT-Abteilung. Beim Erwerb eines Zertifikats sollten Bedarfsträger das Umfeld des IT-Dienstleister genau ansehen und auf mögliche Referenzen in ähnlichen Bereichen achten.