ISMS-Tools als GSTOOL-Alternative
Ausgangslage und Inhalte der betrachteten Studie
Der Support für das GSTOOL des BSI wurde zum Ende des Jahres 2016 aus wirtschaftlichen Gründen eingestellt. Somit sollten alle Anwender bereits ein Nachfolgetool ausgewählt und im Einsatz haben. Für alle Anwender die nach wie vor das GSTOOL des BSI nutzen, kann die im Folgenden betrachtete Studie als Entscheidungshilfe dienen.
Am Markt sind eine Vielzahl von ISMS-Tools als Alternative zum GSTOOL vertreten. Für diese Studie wurden die Produkte von acht Herstellern analysiert. Zur besseren Vergleichbarkeit wurde das GSTOOL ebenso in die Studie mit einbezogen. Dabei mussten die Hersteller Fragenkataloge mit den wichtigsten Anforderungen beantworten. Diese wurden anschließend zusammen mit den Ergebnissen eines Anwendungstest durch ein Team von Grundschutz und Informationssicherheitsexperten ausgewertet.
Ergebnisse der Studie zu ISMS-Tools als GSTOOL-Alternative
Schließlich wurde nach Auswertung der Fragebögen und Ergebnisvalidierung mittels Produkttests unter anderem ibi systems iris die Eignung als ISMS-Tool in heterogenen und geografisch verteilten Umgebungen attestiert und als sehr empfehlenswert eingestuft. Weitere Details können ferner den aufgeführten Grafiken weiter unten in diesem Beitrag entnommen werden.
Im Folgenden sind die Kriterien kurz aufgelistet und in Stichpunkten erläutert, die im Fragebogen berücksichtigt wurden:
Systemvoraussetzungen
- Clients
- Server
- Datenbanken
Benutzbarkeit (Usability)
- Mehrbenutzerfähigkeit
- Mandantenfähigkeit
- Integriertes Berechtigungssystem
- Netzwerkfähigkeit
- Offlinefähigkeit
- Mehrsprachigkeit
- Modellierung von IT-Verbünden
Risikoanalyse
- Konfiguration der Schutzbedarfskategorien
- Manuelle Anpassung des vererbten Schutzbedarfs
IT Grundschutz (BSI)
- Importierbarkeit der Grundschutz-Kataloge
- Erstellung eigener Bausteine, Gefährdungen und Maßnahmen
- Dokumentation Basis-Sicherheitscheck
ISO 27001
- Nativer Support
- Parallel/alternatives Arbeiten nach ISO 27001 (Controls implementierbar etc.)
ISMS Managementprozesse und Workflows
- DMS und Versionierung
- Integration anderer Tools (z. B. Vulnerability Scanner)
Reporting
- Reporting-Funktion mit individuell konfigurierbaren Reports
- Import-/Exportfunktion (Microsoft Office kompatibel)
Fazit
Das ISMS-Tool ibi systems iris überzeugte schließlich in der Studie. Darüber hinaus kamen bis heute viele weitere Funktionen in der Software ibi systems iris hinzu. Dabei wurde insbesondere zum Thema Reporting eine umfangreiche und vom Kunden individuell konfigurierbare Reporting-Engine integriert. Damit ist folglich die Erstellung eigener Reportingvorlagen über die Benutzeroberfläche möglich. Somit ist anzunehmen, dass das Kriterium sieben („REPORTING“) heute eine noch höhere Bewertung erzielen würde.
Es wurde aber auch deutlich, dass die untersuchten ISMS-Tools in den Bewertungskategorien heterogene Stärken und Schwächen aufweisen. Eine eindeutige Empfehlung für ein Produkt ist daher nicht möglich. Die Ergebnisse erlauben jedoch GSTOOL-Nutzern, ein für ihre Bedürfnisse geeignetes Produkt zu ermitteln. Somit bestimmen die individuellen Anforderungen der Nutzer, welche ISMS-Tools zum Einsatz kommen sollten.
____________________
Quellen:
- BSI (2015): GS-TOOL Quo Vadis? – Evaluation von ISMS Alternativen, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/3GS_Tag_2015/04_Rehaeusser_GSTOOL.html, Abfrage: 17.03.2020, 09:37 Uhr.
- CSC Deutschland GmbH (2015): GSTOOL QUO VADIS? EVALUATION VON INFORMATION SECURITY MANAGEMENT SYSTEM TOOLS ALS GRUNDSCHUTZ TOOL ALTERNATIVEN.