ISO/IEC 27001: IT-Sicherheit mit System

Auch KMUs brauchen effiziente Prozesse, um sich zu schützen. Basis dafür ist ein Information Security Management System (ISMS). [...]

(c) pixabay.com

Die Zahl der Cyberattacken kennt nur eine Richtung – nach oben. Laut Trend Micro stieg die Zahl der Angriffe im Jahr 2020 gegenüber 2019 um 20 Prozent auf über 62,6 Milliarden. So erkannte und blockierte das Unternehmen im vergangenen Jahr 119.000 Attacken pro Minute. Und laut der IDC-Studie „Cyber Security 2020+“ wurden 2020 78 Prozent der befragten deutschen Unternehmen erfolgreich attackiert. Die Top-5-Risiken sind Phishing, Malware, fahrlässige Anwender, fehlende Updates/Patches und Ransomware. Das Problem: IT-Sicherheit erhält laut IDC immer noch nicht die notwendige Aufmerksamkeit.

Das bestätigt Adrian Lambeck, Geschäftsführer der Security-Beratung Optimabit aus München: „Viele unserer Kunden sind zwar in puncto IT-Sicherheit technisch relativ gut mit Standardlösungen aufgestellt, es fehlt aber ein durchgängiges Sicherheitskonzept. Die Verantwortlichen wissen oft nicht genau, wo ihre eigentlichen Risiken liegen.“

Dadurch komme es zu einer Lücke zwischen der wahren Risikosituation im Unternehmen und den umgesetzten Sicherheitsmaßnahmen. „Da die Konsistenz fehlt, entstehen im schlimmsten Fall Sicherheitsprobleme“, so Lambeck weiter. Ein Beispiel: Die Geschäftsführung sieht das größte Risiko für die Informationssicherheit beim Online-Shop, die IT-Abteilung hingegen im ERP-System. Die IT-Abteilung legt den Fokus für die Absicherung dann wohl eher auf das ERP-System als auf den Online-Shop, da dafür zudem ein externer Dienstleister zuständig ist.

IT-Sicherheit mit System

Solche Lücken oder Inkonsistenzen verhindert der Aufbau eines Information Security Management Systems (ISMS) auf Basis der Norm ISO/IEC 27001. Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Denn Informationen müssen zuverlässig verfügbar sein, da die meisten Geschäftsprozesse mittlerweile digitalisiert sind. Zudem sind sie vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) zu schützen.

Ein ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Krypto­grafie, Incident Management, Personalsicherheit (unter anderem Security-Awareness-Training) oder Zugriffskontrolle (zum Beispiel Einschränkung von Zugriffsrechten). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.

Für die Betreiber kritischer Infrastrukturen (KRITIS), sprich Branchen wie Energie- und Wasserversorgung oder Gesundheit, ist der Aufbau eines ISMS seit 2016 mit dem IT-Sicherheitsgesetz Pflicht. Ein Treiber sind Anforderungen von Firmen, die von Lieferanten eine ISO-27001-Zertifizierung verlangen. Doch lohnt sich der Aufbau eines ISMS grundsätzlich, also auch für kleine und mittlere Unternehmen?

Wichtige Aspekte beim Aufbau eines ISMS

Auf dem Weg zum ISMS sollten Organisationen folgende Punkte berücksichtigen:

  • ISMS ist Chefsache: Geschäftsführung und Top-Management müssen den Aufbau und Betrieb eines ISMS unterstützen
  • Verantwortlichkeiten und Zuständigkeiten für den Aufbau des ISMS klar definieren
  • Anwendungsbereich (Scope) des ISMS festlegen
  • Asset-Inventarisierung (Welche Werte hat das Unternehmen?)
  • Risikobewertung: Welche Themen bringen das größte Risiko für die Geschäftsprozesse?
  • Maßnahmenliste (Risikobehandlungsplan) und Statement of Applicability: Mit welchen Maßnahmen (Controls) erhöhen wir die Informationssicherheit?
  • Internes Audit mit anschließender Managementbewertung
  • Zertifizierungs-Audit (alle drei Jahre)
  • Regelmäßige Überprüfung durch interne und externe Audits
  • Grundsätzlich: Dokumentation der Richtlinien, Verfahren, Prozesse oder Maßnahmen

ISMS für jede Firma sinnvoll

„Ich würde diese Frage mit einem klaren Ja beantworten. Entscheidend ist nicht die Größe, sondern das Risiko, das ich als Unternehmen habe. Ein ISMS ist grundsätzlich für jede Organisation sinnvoll, die sensible und schützenswerte Daten verarbeitet, deren Verlust hohe Schäden mit sich bringt – unabhängig von gesetzlichen Vorgaben und Kundenanforderungen“, erklärt Jürgen Bayer, Geschäftsführer bei der IT-Beratung Lösch und Partner. Er rät Firmen, ihr ISMS extern prüfen zu lassen, am besten mit einer Zertifizierung, auch wenn dafür zusätzliche Kosten anfallen.

Firmen sollten daher ein ISMS nicht als reinen Kostenfaktor sehen, sondern als Chance, dadurch die Risiken für die Informationssicherheit systematisch zu minimieren und die Verfahren und Maßnahmen festzulegen, was wann in welcher Situation genau zu tun ist. Dazu Jürgen Bayer: „Informationssicherheit wird im Zuge der weiteren Digitalisierung immer wichtiger und sollte zum Bestandteil der Unternehmensstrategie werden. Eine Zertifizierung nach ISO 27001 kann dann auch zum Wettbewerbsvorteil werden.“ Kleinen und mittleren Firmen, die kein Zertifikat für ihr ISMS benötigen oder wollen, empfiehlt er, sich an der ISO 27001 als Leitfaden zu orientieren.

Pragmatischer Ansatz

Die ISO 27001 ist aber relativ umfangreich und legt auch keine Standardmethode für den Aufbau und Betrieb eines ISMS fest. Hier können sich Unternehmen schnell verzetteln, zumal ein Managementsystem komplexer umzusetzen ist als reine IT-Security-Maßnahmen. Ohne externe Beratung wird das schwierig. „Viele Firmen ohne entsprechende Erfahrung tendieren dazu, beim Aufbau eines ISMS mehr Schritte zu machen als notwendig, oder sie haben den späteren Nutzen nicht direkt im Auge. So können schnell erhöhte regelmäßige Kosten für Pflege und Weiterentwicklung des Systems entstehen. Gefragt ist hier ein pragmatischer Ansatz, insbesondere für kleinere Unternehmen“, erklärt Sebastian Linder, Management Consultant bei der Unternehmensberatung Leitwerk Consulting.

Um einen ersten Einstieg zu finden, sollten Firmen seiner Meinung nach zumindest die grundsätzlichen über die Risikoanalyse definierten Anforderungen umsetzen. Das heißt: Das ISMS sollte so angepasst werden, dass es die Kernanforderungen an Informationssicherheit erfüllt und lebbar ist. Zur Basis gehören laut Linder Themen wie die Absicherung mit regelmäßigen Patches, Backup-Strategien, Identity und Access Management, Business Continuity Management mit Notfallplänen und Security-Awareness-Schulungen bei den Mitarbeitern.

„Der angemessene und pragmatische Aufbau eines ISMS umfasst zudem die Dokumentation und Beschreibung der Richtlinien, Prozesse, Verfahren und Maßnahmen, mit denen Firmen die Informationssicherheit erhöhen. Ich empfehle unseren Kunden, das ISMS auf Basis der ISO 27001 möglichst ohne zeitlichen Druck schrittweise aufzubauen und am Ende zertifizieren zu lassen“, so Linder.

Eine Alternative zur ISO 27001 könnte der Standard ISIS12 sein. Er bietet in zwölf Schritten klare Handlungsanweisungen für mehr Informationssicherheit, die sich an ISO 27001 orientieren. ISIS12 lässt sich im Prinzip auch ohne externe Beratung umsetzen. Das Zertifikat ist aber bislang noch wenig anerkannt und eher für interne Zwecke geeignet. Es erleichtert aber den Übergang zur ISO 27001, wenn Firmen einen höheren Schutzbedarf erkennen.

ISIS12 – eine abgespeckte Version der ISO 27001

Der Standard ISIS12 bietet in drei Phasen und zwölf konkreten Schritten klare Handlungsanweisungen für eine höhere Informationssicherheit, die sich allerdings klar an den Inhalten der ISO 27001 orientieren.

  • Initialisierungsphase: Erstellen der Leitlinie (Schritt 1) und Sensibilisierung der Mitarbeiter (2)
  • Aufbau- und Ablauforganisation: Aufbau eines Teams für Informationssicherheit (3), Festlegen der IT-Dokumentationsstruktur (4) und Einführung eines Prozesses für IT-Service-Management (5)
  • Entwicklung und Umsetzung ISIS12-Konzept: Kritische Applikationen identifizieren (6), IT-Struktur analysieren (7), Sicherheitsmaßnahmen modellieren (8), Soll-Ist-Vergleich (9), Maßnahmen umsetzen (10), Internes Audit (11) und Revision (12).

Scope festlegen

Zentral für den Erfolg des ISMS ist die Unterstützung der Geschäftsführung. „Informationssicherheit ist Chefsache. Das oberste Management legt nicht nur die Leitlinie für Informationssicherheit fest oder gibt das ISMS letztendlich frei, sondern stellt vor allem die notwendigen Ressourcen und finanziellen Mittel bereit“, erläutert Jürgen Bayer von Lösch und Partner. Am Anfang des ISMS-Projekts steht meist eine Gap-Analyse, ein Soll-Ist-Abgleich mit den Forderungen der ISO 27001. Was ist schon vorhanden? Was fehlt noch? Anschließend oder parallel dazu erfolgt die Kontextanalyse zu Geschäftsmodell und Umfeld des Unternehmens, den gesetzlichen Anforderungen, Interessen der Kunden, Risiken und so weiter. Daraus ergibt sich der Anwendungsbereich des ISMS, sein Scope.

„Der Anwendungsbereich des ISMS kann ein Standort, eine Abteilung oder das komplette Unternehmen sein, die IT-gesteuerte Leitstelle bei Stromversorgern oder eine Software wie das ERP-System. Letzteres birgt hohe Risiken, da dort sensible Finanz- und Kundendaten gespeichert sind“, sagt Optimabit-Geschäftsführer Adrian Lambeck.

Risikobewertung, Maßnahmen und Audit

Ein wichtiger Schritt hin zum ISMS ist die Inventarisierung der Assets, also der Werte im Unternehmen wie Informationen, Anlagen, Hardware, Software, Mitarbeiter oder Reputation. Danach folgen die Analyse und Bewertung der Risiken für die Werte und den Geschäftsbetrieb – nach Eintrittswahrscheinlichkeit und Schadenshöhe (meist Stufe 1–4) sowie Kriterien wie „Akzeptabel“ oder „Katastrophal“.

„Im folgenden Risikobehandlungsplan legen die ISMS-Verantwortlichen fest, wie ihr Unternehmen mit diesen Risiken umgeht und mit welchen Maßnahmen es seine Assets vor Missbrauch schützt. Orientierung bieten hier die 114 Maßnahmen in Anhang A der ISO 27001“, erläutert Adrian Lambeck den nächsten Schritt. Ergebnis ist die Erklärung zur Anwendbarkeit der Maßnahmen, das Statement of Applicability (SoA). „Das SoA beschreibt, welche Maßnahmen die Firma warum umgesetzt oder ausgeschlossen hat, um die Risiken zu minimieren. Hier sind nicht alle Maßnahmen sofort umzusetzen, sondern nur diejenigen, die die größten Risiken abmildern“, so Lambeck weiter.

Anschließend folgen das interne Audit, um zu prüfen, ob das ISMS die Vorgaben der ISO 27001 erfüllt, die Bewertung und Freigabe des ISMS durch die Geschäftsführung und am Ende die ISO-27001-Zertifizierung. Diese gilt für drei Jahre. Hier erfolgt bis zum nächsten Zertifizierungs-Audit jedes Jahr ein externes Überprüfungs-Audit, dem erneut ein internes Audit vorausgeht. Diese internen und externen Audits stehen für den PDCA-Zyklus (Plan – Do – Check – Act) und die kontinuierliche Verbesserung.

„Ein ISMS, das nicht weiterentwickelt wird, schafft sich selbst ab. Informationssicherheit ist ein langfristiger Prozess. Es ist wichtig, die Mitarbeiter auf diese Reise mitzunehmen und ihnen den Sinn der Maßnahmen zu erläutern“, betont Jürgen Bayer. „Sie müssen das ISMS akzeptieren und in ihrem Berufsalltag leben, selbst wenn sie im Vergleich zu vorher mehr Sicherheitsregeln einhalten müssen. Nur dann reduziert ein ISMS die Risiken und schafft den Rahmen für eine höhere Informationssicherheit in Unternehmen.“

„Informationssicherheit ist kein Sprint, sondern ein Dauerlauf“

Tobias Damasko Prokurist und Leiter
IT-Sicherheit & Consulting bei
aigner business solutions
(c) aigner business solutions

Tobias Damasko ist Prokurist und Leiter IT-Sicherheit & Consulting bei aigner business solutions. Im Interview mit com! professional erklärt er, warum sich der Aufbau eines Information Security Management Systems lohnt und worauf Firmen dabei achten sollten.  

com! professional: Herr Damasko, die Zahl der Angriffe auf Unternehmen nimmt zu. Um kritische Informationen besser zu schützen, bietet sich der Aufbau eines Information Security Management Systems (ISMS) an. Brauchen auch kleine oder mittlere Unternehmen ein ISMS?  

Tobias Damasko: Jedes Unternehmen sollte sich mit dem Thema Informationssicherheit beschäftigen, unabhängig von seiner Größe. Ein ISMS sichert den Fortbestand des Unternehmens und schafft eine Kultur des Vertrauens, weil es das Risikomanagement als zentrales Element etabliert. Was bedroht mein Unternehmen? Firmen sollten sich diese Frage stellen und Pläne entwickeln, wie sie mit potenziellen Bedrohungen umgehen.

Häufig kommt der Druck inzwischen durch regulatorische Vorgaben von außen. Betreiber kritischer Infrastrukturen (KRITIS) etwa in der Energieversorgung sind durch das IT-Sicherheitsgesetz verpflichtet, ein ISMS aufzubauen. Ein weiterer wichtiger Treiber sind Vorgaben von Firmen, die eine Auftragsvergabe an eine ISO-27001-Zertifizierung knüpfen.

com! professional: Lohnt sich der Aufbau eines ISMS auch ohne Zertifizierung? Schließlich ist ein Zertifikat mit nicht geringen Kosten verbunden.  

Damasko: IT-Security und Informationssicherheit müssen durchgängig im Unternehmen verankert sein. Ziel des ISMS ist es, das schwächste Glied in der Sicherheitskette zu erkennen, alle Prozesse auf ein möglichst einheitliches Niveau zu bringen sowie eine Sicherheitskultur im Unternehmen zu verankern. Je höher der Reifegrad der IT- und Informationssicherheit, desto geringer ist das Risiko, erfolgreich angegriffen zu werden.

Ein ISMS liefert grundsätzlich einen großen Mehrwert, da es die sicherheitsbezogenen Prozesse optimiert. Es bietet zwar keine 100-prozentige Sicherheit, reduziert aber die Risiken und bildet mit Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Die Zertifizierung durch eine externe Stelle ist grundsätzlich sinnvoll, da sie belegt, dass in einem Unternehmen IT-Security und Informationssicherheit gelebt werden und diese durch jährliche Re-Audits durch externe Prüfer nachgewiesen werden.

com! professional: Wie lange dauert der Aufbau eines ISMS auf Basis der ISO 27001?

Damasko: Der Aufbau eines ISMS dauert im Regelfall zwischen sechs Monaten und eineinhalb Jahren, abhängig von der Größe des Unternehmens, dem festgelegten Anwendungsbereich (Scope) des ISMS, den verfügbaren Ressourcen und der Zeit, die sich die Verantwortlichen abseits des Tagesgeschäfts für das Projekt nehmen können.

com! professional: Welche Herausforderungen und Fallstricke gibt es bei der Umsetzung und beim Betrieb eines ISMS?

Damasko: Ein ISMS ist kein einmaliges IT-Projekt, das nach der Zertifizierung vorbei ist. Oder anders ausgedrückt: Informationssicherheit ist kein Sprint, sondern ein Dauerlauf. Ein ISMS muss im Unternehmen gelebt und kontinuierlich verbessert werden. Der Erfolg steht und fällt mit der Geschäftsführung. Sie muss die Sicherheitsvorgaben für das Unternehmen definieren und auch von den Mitarbeitern einfordern. Ein spezieller Informationssicherheitsbeauftragter wacht über die Einhaltung des ISMS und sorgt für die Verbesserung. Seine Aufgabe ist es, IT-Sicherheit „sexy“ zu machen und passende Maßnahmen zu finden, um das ISMS zu leben.

com! professional: Gibt es für kleine Mittelständler oder Kommunen Alternativen zur ISO 27001?  

Damasko: Eine Vorstufe und Art kleine Schwester der ISO 27001 ist die ISIS12. Sie ist an die ISO 27001 angelehnt, stellt weniger Anforderungen und bietet zwölf klare Handlungsschritte zur Einführung, mit denen Unternehmen oder auch Behörden die Informationssicherheit einführen oder verbessern können. Die Zertifizierung ist allerdings bislang nur wenig verbreitet und eher als erster Schritt zur ISO27001 zu sehen. Kunden, die bei uns nach der ISIS12 fragten, sind am Ende meistens bei der ISO 27001 gelandet, weil diese einfach eine international und branchenübergreifend anerkannte Zertifizierung darstellt.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*