com!-Academy-Banner

Ganzheitlicher Schutz vor Angriffen

Orientierungshilfe: ISO/IEC 27001

von - 25.05.2020
Unabhängig davon, ob Firmen ihre IT-Security selbst in die Hand nehmen oder einen Managed-Security-Provider beauftragen, gilt: Sie sollten nicht erst dann handeln, wenn Pro­bleme auftreten oder gar Schäden entstanden sind. Vielmehr ist es das Ziel, Risiken zu minimieren und genau festzulegen, was wann in welcher Situation zu tun ist.
Ein Mittel dazu ist auch der Aufbau eines Information-Security-Management-Systems (ISMS) auf Basis der Norm ISO/IEC 27001. Denn Informationen müssen zuverlässig verfügbar sein und sind vor nicht autorisiertem Zugriff und ungewollter Veränderung zu schützen.
Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Es regelt Verantwortlichkeiten und den Umgang mit Risiken. Die ISO/IEC 27001 beschreibt Maßnahmen, mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Personalsicherheit (unter anderem Security-Awareness-Training), Zugriffskontrolle (zum Beispiel Passwort-Management), Kryptografie, Incident Management oder Kommunikationssicherheit (etwa Netzwerk-Segmentierung). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern und durch regelmäßige Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.
Bettina König
Bettina König
Geschäftsführerin von König Consult
www.koenig-consult-gmbh.de
Foto: Bettina König
„Viele Firmen haben zwar technische Sicherheitsmaßnahmen wie eine Firewall, Antiviren-Software oder Backup-Konzepte umgesetzt, meist aber ohne durchgängige, strukturierte Prozesse.“
„Viele Firmen haben zwar technische Sicherheitsmaßnahmen wie eine Firewall, Antiviren-Software oder Backup-Konzepte umgesetzt, meist aber ohne durchgängige, strukturierte Prozesse“, erklärt Bettina König, Geschäftsführerin von König Consult und ISO 27001 Lead Auditor beim TÜV Süd. Sie hat mittlerweile etwa 40 ISMS in Unternehmen eingeführt und beginnt ihre Beratungsprojekte meist mit einer Analyse zum aktuellen Status des Kunden in Bezug auf Informationssicherheit oder die Anforderungen des IT-Sicherheitskatalogs. Häufiges Ergebnis: „Es gibt keine Dokumentation, kein Notfallkonzept, kein Risikomanagement, kein Monitoring oder keine internen Audits. Ein ISMS fordert solche Konzepte und schließt so diese Lücken.“

Wichtig: Security Awareness

Doch technische und organisatorische Maßnahmen allein genügen nicht. Risikofaktor Nummer eins bei Angriffen auf Unternehmen sind die Mitarbeiter. „Sowohl derzeitige als auch ehemalige Mitarbeiter sind häufig für die erfolgreiche Umsetzung von Angriffen verantwortlich. Dies geschieht meist unabsichtlich. Unwissen und Unaufmerksamkeit werden von Tätern gezielt ausgenutzt und führen in den meisten Fällen zum Ziel. Deshalb sind regelmäßige Mitarbeiterschulungen zu IT-Sicherheitsfragen wichtiger Bestandteil eines adäquaten Schutzes“, betont Teresa Ritter vom Bitkom. Es geht um Sicherheitsbewusstsein, Security Awareness. Entsprechende Trainings sind für eine ganzheitliche IT-Sicherheitsstrategie unerlässlich. Ziel ist es, die Mitarbeiter über Richtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzuklären. Um eine nachhaltige Verhaltensänderung zu bewirken, reichen eintägige Schulungen nicht aus. Security Awareness ist als permanenter Prozess zu verstehen, der jeden Mitarbeiter einbezieht und im Arbeitsalltag immer wieder Situationen schafft, in denen sicheres Verhalten eine Rolle spielt. Sehr hilfreich sind beispielsweise Phishing-Simulationen, die Erfolge und Schwächen von Sicherheits-Awareness-Programmen aufzeigen können. Interessant sind hier auch die Zahlen der eingangs zitierten Bitkom-Studie: Drei Viertel der befragten Unternehmen gaben Schulungen der Mitarbeiter zu IT-Sicherheitsthemen als geeignetste Sicherheitsmaßnahme an.

Fazit & Ausblick

Grundsätzlich gilt: Es gibt keine hundertprozentige Sicherheit. Unternehmen müssen das verbleibende Restrisiko minimieren und genau festlegen, was wann in welcher Situation zu tun ist. Es geht darum, anhand der Geschäftsprozesse Risiken zu bewerten und gezielte Maßnahmen zu definieren und umzusetzen. Orientierung bieten hier Frameworks wie die ISO 27001. Unternehmen sollten sich im Rahmen ihrer Security-Strategie zudem überlegen, wie sie Sicherheit automatisiert umsetzen oder neue Security-Technologien einsetzen wollen. Da jede neue technologische Entwicklung neue Angriffsvektoren mit sich bringt, sind sie gezwungen, ihre Abwehrmaßnahmen fortlaufend zu aktualisieren.
Immer geht es dabei um ein Zusammenspiel von Prozes­sen, Technologien und Menschen. Deswegen gehören zu einer ganzheitlichen Sicherheitsstrategie auch Security-Awareness-Trainings, um ein Bewusstsein für die Risiken zu schaffen.
Aufbau und Inhalte der Norm ISO/IEC 27001
Die internationale Norm ISO/IEC 27001 ist maßgebend für den Aufbau eines Information-Security-Management-Systems (ISMS). Sie ist in drei Teile gegliedert:
Einführende Kapitel 0 bis 3: Nach einem einleitenden Kapitel (0) mit Beschreibung der Mindestanforderungen und der Kompatibilität mit anderen Normen für Managementsysteme folgen die Kapitel Anwendungsbereich, Normative Verweisungen und in Kapitel 3 die Definition der wichtigste Fachbegriffe aus der Welt der Informationssicherheit (Verweis auf die ISO 27000).
Hauptteil mit sieben Normkapiteln 4 bis 10: Diese Kapitel beschreiben das Managementsystem und welche Punkte ein Unternehmen sicherstellen muss, um die eigenen Aktivitäten und Maßnahmen im Bereich Informationssicherheit wirksam zu steuern.
Dazu gehören beispielsweise das Festlegen des Geltungsbereichs (Scope) des ISMS, die Verantwortung des Managements, Risikomanagement, die Bereitstellung von Ressourcen, interne ISMS-Audits, die Managementbewertung und die kontinuierliche Verbesserung des ISMS.
Anhang A: Der normative Anhang A der ISO/IEC 27001 ist ein wichtiges Instrument für den Aufbau eines ISMS und die Zertifizierung. Er beschreibt die Maßnahmenziele und Maßnahmen (Controls), die eine Organisation grundsätzlich umsetzen muss, um ein hohes Maß an Informationssicherheit zu gewährleisten.
Insgesamt umfasst der Anhang A 114 Maßnahmen in 14 Bereichen. Dazu gehören beispielsweise Richtlinien zu Informationssicherheit, Zugriffskontrolle, Kryptografie, Netzwerksicherheit und Incident Management.
Verwandte Themen