Orientierungshilfe: ISO/IEC 27001

Unabhängig davon, ob Firmen ihre IT-Security selbst in die Hand nehmen oder einen Managed-Security-Provider beauftragen, gilt: Sie sollten nicht erst dann handeln, wenn Pro­bleme auftreten oder gar Schäden entstanden sind. Vielmehr ist es das Ziel, Risiken zu minimieren und genau festzulegen, was wann in welcher Situation zu tun ist.

Ein Mittel dazu ist auch der Aufbau eines Information-Security-Management-Systems (ISMS) auf Basis der Norm ISO/IEC 27001. Denn Informationen müssen zuverlässig verfügbar sein und sind vor nicht autorisiertem Zugriff und ungewollter Veränderung zu schützen.

Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Es regelt Verantwortlichkeiten und den Umgang mit Risiken. Die ISO/IEC 27001 beschreibt Maßnahmen, mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Personalsicherheit (unter anderem Security-Awareness-Training), Zugriffskontrolle (zum Beispiel Passwort-Management), Kryptografie, Incident Management oder Kommunikationssicherheit (etwa Netzwerk-Segmentierung). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern und durch regelmäßige Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.

„Viele Firmen haben zwar technische Sicherheitsmaßnahmen wie eine Firewall, Antiviren-Software oder Backup-Konzepte umgesetzt, meist aber ohne durchgängige, strukturierte Prozesse“, erklärt Bettina König, Geschäftsführerin von König Consult und ISO 27001 Lead Auditor beim TÜV Süd. Sie hat mittlerweile etwa 40 ISMS in Unternehmen eingeführt und beginnt ihre Beratungsprojekte meist mit einer Analyse zum aktuellen Status des Kunden in Bezug auf Informationssicherheit oder die Anforderungen des IT-Sicherheitskatalogs. Häufiges Ergebnis: „Es gibt keine Dokumentation, kein Notfallkonzept, kein Risikomanagement, kein Monitoring oder keine internen Audits. Ein ISMS fordert solche Konzepte und schließt so diese Lücken.“

Doch technische und organisatorische Maßnahmen allein genügen nicht. Risikofaktor Nummer eins bei Angriffen auf Unternehmen sind die Mitarbeiter. „Sowohl derzeitige als auch ehemalige Mitarbeiter sind häufig für die erfolgreiche Umsetzung von Angriffen verantwortlich. Dies geschieht meist unabsichtlich. Unwissen und Unaufmerksamkeit werden von Tätern gezielt ausgenutzt und führen in den meisten Fällen zum Ziel. Deshalb sind regelmäßige Mitarbeiterschulungen zu IT-Sicherheitsfragen wichtiger Bestandteil eines adäquaten Schutzes“, betont Teresa Ritter vom Bitkom. Es geht um Sicherheitsbewusstsein, Security Awareness. Entsprechende Trainings sind für eine ganzheitliche IT-Sicherheitsstrategie unerlässlich. Ziel ist es, die Mitarbeiter über Richtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzuklären. Um eine nachhaltige Verhaltensänderung zu bewirken, reichen eintägige Schulungen nicht aus. Security Awareness ist als permanenter Prozess zu verstehen, der jeden Mitarbeiter einbezieht und im Arbeitsalltag immer wieder Situationen schafft, in denen sicheres Verhalten eine Rolle spielt. Sehr hilfreich sind beispielsweise Phishing-Simulationen, die Erfolge und Schwächen von Sicherheits-Awareness-Programmen aufzeigen können. Interessant sind hier auch die Zahlen der eingangs zitierten Bitkom-Studie: Drei Viertel der befragten Unternehmen gaben Schulungen der Mitarbeiter zu IT-Sicherheitsthemen als geeignetste Sicherheitsmaßnahme an.

Grundsätzlich gilt: Es gibt keine hundertprozentige Sicherheit. Unternehmen müssen das verbleibende Restrisiko minimieren und genau festlegen, was wann in welcher Situation zu tun ist. Es geht darum, anhand der Geschäftsprozesse Risiken zu bewerten und gezielte Maßnahmen zu definieren und umzusetzen. Orientierung bieten hier Frameworks wie die ISO 27001. Unternehmen sollten sich im Rahmen ihrer Security-Strategie zudem überlegen, wie sie Sicherheit automatisiert umsetzen oder neue Security-Technologien einsetzen wollen. Da jede neue technologische Entwicklung neue Angriffsvektoren mit sich bringt, sind sie gezwungen, ihre Abwehrmaßnahmen fortlaufend zu aktualisieren.

Immer geht es dabei um ein Zusammenspiel von Prozes­sen, Technologien und Menschen. Deswegen gehören zu einer ganzheitlichen Sicherheitsstrategie auch Security-Awareness-Trainings, um ein Bewusstsein für die Risiken zu schaffen.