Dass IT- und Datensicherheit zu den Grundsätzen eines jeden Unternehmens gehört, sollte ein ganz selbstverständlicher Standard sein. Corona und Meldungen über Datenpannen zeigen jedoch, dass dies häufig nicht der Fall ist oder Sicherheit von Informationen, Daten und IT nur in abgeschotteten Abteilungen gedacht und gelebt wird. Gekapseltes Wissen in Abteilungen und Köpfen gewährleistet IT- und Datensicherheit im Allgemeinen, aber eben nicht unternehmensweit. Genau hier setzt die ISO Zertifizierung 27001 an - unternehmensweites IT- und Informationssicherheitsdenken.

Dabei bedeutet IT- und Informationssicherheit nicht nur, dass die IT-Infrastruktur vor Fremdzugriffen geschützt ist, sondern vor allem, dass das Unternehmen und die Mitarbeiter operativ und strategisch Sicherheit denken. Kurz gesagt, besteht die ISO zum einen aus dem Thema IT-Sicherheit der Daten innerhalb der IT-Infrastruktur, aber zum anderen aus der Informationssicherheit. Und das betrifft das komplette Unternehmen.

 

Informationssicherheits-Managementsystem (ISMS)

Dabei bildet das aufgebaute Informationssicherheits-Managementsystem, kurz ISMS, das Herz der ISO Zertifizierung 27001. Das ISMS erfasst alle Richtlinien, Prozesse sowie Verfahren und bildet die Grundlage für ein lebbares Sicherheits- und Risikoverständnis im Unternehmen. Es umfasst dabei nicht nur organisatorische Einheiten, sondern ermittelt, welche Risiken für Informationen bestehen und mit welchen Schutzmaßnahmen oder anderen Methoden Informationsrisiken kontrolliert werden können. Im ISMS werden demnach die Schutzmaßnahmen für die Risikominderung und -behandlung dokumentiert. 

Das ISMS ist kein abgeschlossener Prozess, sondern muss fortlaufend auf die Wirksamkeit kontrolliert und verbessert werden. Neben dem Maßnahmenkatalog werden im ISMS somit auch das kontinuierliche Monitoring und die kontinuierliche Verbesserung festgehalten.

 

Vertraulichkeit, Integrität und Verfügbarkeit

Ziel all dieser Maßnahmen, Vorschriften und Richtlinien ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Werten und Informationen im Unternehmen zu gewährleisten. Auf diese drei Eckpfeiler lassen sich alle Überlegungen, Umsetzungen und Maßnahmen zurückführen, insbesondere hinsichtlich der Risikobewertung.

Dabei versteht man unter Vertraulichkeit, dass nur befugte Personen das Recht haben, auf Informationen zuzugreifen. Von Integrität spricht man, wenn nur befugte Personen diese Informationen ändern können. Zuletzt definiert die Verfügbarkeit, dass die Informationen den befugten Personen jederzeit zugänglich sein müssen, wenn diese benötigt werden.

 

Bürokratie der Sicherheit

Die ISO Zertifizierung 27001 wirkt im ersten Moment wie ein Bürokratiemonster, gerade für ein FinTech-Startup. Mit der richtigen Herangehensweise kann aus dem Monster aber ein hilfreiches Heinzelmännchen werden. Gerade bei der Implementierung sollte man darauf achten, dass die ISO wirksam, aber pragmatisch umgesetzt wird. Dies bedeutet, dass der Maßnahmenkatalog und die Richtlinien zur Kultur des Unternehmens passen und realitätsnah am Anwender umgesetzt werden. Daraus lassen sich zwei wichtige Punkte ableiten: Zum einen sollte die Dokumentation einfach, verständlich und kurz sein. Zum anderen funktioniert das ISMS nur mit der Einsicht und dem Verständnis der Mitarbeiter.


Die ISO Zertifizierung 27001 - ein Bürokratiemonster?
Sisyphus lässt grüßen: Zertifizierung nach ISO 27001

 

Risikobewertung und Sicherheit

Die Vorgaben der ISO Zertifizierung 27001 sind in zwei Teile aufgeteilt. Hierbei unterscheidet man zwischen dem Hauptteil, welcher aus 11 Klauseln (0 bis 10) besteht und dem Anhang A. 

Der obligatorische Teil für die Umsetzung der ISO befindet sich in den Klauseln vier bis zehn, in denen die Anforderungen festgelegt werden, die ein Unternehmen erfüllen muss, um die Wirksamkeit des ISMS nachzuweisen.

Obligatorische Klauseln

In der Klausel 4 wird der Kontext des Unternehmens und der Wirkungskreis des ISMS festgelegt. Darauf folgt in der Klausel 5 die Benennung der Verantwortlichen und die Verankerung des ISMS im Management. Die Klauseln 6, 7 und 8 fassen die Themen Planung, Unterstützung und Betrieb zusammen und können als Kern der Risikobewertung der Informationen verstanden werden. 

Hierbei geht es um die Zusammenfassung aller Werte und Informationen des Unternehmens, um eine Risikobewertung hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit durchzuführen. Daraus werden die Risikobehandlungen und -minderungen abgeleitet, welche vor allem im Anhang A zu finden sind. 

Abgeschlossen wird der Hauptteil mit den Bereichen Monitoring (Klausel 9) und kontinuierliche Verbesserung (Klausel 10).

Unterstützende Kontrollen in Anhang A

Die Liste an Kontrollen im Anhang A kann als unterstützendes Beiwerk für die Erreichung der obligatorischen Maßnahmen verstanden werden. Wenngleich diese Kontrollen nicht vorgeschrieben sind, werden die meisten Richtlinien im Rahmen des Risikomanagementprozesses ausgewählt und implementiert. Hierbei werden vor allem die Anhänge A.5 bis A.18 umgesetzt.


Anhang A5. Informationssicherheitsrichtlinie

Unterstützt die Klausel 5 und gibt den allgemeinen Rahmen, indem Informationssicherheit im Unternehmen umgesetzt werden soll unter der Berücksichtigung von organisatorischen Anforderungen und gesetzlichen Regularien.


Anhang A6. Organisation der Informationssicherheit

Diese Kontrolle bildet das Rahmenwerk für die Umsetzung und Steuerung der Informationssicherheit im Unternehmen und allen betroffenen Parteien. Zusätzlich wird der operativen Umgang und die Arbeit mit mobilen Endgeräten vorgeschrieben.

Anhang A7. Personalsicherheit

In dieser Richtlinie wird der komplette Prozess vom potentiellen Mitarbeiter, aktuellen Mitarbeiter bis zum ausscheidenden Mitarbeiter dokumentiert sowie die Themen Informationssicherheitsschulungen und Disziplinarverfahren. 

Anhang A8. Verwaltung der Werte

Durch diese Kontrolle sollen einerseits die Werte des Unternehmens identifiziert und andererseits ein dezidierter Verantwortlicher für jeden Wert festgelegt werden. Darüber hinaus wird an dieser Stelle die Informationsklassifizierung hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität für die Risikobewertung festgelegt. Diese Norm ist maßgeblich für die Klauseln 6, 7 und 8.

Anhang A9. Zugangssteuerung

Diese Norm behandelt die Identitäts- und Zugangskontrolle und legt die Zugangskontrollpolitik fest.

Anhang A.10 Kryptographie

Mit der Kontrolle der Kryptographie soll sichergestellt werden, dass es einen wirksamen Schutz für die Vertraulichkeit, Authentizität und Integrität der Informationen durch kryptographische Algorithmen oder Verschlüsselungen gibt. 

Anhang A.11 Physische und umgebungsbezogene Sicherheit

Über diese Norm soll realisiert werden, dass es zu keinem unbefugten Zutritt in informationsverarbeitenden Einrichtungen kommt. Dies gilt gleichermaßen für die Informationen an sich.

Anhang A.12 Betriebssicherheit

Die Betriebssicherheit beinhaltet eine breit gefächertes Sortiment an Kontrollen für die Sicherstellung dieser Norm. Darunter finden sich Punkte wie betriebliche Verfahren und Zuständigkeiten, Malware-Nutzung, Backup-Prozesse, Monitoring und Kontrolle der Systeme oder technisches Problem Management.

Anhang A13. Kommunikationssicherheit

Über diese Norm soll die Sicherheit der Netzwerke sowie der Kommunikationswege und Informationsübertragung gewährleistet werden.

Anhang A14. Anschaffung, Entwicklung und Instandhaltung von Systemen

Die Grundsätze der sicheren Verwaltung von Systemen sowie definierte Kontrollen für die Beschaffung, Entwicklung und Wartung von Informationssystemen während des gesamten Lebenszyklus sind Kerninhalte dieser Norm.

Anhang A15. Lieferantenbeziehungen

Durch die Richtlinie und Norm zur Lieferantenbeziehungen soll eine Minimierung von Risiken im Zusammenhang mit Drittanbietern erzielt werden.

Anhang A16. Handhabung von Informationssicherheitsvorfällen

Ziel dieser Kontrolle ist die konsistente und wirksame Handhabung von Informationssicherheitsvorfällen. Dazu gehört beispielsweise die Benennung von Verantwortlichkeiten, die Berichterstattungen, ein Reaktionsplan oder das Post Mortem.

Anhang A17. Business Continuity Plan

Die spezifische Einbettung der Kontinuität der Informationssicherheit in die Managementsysteme für die Geschäftskontinuität der Organisation kann über die Norm des Kontinuitätsmanagement abgebildet werden.

Anhang A18. Compliance

Mit der Norm zum Compliance soll sichergestellt werden, dass es zu keinen gesetzlichen, regulatorischen, selbst auferlegten oder vertraglichen Verstoß im Bezug auf die Informationssicherheit kommt.

 


***

Management Summary

  • IT- und Datensicherheit sollte standardmäßig zu den Grundsätzen eines jeden Unternehmens gehören
  • Oft wird Sicherheit von Informationen, Daten und IT nur in abgeschotteten Abteilungen gedacht und gelebt
  • Genau hier setzt die ISO Zertifizierung 27001  an - unternehmensweites IT- und Informationssicherheitsdenken
  • Kurz gesagt, besteht die ISO zum einen aus dem Thema IT-Sicherheit der Daten innerhalb der IT-Infrastruktur, aber zum anderen aus der Informationssicherheit

  • Das aufgebaute Informationssicherheits-Managementsystem, kurz ISMS, stellt das Herz der ISO Zertifizierung 27001 dar
    • Es erfasst alle Richtlinien, Prozesse sowie Verfahren und bildet die Grundlage für ein lebbares Sicherheits- und Risikoverständnis im Unternehmen
    • Es werden alle Schutzmaßnahmen für die Risikominderung und -behandlung dokumentiert
    • Das ISMS muss fortlaufend auf die Wirksamkeit kontrolliert und verbessert werden (Stichwort "Monitoring")

  • Ziel all dieser Maßnahmen, Vorschriften und Richtlinien ist die Vertraulichkeit, Integrität und Verfügbarkeit von Werten und Informationen im Unternehmen

  • Die Vorgaben der ISO Zertifizierung 27001 sind in zwei Teile aufgeteilt.
    • Der obligatorische Teil für die Umsetzung der ISO befindet sich in den Klauseln vier bis zehn
    • Die Liste an Kontrollen im Anhang A dient als unterstützendes Beiwerk für die Erreichung der obligatorischen Maßnahmen


Vorschriftsmäßig werden die obligatorischen Maßnahmen unterstützt durch Kontrollen in das ISMS und in die Unternehmensprozesse überführt. Dabei wird durch die externe Auditierung vor allem das ISMS und die damit etablierten Prozesse auf dessen Wirksamkeit geprüft. Ohne einen Einklang mit der Unternehmenskultur und der Zustimmung der Mitarbeiter wird ein langfristiger Erfolg und (Wieder-)Zertifizierung allerdings schwer erreichbar sein.

Die ISO Zertifizierung 27001 sollte also immer aus dem Zusammenspiel eines wirksamen ISMS und gelebter Kultur der Informationssicherheit in den Köpfen der Mitarbeiter bestehen.

Mehr zum Thema Datensicherheit und wie wir bei Bilendo damit umgehen, finden Sie in unserem Whitepaper.