Hannover, 06.07.2021 | Um auf dem Markt wettbewerbsfähig zu sein, ist es klar, dass es notwendig ist, Vorteile anzubieten, die ein Unternehmen von anderen abheben. Im Bereich der IT-Sicherheit ist für viele Anbieter, Partner und Kunden selbst das Vertrauen nicht ausreichend, wohl aber die Zertifizierung. Das bedeutet, dass sich das Unternehmen öffentlich zu hohen Standards in der Daten- und Informationssicherheit bekennt.
Die Vorteile einer Zertifizierung sind offensichtlich: erhöhte Wettbewerbsfähigkeit auf nationaler und internationaler Ebene und die Minimierung von Risiken für Sicherheitsbedrohungen, die mittel- und langfristig eine Investition darstellen.
Unternehmen sollten es jedoch nicht eilig haben, nur eine Zertifizierung zu erhalten. Die Implementierung solcher Systeme muss regelmäßig und schrittweise in jeder Abteilung oder im Management im Allgemeinen erfolgen.
IT-Sicherheit nach ISO 27001
Eduardo Isaac Soto Barrera, Abogado (Mexiko)
Mag. iur. (Mx), Mag. iur. (D), Hannover
Die Norm ISO 27001 zur IT-Sicherheit
Diese Norm ist nach wie vor der Standard der Wahl für kleine und mittlere Unternehmen bei der Implementierung eines ISMS (Information Security Management System), im Vergleich zur Zertifizierung mittels des BSI-Kompendiums. Unternehmen können ihr System nach der Norm ISO 27001 einrichten – und zertifizieren lassen.
Diese Norm umfasst 11 Kapitel und einen Anhang A. Insgesamt enthält es 32 Pflichtblätter, 250 Optionsblätter und 114 Kontrollen, die eine internationale Anerkennung haben. Zertifikate sind bis zu drei Jahre gültig, nach Ablauf dieser Zeit ist eine Verlängerung möglich. Sie könnte nur für ein, zwei Jahre verlängert werden, vorausgesetzt, dass in bestimmten Fällen jährliche Audits durchgeführt werden. Diese Art der Akkreditierung hat Besonderheiten, die das Unternehmen vorher berücksichtigen muss: sie kann sich an das Unternehmen als Ganzes oder an bestimmte Abteilungen richten, sie ist nicht von einer anderen Zertifizierung wie IS0 9001 abhängig und ihre Umsetzung erfordert ein hohes Engagement bei der Ausarbeitung von Richtlinien im Unternehmen. Ihr Schwerpunkt liegt auf den folgenden Maßnahmen: Kontext der Organisation, Implementierung, Planung, Unterstützung, Betrieb, Bewertung der Leistung und Verbesserung, die als Richtlinien in dieser Kategorie verwendet werden können. Aus praktischen Gründen werden wir nur einige dieser Aspekte erwähnen.
Kontext der Organisation
Sie muss den Zweck und die Tätigkeit des Unternehmens einschließlich ihrer Folgen berücksichtigen. Sie betrachtet mögliche beeinflussende externe und interne Aktivitäten, insbesondere finanzielle Aspekte, technologische Abhängigkeiten, Lieferketten oder auch vertragliche Beziehungen.
Diese Flexibilität ist einer der Vorteile im Vergleich zu den BSI-Richtlinien. Die ISO 27001 passt sich den Eigenschaften des Unternehmens an, was nach Meinung von Experten in der Technologiebranche und bei Startups im Allgemeinen weit verbreitet ist.
Führung
Die Aktivitäten und Verpflichtungen müssen ausgehend von der Geschäftsleitung selbst detailliert beschrieben werden. Das Ziel: den Grad der Verantwortung für die Informationssicherheit abzugrenzen.
Die Erstellung von Richtlinien enthalten die Tätigkeiten, Verantwortlichkeiten und Befugnisse, einschließlich die Delegation von Tätigkeiten, die durch unternehmensinterne Protokolle und Kommunikation gesteuert sind.
Die einen setzen einen Compliance-Manager ein, der die Prozesse des IT-Systems und des IT-Betriebs im Sinne der Konzeption und Organisation des Anforderungsmanagements überwacht, die anderen ernennen einen IT-Sicherheitsbeauftragter, der diese Überwachung aus einer anderen und in mancher Hinsicht noch umfassenderen Perspektive im Sinne der IT-Sicherheit verantwortet.
Es darf aber nicht vergessen werden, dass diese Akteure nur helfen, denn das sogenannte Leitungseben ist letztlich derjenige, der eine klare Linie in Bezug auf die Auswahl der qualifiziertesten Mitarbeiter vorgeben muss, damit die einmal definierten Verantwortlichkeiten zu gegebener Zeit auch richtig angegangen und korrigiert werden können.
Unterstützung
Die Mitarbeiter müssen über die korrekten Formen der internen Kommunikation sowie über ihre Handlungsmöglichkeiten zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden informiert werden.
Darüber hinaus muss die Gelegenheit bestehen, auf die notwendige Dokumentation zuzugreifen, in der die Risikoprotokolle klassifiziert sind und in der die Schwachstellen, die Handlungsmöglichkeiten der Mitarbeiter und der Umfang der Maßnahmen aufgeführt sind.
Wichtig ist auch, dass die zu treffenden Maßnahmen auch von den Auftragsnehmer übernommen werden müssen. Sie haben Verpflichtungen und Verantwortlichkeiten im Bereich der Informationssicherheit, die über die Dauer des Vertragsverhältnisses hinausgehen können. Zu diesem Zweck gilt der „Verhaltenscodex“, der auch für Mitarbeiter und Auftragnehmer in Bezug auf die Geheimhaltung, den Datenschutz, die notwendige Nutzung von Ressourcen, die Geschäftspraktiken des Unternehmens usw. Dazu helfen Awareness-Programme, dieses Wissen zu festigen und zu überarbeiten.
In Bezug auf diese Programme gibt es den Fehler von Unternehmen, sich zu sehr auf die IT zu konzentrieren und das menschliche Element in ihren Sicherheitssystemen zu übersehen. Das Wichtigste ist, die Informationen zu schützen und nicht die Prozesse. Es sollte nicht davon ausgegangen werden, dass die Systeme ausfallsicher sind und dass die Mitarbeiter zwangsläufig fahrlässig gehandelt haben.
Merkmale von ISO 27001
Dieser Norm bietet Flexibilität, was sich in einem breiteren Handlungsfeld für das Unternehmen bei der Gestaltung von Policies und Richtlinien zum Schutz der in seinem Besitz befindlichen Informationen durch die oben erwähnten 114 Kontrollen niederschlägt, die von den Anwendern je nach Bedarf angepasst werden können, wodurch das Unternehmen eine größere Verantwortung trägt.
Es bedeutet auch eine Steigerung der Wettbewerbsfähigkeit und Effizienz bei der Behandlung und Verbesserung des Sicherheitsniveaus sowie eine Minimierung der Schäden, die durch physische und Computerbedrohungen verursacht werden könnten.
Ebenso impliziert diese Zertifizierung, dass eine umfassende Untersuchung der Risiken und der zu treffenden Maßnahmen durchgeführt werden muss. Diese Analyse umfasst zunächst die Identifizierung der Werte (jedes Assets, was die Neuheit der neuen ISO 27001:2017 war, Informationen als Asset zu behandeln), einschließlich aller physischen Dokumente, Software, Hardware usw., einschließlich ihrer Anschaffungskosten, des aktuellen Werts, der Kosten im Falle von Verlust oder Diebstahl usw. Zweitens müssen die Schwachstellen offengelegt und die finanziellen, rechtlichen und sonstigen Risiken, die bei einer Kompromittierung der Vermögenswerte auftreten können, detailliert beschrieben werden.
Außerdem muss die Zertifizierung realistisch sein im Hinblick auf die Möglichkeiten des Unternehmens, die Ziele zu erreichen. Eine übermäßige Dokumentation oder übermäßige Komplexität ist bei der Anwendung dieser Richtlinien kontraproduktiv.
Besonderheiten in der Praxis
In der Praxis müssen Unternehmen Gefahren verhindern. Sie sollten generell, aber insbesondere bei Zertifizierungsprozessen, vermeiden, dass es zu einem ständigen Personalwechsel kommt. Dies wird nicht nur deshalb als Risiko angesehen, weil die neuen Mitarbeiter in einigen Fällen nicht sofort über die notwendige Sicherheitsschulung verfügen (in Bezug auf den Schutz personenbezogener Daten, die Möglichkeiten, Anomalien im System zu registrieren oder auch das fehlende Wissen, wie man per E-Mail darauf hinweist, dass es sich um vertrauliche Informationen handelt), sondern auch ihr mangelndes Verständnis der Unternehmenskultur und wie Informationsschutz im Alltag gelebt wird, spielt eine große Rolle bei der Minimierung solcher Risiken.
Andererseits, wenn das Sicherheitsrisiko besteht, dann muss das Unternehmen das Problem auf die richtige Weise lösen. Der übliche Weg ist die Implementierung eines ISMS. Die Nutzung von sogenannten „Endgeräten“ (Computer, Tablets, Handys und sogar Drucker), die am Arbeitsplatz erlaubt und zur Verfügung gestellt werden, stellen ein Problem für Unternehmen dar. Einige dieser Geräte haben in der Regel Zugang zu Servern und können vertrauliche Informationen speichern. Wenn sie gestohlen werden oder verloren gehen, kann dies zu finanziellen und sogar rechtlichen Schäden führen. Das Unternehmen sollte durch ein ISMS diese Ereignisse aufzeichnen, um festzustellen, wann, wo, wie oft, wie viele dieser Geräte verloren gingen oder gestohlen wurden und welche Maßnahmen ergriffen werden können, um den Schaden zu minimieren, wie z. B. ständige Awareness-Workshops oder die Begrenzung der Daten, die diese Geräte enthalten sollten, sowie die Verwendung verschiedener Authentifizierungssysteme usw.
Die Sprache spielt eine fundamentale Rolle bei der Art der Auslegung einer solchen Norm und vor allem bei der Zeit, die es braucht, bis die Ideen der internationalen Normen ihre Homonyme in anderen Sprachen finden. Der englische Begriff lautete früher „Access“, was im Deutschen unpräzise ist. Es gibt drei klassische Definitionen von Steuerungsmaßnahmen für dasselbe Wort: Zutritt, Zugang und Zugriff. Zutritt bezieht sich auf den physischen Raum, in dem sich Geräte wie z. B. Computer befinden, die durch Sicherheitskamerasysteme überwacht werden, Chipkarten zum Betreten von Einrichtungen usw. Der Zugang bezieht sich auf die Systeme, die mit Hilfe von Benutzernamen und Passwörtern, biometrischen Daten usw. überwacht werden. Zugriff bezieht sich auf den Umfang, den Benutzer im System haben, um auf Daten, IT-Anwendungen oder Transaktionen zuzugreifen, geregelt durch die Gewährung von Administratorenrechten oder die eigenen Regeln von Richtlinien wie BYOD (Bring your own device).
Ein weiterer Punkt ist die Kritik an der Bevorzugung des Prinzips der Vertraulichkeit gegenüber anderen. Dieser Grundsatz basiert auf dem Prinzip, dass Außenstehende keinen Zugang zu Informationen haben sollen, die für das Unternehmen vertraulich sind. Es ist jedoch möglich, dass Mitarbeiter selbst mit den entsprechenden Berechtigungsnachweisen sensible Informationen und Daten des Unternehmens absichtlich oder versehentlich manipulieren (Prinzip der Integrität). Auch beim Grundsatz der „Verfügbarkeit“ wird die Verhinderung der sogenannten „Höheren Gewalt“, die sich auf Naturereignisse oder Phänomene bezieht, bei denen Geräte oder Datenträger zerstört werden, aus dem Anwendungsbereich dieses Grundsatzes ausgeklammert. In der Praxis haben Unternehmen Sicherheitskonzepte, bei denen ein einfaches Feuer nicht nur die Zerstörung von Möbeln und Gütern verursachen kann, sondern auch die in Computern und anderen Speichermedien enthaltenen Informationen aus einer Vielzahl von Gründen unzugänglich werden, zum Beispiel: das Fehlen eines Backups von Informationen in der Cloud. In einigen Fällen war die einzige Möglichkeit des Fernzugriffs auf die Informationen durch eine externe Firma, die zuvor von der Organisation beauftragt wurde, ein Bandlaufwerk, auf das eine Sicherungskopie gespeichert wird und das sich in den firmeneigenen Einrichtungen befand und auf das im Falle eines Erdbebens oder einer anderen Katastrophe nicht zugegriffen werden kann. Dies erfordert eine erneute Überprüfung von Aspekten wie z. B. Backup.
Fazit
IT-Sicherheit ist ein Spezialgebiet, das je nach den Bedürfnissen eines Unternehmens entwickelt werden kann, abhängig von der Branche, zu der es gehört, seiner internen Struktur, der Art der Daten, mit denen es umgeht, der Form der Risiken, usw. Nicht zu unterschätzen sind die Gefahren, die durch die Systeme und Server, aber auch durch die physische Infrastruktur selbst entstehen können.
Die richtige Einhaltung dieser Norm erfordert ein hohes Engagement des Managements, ausreichende Ressourcen während des langen und mühsamen Weges einer Zertifizierung und dass diese Richtlinien verstanden und angewendet werden, was einer ständigen Überprüfung unterliegt.
Unternehmen müssen die Flexibilität dieses Standards nutzen, nicht nur um nachzuweisen, dass sie über bestimmte Technologien oder Software oder Wissen in Projekten verfügen, sondern auch um neue Richtlinien zu Fragen des E-Commerce (B2B und B2C) zu implementieren sowie den Schaden durch Cyberangriffe zu minimieren, sei es von außen oder von innerhalb des Unternehmens.