25. Jänner 2021 von Arman Kohli
Die ISO-2700x-Familie auf dem (Praxis-)Prüfstand
Sicherheit ist eine der zentralen Anforderungen an IT-Dienste. Sicherheit ist aber kein Dauerzustand, weshalb ständig am Sicherheitsniveau gearbeitet werden sollte. Die sich ändernden und zunehmenden Anforderungen sollten ebenso oft aufgenommen und berücksichtigt werden, wie Awareness-Maßnahmen zu Sicherheitsthemen für Mitarbeitende eines Unternehmens angeboten werden sollten.
Durch einen kontinuierlichen Aufbau nach vorhandenen Standards und individuellen Anpassungen, kann das Informationssicherheitsmanagementsystem (ISMS) zu einem langfristigen und sicheren Betrieb der Informationen führen.
Die Informationssicherheit orientiert sich prinzipiell an den drei Schutzzielen: Vertraulichkeit, Verfügbarkeit und Integrität. Wird die Schaffung von Informationssicherheit nicht als zeitlich begrenztes Projekt betrachtet, sondern als ein kontinuierlicher Prozess, dann können Unternehmen ein hohes Sicherheitsniveau gewährleisten. Die Angemessenheit und Wirksamkeit aller Elemente des ISMS muss ständig überprüft werden. Das bedeutet, dass nicht nur einzelne Sicherheitsmaßnahmen überprüft werden müssen, sondern auch die Sicherheitsstrategie regelmäßig überdacht und erweitert werden sollte.
Um den Gefahren durch Cyber-Angriffe zu trotzen, existieren verschiedene Standards, Richtlinien und Leitfäden. Diese sollen Unternehmen dabei helfen, Informationssicherheit in ihre Betriebsabläufe zu integrieren. Bekannte Standards im Bereich der Informationssicherheit sind die international anerkannten Standards der ISO 2700x-er Reihe. Ein solcher Standard soll Unternehmen als Anleitung dienen, gibt aber keine konkreten Prozesse oder Handlungsempfehlungen vor.
Überblick über ISO-Normen und Standards
Die wichtigsten Normen für Managementsysteme für Informationssicherheit sind die in der Normenfamilie 2700x-er Reihe zusammengefassten Normen der International Standards Organisation. Unter einer einheitlichen Nummerierung, beginnend mit 27, werden die für ISMS relevanten Normen zusammengefasst und neue Normen erarbeitet. ISO 27000 gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit und über die Zusammenhänge der verschiedenen Standards der ISO-2700x-Familie.
ISO 27001
Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierungen in den letzten Jahren, sind zahlreiche Anleitungen, Standards und nationale Normen zur Informationssicherheit entstanden. Der ISO-Standard 27001 „Information technology – Security techniques – Information security management systems requirements specification“ ist der erste internationale Standard zum Management von Informationssicherheit, der auch eine Zertifizierung ermöglicht. ISO 27001 umfasst allgemeine Empfehlungen – unter anderem zur Einführung, zum Betrieb und zur Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems, auch unter Berücksichtigung der Risiken. Als Leser erhält man hier allerdings keine Hilfe für die praktische Umsetzung.
ISO 27002
Das Ziel von ISO 27002 „Information technology – Code of practice for information security management“ ist es, ein Rahmenwerk für das Informationssicherheitsmanagement zu definieren. ISO 27002 befasst sich daher hauptsächlich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die Empfehlungen sind in erster Linie für die Managementebene gedacht und enthalten kaum konkrete technische Hinweise. Die Umsetzung der Sicherheitsempfehlungen von ISO 27002 ist eine von vielen Möglichkeiten, die Anforderungen des ISO-Standards 27001 zu erfüllen.
ISO 27005
Der ISO 27005 Standard „Information security risk management“ enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. Unter anderem unterstützt er bei der Umsetzung der Anforderungen aus ISO 27001. Hierbei wird allerdings keine spezifische Methode für das Risikomanagement vorgegeben.
ISO 27006
ISO 27006 „Information technology – Security techniques – Requirements for the accreditation of bodies providing certification of information security management systems“ spezifiziert Anforderungen an die Akkreditierung von Zertifizierungsstellen für ISMS und behandelt auch Spezifika der ISMS-Zertifizierungsprozesse.
Die Normenreihe ISO 2700x wird voraussichtlich aus den ISO-Standards 27000 bis 27019 und 27030 bis 27044 bestehen. Alle Standards dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO 27001. Die weiteren Standards sollen zum besseren Verständnis und zur praktischen Anwendbarkeit der ISO 27001 beitragen. Beispielsweise kümmert sich ISO 27011 um die Anforderungen und Herausforderungen von Telekommunikationsdienstleistern und ISO 27019 spezifisch um die Anforderungen und Herausforderungen von Energieversorgern.
Das Risikomanagement im ISMS
Die Identifikation, Analyse und Betrachtung von sicherheitsbedenklichen Ereignissen und die Erarbeitung und Umsetzung entsprechender Schutzmaßnahmen gehören zu den Kernpunkten eines ISMS. Charakteristisch sind dabei:
- der Umgang mit Risiken, Schwachstellen und Sicherheitslücken,
- die Vorgabe von Richtlinien und Anleitungen,
- die Planung und Umsetzung konkreter Sicherheitsmaßnahmen,
- die Überprüfung verschiedener Produkte, Services oder Strukturen u.a. durch Audits und
- die Zuweisung von Verantwortlichkeiten.
Gemäß der ISO-Normen werden konkret 14 Sicherheitsthemen, die in 35 Maßnahmenziele und insgesamt 114 Sicherheitsanforderungen münden, zu den Merkmalen eines ISMS gezählt.
Zum Aufgabenfeld gehört auch die Verwaltung jeder Art von Vermögenswerten einer Organisation. Dazu zählen Informationen, Software, Computerprogramme, physische Vermögenswerte wie Rechner, Services, Mitarbeitende und ihre Qualifikationen, Fähigkeiten, Erfahrungen sowie immaterielle Werte wie Reputation und Ansehen.
Leitlinien beziehungsweise Richtlinien sind allgemeine Absichten und Anweisungen, die formell durch das Management ausgesprochen werden. Diese sollten mit entsprechenden Erfahrungen und Know-how aufgebaut und mit allen Beteiligten abgestimmt werden. Prozesse sind Abläufe zusammenhängender oder wechselwirkender Aktivitäten, die zu definierten Eingaben bestimmte Ergebnisse liefern. Verfahren werden als vorgegebene Wege definiert, die erklären, wie eine Aktivität oder ein Prozess abzuwickeln ist.
Die direkte Kopplung an die Unternehmensziele soll perspektivisch die Entscheidungsfindung des Managements erleichtern und Transparenz schaffen. So liefert ein erweitertes ISMS als Risikomanagement wichtige Hinweise und Einschätzungen für das Management.
Selbst der jährliche Lagebericht zur IT-Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verdeutlicht die Vielfalt von neuen Angriffstechniken, und -szenarien sowie Schadprogrammvarianten. Neben erfolgreichen technischen Angriffen, wie beispielsweise Distributed-Denial-of-Service(DDoS)-Angriffen, Angriffen durch Schadprogramme, Phishing, Ransomware sowie Angriffen durch Ausnutzung moderner Prozessorarchitektur, gehören in Summe auch Identitätsdiebstähle, Botnetze und andere Social-Engineering-Angriffe zu den schwerwiegendsten Angriffsmethoden.
Auch der Trend zu mehr Künstlicher Intelligenz (KI) in den verschiedenen Branchen und Bereichen nimmt zu. In Bezug auf die Informationssicherheit kann KI zwar helfen, Angriffe automatisiert zu erkennen und zu bekämpfen, sie kann aber auch selbst als Angriffswerkzeug missbraucht werden. So sollten diese und auch andere Technologien kontinuierlich durch IT-Fachleute analysiert und im Hinblick auf Bedrohungspotentiale eingeschätzt werden. Die Bedrohungslage für Unternehmen ist nicht nur groß, sondern wächst in sehr kurzen Abständen. Daher schafft die Erweiterung eines ISMS durch Fachexpertise über die Standards hinaus Wettbewerbs- und Kostenvorteile.
Handlungsoptionen für Unternehmen
Neben der Zertifizierung nach ISO 27001 (ISMS), können Unternehmen auch Synergieeffekte nutzen um ihr eigenes Unternehmen zusätzlich nach ISO 20000 (IT-Service-Management) oder nach ISO 9000 (Qualitätsmanagement) zu zertifizieren. Durch die Anwendung und die Kombination aus diesen verwandten Standards, können die gesamten Prozesse und die Organisation nachhaltig und zielführend verbessert werden. Dadurch entstehen essentielle Vorteile und ein höheres Ansehen für das Unternehmen selbst – und das mit nahezu halb so hohen Aufwänden.
Der ISO 20000 Standard ermöglicht es Unternehmen nämlich sich nach IT-Service-Management zu zertifizieren. Dieser Standard ist eine internationale Norm, die die Mindestanforderungen für das IT-Service-Management festlegen. Er fordert unter anderem den Nachweis nach einem kontinuierlichen Verbesserungsprozess und einen integrierten Prozessansatz für die effektive Erbringung von IT-Services. Die ISO 9000 zertifiziert das Qualitätsmanagement des Unternehmens.