Embed Size (px)
Citation preview
102
Information Security Management System
Wissen
6/2019 com! professional
D ie Zahlen sind alarmierend: Sieben von zehn Industrie
unternehmen wurden in den letzten zwei Jahren Opfer
von Cyberangriffen. Das Angriffsspektrum war dabei breit
gefächert. Es reicht von digitaler Kleinkriminalität bis zu Ha
ckern im Staatsauftrag. Das zeigt die „Wirtschaftsschutzstudie 2018“ des Digitalverbands Bitkom. Demnach ist den
deutschen Firmen in den vergangenen zwei Jahren durch
Sabotage, Datendiebstahl oder Spionage ein Schaden von
43,4 Milliarden Euro entstanden. Kein Wunder, denn
das Bundesamt für Sicherheit in der Informations
technik (BSI) entdeckt nach eigenen Angaben
täglich rund 390.000 neue MalwareVarianten.
Unternehmen benötigen daher eine umfas
sende SecurityStrategie und sollten stetig in
Sicherheitslösungen investieren.
Ein grundlegender Aspekt von ITSicherheit
ist Informationssicherheit. Informationen müs
sen zuverlässig verfügbar sein, da die meisten Ge
schäftsprozesse mittlerweile digitalisiert sind. Zudem sind sie
vor nicht autorisiertem Zugriff (Vertraulichkeit) und unge
wollter Veränderung (Integrität) zu schützen.
ISMS zum Schutz von DatenGenau das leistet ein Information Security Management Sys
tem, ISMS, auf Basis der internationalen Norm ISO/IEC 27001.
Ihre offizielle Bezeichnung lautet „Informationstechnik –
Sicherheitsverfahren – Informationssicherheitsmanage
mentsysteme – Anforderungen“. ISO/IEC 27001 be
schreibt, mit welchen Prozessen und Maßnahmen
Unternehmen eine höhere Informationssicher
heit erreichen. Die Norm formuliert Grundsät
ze zu Implementierung, Betrieb, Überwachung
und Verbesserung eines ISMS.
Ein solches ISMS gibt Richtlinien vor, regelt
Verantwortlichkeiten (Pflichten und Aufgaben
verteilung) und den Umgang mit Risiken. Im An
Unternehmen erzielen durch den Betrieb eines ISMS eine höhere Informationssicherheit.
Wichtige Firmendaten mit System schützen
Informationssicherheit
Bild
: Shu
tter
stoc
k / L
eoW
olfe
rt
43,4 Mrd. Euro
Schaden ist Firmen in den letzten zwei Jahren durch Sabotage, Datenklau oder
Spionage entstanden
Quelle: Bitkom
103
WissenInformation Security Management System
com! professional 6/2019
hang A beschreibt die ISO/IEC 27001 Maßnah
menziele und konkrete Maßnahmen, mit denen
Firmen die Informationssicherheit verbessern kön
nen. Insgesamt sind es 114 Maßnahmen in 14 Be
reichen wie Personalsicherheit (unter anderem
SecurityAwarenessTraining), Zugriffskontrolle
(zum Beispiel PasswortManagement), Kryptogra
fie, Incident Management oder Kommunikations
sicherheit (zum Beispiel NetzwerkSegmentie
rung). Die Norm fordert zudem, dass Firmen die
Qualität des ISMS kontinuierlich verbessern sowie
durch regelmäßige interne und externe Audits
überprüfen. Letztere bilden die Basis für die Zerti
fizierung des ISMS.
NachholbedarfFür die Betreiber kritischer Infrastrukturen (KRITIS),
sprich Branchen wie Energie und Wasserversor
gung oder Gesundheit, ist der Aufbau eines ISMS
seit 2016 mit dem ITSicherheitsgesetz Pflicht. Wei
terer wichtiger Treiber sind Anforderungen von
Firmen, die von ihren Lieferanten eine ISO
27001Zertifizierung verlangen. Daher setzen mittlerweile
auch viele Unternehmen aus anderen Branchen auf die inter
ne Ausbildung von ISMSExperten.
„Bei der TÜV Nord Akademie sind die Teilnehmerzahlen
bei den Seminaren zum Information Security Officer von 2017
auf 2018 um 64 Prozent gestiegen“, erklärt Melanie Braun
schweig, Produktmanagerin Datenschutz und IT bei der TÜV
Nord Akademie. Bedarf ist also vorhanden.
„Viele Firmen haben zwar technische Sicherheitsmaßnah
men wie eine Firewall, AntivirenSoftware oder BackupKon
zepte umgesetzt, meist aber ohne durchgängige, strukturier
te Prozesse“, berichtet Bettina König, Geschäftsführerin von
König Consult und ISO 27001 Lead Auditor beim TÜV Süd.
Sie hat mittlerweile etwa 40 ISMS in Unternehmen eingeführt
und beginnt ihre Beratungsprojekte meist mit einer Analyse
zum aktuellen Status des Kunden in Bezug auf Informations
sicherheit oder mit den Anforderungen des ITSicherheits
katalogs. Häufiges Ergebnis: „Es gibt keine Dokumentation,
kein Notfallkonzept, kein Risikomanagement, kein Monito
ring oder keine internen Audits. Ein ISMS fordert solche Kon
zepte und behebt so diese Lücken“, so Bettina König.
ISMS ist ChefsacheZentral für den Erfolg des ISMS ist die Unterstützung durch
die Geschäftsführung. Das oberste Management legt nicht
nur die Leitlinie für Informationssicherheit fest oder gibt das
ISMS letztendlich frei, sondern stellt auch die notwendigen
Ressourcen und finanziellen Mittel für den Aufbau und den
Betrieb des Information Security Management Systems bereit.
„Es ist aber nicht immer einfach, den CEO von der Notwen
digkeit eines ISMS zu überzeugen“, weiß Michael Will, Ab
teilungsleiter Projekt und Qualitätsmanagement der DOS
SoftwareSysteme GmbH in Wolfsburg. „Manche Geschäfts
führer setzen den Fokus bei der Risikoanalyse falsch. Für
Cyberangriffe auf Unternehmen
24 %
16 %
16 %
12 %
6 %
5 %
4 %
Welche Art von IT-Angriffen haben innerhalb der letzten zwei Jahre in Ihrem Unternehmen einen Schaden verursacht?
Schad-Software
Ausnutzen von Software- Schwachstellen
Phishing
Angriffe auf Passwörter
Spoofing
DDoS-Attacken
Man-in-the-Middle-Angriffe
com! professional 6/19 Quelle: Bitkom „Wirtschaftsschutzstudie 2018“ (n = 503)
Auf dem Weg zum ISMS sollten Organisationen folgende Punkte berücksichtigen:
● ISMS ist Chefsache: Geschäftsführung und Top-Management müssen den Aufbau und Betrieb eines ISMS unterstützen
● Verantwortlichkeiten und Zuständigkeiten für den Aufbau des ISMS klar definieren
● Anwendungsbereich (Scope) des ISMS festlegen
● Asset-Inventarisierung (Welche Werte hat das Unternehmen?)
● Risikobewertung: Welche Themen bringen das größte Risiko für die Geschäftsprozesse? Was kann der Organisation und ihren Kunden am meisten Schaden bereiten?
● Maßnahmenliste (Risikobehandlungsplan) und Statement of
Applicability (Erklärung zur Anwendbarkeit): Mit welchen Maßnahmen (controls) erhöhen wir die Informationssicher-heit? (controls im Anhang A der ISO 27001; ergänzende Maßnahmen liefert die ISO 27002)
● Internes Audit zur Prüfung der Effektivität der Maßnahmen mit anschließender Management-Bewertung
● Zertifizierungs-Audit (alle drei Jahre)
● Regelmäßige Überprüfung durch interne und externe Audits (Grundsatz der kontinuierlichen Verbesserung im Rahmen des PDCA-Zyklus)
● Grundsätzlich: Dokumentation der Richtlinien, Verfahren, Prozesse oder Maßnahmen
Wichtige Aspekte beim Aufbau eines ISMS
▶
Angriffsarten: Wenn Industrieunternehmen Schaden durch digitale An-griffe erleiden, stecken meist Infektionen mit Schad-Software dahinter.
104
Information Security Management System
Wissen
6/2019 com! professional
Sven Kurzberg ist Beauftragter für Umwelt-management und Informationssicherheit bei EDAG Engineering, einem Entwicklungs-Dienstleister für die Automobilindustrie. Im Interview mit com! professional spricht er über die Herausforderungen beim Betrieb eines ISMS in einem international tätigen Un-ternehmen mit vielen Standorten.
com! professional: Herr Kurzberg, das Thema Informationssicherheit ist auch für die Automobilindustrie relevant. Wie sieht Ihr Jobprofil als Beauftragter für Informationssicherheit aus?
Sven Kurzberg: Ich trage die Verantwortung für den Betrieb und die kontinuierliche Ver-besserung unseres ISMS, bin Ansprechpartner für die Mitarbeiter und berichte an das Ma-nagement. Die ISO/IEC 27001 fordert diese Rolle des Informationssicherheitsbeauftrag-ten auch als Ansprechpartner gegenüber den Kunden und Zertifizierungsstellen.
Zu meinen Aufgaben gehört es, vor jedem neuen Projekt des-sen Anforderungen an die Informationssicherheit zu prüfen. Dazu zählen Themen wie Prototypen, der Datenaustausch mit Kunden oder Checklisten zur Schulung der beteiligten Mitarbeiter.
com! professional: Welchen Geltungsbereich (Scope) hat Ihr ISMS, und wie gewährleisten Sie die so wichtige Dokumentation?
Kurzberg: Wir haben den Scope gleich am Anfang festgelegt und sehr weit gefasst. Unsere Geschäftstätigkeit ist die Entwicklung von Fahrzeugen und Produktionsanlagen. Da nahezu jeder unse-rer Standorte mit Produktionsanlagen und direkt mit dem Kun-den vor Ort zu tun hat, gilt das ISMS im Prinzip für alles bezie-hungsweise die komplette Geschäftstätigkeit unseres Unterneh-mens. Wir haben nichts ausgeschlossen.
Die Dokumentation und das Prozess-Management-System lau-fen über eine rollenbasierte Webplattform, die alle Anforderun-gen an das ISMS sowie sämtliche Prozesse, Verfahren oder Maß-nahmen abbildet. Wir können dort beispielsweise Arbeitsanwei-sungen schnell ändern und publizieren.
com! professional: Welche Herausforderungen müssen Sie beim Betrieb des ISMS meistern?
Kurzberg: Grundsätzlich steigt natürlich die Gefährdung durch Cyberangriffe stetig an. Da die Geschäftsprozesse immer digitaler und datenlastiger werden, müssen wir unsere IT-Systeme beson-ders schützen. Fahrzeugentwicklung ist zudem sehr öffentlich-keitswirksam und häufig Ziel von Industriespionage. Die Pflege des ISMS ist vor allem wegen unserer vielen Standorte sehr auf-wendig und verursacht durchaus hohe Kosten. Wir haben alleine
in Deutschland über 40 Standorte in der Nähe unserer Kunden. Es ist nicht ein-fach, das Level für Informationssicherheit auf einem konstant hohen Niveau zu halten, zumal unsere Ressourcen nicht unbegrenzt sind.
com! professional: Man kann sich vorstellen, dass Sie oft unterwegs sind, um mit den Mitarbeitern an den einzelnen Standorten zu sprechen und sie zu schulen.
Kurzberg: Ja. Security Awareness ist ent-scheidend. Wir müssen unsere Mitarbei-ter für mögliche Gefahren wie Phishing-Angriffe sensibilisieren. Eine Schulung alle zwölf Monate reicht dafür nicht aus.
Wir implementieren gerade ein E-Lear-ning-System mit Online-Kursen und re-gelmäßigen Tests, um hier ein größeres Sicherheitsbewusstsein zu schaffen.
Unsere Kunden fordern auch, dass wir jede Datei verschlüsseln, oder im Extremfall, dass wir die Mit-arbeiter und Besucher etwa nach Sticks durchsuchen, wenn sie das Firmengelände betreten oder verlassen. Wir müssen auch sicherstellen, dass Prototypen nicht fotografiert werden können oder Fenster abkleben, um Spionage zu verhindern. Ohne Geheimhaltungsvereinbarung kommt grundsätzlich nie-mand ins Gebäude.
Die asiatischen OEMs haben hier oft viel strengere Anforde-rungen als die deutschen Hersteller. Da erhalten wir beispiels-weise mit den Anfrageunterlagen ein Dokument mit 100 Fra-gen darüber, wie wir die Informationssicherheit gewährleis-ten. Wenn wir an einem neuen Standort externe Kundensyste-me anbinden, benötigen wir beispielsweise ein Alarmsystem, das rund um die Uhr funktioniert.
com! professional: Welche Anforderungen stellen Ihre Kunden in puncto Informationssicherheit noch an Sie?
Kurzberg: Entwickeln wir beispielsweise ein Fahrzeug oder eine Produktionsanlage, müssen wir zum einen sicherstellen, dass die Daten, die wir vom Kunden erhalten, intern gesichert sind, und deren Wiederherstellung regelmäßig testen, um die Funktionsfähigkeit zu garantieren. Zum anderen müssen wir natürlich auch bei der Zusammenarbeit mit externen Dienst-leistern die Informationssicherheit gewährleisten und diese
Interview
„Ohne Geheimhaltungsvereinbarung kommt niemand ins Gebäude“
„Da die Geschäftsprozesse immer digitaler und datenlastiger werden,
müssen wir unsere IT-Systeme besonders schützen.“
Sven Kurzberg
Beauftragter für Qualitäts-management und
Informationssicherheit bei EDAG Engineering
www.edag.deBi
ld: E
DAG
Engi
neer
ing
105
WissenInformation Security Management System
com! professional 6/2019
sie stellt dann der Ausfall der
Mails den SuperGAU dar, wäh
rend sie nicht daran denken,
dass der Verlust der Konstrukti
onsdaten oder Kundendaten zu
hohen finanziellen Schäden füh
ren oder die Existenz bedrohen
kann. Im direkten Vergleich da
zu sind die Kosten für die Ein
führung sowie den Betrieb eines
ISMS geringer. Ist den CEOs das
bewusst, folgt dann schnell das
Go für den Aufbau eines ISMS.“
Hierfür müssen Firmen mit ei
ner Dauer zwischen neun Mo
naten und zwei Jahren rechnen
– abhängig von der Größe des
Unternehmens, dem Anwen
dungsbereich (Scope) des ISMS,
den verfügbaren Ressourcen
und der Zeit, die sich die Verant
wortlichen abseits des Tages
geschäfts nehmen können.
Der richtige ScopeDie Definition des Anwendungsbereichs ist ein zentraler
Punkt beim Aufbau eines ISMS. „Viele Firmen machen den
Fehler, dass sie den Scope zu groß bemessen und alles auf ein
mal erledigen wollen“, erklärt Gerry Wallner, Head of Depart
ment IT Bu siness Applications beim ChemieMarketingUn
ternehmen Helm. Er ist zertifizierter ISO27001Auditor und
Consultant.
Beim Festlegen des Scopes hilft ein Blick auf die Geschäfts
risiken, da die ISO 27001 einen risikoorientierten Ansatz ver
folgt. Die oberste Ebene der Risikoanalyse bildet laut Gerry
Wallner die Business Continuity: Welche Themen bergen das
größte Risiko für die Werte (Assets wie Informationen, Hard
ware, Software, Mitarbeiter, Reputation), die Geschäftspro
zesse und den Betrieb? Was kann dem Unternehmen und sei
nen Kunden am meisten Schaden bereiten?
„Die Risikobewertung bildet dann den Startpunkt für das
Scoping und die Baseline der Maßnahmen: Welche Maßnah
men sind unbedingt notwendig oder müssen wir unbedingt
umsetzen? Der Anwendungsbereich des ISMS kann ein
Standort sein, die Leitstelle bei Stromversorgern oder eine
Software wie das ERPSystem. Letzteres birgt hohe Risiken ▶
Anforderungen an unsere Partner durchreichen. Die EDAG hat etwa eine Abteilung, die Bordbücher für Autos verfasst, die dann mit den Fahrzeugen weltweit verkauft werden. Dazu binden wir Übersetzungsbüros ein. Die Handbücher beschreiben oft neue Funktionen, die noch gar nicht auf dem Markt sind. Die Über-setzer sind dann natürlich zur Geheimhaltung verpflichtet, sie müssen ihre Systeme entsprechend absichern. Die TISAX-Richt-linie (Trusted Information Security Assessment Exchange) geht hier teilweise noch weiter als die ISO/IEC 27001.
com! professional: Worin unterscheidet sich die TISAX von der ISO/IEC 27001?
Kurzberg: TISAX ist ein von der Automobilindustrie definierter Standard für Informationssicherheit. Jedes Unternehmen, das für die deutsche Automobilindustrie arbeitet, braucht seit 2018 ein TISAX-Zertifikat.
Basis dafür ist der Anforderungskatalog zur Informationssicher-heit (ISA, Information Security Assessment) des VDA (Verband der Automobilindustrie). Er stützt sich in wesentlichen Teilen auf die ISO/IEC 27001, enthält aber noch zusätzliche Module für den Schutz von Prototypen, den Datenschutz und die Anbindung Drit-ter, etwa in Projektbüros.
com! professional: Die ISO/IEC 27001 fordert, dass Organisationen ihr ISMS kontinuierlich verbessern. Wie setzen Sie bei Ihnen diese Anforderung um?
Kurzberg: Die Norm ist im Punkt kontinuierliche Verbesserung nicht besonders konkret. Wir stellen in unseren internen Audits und Vor-Ort-Terminen fest, welche Prozesse nicht so gut liefen, ob es Schwachstellen gibt und verbessern diese entsprechend. Zu-dem können Mitarbeiter über unser Ideen-Management Verbesse-rungsvorschläge zum Thema Informationssicherheit einreichen. Unsere IT und das Facility Management arbeiten sehr eng mit den Fachabteilungen zusammen, um zu sehen, wo der Schuh drückt.
Wir überwachen unsere Systeme permanent auf Sicherheits-lücken, setzen auf mehrstufige Patch-Verfahren und haben auch neue Angriffsvektoren im Blick, um Risiken neu bewerten zu kön-nen und entsprechende Sicherheitsmaßnahmen einzuleiten. In Zukunft wollen wir maschinelles Lernen einsetzen, um Anomalien schnell zu erkennen. Taucht eine neue Form von Attacken etwa mit Ransomware auf, schulen wir unsere Mitarbeiter anlassbezo-gen. Wir können daher schnell auf neue Risiken reagieren.
„Die Risikobewertung bildet den Startpunkt
für das Scoping und die Baseline der Maßnahmen: Welche Maßnahmen sind
unbedingt notwendig oder müssen wir unbe-
dingt umsetzen?“
Gerry WallnerHead of Department IT Busi-ness Applications bei Helm
www.helmag.de
„Bei der TÜV Nord Akademie sind die Teilnehmerzahlen bei den Seminaren zum Infor mation
Security Officer von 2017 auf 2018 um 64 Prozent gestiegen.“
Melanie BraunschweigProduktmanagerin Datenschutz und
IT bei der TÜV Nord Akademiewww.tuev-nord.de
„Wir überwachen unsere Systeme permanent auf Sicherheitslücken.“
Bild
: Hel
m A
G
Bild
: TÜ
V N
ord
„Unsere IT arbeitet eng mit den Fach-abteilungen zusammen, um zu sehen,
wo der Schuh drückt.“
106
Information Security Management System
Wissen
6/2019 com! professional
in sich, da dort die Kundendaten gespeichert
sind“, so Wallner.
Wie unterschiedlich der Scope sein kann,
zeigen zwei Beispiele: Während EDAG Engi
neering, ein EntwicklungsDienstleister für
die Automobilindustrie, den Scope weit fasst
und nichts ausgeschlossen hat, beschränkten
sich die Stadtwerke Fürstenfeldbruck auf die
ITgesteuerte Leitstelle.
„Der Scope war von Anfang an klar: So we
nig wie möglich, so viel wie nötig. Wir haben
den Anwendungsbereich auf die ITgesteuerte Leitstelle be
schränkt und damit den vor geschriebenen Mindestumfang
gewählt. Möglicherweise weiten wir den Scope später noch
auf unser geografisches Informationssystem GIS und die
Kundendatenbank aus. Das ist aber dann eine Management
Entscheidung“, erklärt Michael Manhardt, Leiter Strom
netze bei den Stadtwerken Fürstenfeldbruck.
Schrittweises VorgehenFür den Aufbau und den Betrieb eines ISMS
gibt es keine festgelegte Standardmethode, da
jedes Unternehmen oder jede Organisation in
dividuelle Anforderungen und Herausforde
rungen hat.
Es gibt aber bewährte Best Practices. Bettina Kö
nig von König Consult empfiehlt ihren Kunden ganz
pragmatisch, die Forderungen der ISO/IEC 27001 Kapitel für
Kapitel zu betrachten und umzusetzen, beginnend mit der
Defini tion des Anwendungsbereichs der ISO 27001. Wesent
licher Bestandteil eines ISMS ist die Dokumentation und Be
schreibung der Richtlinien, Prozesse, Verfahren und Maßnah
men, mit denen Firmen die Informationssicherheit erhöhen.
„So entsteht ein Dokumentenset mit einer pyramidalen
Struktur mit der Leitlinie an der Spitze, gefolgt von Richtlini
en, Prozessen und Verfahren sowie den Aufzeichnungen. Der
Auditor prüft dann bei der Zertifizierung des ISMS, ob
diese Dokumente mit der Norm übereinstimmen“,
erläutert König. Die Leitlinie ist ein Dokument,
das die Politik, Ziele und Verantwortlichkeiten
der Organisation rund um Informa tions
sicherheit beschreibt. Meist ist ein Chief Infor
mation Security Officer (CISO) für den Aufbau
des ISMS zuständig.
Die Richtlinien sind konkreter und beschrei
ben einzelne Themen wie Datensicherung oder den
Einsatz mobiler Geräte. „Diese Dokumente sind relativ
zahlreich und enthalten auch konkrete Anweisungen wie
‚USBSticks sind grundsätzlich verboten‘ oder klare Regeln
zur privaten Internetnutzung“, so Bettina König. Die Doku
mente zu Prozessen und Verfahren beschreiben die Prozesse,
390.000neue Malware-
Varianten entdeckt das
BSI täglich
Quelle: BSI
Anbieter für ISMS-Software (Auswahl)
Anbieter Programm Funktionen
Antares Informations-Systemewww.antares-is.de
Antares RiMIS ISMS Zielgruppenbezogene Dokumentation, Identifizieren von Schwachstellen, rollenbasierte
Anweisungen, Integration von Schulungen et cetera zum Aufbau eines ISMS
Contechnetwww.contechnet.de
INDITOR ISO Vielfältige Funktionen leiten durch die Implementierung eines ISMS: Dokumentation,
zentral gesteuertes Risikomanagement; Assets lassen sich in Gruppen zusammenfassen;
Aufgabenmanagement; gemeinsame Datenbasis für Informationssicherheit, IT-Notfall -
planung und Datenschutz
Fuentiswww.fuentis.com
Fuentis ISMS Modul
zur ISO 27001
Identifizierung der Unternehmenswerte, Risiken und Bedrohungen; Risikoanalyse und
Risikobewertung; Erstellen eines Risikobehandlungsplans, fortlaufende Dokumentation
GRC Partnerwww.grc-partner.de
DocSetMinder;
Modul „ISMS-ISO/
IEC 27001“
Bildet die Anforderungen der Norm ISO/IEC 27001 vollständig und detailliert ab; Risiko-
analyse; Reporting Services zur Überwachung der Umsetzung der festgelegten Maßnahmen;
Maßnahmenziele und Maßnahmen aus dem Anhang A der Norm integriert
HiScoutwww.hiscout.com
HiScout ISM Basis für den Regelkreis des ISMS, Dokumentation, schutzzielbezogenes IT-Risikomanagement,
bildet Audit-Prozess ab, zentrale Verfolgung und Erfolgskontrolle der Maßnahmen, ISM-Cockpit
zum schnellen Überblick über den aktuellen Status des Managementsystems
Ibi Systemswww.ibi-systems.de
Ibi systems iris Verwaltung von Dokumenten (Richtlinien, Protokolle et cetera); Gap-Analysen und Planung
von Audits; Erfassung, Bewertung, Behandlung und Überwachung der IT-Risiken inklusive
Verwaltung und Tracking von Maßnahmen; Notfall-Management nach gängigen Standards
Schleupenwww.schleupen.de
R2C_SECURITY Organisation und Dokumentation des ISMS; Zertifizierungen nach ISO 27001 und BSI-IT-
Grundschutz; hilft auch bei der Umsetzung der EU-Datenschutz-Grundverordnung; Reporting
SerNetwww.sernet.de
Verinice (vom BSI
lizenziert)
Open-Source-Tool; Aufbau und Betrieb eines ISMS nach ISO 27001; Implementierung von
BSI-IT-Grundschutz; Asset-Register; Dokumente und Aufzeichnungen; Risikoanalyse; Reporting,
Fragenkataloge für Audits
„Das ISMS ist kein Papiertiger oder einmaliger Akt, sondern muss in einem
permanenten Prozess gelebt werden. Hier sind die Verantwortlichen gefordert.“
Michael WillAbteilungsleiter Projekt- und Qualitätsmanagement
bei DOS Software-Systemewww.dos-online.de
Bild
: DO
S So
ftwar
e-Sy
stem
e
107
WissenInformation Security Management System
com! professional 6/2019
beim ChangeManagement etwa das Vorgehen zum Einspie
len von Patches oder den OffboardingProzess beim Personal,
sowie die Verfahren, also den vorgegebenen Weg beim Um
setzen des Prozesses (etwa Eröffnung eines Tickets). Dazu
Bettina König: „Bei den Richtlinien wie einem Backup oder
NotfallPlan sowie den Prozessbeschreibungen handelt es
sich um Vorgabedokumente. Sie sind in die Zukunft gerichtet
und lassen sich ändern. Die Aufzeichnungen als letztes Glied
der DokumentenPyramide sind Nachweis dokumente wie
Protokolle oder AuditBerichte, die einen Status anzeigen. Sie
sind in die Vergangenheit gerichtet und nicht mehr änderbar.“
Inventarisierung und RisikenEin wichtiger Schritt auf dem Weg zum ISMS ist die Inventa
risierung der Assets, also der Werte im Unternehmen wie In
formationen, Anlagen, Hardware, Software, Mitarbeiter oder
Reputation. Bei den Stadtwerken Fürstenfeldbruck gehört
dazu neben Servern oder PCs auch der Strukturplan des IT
gesteuerten StromFernwirknetzes, der etwa zeigt, mit wel
chen Switches ein Umspannwerk verbunden ist. Eine Über
sicht der Assets bildet die Grundlage für die Identifikation
und Bewertung der damit verbundenen Risiken.
„Meist sind der Einkauf oder die
Buchhaltung am besten über das In
ventar informiert, weil diese Abtei
lungen tagtäglich mit der Verwal
tung von Assets zu tun haben. In der
ITAbteilung liegt der Fokus mehr
auf der Erhaltung der Produktivsys
teme als auf einzelnen Assets. Die In
formation, wer welches Notebook
nutzt oder wie Zugänge verteilt sind,
ist dann oft nicht präsent. Allerdings
müssen auch diese Informationen
auf Knopfdruck verfügbar sein“, be
tont Michael Will von DOS Software
Systeme.
Er rät den Firmen, eine Hierarchie für die Assets festzule
gen. Dabei werden alle Geschäftsprozesse als TopLevelAs
sets gesehen, denen alles als Ressource zugeordnet wird, was
für den Betrieb des Geschäftsprozesses notwendig ist. Mit
diesem Vorgehen lässt sich die Inventarisierung von Perso
nal, IT, Anlagen oder Standorten übersichtlich gestalten.
Gleichzeitig können die Geschäftsprozesse in Verbindung
mit einer Priorisierung abgearbeitet werden.
Steht das AssetInventar, folgen die Analyse und Bewer
tung der Risiken für die Werte und den Geschäftsbetrieb. „Die
Bewertung der Risiken erfolgt in der Regel nach Eintrittswahr
scheinlichkeit und Schadenshöhe Stufen 1– 4 sowie nach Kri
terien wie ‚Tolerabel‘ oder ‚Katastrophal‘“, erläutert Michael
Will. Orientierung bieten hier der BSIStandard 2003 zur
Risikoanalyse auf Basis des ITGrundschutzes oder die ISO
27005 „Risikomanagement“.
RisikobehandlungsplanIm Risikobehandlungsplan legen die ISMSVerantwort
lichen fest, wie ihr Unternehmen mit diesen Informations
sicherheitsrisiken umgeht und mit welchen Maßnahmen es
seine Assets vor Missbrauch schützt. Zentrales Instrument
dafür ist der eingangs erwähnte An
hang A der ISO/IEC 27001, der
Maßnahmenziele und konkrete
Maßnahmen beschreibt, mit denen
Firmen die Informationssicherheit
verbessern.
Am Ende steht die Erklärung zur
Anwendbarkeit, das Statement of
Applicability (SoA). „Das SoA be
schreibt, welche Maßnahmen wa
rum getroffen oder ausgeschlossen
wurden, um die erkannten Risiken
zu minimieren“, erklärt Bettina Kö
nig. Das SoA gibt zudem Auskunft
zum Status der Maßnahmen. ▶
Die Norm ISO/IEC 27001 ist maßgebend für den Aufbau eines ISMS. Die deutsche Fassung kann zum Beispiel unter www.beuth.de/de/norm/din-en-iso-iec-27001/269670716 für rund 100 Euro erworben werden. Die Norm ist in drei Teile gegliedert:
Einführende Kapitel 0–3: Nach einem einleitenden Kapitel (0) mit Beschreibung der Mindestanforderungen und der Kompati-bilität mit anderen Normen für Managementsysteme folgen die Kapitel Anwendungsbereich, Normative Verweisungen und Defi-nition der wichtigste Fachbegriffe (Verweis auf die ISO 27000). Dazu gehören beispielsweise Informationssicherheit, Integrität, ISMS, Vertraulichkeit, Richtlinie, Prozess, Verfahren, Risikoana-lyse, Risikobewertung oder die Unterscheidung zwischen Infor-mationssicherheits-Ereignis und -Vorfall.
Hauptteil mit sieben Normkapiteln 4–10: Diese Kapitel be-schreiben das Managementsystem und welche Punkte ein Un-
ternehmen sicherstellen muss, um seine Aktivitäten und Maß-nahmen im Bereich Informationssicherheit wirksam zu steuern. Dazu zählen der Geltungsbereich (Scope) des ISMS, die Verant-wortung des Managements, das Risikomanagement, die Bereit-stellung von Ressourcen, interne ISMS-Audits, die Management-bewertung und die stetige Verbesserung des ISMS.
Anhang A: Der normative Anhang A der ISO/IEC 27011 ist ein wichtiges Instrument für den Aufbau eines ISMS und die Zertifi-zierung. Er beschreibt die Maßnahmenziele und Maßnahmen, die eine Organisation grundsätzlich umsetzen muss, um ein ho-hes Maß an Informationssicherheit zu gewährleisten. Insgesamt umfasst der Anhang A 114 Maßnahmen in 14 Bereichen. Dazu gehören beispielsweise Richtlinien zu Informationssicherheit, Zugriffskontrolle, Kryptografie, Netzwerksicherheit oder Inci-dent Management.
Aufbau und Inhalte der ISO/IEC 27001
Dokumenten-Pyramide: Bei einem ISMS unter-scheidet man zwischen veränderbaren Vorgabe-und unveränderbaren Nachweis-Dokumenten.
Bild
: Bet
tina
Köni
g
108
Information Security Management System
Wissen
6/2019 com! professional
Audit: Grünes Licht für das ISMSAnschließend folgen das interne Audit, die Bewertung und
Freigabe des ISMS durch die Geschäftsführung und die ISO
27001Zertifizierung. Beispiel Stadtwerke Fürstenfeldbruck:
Das Unternehmen benötigte für den ISMSAufbau knapp
eineinhalb Jahre. Im September 2017 folgte vor der Zertifi
zierung das interne Audit, um zu prüfen, ob das ISMS die Vor
gaben der ISO 27001 erfüllt. Diese Prüfung soll grundsätzlich
Verbesserungspotenziale aufzeigen. Das ZertifizierungsAu
dit bestanden die Stadtwerke ohne Probleme. Es läuft meist
in zwei Schritten ab: Der Auditor überprüft zunächst, ob alle
von der ISO/IEC 27001 geforderten Dokumente vorhanden
sind und den Anforderungen genügen. Im zweiten Schritt
spricht der Auditor mit den Mitarbeitern und prüft vor allem
das SoADokument genauer. Die Zertifizierung gilt für drei
Jahre. In diesem Zeitraum erfolgt bis zum nächsten Zertifizie
rungsAudit jedes Jahr ein abgespecktes externes Überprü
fungsAudit, dem wiederum ein internes Audit vorausgeht.
PDCA-Zyklus zur VerbesserungDie regelmäßigen internen und externen Audits stehen für die
stetige Verbesserung des ISMS, einer wesentlichen Forde
rung der ISO/IEC 27001. Eine Methode zur kontinuierlichen
Verbesserung ist der PlanDoCheckActAnsatz (PDCA):
Plan: Definition des SollZustands
Do: Umsetzung des SollZustands in den IstZustand
Check: Vergleich des umgesetzten IstZustands mit dem vor
her definierten SollZustand
Act: Anpassung des IstZustands aufgrund festgestellter Pro
bleme.
In den älteren Versionen der ISO 27001 ist die Vorgehenswei
se nach PDCA obligatorisch. In der neuen Normfassung ist je
doch nur noch die kontinuierliche Verbesserung das Ziel.
Diese Verbesserung kann auch mit anderen Vorgehenswei
sen erreicht werden. PDCA ist aber nach wie vor der Best
PracticeAnsatz.
„Das ISMS ist kein Papiertiger oder einmaliger Akt, son
dern muss in einem permanenten Prozess gelebt werden.
Hier sind die Verantwortlichen gefordert, sprich die Ge
schäftsführung, der CISO, die Security oder Datenschutzbe
auftragten oder auch die Personalabteilung“, erklärt Michael
Will. „Organisationen müssen Metriken und Kennzahlen
festlegen und regelmäßig prüfen, ob ihre Maßnahmen grei
fen beziehungsweise effektiv sind. Sie müssen ihr ISMS zu
dem bei neuen Anforderungen wie einem Umzug oder der
Gründung neuer Standorte anpassen und bei neuen Bedro
hungsszenarien ihre Sicherheitsmaßnahmen aktualisieren.“
Die Wirksamkeit eines ISMS ist immer abhängig von den
Sicherheitszielen der Organisation und den internen und ex
ternen Vorgaben zur Informationssicherheit. Wenn das ISMS
nach einer gewissen Anlaufzeit diese Vorgaben erfüllt, die Si
cherheitsziele erreicht und diese kontinuierlich verbessert, ist
es als wirksam zu betrachten.
Natürlich müssen auch die Mitarbeiter eines Unternehmens
das ISMS akzeptieren und in ihrem Berufsalltag leben, selbst
wenn sie im Vergleich zu vorher mehr Sicherheitsregeln ein
halten müssen oder ihr berufliches Mobiltelefon nicht mehr
privat nutzen dürfen. Die ISO/IEC 27001 schreibt auch Secu
rityAwarenessTrainings vor, um die Mitarbeiter für poten
zielle Gefahren zu sensibilisieren. „Ein ISMS mit Zertifizie
rung nach ISO/IEC 27001 sorgt nicht für 100prozentige Si
cherheit“, resümiert Bettina König. „Es reduziert aber die
Risiken und schafft mit
Richtlinien, Prozessen
und Maßnahmen den
Rahmen für eine höhere
Informationssicherheit in
Organisationen.“
[email protected]ürgen Mauerer/kpf
◾
Viele Organisationen bilden ihre Mitarbeiter zum Bei-spiel zum Information Security Officer weiter, damit diese ein ISMS implementieren können.
Bei den meisten Anbietern von ISMS-Seminaren gibt es drei Stufen: Grundlagen ISO/IEC 27001, Information Security Officer oder Information Chief Security Officer und Informa-tion Security Auditor.
Ein Beispiel: Beim TÜV Süd führt das zweitägige Seminar „Information Security Foundation“ in die Grundsätze der ISO/IEC 27001 und der Informationssicherheit ein. Beim Seminar „Information Security Officer – TÜV“ lernen die Teilnehmer Planung, Implementierung, Betrieb und Verbes-serung eines ISMS auf Basis der ISO/IEC-27000-Reihe an-hand eines fiktiven Unternehmens. Die höchste Stufe ist der „Information Security Auditor/Lead Auditor – TÜV“. Im Trai-ning lernen die Teilnehmer, Audits zu planen, durchzufüh-ren und nachzubereiten.
Hier einige Anbieter von ISMS-Seminaren:
● TÜV Nord Akademie ● TÜV Rheinland Akademie ● TÜV Süd Akademie ● CentWorld Verlags GmbH ● DGI Deutsche Gesellschaft für Informationssicherheit AG ● EDC-Business Computing GmbH ● isits AG – International School of IT Security ● Maxpert GmbH ● New Elements GmbH (IT-Schulungen.com) ● PROTRANET Institut ● PSW GROUP Training GmbH & Co. KG
Zertifizierung für das ISMS
„Ein ISMS mit Zertifizierung nach ISO/IEC 27001 sorgt nicht für 100-prozentige
Sicherheit.“
Bettina KönigGeschäftsführerin König Consultwww.koenig-consult-gmbh.de
Bild
: Bet
tina
Köni
g
