Update für die Informationssicherheit – Die neue Fassung der ISO-Norm 27001 

Einheitliche, verlässliche und effektive Vorgaben für das Management der Informationssicherheit in Unternehmen: Das ist der Ansatz der ISO/IEC 27001 Norm, deren neue Fassung im Oktober 2022 vorgestellt wurde. Das Update besteht aus Straffungen, aber auch aus wesentlichen inhaltlichen Neuerungen. Die vorherige Fassung der Norm geht auf das Jahr 2013 zurück. Demgegenüber bringt die aktuelle Fassung Vorgaben, welche auf den aktuellen technologischen Stand abgestimmt sind.

Das betrifft beispielsweise die Sicherheit bei der Nutzung von Clouddienstleistungen und die Aufteilung der Verantwortung zwischen Unternehmen und Dienstleistern, das sichere Coding, Web Filtering oder die Threat Intelligence. Viele Unternehmen geraten durch das Update unter unmittelbaren Zugzwang, ihre existierenden Systeme an die neuen Vorgaben anzupassen. Ab April 2024 müssen alle zertifizierten Informationssicherheitsmanagementsysteme (ISMS) bis zum nächsten Rezertifizierungsaudit an die neue Fassung der Norm angepasst werden. 

ISO 27001-Zertifikate für Unternehmen

Für eine ISO-Zertifizierung gibt es viele gute Gründe. Sie vereinfacht die Kommunikation der Sicherheitsstandards des Unternehmens, viele größere Firmen verlangen sie zudem grundsätzlich von ihren Zulieferern. Aber auch wenn keine Zertifizierung geplant wird, ist eine Umsetzung der Vorgaben meistens empfehlenswert. Das gilt insbesondere, wenn bislang noch kein Informationssicherheitsmanagement (ISMS) besteht. Oft finden sich in solchen Fällen unerkannte Lücken in der Abwehr von Sicherheitsrisiken.

Dabei betrifft die Informationssicherheit nicht nur Ansätze der Cyber Security. Im Vordergrund steht vor allem das Verhalten der Mitarbeiter, welches entscheidend bei der Absicherung eines Unternehmens und seiner Prozesse ist. Mit Maßnahmen zur Bewusstseinsbildung (Awareness), adäquaten Richtlinien und entsprechenden Schulungen wird das Verhalten und das Wissen der Nutzer angepasst. Nur die Kombination von angemessenem Nutzerverhalten und sicheren Systemen kann die Informationssicherheit gewährleisten.

Eine strukturierte Steuerung und entsprechende Vorgaben in Form eines normgerechten ISMS sind entscheidend für die eine effektive Gefahrenabwehr. Angesichts der immer intensiveren Cyber-Bedrohungslage von heute und der wachsenden Relevanz von vernetzten digitalen Technologien für zentrale Geschäftsprozesse in so gut wie allen Branchen stellt dies ein Thema von hoher Dringlichkeit dar. Es geht also um weit mehr als nur um formale Compliance-Aspekte: Ein angepasstes ISMS ist ein kritischer Hebel für das Management, um fundamentale Geschäftsrisiken zu mitigieren.

Die Norm und die Änderungen der neuen Fassung

Die ISO-Norm 27001 gibt in zehn Kapiteln Regeln für den Aufbau eines ISMS vor. Nach einer formalen Einführung mit einer Definition von Anwendungsbereich und grundlegenden Begriffen in den Kapiteln eins bis drei beschreiben Kapitel vier bis zehn die obligatorischen Anforderungen. Sie umfassen ein vollumfängliches Managementsystem und Handlungsfelder für Aufbau, Steuerung und Verbesserung eines ISMS. Im Anhang A der Norm werden die Maßnahmen (Controls) als Umsetzungsanforderungen für das Managementsystem im Unternehmen ausgeführt. In diesem Teil der Norm sind die wichtigsten Änderungen zu verzeichnen, auf die im weiteren Verlauf des Beitrags detaillierter eingegangen wird.

Zu diesem verpflichtenden, normgebenden Text kommt ergänzend die ISO/IEC 27002 hinzu, die schon Ende 2021 in einer neuen Fassung vorgelegt wurde. Dort finden sich detailliertere, nicht verpflichtende sachliche Hilfestellungen zur Umsetzung der Kontrollmaßnahmen aus Anhang A der ISO 27001. Neben der ISO-Norm existiert in Deutschland auch die Möglichkeit einer ISMS-Zertifizierung gemäß BSI-Grundschutz, welche eng an die ISO 27001 angelehnt wurde. Die Anwendung des BSI-Grundschutz ist für bestimmte Behörden verpflichtend. Die Mechanismen und das effektive Schutzniveau entsprechen aber denen der ISO-Norm. Vorgeschrieben ist der Aufbau eines ISMS auch für Unternehmen, die kritische Infrastruktur betreiben (BSI-Kritisverordnung / § 8a Absatz 1 BSI-Gesetz).

Relevant für den erstmaligen Aufbau eines ISMS oder die Anpassung eines bestehenden Systems sind zunächst die Änderungen in den Normkapiteln vier bis zehn. Sie bringen zwar keine wesentlichen neuen Anforderungen, aber Umformulierungen, Ergänzungen und veränderte Begrifflichkeiten, die es bei der Ausgestaltung des ISMS zu berücksichtigen gilt. Beispielsweise wird in Kapitel 4.4 hinzugefügt, dass beim Aufbauen, Betreiben und Optimieren des ISMS auch die erforderlichen Prozesse und ihre Wechselwirkungen berücksichtigt werden müssen.

Eine Fußnote zu Kapitel 5.1 erläutert in der neuen Version, dass der Begriff „Business“ von der Organisation weit ausgelegt werden kann. Kapitel 6.1.3 beinhaltet ebenfalls eine Fußnote mit der Klarstellung, dass es sich bei den im Anhang A beschriebenen Informationssicherheitskontrollen um mögliche Maßnahmen handelt. Die Anwendbarkeit muss in einem Statement of Applicability oder in einer Anwendbarkeitserklärung beurteilt und definiert werden. In anderen Kapiteln der ISO-Norm 27001 wurde der Inhalt bzw. die Aufteilung neu strukturiert.

Die neuen Kontrollmaßnahmen im Detail

Von größerer Tragweite als die Anpassungen in den Kapiteln vier bis zehn sind die Änderungen im Anhang A, der die Kontrollmaßnahmen (Controls) definiert. Im Anhang A werden die erforderlichen Maßnahmen (Controls) im Rahmen des Aufbaus eines ISMS ausgeführt. Dabei handelt es sich um Kontrollmaßnahmen bzw. um Kontrollen für Risiken und weniger um fachliche Maßnahmen zur Mitigierung von Risiken. 

Auch im Anhang A sind formale Neuerungen vorgenommen worden. Dementsprechend ist der Anhang statt in 14 in nur noch vier Bereiche gegliedert (organisatorische, personelle, physische und technologische Kontrollmaßnahmen). Außerdem wurde die Anzahl der Maßnahmen von 114 auf 93 reduziert. Dabei wurden bestehende Inhalte teils zusammengefasst, ohne dass dadurch Inhaltliches entfällt. Im erläuternden Dokument ISO 27002 wurden der Zweck sowie weitere Attribute zu den Kontrollen angefügt. Elf neu definierte Kontrollmaßnahmen sind hinzugekommen, welche die Entwicklung im aktuellen Stand der Technik abdecken sollen.

Neue organisatorische Kontrollmaßnahmen

Threat intelligence (5.7): Um ein aktuelles Bild der Bedrohungslandschaft zu gewinnen, müssen Unternehmen Informationen über bestehende und sich abzeichnende Bedrohungsrisiken sammeln und auswerten. Dabei sind die strategische, taktische und operative Dimension zu beachten. 

Information security for the use of cloud services (5.23): Das Dienstleistermanagement wird durch einen größeren Fokus auf Cloud auf einen neuen Stand gebracht. Dabei ist u. a. eine Definition der Aufteilung der Verantwortlichkeiten zwischen Anbieter und Unternehmen vorzunehmen. Auch die Multicloud-Thematik (Umgang mit mehreren genutzten Providern) ist zu berücksichtigen.

ICT readiness for business continuity (5.30): Diese neue Kontrollmaßnahme beinhaltet die konkrete Forderung, im Rahmen des Business Continuity Managements (BCM), eine Business Impact Analysis (BIA) durchzuführen. Für die möglichen Auswirkungen von Störungen auf Geschäftsprozesse ist ein Ziel für den maximal akzeptablen Zeitraum bis zur Beseitigung der Störung festzulegen (Recovery Time Objective, RTO). Dabei müssen auch Aktivitäten identifiziert werden, die hierfür Priorität haben sollen. Außerdem können Vorgaben darüber festgelegt werden, welcher Datenverlust im Rahmen einer Disruption akzeptabel ist (Recovery Point Objectives, RPO).
 

Neue physische Kontrollmaßnahmen

Physical security monitoring (7.4): Die Räumlichkeiten des Unternehmens müssen permanent überwacht werden, um unerlaubten physischen Zugang aufzuspüren bzw. abzuschrecken.

Neue technologische Kontrollmaßnahmen

Configuration management (8.9): Für Hardware, Software, Services und Netzwerke müssen Härtungskonfigurationen eingeführt, dokumentiert und überwacht werden. Dafür sind Standard-Templates zu definieren.

Information deletion (8.10): Es wird vorgeschrieben, dass nicht länger benötigte Informationen gelöscht werden. Dadurch sollen unnötige Datenschutz-Risiken vermieden und die Compliance verbessert werden. 

Data masking (8.11): Um den Schutz sensibler personenbezogener Daten zu erhöhen, ist eine Anonymisierung und Pseudonymisierung dieser Daten vorzunehmen. 

Data leakage prevention (8.12): Eine Identifizierung kritischer Informationen im Unternehmen und deren Überwachung erlaubt einen besseren Schutz gegen missbräuchlichen und unerlaubten Zugriff. Das betrifft beispielsweise personenbezogene Daten, Preismodelle oder Produktdesigns. 

Monitoring activities (8.16): Netzwerke, Systeme und Anwendungen sollen kontinuierlich überwacht werden, um anormales Verhalten zu erkennen. Als Grundlage hierfür ist es erforderlich, zunächst jeweils das normale Verhalten zu definieren.

Web filtering (8.23): Der Zugang zu externen Webseiten sollte kontrolliert werden, um Risiken durch Malware und Zugriff auf unerlaubte Webressourcen zu reduzieren. Dafür kommen beispielsweise Blacklisting/Whitelisting von IP-Adressen und Webseiten, E-Mail-Quarantäne und Downloadrestriktionen in Frage. 

Secure coding (8.28): Für die Entwicklung von Software werden verbindlichere Regeln für Secure Coding vorgeschrieben. Dazu gehört u. a. eine Funktionstrennung.

Diese Neuerungen führen dazu, dass Unternehmen das existierende Policy Framework überprüfen müssen. Richtlinien, Handbücher und Verfahrensanweisungen sind an neue Begrifflichkeiten und Strukturen anzupassen. Außerdem muss überprüft werden, wie sich die Änderungen inhaltlich für individuelle Unternehmen auswirken. Grundsätzlich sollten Kontrollmaßnahmen nur dann ausgeschlossen werden, wenn die behandelten Aspekte im Unternehmen keine Anwendung finden. Die entsprechende Aktualisierung des Statement of Applicability ist eine Voraussetzung für die Zertifizierung nach der neuen Norm. Schließlich ist auch ein Abgleich mit der aktuellen Risikolandschaft nötig. 

Unterstützung für die Umsetzung für Unternehmen des Mittelstands: Anpassung des ISMS

Durch eine Überarbeitung oder einen erstmaligen Aufbau eines ISMS nach den neuen Regeln können sich Unternehmen auf die bevorstehende Verbindlichkeit der Normänderungen vorbereiten. Die damit verbundenen Prozesse und Maßnahmen tragen dazu bei, dass im Ergebnis eine höhere Informationssicherheit erreicht wird. Für die Überarbeitung des ISMS sind Aktivitäten in mehreren Bereichen eines Unternehmens nötig.

Zunächst sollte eine Analyse des Ist-Zustands vorgenommen werden, bei der die Anwendbarkeit der neuen Kontrollmaßnahmen und deren potenzielle Abdeckung durch bestehende Maßnahmen geprüft wird. Auf dieser Grundlage werden das Policy Framework an die neue Struktur angepasst und das Informationsrisikomanagement des Unternehmens überarbeitet. Auch Formulierungen, Begrifflichkeiten und Referenzen in Dokumentationen u. a. sind anzugleichen, ebenso wie die Anwendbarkeitserklärung. Gegebenenfalls müssen risikomitigierende Maßnahmen zur Abdeckung der neuen Kontrollmaßnahmen eingeleitet werden. Die regelmäßige Kommunikation der Cyber-Neuerungen im Unternehmen sowie entsprechende Schulungen betroffener Mitarbeiter bilden ein weiteres wichtiges Handlungsfeld.

Der Aufwand für das ISMS-Update sollte nicht unterschätzt werden. Doch es lohnt sich, denn ein zeitgemäßes ISMS mit den entsprechenden Kontrollmaßnahmen bringt klare Vorteile für die Informationssicherheit – von der organisatorischen Verankerung bis zur Threat Intelligence. Bei der zügigen Umsetzung der Vorgaben können erfahrene ISMS-Experten von Deloitte sachkundige Unterstützung liefern.

Für weitere Informationen über das Angebot von Deloitte wenden Sie sich an unsere Ansprechpartner.