Informationssicherheit: Wie Unternehmen die ISO 27001:2022 richtig umsetzen

Cybersecurity ist ein breit aufgestelltes Fachgebiet, welches privatwirtschaftliche Unternehmen nur wenig strukturiert angewenden. Dazu liefert die internationale Norm ISO27001 ein umfassendes und strukturiertes Managementsystem, mit dessen Anwendung bestehende technische und organisatorische Maßnahmen für die Informationssicherheit: effektiv geplant, umgesetzt, überprüft und ständig verbessert werden können. Wie die erste Abbildung darstellt, liegt allen Managementsystemen ein PDCA-Modell zugrunde: Beim „Planen“ wird ein Soll-Konzept dokumentiert. Beim „Tun“ soll dieses diie Organisation umsetzen und leben. Und beim „Check“ gleicht man die Realität mit der ursprünglichen Planung ab. Schließlich werden beim „Act“ Maßnahmen zur Anpassung des Systems definiert, damit es sich kontinuierlich verbessern kann.

Durch den Einsatz eines ISMS lassen sich somit bereits vorhandene Maßnahmen so strukturiert steuern, dass für die Erhöhung deren Effektivität keine zusätzlichen Restriktionen für das Business erforderlich werden. Anwender sollen Cybersecurity schließlich als „Business-Enabler“ und nicht als „Show-Stopper“ betrachten.

Informationssicherheit: Drei Linien der Verteidigung einer Burg

Bereits im Mittelalter hatten die Burgen zum Schutz der darin lebenden Bevölkerung das Konzept der drei Linien der Verteidigung umgesetzt. Die erste Linie umfasste den Schutz des Außenperimeters mit hohen und dicken Burgmauern, einem tiefen Graben mit Zugbrücken und einem Außenvorposten. Im Inneren gab es mindestens noch ein weiteres Tor mit Wachen, Kontrollen und Schützen, bis man schließlich ins Burginnere reinkam. Dort, nahezu unbemerkt, agierte die dritte Linie der Verteidigung.

Diese beinhaltete insbesondere die Funktionen zur Überprüfung und Überwachung der Effektivität der ersten und zweiten Linien und des inneren Geheimdienstes oder der Polizei. Auch heutzutage setzen die meisten Verteidigungsmechanismen von Unternehmen auf dieselben drei Linien der Verteidigung. Es werden allerdings modernere Namen für die Sicherheitsmaßnahmen verwendet. Die Tabelle enthält eine kleine Auswahl der Maßnahmen zur Gewährleistung der Sicherheit. Eine gut-vollständige Übersicht der wesentlichen Sicherheitsmaßnahmen zur Informationssicherheit ist in der internationalen Norm ISO27001 enthalten und in den Schwesternormen ISO27002 und ISO27003 detailliert beschrieben.

Erneuerung der Norm ISO27001:2022

Letzte umfangreichere und inhaltliche Aktualisierung der ISO27001 fand noch im Jahr 2013 statt. Seitdem erfuhr diese lediglich textuelle und formale, kleinere Anpassungen im Jahr 2015, 2017 und 2019. Eine Aktualisierung und Umstrukturierung waren somit schon längst überfällig. Insbesondere weil sich die Technologie, die Gefahrenlandschaft und gesetzliche Regelungen in fast zehn Jahren signifikant verändert haben. Die International Organization for Standardization (ISO) hat am 25.10.2022 eine neue Version der Norm ISO27001 veröffentlicht, welche innerhalb der nächsten zwei Jahre die bisherige Norm ersetzen soll. Dabei hat die Organisation auch die Klauseln des Hauptteils der Norm angepasst.

Die signifikantesten Änderungen sind aber in der vollkommen neuen Strukturierung der Maßnahmen im normativen Anhang zu finden. Einige Maßnahmen wurden sinngemäß zusammengefasst und teilweise verschärft. Elf Maßnahmen zu modernen Themen sind aber neu dazugekommen, so dass sich die Anzahl dieser von 114 auf 93 verringert hat. Ursprünglich waren die Maßnahmen für die Informationssicherheit in 14 fachlichen Themen zusammengefasst. Die Themenzuordnung wurde in der neuen Struktur aufgelöst. Mittlerweile sind alle Maßnahmen in zwei großen (organisatorische und technische Maßnahmen) und zwei kleineren Abschnitten (personelle und physikalische Maßnahmen), bezogen auf deren Natur untergebracht.

Informationssicherheit: Neue Maßnahmen zu aktuellen Themen

Jedes Unternehmen, das ein ISMS nach ISO27001 betreibt, muss also innerhalb der nächsten Zeit eine neue Strukturierung und Anordnung der Cybersecurity-Schutzmaßnahmen umsetzen, um weiterhin nach dieser Norm zertifiziert zu bleiben. Dies ist, zugegeben, ein komplexes Unterfangen, welches einen Überblick aus einer „gehobeneren Flughöhe“ erfordert. Ohne eine externe Beratungsunterstützung läuft man hier potenziell der Gefahr einer Betriebsblindheit zum Opfer zu fallen

Die neuen Maßnahmen, welche zu aktuellen Themen aufgenommen wurden, können hauptsächlich den Themengebieten Datenschutz, Überwachung und Vorsorge sowie Bestandsaufnahme und Gefahrenanalyse zugeordnet werden. Die nachfolgende Tabelle gibt eine Übersicht über diese Maßnahmen, deren Eigenschaften und Zwecke.

Über den Autor: Dr. Roman Krepki ist Senior Manager bei der Beratungs- und Prüfungsgesellschaft Mazars am Standort Stuttgart. Der Diplom-Informatiker ist zuständig für die Themen ISO27001 zu ISMS, Cybersecurity, IS-Risikomanagement und Datenschutz. Er berät Kunden aus der Finanzindustrie (Banken und Versicherungen), Gesundheits- und Pharmaunternehmen, Automobilzulieferer und im öffentlichen Sektor. Roman Krepki forschte nach dem Studium beim Fraunhofer-FIRST am Thema „Brain-Computer-Interface“ und promovierte auf dem Gebiet der künstlichen Intelligenz (KI) und der neuronalen Algorithmik.

Lesen Sie auch: Künstliche Intelligenz – Wettlauf zwischen Technologie und gesetzlicher Regulierung