Informationssicherheit als Investition in die Zukunft, Teil 37 | 06 | 23
Daten und Informationen bestimmen das unternehmerische Handeln in der heutigen Geschäftswelt. Durch ungeschützte Datenbanken oder auch menschliche Fehler können Daten verloren gehen. Ein solcher Verlust ist meist gleichbedeutend mit folgenschweren wirtschaftlichen Schäden für ein Unternehmen. Um relevante Informationen zu schützen, führen immer mehr Organisationen ein Managementsystem für Informationssicherheit nach ISO/IEC 27001 ein. Mittels der Zertifizierung nach dieser Norm kann die Wirksamkeit eines Informationssicherheitsmanagementsystems (ISMS) glaubwürdig nachgewiesen werden.
Diese Blogreihe befasst sich mit verschiedenen Aspekten der Informationssicherheit sowie der Zertifizierung nach der Norm ISO/IEC 27001. Im abschließenden Teil der Reihe erklärt Klaus Kilvinger im Interview, welche Vorteile Unternehmen durch eine Zertifizierung nach ISO/IEC 27001 haben und welche Fehler es bei der Einführung zu vermeiden gilt.
Lesen Sie hier Teil 1 der Blog-Reihe »
Lesen Sie hier Teil 2 der Blog-Reihe »
Herr Kilvinger, besteht eine Pflicht, nach ISO 27001 zertifiziert zu sein?
Klaus Kilvinger: Eine gesetzliche Pflicht, sich zu zertifizieren, besteht nicht für alle Unternehmen.
In manchen Branchen ist der Betrieb eines ISMS gemäß ISO/IEC 27001 und die Zertifizierung allerdings Pflicht. So legt beispielsweise das Energiewirtschaftsgesetz (EnWG, § 11 Absatz 1a) die generellen Anforderungen fest. Diese werden von der Bundesnetzagentur im IT-Sicherheitskatalog konkretisiert, als Kernforderung wird die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie die Zertifizierung durch eine unabhängige hierfür zugelassene Stelle verlangt.
In anderen Bereichen wird nur das Thema ISMS adressiert. Für KRITIS-Betreiber im Rahmen von § 8, BSIG wird verlangt, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Im § 8a, (3) BSIG wird konkret ein Nachweis gefordert, der alle zwei Jahre mit Audits, Prüfungen oder Zertifizierungen zu erbringen ist. Die Zertifizierung gemäß ISO/IEC 27001 ist als Bestandteil einer Prüfung beziehungsweise als Nachweis zugelassen, ist jedoch noch zu ergänzen um konkrete Prüfpunkte beziehungsweise Risikobetrachtungen. Einrichtungen, die unter die KRITIS-Regulierung fallen, sind Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen, Siedlungsabfallentsorgung sowie Staat und Verwaltung.
Was spricht sonst noch für eine Zertifizierung?
Klaus Kilvinger: Die Nutzung der Norm und der Betrieb eines ISMS ohne Zertifikat hat immer den „Makel“, dass Außenstehende nicht erkennen können, ob man die Anforderungen auch wirklich einhält. Zweifel sind unvermeidlich.
Kostengründe allein können kein Argument gegen eine Zertifizierung sein. Die reine Zertifizierung ist in der Praxis im Vergleich zu gegebenenfalls nötigen internen Änderungen in der Organisation, Dokumentation und Prozessen, baulichen Maßnahmen oder Investitionen in die nötige Technologie der IT-Infrastruktur ein relativ kleiner Kostenblock. Zudem können Zertifikate zur positiven Außendarstellung beitragen, beispielsweise auf der Website der Unternehmen.
Bestehen über die IT- beziehungsweise Kommunikationsthemen sowie über die Organisation hinaus noch weitere Anforderungen?
Klaus Kilvinger: Für eine Zertifizierung werden auch bauliche Aspekte betrachtet, denn es trifft ja nicht nur digitale Informationen. Auch der Verlust geistigen Eigentums, der physische Diebstahl von Baumustern, Prototypen oder Bildern, technischen Zeichnungen oder sonstigen Papierdokumenten – Originale oder Kopien – ist als Risiko zu betrachten. Weiterhin spielt hier auch der Schutz des Zugangs zu Räumen mittels Schlössern und Schließ-Systemen, die Aufbewahrung von Dokumenten in Schränken oder im Safe bis hin zur Vernichtung durch Schreddern, Löschfristen oder Dienstleister eine große Rolle. Das Durchsuchen von „Alt-Daten“ aus IT-Papierkörben – sogenanntes „Dumpster Diving“ – birgt das Risiko, dass Daten aus dem Restmüll, Altpapier oder auch nicht geschlossenen Daten-Containern in falsche Hände gelangen. Nicht zu vergessen sind Einbruchmeldeanlagen oder der Wachdienst für besonders gefährdete Bereiche.
Welche Vorteile bringt mir eine Zertifizierung?
Klaus Kilvinger: Durch ein funktionierendes, kontinuierlich betriebenes und zertifiziertes Informationssicherheits-Managementsystem lassen sich Schwachstellen in der Informationssicherheit frühzeitig erkennen und Risiken in der Folge minimieren. Dies nur einmalig zu tun, ist nicht sinnvoll, da sich der Markt und die Technologien laufend ändern und das Unternehmen sich daran anpassen muss. Das ISMS aufrechtzuerhalten, ist eine Daueraufgabe!
Der Vorteil eines Zertifikats ist zudem dessen Unabhängigkeit und Objektivität. Bei einer Selbsterklärung durch das Unternehmen können Kunden nicht sicher sein, dass die Forderungen auch tatsächlich erfüllt werden. Hier jedoch bescheinigt die prüfende Organisation, also eine unabhängige dritte Stelle – die sich wiederum mit hohen Anforderungen bei der DAkkS akkreditieren muss – die Konformität mit einer Mindestanforderung. Es bleibt dem Unternehmen aber unbenommen, mehr zu tun.
Vorteilhaft ist ein Standard zudem, wenn eine Organisation mehrere unterschiedliche und nicht standardisierte Anfragen von Kunden zu seinen angewandten Sicherheitsmaßnahmen bekommt. Sie kann immer auf eine Basis zurückgreifen, beschleunigt die Antworten und reduziert den Aufwand für die Beantwortung oder spart Zeit, wenn idealerweise die Zertifizierung als Nachweis genügt.
Zudem können Organisationen, die zertifiziert sind, auch ihre Wettbewerbsfähigkeit verbessern, denn die Sicherheit von Informationen sowie der Schutz von Daten werden zunehmend wichtiger. Auftraggeber werden wahrscheinlich einen Lieferanten mit einem funktionierenden Informationssicherheitsmanagementsystem, das auch mit einem Zertifikat dokumentiert ist, solchen Unternehmen vorziehen, die kein zertifiziertes Managementsystem nachweisen.
Gibt es hierzu auch konkrete branchenspezifische Beispiele?
Klaus Kilvinger: Ja, in manchen Situationen oder Branchen ist eine Zertifizierung gar die Voraussetzung für eine Beauftragung durch Kunden. Ein gutes Beispiel ist der Bereich Automotive, dort werden Ausschreibungen oft nur noch an Unternehmen versendet, die ein ISMS gemäß TISAX® (das auf ISO/IEC27001 aufbaut) nachweisen können. In der Branche würde ohne den Nachweis die Ausschreibung gar nicht an das Unternehmen übermittelt werden. So würde mangels TISAX®-Label die Kundenbasis geschmälert, ganz unabhängig von der Qualität oder dem Preis der Produkte.
Der Vorteil eines ISMS gemäß ISO/IEC 27001 liegt auch in der Konformität gemäß der neuen EU-Richtlinie NIS-2, bei der die Normenreihe ISO/IEC 27000 als Bezugsrahmen anerkannt ist und daher teilweise als Nachweis genutzt werden kann.
Wovon profitieren Unternehmen mit einem Zertifikat noch?
Klaus Kilvinger: Ein weiterer Vorteil einer Zertifizierung ist die Reduzierung von Geschäfts- und Haftungsrisiken, indem man die ISMS-Vorbereitungen und Dokumente für den Nachweis seiner Maßnahmen im Rahmen des Abschlusses einer Cyber-Versicherung nutzt. Die Nachweisführung für Schutzmaßnahmen im Versicherungsfall ist damit vereinfacht.
Sicherlich fällt es Unternehmen auch leichter, einem Rechenzentrum oder Cloud-Anbieter seine Daten anvertrauen, wenn es durch Zertifikate belegte Aussagen zur Sicherheit des Unternehmens vorlegen kann. Daher schafft ein Zertifikat auch Vertrauen beim Kunden und hilft dabei, weitere Aufträge zu generieren.
Wer unterstützt die Organisationen bei der Zertifizierung?
Klaus Kilvinger: Die Zertifizierung ist gut organisiert und es gibt viele Organisationen, die eine Prüfung vornehmen dürfen. Diese Prüfungsunternehmen müssen Mindestqualifikationen für Ihre Prüfer nachweisen und bei der DAKKS akkreditiert sein. Über die Website der DAkkS kann man sich einen Überblick über die akkreditierten Anbieter für die Zertifizierung von Managementsystemen verschaffen und dort ein Angebot anfordern.
Wie aufwendig ist solch eine Zertifizierung in der Regel?
Klaus Kilvinger: Der Aufwand eines Zertifizierungsprozesses ist je nach Organisation verschieden. Meist sind es in Summe etwa fünf Tage beim Auditor, der nach einer Vorbereitungsphase die Prüfung durchführt, die selbst zwei Tage dauert. Danach dokumentiert der Prüfer seine Bewertung. Diese wird bei der Prüfungsorganisation qualitätsgesichert. Das Ergebnis der Prüfung wird dem Unternehmen mitgeteilt. Bei größeren Organisationen mit mehreren Standorten oder komplexem Umfeld kann die Prüfung deutlich aufwendiger sein. Das hängt auch von der internen Dokumentationsqualität ab.
Welches Fachwissen muss für die Zertifizierung im Unternehmen vorhanden sein? Benötige ich zusätzliche Fachkräfte?
Klaus Kilvinger: Die Zertifizierungsprüfung nimmt der Auditor vor. Für die interne Vorbereitung muss bei der Organisation das Wissen zu den Normanforderungen, deren Umsetzung und Nachweisführung sowie zu den Verbesserungsprozessen und der Auditierung vorhanden sein. Sofern die vorhandenen Mitarbeiter dieses Wissen nicht haben, sollten sie geschult werden oder auf externe Unterstützung zurückgegriffen werden. Ein zeitliches Budget braucht die Organisation dafür in jedem Falle.
Was sind aus Ihrer Sicht die wichtigsten Änderungen des 27001-Updates?
Klaus Kilvinger: Da ist zunächst die Aktualisierung der Anforderungen zu nennen. Beispielsweise wurden Cloud-Themen aufgenommen. Außerdem wurden Controls zur Vereinfachung der Normanwendung gestrafft und optimiert. Dies geschah auch unter Einbeziehung der ISO/IEC 27002. Das Update beinhaltet ebenfalls Ergänzungen im Bereich Change-Management. Darüber hinaus hat die aktuelle Version Attribute zur Vereinfachung von Optimierungen eingeführt.
Und was sind typische Fehler, die Organisationen bei der Einführung der ISO 27001 vermeiden sollten?
Klaus Kilvinger: Teilweise verfügen die Organisationen nicht über ausreichendes Wissen zu den Anforderungen und planen eine zu geringe Vorbereitungs- und Umsetzungszeit ein. Dies führt insgesamt zu fachlichen Fehleinschätzungen. Häufig ist auch das Budget für Personal, Bearbeitungszeit und Kosten zu gering. Eine erfolgreiche Implementierung ist zudem noch keine Garantie, dass das ISMS in der Praxis auch genutzt wird. Nach dem initialen Audit sollte das ISMS „gelebt“ werden und man sollte auf die Nachweisfähigkeit achten. Dies unterbleibt bei manchen Unternehmen, die dadurch ihre Zertifikate gefährden.
Ein weiterer Fehler besteht darin, einen unangebrachten Kostendruck bei der Einführung technischer IT-Themen oder Zugangseinrichtungen aufzubauen und damit einen angemessenen Mindestschutz zu gefährden. Einen Stolperstein bildet auch ein mangelhaftes Dokumentenmanagement.
Last but not least, ist es ein Fehler auf eine ISMS-Softwarelösung zu verzichten! Die vermeintliche Ersparnis bei der Software reduziert zwar Investitionskosten (CAPEX, Capital Expenditure), führt aber zu hohem personellen Aufwand (OPEX, Operational Expenditure) in der Einführung und in der Folge oft zu schlechter Pflege bzw. Nutzung, also mittel- und langfristig zu insgesamt höheren Kosten. Die oft anzutreffende Aussage, dass Mitarbeiter ohnehin vorhanden sind, die das System dann „nebenbei“ pflegen, ist in Zeiten der Personalknappheit auch nicht mehr tragfähig. In der Folge leidet die Sicherheit des ganzen Unternehmens!
Abschließend kann ich allen Organisationen, die überlegen, sich zertifizieren zu lassen, nur raten: Tun Sie es! Denn wer zertifiziert, gewinnt in vielerlei Hinsicht.
Weiterbildungsangebote rund um Informationssicherheit
Informieren Sie sich über unsere Weiterbildungsangebote im Bereich Informationssicherheit und lernen Sie, ein Informationssicherheitsmanagementsystem in Ihrer Organisation aufzubauen und zu erhalten. Jetzt informieren »
Ebenfalls bieten wir Ihnen eine Weiterbildung zum Informationssicherheitsbeauftragten Automotive an. Erlangen Sie im Training detaillierte Kenntnisse zu dem in der Automobilindustrie etablierten ISMS-Standard nach dem TISAX-Modell. Jetzt anmelden »
Über den Autor: Klaus Kilvinger
