Informationssicherheit als Investition in die Zukunft, Teil 214 | 04 | 23

Informationssicherheit, ISO/IEC 27001

Daten und Informationen bestimmen das unternehmerische Handeln in unserer heutigen Geschäftswelt. Der Verlust von Informationen, verursacht durch ungeschützte Datenbanken oder auch menschliche Fehler, ist meist gleichbedeutend mit folgenschweren wirtschaftlichen Schäden für ein Unternehmen. Eine sich in der Wirtschaft immer mehr verbreitende Maßnahme, relevante Informationen zu schützen, ist die Einführung eines Managementsystems für Informationssicherheit nach ISO/IEC 27001. Mittels der Zertifizierung kann die Wirksamkeit eines Informationssicherheitsmanagementsystems (ISMS) glaubwürdig nachgewiesen werden.

In dieser Blogreihe befassen wir uns mit verschiedenen Aspekten der Informationssicherheit sowie der Zertifizierung nach der Norm ISO/IEC 27001. Der zweite Teil dreht sich um die Notwendigkeit von Normenanpassungen in der Informationssicherheit und zeigt auf, welche weiteren Normen Anwendern in Bezug auf die Informationssicherheit zur Verfügung stehen.

Lesen Sie hier Teil 1 der Blog-Reihe »

Lesen Sie hier Teil 3 der Blog-Reihe »

 

Die zentrale Informationssicherheitsnorm ISO 27001 ist im heutigen Zeitalter rasanten technologischen Wandels aktueller und relevanter denn je. Da mit den immer neuen technologischen Möglichkeiten auch immer neue Risiken einhergehen, müssen Normungsvorhaben mit Bezug zur Informationssicherheit heutzutage schnell wandelnden Anforderungen gerecht werden. Regelmäßige Normanpassungen sind daher unverzichtbar.

Der Vorläufer des Standards, in dem die heutigen Anforderungen an Informationssicherheitsmanagementsysteme geregelt sind, erschien bereits Ende der 1980er Jahre in Großbritannien als Veröffentlichung des Departement of Trade and Industry. Er enthielt Bewertungsrahmen für IT-Sicherheitsprodukte und ein darauf basierendes Evaluierungs- und Zertifizierungsschema, zudem einen „Code of good security practice“. Diese Publikation wurde weiterentwickelt und 1995 vom „British Standard Institute“ als nationale Norm BS 7799 veröffentlicht. Später ging letztere in der internationalen ISO/IEC 17799:2000 auf, die einen Leitfaden für die Implementierung eines Informationssicherheitsmanagementsystems darstellt. Über weitere Verbesserungen, Harmonisierungen und Aktualisierungen gelangte die Norm schließlich in den Kanon der ISO/IEC 27000er Familie und ist heute als ISO/IEC 27001:2022 die wichtigste internationale, anerkannte und zertifizierbare Norm für Informationssicherheit.

Notwendigkeit der Normenanpassung in der Informationssicherheit

Seit der Veröffentlichung des BS 7799 hat sich einiges getan. Zur damaligen Zeit gab es kein Internet in der heutigen Form und Verbreitung. Erst ab 2006 kamen Smartphones auf und die Telekommunikations-Netze lieferten immer mehr Bandbreite; in jüngster Vergangenheit hielten schließlich Cloud-Lösungen Einzug. Auch das mittlerweile von Millionen Menschen gelebte Home-Office mit WLAN und Smart-Home-Appliances stellt aufgrund der großen Verbreitung heute ein anderes Risiko dar als ein – damals seltener – Heimarbeitsplatz der frühen 1990er Jahre mit einem 56 kbit/s-Modem. Daher haben neue Themen wie Bedrohungsintelligenz, Informationssicherheit für die Nutzung von Cloud-Diensten oder die Sicherung der Informations- und Kommunikationstechnologie im Sinne des Business Continuity Managements Eingang in die aktuelle Version der ISO/IEC 27001 gefunden. Und es ist anzunehmen, dass auch weitere Themen die Aufnahme in die nächsten Versionen der Norm finden werden, beispielsweise Informationssicherheit bei der Hyperautomation mit Künstlicher Intelligenz (KI), Robotergestützte Prozessautomatisierung (RPA) bei autonomen Systemen sowie Blockchain.

Ein positiver Nebeneffekt: Der inhaltliche Austausch und die Diskussion der Fachleute im Rahmen von Normungsvorhaben zeigen gegenseitige Lerneffekte. So war etwa der PDCA-Ansatz nicht Bestandteil der initialen Norm und erst ein auf der ISO/IEC 27001 basierender TISAX®-Standard verschaffte dem Thema einen größeren Schub in der Automotive-Welt und trug auch zu Änderungen der neuesten Version der Norm bei.

Zu beachten ist: Auch Normung ist nicht unfehlbar. Denn bei Normung – machen wir uns nichts vor – sind Menschen am Werk. Eine Norm ist in manchen Fällen der kleinste gemeinsame Nenner von Fachleuten, die sich auf dem Weg zu einer besseren Lösung ggf. nicht einig werden konnten. Sie ringen sich schließlich dann durch, besser eine unvollkommene Version zu veröffentlichen als gar keine. Auch handwerkliche Mängel im Publikationsprozess kommen vor. So wurde etwa das neue Kapitel 6.3. „Planning of Changes“ der ISO/IEC 27001:2022 im Inhaltsverzeichnis vergessen, ist im Normtext aber vorhanden. Es steht zu erwarten, dass solche Fehler in der nächsten Version korrigiert werden.

Nichtsdestoweniger gilt: Die digitale Transformation kann nicht ohne ein hohes Maß an Sicherheit gelingen. Probleme bei der Cybersecurity sind weiterhin ein großes Innovationshemmnis. Eine dem Bedarf angepasste Norm hilft hier weiter.

Berufsbild Informationssicherheitsbeauftragter

Informationen und Daten haben einen sehr großen Wert und bilden die Grundlage für Unternehmen und deren Geschäftsprozesse. Umso wichtiger ist es, diese vor Diebstahl, Missbrauch oder Verlust zu schützen. Informationssicherheit und der Job als Informationssicherheitsbeauftragter spielen dabei eine wesentliche Rolle. Sie wollen Unternehmen bei dem Schutz ihrer Daten unterstützen und finden einen Job als Informationssicherheitsbeauftragter spannend?
Antworten auf die wichtigsten Fragen finden Sie in unserem Berufsbild zum Informationssicherheitsbeauftragten:

  • Was ist Informationssicherheit?
  • Welche Aufgaben übernimmt ein Informationssicherheitsbeauftragter?
  • Wie wird man Informationssicherheitsbeauftragter?
  • Welche Weiterbildungsmöglichkeiten für Informationssicherheitsbeauftragte gibt es bei der DGQ?
  • Was verdient man als Informationssicherheitsbeauftragter?
  • Welche Rollen gibt es in der Informationssicherheit?

Zum Berufsbild Informationssicherheitsbeauftragter »

Weitere Normen und deren Einsatzgebiete im Kontext der Informationssicherheit

Im Kontext der Informationssicherheit und ihrer verschiedenen Einsatzgebiete sind noch weitere Normen neben der ISO/IEC 27001 von Bedeutung. Allein die Normenreihe der ISO/IEC 2700x unterstützt Unternehmen und Anwender mit einer breiten Palette an Möglichkeiten:

  • Die ISO/IEC 27000 bietet Hilfen zum Verständnis von Begriffen im Kapitel „Overview and vocabulary“
  • Die ISO/IEC 27002 hält Hilfestellungen für die Anwendung sowie den „Code of practice“ parat.
  • In der ISO/IEC 27003 finden sich „Implementation Guidelines“ wieder.
  • Die ISO/IEC 27004 dreht sich um „Management measurements“.
  • Die ISO/IEC 27005 wartet wiederrum mit Hilfen zum „Information security risk management“ auf.

Normen der Cybersicherheit

Als spezielle Norm für Cybersicherheit könnte sich die ISO/IEC 27032:2012 zu einem wichtigen Sicherheitsbaustein entwickeln, da sie Leitlinien zur Verbesserung des Zustands der Cybersicherheit bietet. Darüber hinaus hebt sie ihre Abhängigkeiten von anderen Sicherheitsbereichen hervor, insbesondere Netzwerksicherheit, Internet-Sicherheit und den Schutz kritischer Informationsinfrastrukturen. Sie behandelt die grundlegenden Sicherheitspraktiken für Interessengruppen im Cyberspace und legt unter anderem Leitlinien für den Umgang mit häufigen Cybersicherheitsproblemen fest.

Normen zur Sicherheit personenbezogener Daten

Für den Bereich der Sicherheit personenbezogener Daten bietet die ISO/IEC 27701 Orientierung. Sie ist eine Erweiterung der ISO/IEC 27001 und ISO/IEC 27002 mit Fokus auf das Datenschutzmanagement und umfasst Anforderungen sowie einen Leitfaden. In der Praxis überschneidet sie sich in der EU mit dem DSGVO-Standard. Sie ist zertifizierbar, aber nur in Verbindung mit der ISO/IEC 27001 und hat jedoch eine begrenzte Marktbedeutung in der Europäischen Union (EU). Sie dürfte aber – außerhalb der EU – an Bedeutung gewinnen, wenn es um nationale Verbesserungen im Datenschutz geht.

Normen zur Technik und Risikomanagement

Im technischen Bereich steht die Normenreihe IEC 62443 zur Verfügung, die sich auf „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ fokussiert. Die Normenreihe ist in verschiedene Bereiche unterteilt und beschreibt sowohl technische als auch prozessuale Aspekte der Industriellen Cybersecurity. Darüber hinaus kann für ein allgemeines Risikomanagement die ISO 31000 herangezogen werden – sie ist für Organisationen aller Arten und Größen anwendbar, die das Risikomanagement in ihre Geschäftsfunktionen integrieren wollen.

Das Feld der Normen rund um Informationssicherheit, Cybersecurity und weitere verwandte Themen ist somit zum jetzigen Zeitpunkt schon breit aufgestellt. Es wird – und muss– allerdings auch weiterhin in Bewegung bleiben: Die Anforderungen steigen und die Gesetzgebung entwickelt sich weiter. Die nächste Revision ist nur eine Frage der Zeit.

Erfahren Sie mehr zur Normentwicklung und branchenspezifische Standards in der Informationssicherheit in unserem Fachbeitrag. Zum Fachbeitrag »

 

Weiterbildungsangebote rund um Informationssicherheit

Informieren Sie sich über unsere Weiterbildungsangebote im Bereich Informationssicherheit und lernen Sie, ein Informationssicherheitsmanagementsystem in Ihrer Organisation aufzubauen und zu erhalten. Jetzt informieren »

Ebenfalls bieten wir Ihnen eine Weiterbildung zum Informationssicherheitsbeauftragten Automotive an. Erlangen Sie im Training detaillierte Kenntnisse zu dem in der Automobilindustrie etablierten ISMS-Standard nach dem TISAX-Modell. Jetzt anmelden »

Über den Autor: Klaus Kilvinger

Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt er über breite Branchenkenntnisse, über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor bis hin zur Wirtschaftsprüfung.