Beruflich Dokumente
Kultur Dokumente
Fachgruppe Informationssicherheit
Implementierungsleitfaden
ISO/IEC 27001:2013
Ein Praxisleitfaden für die Implementierung eines ISMS
nach ISO/IEC 27001:2013
Herausgeber:
ISACA Germany Chapter e.V.
Oberwallstraße 24
10117 Berlin
www.isaca.de
info@isaca.de
Autorenteam: Die Inhalte dieses Leitfadens wurden von Mitgliedern des ISACA
• Gerhard Funk (CISA, CISM), unabhängiger Berater Germany Chapter e.V. erarbeitet und sind sorgfältig recherchiert.
• Julia Hermann (CISSP, CISM), Giesecke & Devrient GmbH Trotz größtmöglicher Sorgfalt erhebt die vorliegende Publikation
• Angelika Holl (CISA, CISM), Unicredit Bank AG keinen Anspruch auf Vollständigkeit. Sie spiegelt die Auffassung
• Nikolay Jeliazkov (CISA, CISM), Union Investment des ISACA Germany Chapter wider. ISACA Germany Chapter e.V.
• Oliver Knörle (CISA, CISM) übernimmt keine Haftung für den Inhalt.
• Boban Krsic (CISA, CISM, CISSP, CRISC), DENIC eG
• Nico Müller, BridgingIT GmbH Der jeweils aktuelle Leitfaden kann unter www.isaca.de kostenlos
• Jan Oetting (CISA, CISSP), Consileon Business Consultancy bezogen werden. Alle Rechte, auch das der auszugsweisen Ver-
GmbH vielfältigung, liegen beim ISACA Germany Chapter e.V. bzw. der
• Jan Rozek Risk Management Association e.V.
• Andrea Rupprich (CISA, CISM), usd AG
• Dr. Tim Sattler (CISA, CISM, CGEIT, CRISC, CISSP), Jungheinrich AG
• Michael Schmid (CISM), Hubert Burda Media Stand: Mai 2016 (Final nach Review und Überarbeitung durch
• Holger Schrader (CISM, CRISC) ISACA-Fachgruppe Informationssicherheit)
Implementierungsleitfaden
ISO/IEC 27001:2013
Informationssicherheit ist unverzichtbar. Sie muss als Be- normkonformen ISMS werden klar herausgestellt. Insbe-
standteil der Unternehmensführung allerdings darauf aus- sondere werden Praxisempfehlungen zur Etablierung bzw.
gerichtet sein, die Geschäftsziele optimal zu unterstützen. Erhöhung des Reifegrads bestehender ISMS-Prozesse und
Auch oder vielleicht gerade in Zeiten sogenannter »Cyber- typische Umsetzungsbeispiele verschiedener Anforderungen
Bedrohungen« und des vielerorts aufkommenden Begriffs aufgezeigt.
der »Cyber-Sicherheit« bietet ein gut strukturiertes Infor-
mationssicherheits-Managementsystem (ISMS) nach inter- Danksagung
national anerkannten Standards die optimale Grundlage zur
effizienten und effektiven Umsetzung einer ganzheitlichen Das ISACA Germany Chapter e.V. bedankt sich bei der
Sicherheitsstrategie. ISACA-Fachgruppe Informationssicherheit und den Auto-
ren für die Erstellung des Leitfadens: Gerhard Funk, Julia
Ob der gewählte Fokus auf die aus dem Internet stammenden Hermann, Angelika Holl, Nikolai Jeliazkov, Oliver Knörle,
Bedrohungen, den Schutz von geistigem Eigentum, die Erfül- Boban Krsic, Nico Müller, Jan Ötting, Jan Rozek, Andrea
lung von Regularien und vertraglichen Verpflichtungen oder Rupprich, Dr. Tim Sattler, Michael Schmid und Holger
die Absicherung von Produktionssystemen gelegt wird, hängt Schrader.
von den Rahmenbedingungen (z. B. Branche, Geschäftsmo-
dell oder Risikoappetit) und den konkreten Sicherheitszielen Projektleitung und Redaktion: Oliver Knörle
der jeweiligen Organisation ab. Unabhängig von der Na-
mensgebung des gewählten Ansatzes ist in allen Fällen ent-
scheidend, sich der in dem jeweiligen Kontext bestehenden
Informationssicherheitsrisiken bewusst zu sein bzw. diese
aufzudecken und die notwendigen Strategien, Prozesse und
Sicherheitsmaßnahmen auszuwählen, umzusetzen und letzt-
lich auch konsequent nachzuhalten.
Inhaltsverzeichnis
1. Einleitung 7
4. Glossar 40
5. Referenzen 42
6. Abbildungsverzeichnis 43
7. Anlage 1:
Mapping ISO/IEC 27001:2013 vs.
ISO/IEC 27001:2005 44
8. Anlage 2:
Versionsvergleich ISO/IEC 27001:2013 vs.
ISO/IEC 27001:2005 56
9. Anlage 3:
Interne ISMS-Audits – Mapping zur
ISO/IEC 19011:2011 und ISO/IEC 27007:2011 58
10. Anlage 4:
Durchführung interner ISMS-Audits
(Prozessschaubild) 59
11. Anlage 5:
Bausteine eines ISMS nach ISO/IEC 27001:2013
(deutsch) 60
1. Einleitung
Das systematische Management der Informationssicherheit ISO/IEC 27001:2013 und die darin systematisch und ganz-
nach ISO/IEC 27001:2013 soll einen effektiven Schutz von heitlich dargelegten TOMs, die – in unterschiedlicher Aus-
Informationen und IT-Systemen in Bezug auf Vertraulichkeit, prägung und Güte – zum Betrieb eines jeden ISMS gehören,
Integrität und Verfügbarkeit gewährleisten.1 Dieser Schutz unterstützen die Erreichung der eingangs aufgeführten Ziele
ist kein Selbstzweck, sondern dient der Unterstützung von aus allen drei Sichten:
Geschäftsprozessen, der Erreichung von Unternehmenszielen
und dem Erhalt von Unternehmenswerten durch eine stö- ZZ Die Governance-Sicht bezieht sich auf die Steuerungsas-
rungsfreie Bereitstellung und Verarbeitung von Informatio- pekte des ISMS, wie beispielsweise eine enge Einbezie-
nen. Dazu bedient sich ein ISMS in der Praxis folgender drei hung der obersten Leitungsebene (vgl. Kapitel 3.2 Lea-
Sichtweisen: dership and Commitment), eine Konsistenz zwischen den
Geschäfts- und Informationssicherheitszielen (vgl. Kapitel
ZZ G – Governance-Sicht 3.3 IS Objectives), eine effektive und zielgruppengerechte
-- IT-Ziele und Informationssicherheitsziele, die aus den Kommunikationsstrategie (vgl. Kapitel 3.9 Communica-
übergeordneten Unternehmenszielen abgeleitet sind tion) sowie angemessene Regelwerke und Organisations-
(z. B. unterstützt von bzw. abgeleitet aus COSO oder strukturen (vgl. Kapitel 3.5 Roles, Responsibilities and
COBIT) Competencies).
ZZ R – Risiko-Sicht ZZ Die Risiko-Sicht, die unter anderem als Basis für eine
-- Schutzbedarf und Risikoexposition der Unterneh- nachvollziehbare Entscheidungsfindung und Priorisie-
menswerte und IT-Systeme rung von technischen und organisatorischen Maßnahmen
-- Risikoappetit des Unternehmens fungiert, ist einer der Kernpunkte eines ISMS nach ISO/
-- Chancen vs. Risiken IEC 27001:2013. Sie wird durch das IS-Risikomanage-
ment repräsentiert (vgl. Kapitel 3.6 Risk Management)
ZZ C – Compliance-Sicht
und beinhaltet Vorgaben und Methoden für die Identifi-
-- Externe Vorgaben durch Gesetze, Regulatoren und zierung, Analyse und Bewertung von Risiken im Kontext
Normen
der Informationssicherheit, d. h. Risiken, die eine poten-
-- Interne Vorgaben und Richtlinien zielle Gefährdung für die Vertraulichkeit, Integrität und/
-- Vertragliche Verpflichtungen oder Verfügbarkeit von IT-Systemen und Informationen
und letztlich der davon abhängigen Geschäftsprozesse
Diese Sichtweisen bestimmen, welche Schutzmaßnahmen an-
darstellen.
gemessen und wirksam sind für
ZZ Die Compliance-Sicht ist fest in der gesamten Norm ver-
ZZ die Möglichkeiten und Geschäftsprozesse der Organisation, ankert. Sie umfasst einerseits die Definition der erforderli-
chen (Sicherheits-)Vorgaben, was durch die empfohlenen
ZZ den Schutzbedarf in Abhängigkeit von der Kritikalität der
Maßnahmen des Annex A unterstützt wird. Andererseits
jeweiligen Unternehmenswerte sowie
bezieht sie sich auf die konkrete Erfüllung genau dieser
ZZ die Einhaltung geltender Gesetze und Regularien. Vorgaben, was durch eine regelmäßige Kontrolle seitens
des Managements und der Informationssicherheitsverant-
Technische und organisatorische Maßnahmen wortlichen (vgl. Kapitel 3.7 Performance Monitoring &
KPIs) sowie durch interne Audits sichergestellt werden
Technische und organisatorische Maßnahmen (TOMs) zur muss (vgl. Kapitel 3.12 Internal Audit und 3.14 Continu-
Erreichung und Aufrechterhaltung einer störungsfreien In- al Improvement). Eine angemessene Dokumentation (vgl.
formationsverarbeitung müssen einerseits wirksam (effektiv) Kapitel 3.8 Documentation) und das vorhandene Sicher-
sein, um ein erforderliches Schutzniveau zu erreichen. Gleich- heitsbewusstsein von Mitarbeitern und Führungskräften
zeitig müssen sie auch wirtschaftlich angemessen (effizient) (vgl. Kapitel 3.10 Competence and Awareness) sind für
sein. die Compliance-Sicht ebenfalls von wesentlicher Bedeu-
tung.
1 Authentizität, Verbindlichkeit und Nicht-Abstreitbarkeit können als
Teilziele der Integrität angesehen werden.
Geschäftsleitung
Rechtliche und
Unternehmensziele Unternehmensrisiken vertragliche Vorgaben
Informationssicherheits-Managementsystem (ISMS)
Compliance- Berichte
Managementberichte
Risiken
Ziele Regeln
Risikomanagement
Informationssicherheit
Risiken
Controlling Informationssicherheit
Roles,
Leadership Performance
Responsibilities Risk
and IS Objectives IS Policy Monitoring &
and Management
Commitment KPIs
Competencies
Availability
ISMS
Context
of the According Incident Management
Organization ISO/IEC
27001
Competence
Supplier Continual
Documentation Communication and Internal Audit
Relationships Improvement
Awareness
2.2 Kapitelstruktur
Die einzelnen Kapitel sind jeweils gleich aufgebaut und in
folgende drei Abschnitte gegliedert:
3. B
austeine eines ISMS nach
ISO/IEC 27001:2013
ZZ Geltungsbereich des ISMS (Abschnitt 4.3) ZZ Unter dem Stichwort IT-Governance sowie in Zusam-
menhang mit der Verantwortung der Geschäftsleitung
ZZ Erklärung zur Anwendbarkeit (Abschnitt 6.1.3 d)
für Strategien wird die nachweisliche Übernahme der Ge-
ZZ Übersicht aller relevanten gesetzlichen, regulatorischen samtverantwortung insbesondere in regulierten Bereichen
und vertraglichen Anforderungen, die einen Einfluss auf immer stärker auch von den entsprechenden Aufsichtsbe-
die Informationssicherheitsstrategie und das ISMS haben hörden gefordert1,2.
(A.18.1)
Erfolgsfaktoren aus der Praxis
Darüber hinaus haben sich in der Praxis folgende Dokumen-
te als zielführend etabliert: Definition »Topmanagement«
Mit »Topmanagement« ist die Leitungsebene gemeint, die
ZZ Übersicht aller für den konkreten Geltungsbereich des für die Steuerung der durch das ISMS zu schützenden Orga-
ISMS relevanten Interessengruppen (Stakeholder) nisation verantwortlich ist und über den Ressourceneinsatz
entscheidet.
Referenzen
ISO/IEC 27001:2013 – Abschnitte 4.3 und 6.1.3
ISO/IEC TR 27023:2015
ISO 22301:2012
ISO 31000:2009
ISO 9001:2015
1 Joint Committee Report on Risks and Vulnerabilities in the EU Financial
System, Kapitel 7 (http://www.esma.europa.eu/system/files/jc-2014-
18_report_on_risks_and_vulnerabilities_in_the_eu_financial_system_
march_2014.pdf).
2 Erläuterung zu den MaRisk in der Fassung vom 14.12.2012, AT 4.2, AT
7.2 (https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/
dl_rs1210_erlaeuterungen_ba.pdf?__blob=publicationFile&v=3).
ZZ Bei großen Unternehmen ist das »Topmanagement« 3 aus Anforderungen an die Dokumentation
Sicht der Norm nicht zwangsläufig die oberste Leitungs-
ebene der gesamten Unternehmensgruppe (z. B. Konzern- Gemäß ISO/IEC 27001:2013 bestehen folgende Mindestan-
vorstand). Es kann auch eine lokale Geschäftsführung forderungen an die Dokumentation:
oder Bereichsleitung sein, die für das ISMS verantwortlich
ist. Entscheidend ist immer der konkrete Geltungsbereich ZZ Abschnitt 9.3 »Management Review« fordert eine Doku-
des jeweiligen ISMS. mentation der Überprüfung des ISMS durch das Topma-
nagement, einschließlich der Entscheidungen hinsichtlich
ZZ Bei externen Zertifizierungsaudits kann es vorkommen, Veränderungen und Verbesserungen des ISMS. Diese kön-
dass von der Zertifizierungsstelle dennoch die Einbezie- nen als Maßnahmen im Risikobehandlungsplan erfasst
hung der obersten Leitungsebene der gesamten Unterneh- werden.
mensgruppe gefordert wird (z. B. aus Gründen der Risiko-
haftung). Aus diesem Grund ist es sinnvoll, bei einer an- ZZ Beim Managementreview müssen Ergebnisse, wie Ent-
gestrebten Zertifizierung diesen Punkt bereits im Vorfeld scheidungen zu Möglichkeiten der fortlaufenden Verbes-
mit der Zertifizierungsstelle zu klären. serung, als dokumentierte Information aufbewahrt wer-
den.
Aufgaben/Verantwortlichkeiten »Topmanagement«
Darüber hinaus haben sich in der Praxis folgende Dokumen-
ISO/IEC 27001:2013 fordert vom Topmanagement eine kla- te als zielführend etabliert:
re Vorbildfunktion hinsichtlich der Informationssicherheit.
ZZ Ein Dokument, das die Ableitung und Bewertung von
In der Praxis gehören hierzu neben einem sichtbaren Enga-
Risiken aus festgestellten Abweichungen zwischen stra-
gement und einem klaren Bekenntnis zur Informationssicher-
tegischen IS-Zielen und Zielerreichungsgrad schriftlich
heit auch die
festhält, idealerweise als Risikobehandlungsplan.
ZZ vorbildliche Einhaltung der Informationssicherheitsan- ZZ Dokumente, die als Nachweise zur Berichterstattung an
forderungen, das Topmanagement vorgehalten werden, z. B. in Form
von Präsentationen, Protokollen oder Reports.
ZZ hinreichende und nachvollziehbare Bereitstellung von
Ressourcen,
Hinweis: Im Kontext Führungsverantwortung gibt es ver-
ZZ Einforderung einer Vorbildfunktion bei den weiteren Lei- schiedene Möglichkeiten zur Dokumentation. Bei den oben
tungsebenen, aufgeführten Beispielen handelt es sich um Vorschläge für
mögliche Aufzeichnungen, die dazu beitragen, die Nachvoll-
ZZ konsequente Behandlung von und Reaktion auf Nicht-
ziehbarkeit von Berichterstattung und Entscheidungsfindung
konformitäten,
sicherzustellen. Jede Organisation muss allerdings die für sie
ZZ Selbstverpflichtung zur kontinuierlichen Verbesserung. passende Dokumentationsform und -häufigkeit finden.
Referenzen
Die zentralen Aufgaben des Topmanagements im Kontext
ISMS sind: ISO/IEC 27001:2013 – Abschnitte 5.1, 9.1 und 9.3
ZZ Die IS-Ziele müssen im Einklang mit den Inhalten der IS- ZZ Die Messbarkeit von IS-Zielen wird von der Norm »nur«
Leitlinie stehen. bei Vorliegen einer entsprechenden praktischen Durch-
ZZ Die IS-Ziele sollten immer an den übergeordneten Unter- führbarkeit gefordert. In der Praxis wird »if practicable«
nehmenszielen ausgerichtet werden und regelmäßig auf in der Regel »weicher« als »if possible« verstanden. Das
Aktualität und Angemessenheit überprüft werden. Dies heißt nicht, dass Messungen keine normative Anforde-
ermöglicht es, die Informationssicherheitsanforderungen rung sind, sondern dass die Praktikabilität zur Durchfüh-
in die operative Geschäftstätigkeit so zu integrieren, dass rung von Messungen in die Ausgestaltung immer mitein-
sie nicht zwangsläufig als zusätzlicher (oder ggf. sogar bezogen werden muss (siehe Abschnitt 6.2 b).
störender) Aufwand empfunden werden und das Thema
Informationssicherheit ein integraler Bestandteil der Ar- Anforderungen an die Dokumentation
beitsabläufe wird.
Gemäß ISO/IEC 27001:2013 bestehen folgende Mindestan-
ZZ Die Sicherheitsanforderungen des Unternehmens und Er- forderungen an die Dokumentation:
gebnisse aus Risikobetrachtungen stellen eine weitere Ba-
sis für die Wahl und Definition von IS-Zielen dar. ZZ Eine Dokumentation der IS-Ziele muss vorgehalten wer-
den.
ZZ Bei der Planung der IS-Ziele sollte festgelegt werden, wie
diese Ziele zu erreichen sind. Dies beinhaltet auch die De-
Darüber hinaus haben sich in der Praxis folgende Dokumen-
finition der Voraussetzungen für die Realisierung. Neben
te als zielführend etabliert:
den wesentlichen Tätigkeiten zur Erreichung der Ziele
sind die notwendigen Ressourcen und Verantwortlichkei-
ZZ Die Ausgestaltung der Dokumentation der IS-Ziele soll-
ten sowie ein Zeitrahmen und ein Vorgehen zur Evalu-
te inklusive eines Umsetzungsplans bzw. Referenzen auf
ierung der Realisierung festzulegen. In der Praxis erfolgt
konkrete Projekte erfolgen. Üblicherweise wird bereits in
dies oft durch eine direkte Referenz auf geplante und lau-
der IS-Leitlinie auf die (Dokumentation der) IS-Ziele ver-
fende Projekte. Entscheidend ist, dass nicht funktionale
wiesen. Die IS-Ziele können auch als Teil der IS-Strategie
Anforderungen – und Sicherheitsanforderungen sind in
formuliert werden.
der Vielzahl der Fälle nicht funktional – von Beginn an
berücksichtigt und in die Planung von Projekten, Produk- Referenzen
ten und Systemen integriert werden.
ISO/IEC 27001:2013 – Abschnitt 6.2
ZZ Bei der Formulierung von IS-Zielen ist darauf zu achten, COBIT 5 for Information Security
dass echte und langfristig orientierte Ziele/Zielvorgaben McWhirter, Kurt; Gaughan, Ted: The Definitive Guide to IT
beschrieben werden und nicht die für die Zielerreichung Service Metrics. IT Governance Publishing, 2012.
notwendigen operativen technischen/organisatorischen
Maßnahmenziele oder Maßnahmen. 3.4 IS Policy
ZZ Wie bei jeder Zielformulierung empfiehlt es sich, auch bei
der Festlegung von IS-Zielen »smarte«4 Ziele zu formu- Das für die Organisation verantwortliche (Top-)Management
lieren und diese mit den jeweils betroffenen Verantwor- muss eine Informationssicherheitsleitlinie (engl.: IS Policy; im
tungsebenen abzustimmen. Deutschen oft auch »Politik«) vorgeben, die die strategische
Entscheidung der Organisation zur Einführung eines ISMS
ZZ Der Erreichungsgrad der Informationssicherheitsziele soll dokumentiert und hierbei insbesondere eine Verpflichtung
messbar sein. Die Messung kann idealerweise durch im zur Einhaltung der Anforderungen in Bezug auf die Informa-
Vorfeld definierte KPIs erfolgen. Praktische Unterstüt- tionssicherheit sowie die Selbstverpflichtung zur laufenden
zung bei dieser Aufgabenstellung liefern beispielsweise Verbesserung des ISMS beinhaltet.
COBIT 5, konkret COBIT 5 for Information Security
oder The Definitive Guide to IT Service Metrics5 (siehe Die Leitlinie muss für den Zweck der Organisation geeignet
auch Kapitel 3.7 Performance Monitoring & KPIss). sein und die angestrebten Grundsätze und Ziele des ISMS
ZZ Die Formulierung sinnvoll messbarer Ziele und die Um- sowie allgemein die Informationssicherheitsziele der Organi-
setzung der dafür erforderlichen Messungen sind in der sation umfassen.
Praxis ein durchaus herausforderndes Unterfangen. Es
empfiehlt sich daher, vor allem zu Beginn einer ISMS- Erfolgsfaktoren aus der Praxis
Implementierung, in einem ersten Schritt wenige, aber für
die jeweilige Organisation sinnvolle und im Verhältnis Die Leitlinie stellt ein wichtiges Werkzeug für die Organisation
von Umsetzungsaufwand und Nutzen ausgewogene IS- dar, über das das verantwortliche Management die Bedeutung
Ziele zu definieren. eines effektiven ISMS sowie der Einhaltung der ISMS-Anfor-
derungen kommunizieren kann. Zudem sind in der Leitlinie
die wesentlichen strategischen und taktischen Ziele verankert,
4 SMART: spezifisch, messbar, akzeptiert, realistisch, terminiert.
5 McWhirter, K.; Gaughan, T.: The Definitive Guide to IT Service Metrics. die mithilfe des ISMS erreicht werden sollen. Idealerweise
IT Governance Publishing, 2012. werden auch die Auswirkungen und Anforderungen, die sich
für das jeweilige Personal und die jeweiligen Geschäftsberei- Dokument zu erstellen, das die individuellen Anforde-
che innerhalb des Geltungsbereichs ergeben, dargestellt. rungen der Organisation bestmöglich abdeckt. Vorlagen
können durchaus Ideen und Anregungen für die Struktu-
Im Weiteren sollte das verantwortliche Management in der rierung und die möglichen Inhalte liefern. Entscheidend
Leitlinie das etablierte ISMS samt seiner Rollen und Verant- für den Umsetzungserfolg und die Identifikation der Mit-
wortlichkeiten in ausreichender Kürze beschreiben. Dabei arbeiter mit dem Thema Informationssicherheit ist aller-
sind die nachfolgenden Aspekte zu beachten: dings, dass sich die Leitlinie sichtbar an den vorhandenen
Unternehmens- und IT-Zielen orientiert und die Kernaus-
ZZ Die IS-Leitlinie muss von der höchsten Leitungsebene sagen beim Leser einen Wiedererkennungseffekt zur be-
(Topmanagement) verabschiedet sein und den zuständi- troffenen Organisation hervorrufen.
gen Aufsichtsgremien zur Verfügung gestellt werden.
ZZ Die IS-Leitlinie muss als dokumentierte Information ver- Anforderungen an die Dokumentation
fügbar sein und einer nachvollziehbaren Dokumentenlen-
Gemäß ISO/IEC 27001:2013 bestehen folgende Mindestan-
kung unterliegen.
forderungen an die Dokumentation:
ZZ Die IS-Leitlinie kann einen Verweis auf die Unterneh-
mensziele und IT-Ziele beinhalten. ZZ Informationssicherheitsleitlinie (siehe Abschnitt 5.2 e)
ZZ Die Sprache der IS-Leitlinie muss den Gepflogenheiten des
Darüber hinaus haben sich in der Praxis folgende Dokumen-
Unternehmens entsprechen und den Stellenwert des Do-
te als zielführend etabliert:
kuments bestmöglich herausstellen.
ZZ Im Rahmen der Mitarbeitersensibilisierung ist sicherzu- ZZ Themenspezifische Informationssicherheitsrichtlinien
stellen, dass alle betroffenen Mitarbeiter innerhalb des (siehe Annex A.5.1)
Geltungsbereichs die IS-Leitlinie kennen. Sie muss den
ZZ Begleitende Dokumente und Organigramme, beispiels-
betroffenen Mitarbeitern kommuniziert werden und bei
weise zur Verdeutlichung der Aufbauorganisation im
Bedarf auch den Stakeholdern zur Verfügung stehen (vgl.
Kontext Informationssicherheit (sofern nicht in der Leit-
Kapitel 3.10 Competence and Awareness).
linie enthalten)
ZZ Zur praktischen Erreichung der Ziele ist es wichtig, dass
die einzelnen Mitarbeiter sich ihrer individuellen Ver- Referenzen
antwortung und persönlichen Beteiligung in Prozessen
ISO/IEC 27001:2013 – Abschnitt 5.2
im Kontext der Informationssicherheit bewusst sind und
die damit verbundenen konkreten Vorgaben kennen (die
sich aus der IS-Leitlinie ableiten und z. B. in themenspe- 3.5 Roles, Responsibilities and Competencies
zifischen Richtlinien und Arbeitsanweisungen widerspie-
Gemäß Abschnitt 5.3 der Norm ISO/IEC 27001:2013 muss
geln).
die Organisation die für ein effektives ISMS benötigten Rollen
ZZ Die IS-Leitlinie sollte nicht mit weitergehenden Doku- sowie deren Verantwortlichkeiten für den Aufbau, die Auf-
mentationen und Umsetzungsvorgaben vermischt werden rechterhaltung und kontinuierliche Verbesserung des ISMS
wie beispielsweise den Inhalten von Sicherheitskonzepten definieren. Hierbei sind insbesondere auch die erforderlichen
oder Handbüchern. Sehr wohl darf aber in solch »nach- Ressourcen zu ermitteln und bereitzustellen (siehe Abschnitt
gelagerten« Dokumenten auf die Leitlinie (oder andere 7.1).
relevante High-Level-Dokumente des ISMS) verwiesen
werden, um so eine Durchgängigkeit der »Vorgabenket- In diesem Kontext sind vom Management auch die Zustän-
te« zu erreichen. digkeiten und Befugnisse für Aufgaben, die für die Infor-
mationssicherheit relevant sind, zuzuweisen und zu kom-
ZZ Je nach gewähltem Ansatz des ISMS und der vorhande-
munizieren. Hierbei sollte darauf geachtet werden, dass die
nen Struktur und Arbeitsorganisation innerhalb einer Or-
Verantwortlichkeiten der Rollen klar geregelt und definiert
ganisation kann es sinnvoll sein, die IS-Leitlinie als ein
sind und eventuelle Interessenkonflikte vermieden werden
»mächtiges«, d. h. umfassendes Gesamtdokument zum
(z. B. mithilfe einer RACI6- oder SoD7-Matrix).
Thema Informationssicherheit auszugestalten oder ggf.
als einen spezifischen »Anker« oder »Startpunkt« für das
Thema zu platzieren, der wiederum von weiteren Detail-
dokumenten vervollständigt wird. Wichtig ist in beiden
Fällen, einen den Zielen der IS-Strategie angemessenen
Wortlaut und Umfang zu verwenden.
6 RACI: Responsible (Umsetzungsverantwortung), Accountable (Gesamt
ZZ Obwohl bei entsprechender Suche auf eine Vielzahl von
verantwortung), Consulted (fachliche Expertise), to be Informed
Vorlagen und Textbausteinen zurückgegriffen werden (Informationsrecht), siehe auch Glossar.
kann, empfiehlt es sich, die IS-Leitlinie als neues/eigenes 7 SoD: Segregation of Duties, Funktionstrennung, siehe auch Glossar.
Erfolgsfaktoren aus der Praxis beitspensum in den beiden Themengebieten auch tatsäch-
lich erfüllt werden kann. Zum anderen muss wie bereits
Konkretisierung der Rollen innerhalb der dargelegt genau geprüft werden, ob die möglicherweise
ISMS-Organisation auftretenden Interessenkonflikte »beherrschbar« sind und
Es sollte mindestens die Rolle eines Informationssicherheits- zu keinen gravierenden Nachteilen der Arbeitserfüllung
beauftragten (ISB) bzw. Chief Information Security Officer (einer) der beiden Funktionen führen würden.
(CISO) etabliert werden, wenngleich sich die in der Norm be-
ZZ Ein weiteres Beispiel möglicher Interessenkonflikte zwi-
schriebene Anforderung auf alle Zuständigkeiten und Befug-
schen DSB und CISO betrifft die Sammlung und Aus-
nisse bezieht, die für die Informationssicherheit relevant sind
wertung von Verkehrs- und Protokolldaten. Während
(vgl. Abschnitt 7.2 a). Weiterhin sind innerhalb des ISMS
der DSB in der Regel das Sammeln und Auswerten von
die Rollen des Risikoeigentümers (engl.: risk owner) und des
personenbezogenen bzw. -beziehbaren Daten nur unter
Vermögenswerteigentümers (engl.: asset owner) zu definieren
ganz gewissen Bedingungen und zweckgebunden zulassen
und zu etablieren.8
wird, möchte der CISO technische Maßnahmen zur Erhö-
hung des Sicherheitsniveaus (präventiver Schutz) und zur
Im Kontext der Informationssicherheit sind selbstverständ-
Erkennung und Auswertung potenzieller Schadensereig-
lich weitere Rollen wie Sicherheitsadministratoren, interne
nisse (detektiver Schutz) gerne bestmöglich ausnutzen.
Auditoren etc. zu definieren und zu beschreiben.
ZZ Die Rollenbeschreibung des CISO/ISB muss auch die not- Die Organisation muss sicherstellen, dass alle Personen durch
wendigen Kompetenzen (Erfahrung, Ausbildung, Schu- angemessene Ausbildung, Schulung oder Erfahrung über die
lungen, Sozialkompetenz etc.) umfassen, die zur Aus- erforderlichen Kompetenzen verfügen. Der Nachweis über
übung der Rolle benötigt werden. die Kompetenzerreichung muss von der Organisation er-
bracht werden können, z. B. über entsprechende Weiterbil-
ZZ Interessenkonflikte, die in der Praxis auf jeden Fall ver-
dungszertifikate in der Personalakte (Bildungshistorie) des
mieden werden sollten:
jeweiligen Mitarbeiters (vgl. Abschnitt 7.2 d).
-- Informationssicherheitsbeauftragter (ISB bzw. CISO9)
und IT-Leiter/CIO10 ZZ ISO/IEC 27001:2013 gibt einen groben Rahmen für die
-- Datenschutzbeauftragter (DSB) und IT-Leiter/CIO Sicherheitsorganisation von Unternehmen vor (z. B. Top-
-- Interner ISMS-Auditor und IT-Administrator management, Risikoeigentümer, Auditor), beschreibt
ZZ Die beiden Rollen ISB/CISO und DSB können unter aber nicht im Detail, wie Rollen und Zuständigkeiten in
bestimmten Voraussetzungen in der Praxis auch in Per- der Praxis verteilt sein sollen.
sonalunion von einem Mitarbeiter ausgeübt werden. ZZ Es hat sich als vorteilhaft erwiesen, für die Besetzung der
Diese Kombination geht allerdings auch mit gewissen benötigten Rollen innerhalb des ISMS genau die Mitar-
(unvermeidbaren) Konfliktpotenzialen einher. Der DSB beiter auszuwählen, die bereits »von Haus aus« eine Ver-
ist beispielsweise hinsichtlich seines Handelns gesetzlich bindung zum Thema Informationssicherheit mitbringen
geschützt und er unterliegt der Schweigepflicht. Diesen bzw. über ausreichend intrinsische Motivation verfügen.
Schutz bzw. diese Pflicht kann er aber nicht automatisch Neben den erforderlichen Fachkenntnissen sind Sozial-
auf die Rolle des CISO übertragen. Es gibt auch eine ju- kompetenzen ein weiteres Muss, da ohne gutes Kommu-
ristische Diskussion hinsichtlich der Garantenpflicht des nikationsverhalten, integres Auftreten, sachliche Über-
CISO bzw. des Compliance-Officers etc. Diese gilt für zeugungsfähigkeit und Konfliktmanagement viele der
den DSB nicht. Eine Personalunion dieser Aufgaben kann Aufgaben, die sich im Zusammenhang mit der Umsetzung
daher im schlechtesten Fall in einen substanziellen Inter- der Informationssicherheitsstrategie und (manchmal auch
essenkonflikt münden und sollte deshalb ausführlich ana- unangenehmer oder unbeliebter) Maßnahmen ergeben,
lysiert und abgewogen werden. sich nicht oder nicht zufriedenstellend lösen lassen.
ZZ Je nach Größe und Geschäftsaktivitäten der Organisati- ZZ Beispiele für die organisatorischen Strukturen hinsichtlich
on/des Unternehmens sowie des konkret gewählten Gel- Informationssicherheit finden sich u. a. in »COBIT 5 for
tungsbereichs des ISMS können sich aus der Kombination Information Security« (Appendix C) und dem BSI-Stan-
der Rollen DSB und CISO auch Synergien ergeben, die dard 100-2 – IT-Grundschutz-Vorgehensweise. Hierin
bei einer Trennung der Rollen nicht gegeben wären (z. B. sind u. a. die Rollen und Verantwortlichkeiten des CISO,
bzgl. Informationsfluss, Überblick und Ausgestaltung der des Steuerungskomitees, des Informationssicherheitsma-
TOMs). Allerdings muss zum einen immer sorgfältig ge- nagers, die Rollen im Risikomanagementprozess sowie
prüft werden, ob beim infrage kommenden Kandidaten der fachlichen Dateneigentümer beschrieben.
die fachlichen und persönlichen Kompetenzen im erfor-
derlichen Maß vorhanden sind und das vorliegende Ar-
Darüber hinaus haben sich in der Praxis folgende Dokumen- Wie entstehen Risiken?
te als zielführend etabliert: Risiken im Kontext der Informationssicherheit ergeben sich
u. a. inhärent aus dem Einsatz von IT-Systemen und (neuer)
ZZ Rollenbeschreibungen/Stellenprofile IT-Technologien. Da Informationssicherheit nach ISO/IEC
27001 immer ganzheitlich zu betrachten ist, gibt es weitere
ZZ Ausgestaltung der strategischen und operativen Zusam-
Risikoquellen, die auf die Informationen/Daten einer Organi-
menarbeit zwischen DSB und CISO
sation einwirken (können) und beispielsweise durch folgende
Referenzen Einflussfaktoren entstehen:
ISO/IEC 27001:2013 – Abschnitte 5.3, 7.1 und 7.2 ZZ Datenaustausch innerhalb und außerhalb der Organisation
COBIT 5 for Information Security
ZZ Anpassung der internen Organisation und Zusammenar-
BSI-Standard 100-2 – IT-Grundschutz-Vorgehensweise
beit (insbesondere bei größeren Unternehmen)
Die konkreten Ziele des Risikomanagements im Kontext der ZZ Effizientes Risikomanagement kann nur dann erfolgen, wenn
Informationssicherheit sind: zunächst die Risikoexposition und das Umfeld der jeweili-
gen Geschäftstätigkeit analysiert werden. Um zu wissen, an
ZZ Frühzeitiges Erkennen und Beheben von Informationssi- welchen Stellen nach Risiken »gesucht« werden muss, muss
cherheitsrisiken man wissen, welche Risikofelder insgesamt vorhanden sind,
und diese einschätzen. Ein guter Ausgangspunkt dafür ist
ZZ Etablierung einheitlicher Bewertungsmethoden für iden-
beispielsweise eine Prozesslandkarte oder eine Umfeldanaly-
tifizierte Risiken
se (vgl. Kapitel 3.1 Context of the Organization).
ZZ Eindeutige Zuweisung von Verantwortlichkeiten beim
ZZ Zur Unterstützung der Formulierung und Ausgestaltung
Umgang mit Risiken
des Risikobeurteilungsprozesses kann z. B. die ISO/IEC
27005 herangezogen werden. Neben dem gut ausgearbei-
teten Hauptteil beinhalten insbesondere auch die Anlagen
wertvolle Hinweise zur Umsetzung.
11 Dieses Kapitel bezieht sich ausschließlich auf das Risikomanagement im 12 Beispielsweise durch Anpassung der Sicherheitsstrategie oder Umsetzung
Kontext der Informationssicherheit. angemessener Sicherheitsmaßnahmen.
Wie werden Risiken entdeckt und bewertet? ZZ Dieses Beispiel ist keinem Lehrbuch entnommen. Es zeigt
Bevor mit der konkreten Identifizierung und Behandlung aber, dass eine Risikoanalyse auch mit der direkten For-
von Risiken begonnen wird, müssen in Abstimmung mit der mulierung von (Gegen-)Maßnahmen einhergehen kann.
obersten Leitungsebene (Topmanagement) sowohl der gene-
ZZ Bei einer hohen Dynamik des Risikomanagementpro-
risch formulierte Risikobeurteilungsprozess als auch die un-
zesses kann die direkte Formulierung von (Gegen-)Maß-
ternehmens- bzw. ISMS-weit gültigen Risikoakzeptanzkrite-
nahmen zur zeitnahen Einleitung der Risikobewältigung
rien festgelegt werden (sofern diese nicht bereits aus einem
genutzt werden. Wird der Risikomanagementprozess hin-
übergeordneten Risikomanagement übernommen werden
gegen mit einer niedrigen Dynamik umgesetzt, kann dies
können bzw. müssen).13
auch bewusst vermieden werden, um zunächst die Ana-
lyse vollständig/umfassend abzuschließen und dann »in
Der Risikobeurteilungsprozess beinhaltet u. a. Folgendes:
Ruhe« weitere Aktivitäten zu definieren.
ZZ Methoden zur Risikoidentifikation ZZ Bei einem »kompakt« bzw. »dynamisch« ausgestalteten
Risikomanagementprozess, der zügig zur Diskussion
ZZ Kriterien zur Beurteilung von Risiken
und Auswahl der Behandlungsoptionen kommt, besteht
ZZ Risikoakzeptanzkriterien die Gefahr, dass der Prozess insgesamt eher reaktiv und
maßnahmenzentriert arbeitet und die Analyse der Risiken
dadurch ggf. zu kurz kommt.
Methoden zur Risikoidentifikation
ZZ Je nach Größe und Umfang einer Organisation bzw. eines
Die Identifikation relevanter Risiken erfordert in der Regel,
konkreten Projekts ist daher der jeweils am besten geeig-
dass die Sichtweisen mehrerer Stakeholder bzw. Abteilungen
nete Ansatz zu wählen!
berücksichtigt und zusammengebracht werden müssen. Als
Werkzeuge können verschiedene Techniken und Methoden
zum Einsatz kommen, wie beispielsweise: 14 Kriterien zur Beurteilung von Risiken
Die Kriterien zur Beurteilung von Risiken sind so auszufor-
ZZ Interviews mulieren, dass sie für eine möglichst große Variation von Ri-
sikotypen bzw. Risikokategorien genutzt werden können. Ob
ZZ Szenarioanalysen/Was-wäre-wenn-Analysen
ein Punktemodell oder ein Katalog an qualitativen Parame-
ZZ Brainstorming tern herangezogen wird, ist der konkreten Ausgestaltung des
Risikomanagementprozesses überlassen.
ZZ Business-Impact-Analysen (BIA)
ZZ Checklisten ZZ Aus Praxissicht empfiehlt es sich, zusätzlich zu klassischen
Kriterien (wie z. B. Schutzbedarf für Vertraulichkeit/Inte-
ZZ Delphi-Methode
grität/Verfügbarkeit, unterstützte Geschäftsprozesse, An-
ZZ STRIDE Threat Model (Microsoft) zahl Benutzer) eine Zusammenstellung an Fragen, die auf
die Geschäftstätigkeit der Organisation abgestimmt sind,
Beispiel: bereitzustellen, die individuell je Anwendungsfall ergänzt
werden kann.
Bei der Risikoanalyse einer neuen E-Commerce-Webanwen-
dung bringen die beteiligten Personen unterschiedliche Ri- ZZ Die Beurteilung der Eintrittswahrscheinlichkeit ist in
sikogesichtspunkte zur Diskussion. Der Softwareentwickler der Praxis durchaus herausfordernd. Hier gilt es, dass
sieht bei der gewählten Programmiersprache einige Schwach- neben dem »Blick zurück« (Erfahrungswerte, vergleich-
stellen, die beispielsweise durch (automatische) Codereviews bare Ereignisse in anderen Organisationen, Kennzahlen,
abgefangen werden müssen. Der IT-Administrator äußert Statistiken etc.) unbedingt auch der »Blick nach vorne«
seine Bedenken bei der geplanten Wartung der Anwen- gerichtet wird, um bisher »unbekannte« Erkenntnisse
dung durch externe Dienstleister und den dafür benötigten und Entwicklungen, die sich aber ggf. bereits am Hori-
Zugriffsrechten in das Unternehmensnetzwerk. Der Da- zont abzeichnen, mit berücksichtigen zu können (z. B.
tenschutzbeauftragte wirft die Frage nach dem angemesse- das Aufkommen neuer Technologien oder geänder-
nen Schutz personenbezogener Daten auf und verlangt eine te Gefährdungssituationen)15. Oder anders formuliert:
Auflistung der technisch-organisatorischen Maßnahmen zur »Beim Risikomanagement hängt der Erfolg von den Vor-
Erfüllung der Anforderungen nach §9 BDSG Anlage 1. Der bereitungen ab.«16
Informationssicherheitsbeauftragte wiederum erkennt die
Reichweite des Projekts (Auswirkung bei Verfügbarkeitsein- Risikoakzeptanzkriterien
schränkungen oder Datenabfluss) und fordert daher einen Die Festlegung von Risikoakzeptanzkriterien ist eine zentra-
Penetrationstest vor dem Live-Gang. le Aufgabe im Risikomanagementprozess, denn nur dadurch
13 In der ISO 31000 sind diese Aktivitäten im Abschnitt 5.3 »Establishing the
context« beschrieben. 15 Beispielsweise durch APTs oder Zero-Day-Schwachstellen.
14 Siehe auch IEC 31010:2009 – Annex B – Risk Assessment Techniques. 16 Angelehnt an Konfuzius, chinesischer Philosoph, *551 v. Chr. †479 v. Chr.
ergibt sich der volle Nutzen für die Organisation, nicht alle Nach Festlegung der Risikobeurteilungsmethode folgen die
identifizierten und bewerteten Risiken »gleich« kosten- und jeweils iterativ durchzuführenden Schritte des Risikomanage-
ressourcenintensiv behandeln zu müssen. mentprozesses:
-- Innerhalb des Projektmanagements sollten Risikoana- ZZ In der Praxis sollte die Rolle des Risikoeigentümers von
lysen (mit jeweils angepasstem Umfang) als ein Pflicht den entsprechend benannten Verantwortungsträgern bzw.
element aufgenommen werden. Managern des Unternehmens ausgefüllt werden (z. B.
Vorstand, Geschäftsführer, Geschäftsleiter, Gruppenleiter,
ZZ Operativer Betrieb
Bereichsleiter oder Abteilungsleiter). Bei Projekten füllt in
-- Durch Erkenntnisse im Rahmen des »normalen« ope- der Regel der Projektleiter die Rolle des Risikoeigentü-
rativen Betriebs können neue, bisher unbekannte Risi-
mers aus, zumindest für projektspezifische Risiken.
ken zutage treten, die bei entsprechender Einschätzung
durch das Fachteam bzw. den Mitarbeiter (zeitnah) an Schritt 4: Risikobehandlung
das Risikomanagement berichtet werden sollten/müs-
sen – je nach gewähltem Risikomanagementprozess. Die Behandlung von Risiken erfolgt nach dem Risikoappe-
tit der jeweiligen Organisation. Als Ausgangspunkt für die
ZZ Sicherheitsvorfälle
Modellierung der Risikobehandlungsoptionen eignen sich im
-- Durch Sicherheitsvorfälle (wie auch immer die Defi- Kontext der Informationssicherheit insbesondere die Model-
nition für »Sicherheitsvorfall« aussieht) können zum
le der ISO/IEC 27005.19
einen bisher unbekannte Risiken identifiziert werden,
die durch den Vorfall sozusagen sichtbar werden.
Zum anderen können bereits bekannte, aber nicht Risk Treatment
ausreichend behandelte oder bisher akzeptierte Risi-
RISK TREATMENT OPTIONS
ken tatsächlich eintreten (beispielsweise durch aktive
Ausnutzung einer bereits bekannten Schwachstelle
durch einen Angreifer oder durch Ausfall eines Sys-
tems aufgrund unzureichender technischer Dimensio- RISK RISK RISK RISK
nierung). REDUCTION RETENTION AVOIDANCE TRANSFER
Schritt 2: Risikoanalyse
Abteilung erfolgen muss (engl.: responsibility), befinden ten Schwellwert überschreiten, weitergemeldet werden.
sich die Risikoeigentümerschaft und die Gesamtverant- Eine formale Risikoübernahme des jeweiligen Risikoei-
wortung nach wie vor in den betroffenen Fachbereichen, gentümers muss bei fehlenden Maßnahmen oder bei Risi-
die auch über die Bereitstellung von Mitteln entscheiden koakzeptanz ebenfalls erfolgen und dokumentiert werden.
müssen (engl.: accountability).
ZZ Auch bei (umfangreichen) Änderungen an Prozessen,
ZZ Die Identifizierung der Risiken und die Identifizierung der Anwendungen oder Systemen empfiehlt es sich, Risiko-
zugehörigen Risikoeigentümer können getrennt bzw. zeit- analysen und -bewertungen als verpflichtenden Teil des
lich versetzt voneinander ablaufen. Change-Managements einzuführen.
Wie werden Risiken dokumentiert? ZZ Werden Nichtkonformitäten oder Schwachstellen iden-
tifiziert (z. B. durch das Monitoring oder andere opera-
ZZ Es empfiehlt sich, die Ergebnisse aller Risikobeurteilun- tive IT-Prozesse wie Change-, Problem- oder Incident-
gen an einer zentralen Stelle vorzuhalten, z. B. in Form Management), die innerhalb des Regelbetriebs nicht bzw.
eines Risikoregisters. Dies ist zwar keine Normforde- nicht fristgerecht behoben werden können, sind diese im
rung, es hilft aber bei der Auswertung und Verwaltung Risikomanagement zu bewerten und durch den Risikoei-
der bekannten Risiken und ihres Bearbeitungsstatus. gentümer zu behandeln.
Je nach Größe der Organisation sind Werkzeuge mit
unterschiedlichem Funktionsumfang notwendig (Anzahl ZZ Bei Risikoanalysen und -bewertungen wird immer das
Risiken, Anzahl Benutzer, Berechtigungskonzept, Man- Spezialisten-Know-how des jeweiligen Prozesseigentü-
dantenfähigkeit, Onlineverfügbarkeit, Auswertemöglich- mers benötigt. Die IS-Beauftragten der Organisation
keiten etc.). können bei der Durchführung unterstützen und beispiels-
weise im Rahmen von Interviews oder Workshops die
ZZ Die Norm fordert kein zentrales Risikoregister. Allerdings Risiken erfassen und bewerten. Eine weitere Methode
fordert sie, dass der Prozess der Risikobeurteilung von ist der Einsatz von Fragebögen/Self-Assessments. Je nach
Informationssicherheitsrisiken zu konsistenten, gültigen gewähltem Ansatz können diese Selbsteinschätzungen
und vergleichbaren Ergebnissen führt (siehe Abschnitt anschließend von einem »zweiten Augenpaar« zusätzlich
6.1.2 b). Je nach Art und Nutzung der eingesetzten Werk- bewertet werden. Entscheidend ist, dass es einen formalen
zeuge ist der Aufbau eines Registers daher eine logische und pragmatischen Prozess gibt, der die Fachbereiche und
Konsequenz. Projektverantwortlichen optimal bei ihrer Arbeit unter-
ZZ Da das Risikoregister in der Regel sensible und (streng) stützt und gleichzeitig gewährleistet, dass Risiken frühzei-
vertrauliche Informationen enthält, sollte ein angepasstes tig erkannt und angemessen behandelt werden.
Rechte- und Rollenkonzept für den Datenzugriff erstellt ZZ Der BSI-Standard 100-3 – Risikoanalyse auf der Basis von
und umgesetzt werden. IT-Grundschutz liefert Ansatzpunkte, wie mithilfe der in
Allgemeine Empfehlungen den IT-Grundschutz-Katalogen aufgeführten Gefährdun-
gen eine Risikoanalyse für die Informationsverarbeitung
ZZ Sofern im Unternehmen oder in der Unternehmensgruppe durchgeführt werden kann. Die BSI-Methodik verlangt
bereits ein übergeordnetes Risikomanagement vorhanden allerdings, dass zunächst die Schritte der IT-Grundschutz-
ist, sollte das Risikomanagement der IS dort integriert Vorgehensweise durchgeführt worden sind (u. a. Informa-
werden (z. B. als Bestandteil des operationellen Risikoma- tionsverbund, Strukturanalyse, Schutzbedarfsfeststellung,
nagements). Modellierung, Basis-Sicherheitscheck, ergänzende Sicher-
ZZ Das Risikomanagement sollte nach Möglichkeit prozess heitsanalyse), bevor entschieden werden kann, für welche
orientiert sein, anstatt die einzelnen Vermögensgüter Zielobjekte eine Risikoanalyse durchgeführt wird und für
(Assets) in den Vordergrund zu stellen. Damit wird zum welche Zielobjekte dies dagegen entbehrlich ist.
einen gewährleistet, dass Risiken und Gefährdungen op- ZZ Das schützenswerte Gut bleibt im Kontext eines ISMS
timalerweise (geschäfts-)prozessorientiert formuliert wer- immer die Information an sich. Es ist die Aufgabe der
den und so leichter von den Risikoeigentümern, also in jeweiligen Verantwortungsträger (Unternehmensleitung,
der Regel den Prozesseigentümern, verstanden werden, Management, Prozesseigentümer), dieses Gut hinsichtlich
und zum anderen können so die potenziellen (Schadens-) seines »Wertes« für das Unternehmen bzw. den jeweiligen
Auswirkungen (engl.: damaging impacts) sehr zutreffend Prozess zu bewerten. Das Informationsgut wird dadurch
ermittelt werden. zum Informationswert. Die Aufgabe der Risikoeigentü-
ZZ Das Vorgehensmodell für die Durchführung von Projek- mer ist es, innerhalb aller Prozessschritte angemessene,
ten im Unternehmen sollte so angepasst bzw. erweitert wirksame und effiziente TOMs zu etablieren. Die ISMS-
werden, dass eine (je nach Projektart und -umfang unter- Verantwortlichen sind »Wächter« für die Umsetzung der
schiedlich intensive) Risikoanalyse und -bewertung durch- Informationssicherheitsstrategie und u. a. verantwortlich
geführt werden muss. Das Projektteam muss die Analyse- für eine wahrheitsgemäße Berichterstattung hinsichtlich
ergebnisse dokumentieren und – je nach Ausgestaltung des Risikoexposition und Sicherheitsvorfällen.
Risikomanagements – müssen Risiken, die einen definier-
Relevante KPIs für das ISMS gelkreislauf haben, der eine vordefinierte Gegenmaßnahme
Es gibt viele Quellen für Leistungsindikatoren der Infor enthält. Verlässt der Messwert den ordnungsgemäßen Norm-
mationssicherheit, die eine riesige Auswahl bieten, so etwa bereich und kommt in den Toleranzbereich, wird die Gegen-
COBIT 5 for Information Security24, The CIS Security Me- maßnahme eingeleitet. Wirkt diese nicht und der Schwellwert
trics25 oder Performance Measurement Guide for Informati- wird überschritten oder kommt es regelmäßig zu Schwankun-
on Security26, um nur einige davon zu nennen. Die konkrete gen im Toleranzbereich, so wird eine Alarmierung ausgelöst.
Auswahl von KPIs soll auf den Gegebenheiten der jeweiligen Beispiel:
Organisation basieren, die bereits beschriebenen Qualitäts-
kriterien erfüllen und kontinuierlich optimiert werden. In Analogie zu einem Auto wird dem Fahrer nicht jede einzel-
ne Abweichung eines Sensorwerts am Motor aus dem Norm-
Im Folgenden finden sich einige allgemein gehaltene Beispiele bereich angezeigt, es sei denn, die Leistungsziele oder der
für solche Leistungsindikatoren: Erhalt der Motorintegrität sind gefährdet. In einem solchen
Fall geht eine Warnleuchte an. Daraus kann der Fahrer Rück-
ZZ Integration von Informationssicherheit/IT-Sicherheit in schlüsse ziehen und eine risikobasierte Entscheidung über die
Projekten weitere Fahrzeugnutzung treffen.
-- Anteil der Projekte mit berücksichtigten Anforderun-
gen an IT-Sicherheit im Verhältnis zu der Gesamtzahl Anforderungen an die Dokumentation
der Projekte
-- Verhältnis der Projekte mit IT-Sicherheitsdefiziten bei Gemäß ISO/IEC 27001:2013 bestehen folgende Mindestan-
der Produktivsetzung mit und ohne formale Risikobe- forderungen an die Dokumentation:
trachtung in der Projektphase zu der Gesamtzahl der
Projekte ZZ Dokumentation der Messstruktur für alle KPIs. Das be-
antwortet die folgenden Fragen:
ZZ Abweichungen von IT-Sicherheits- und Architekturstan-
dards
-- Wie sind die Metriken im Einzelnen definiert?
-- Anzahl und Entwicklung der genehmigten Abwei- -- Was wurde gemessen und bewertet?
chungen zu hauseigenen Vorgaben im Zeitablauf
-- Welche Methoden wurden zur Messung, Analyse und
Bewertung herangezogen und führen diese zu repro-
-- Entwicklung der detektierten nicht genehmigten Ab- duzierbaren Ergebnissen?
weichungen zum Vorgabenstandard im Zeitablauf
-- Verhältnis der detektierten Abweichungen, die beho- -- Wann wurde durch wen gemessen?
ben wurden, zu den nachträglich genehmigten Abwei-
-- Wann wurde durch wen analysiert und bewertet?
chungen ZZ Ergebnisse der Messungen und die daraus abgeleiteten
Managementberichte zur Eskalation
ZZ Incident Response/Problem Management
-- Verhältnis der nicht zu schließenden Sicherheits-
schwachstellen (Abweichungen zum Standard) zur Darüber hinaus haben sich in der Praxis folgende Dokumen-
Gesamtanzahl von gefundenen Abweichungen te als zielführend etabliert:
-- Anteil der Sicherheitsschwachstellen, die im vorgege-
benen Zeitraum erfolgreich behoben werden konnten, ZZ Alle Aufzeichnungen und Nachweise, die geeignet sind,
von der Gesamtzahl der bekannten Schwachstellen die Wirksamkeitsüberwachung zu belegen.
ZZ Asset Ownership Referenzen
-- Anteil der Informationsgüter, die einem Eigentümer ISO/IEC 27001:2013 – Abschnitt 9.1
zugeordnet sind, an der Gesamtzahl der Informations-
ISO/IEC 27004:2009 – Abschnitte 5, 6, 7, 8, 9, 10
güter in Prozent
und Annex A
COBIT 5 for Information Security
Metriken nutzen
Ein Indikator ist fest mit einer Schutzmaßnahme verbunden
(technisch oder organisatorisch), um an festgelegten Para- 3.8 Documentation
metern ihre Effektivität zu messen. Ein Indikator hat einen
definierten Normbereich für den Regelbetrieb mit einem Im Kontext der Dokumentation ist eine zentrale Anforde-
(oder mehreren) Toleranzbereich(en) sowie Schwellwerte zur rung, dass innerhalb des Managementsystems grundsätzlich
Alarmierung. Damit die steuernde Person dennoch nicht mit sichergestellt ist, dass (zumindest) für die ISMS-Dokumenta-
Einzelwerten behelligt wird, kann jeder Indikator einen Re- tion nachfolgende Aspekte geregelt sind:
24 ISACA: COBIT 5 for Information Security, 2012. ZZ Die Erstellung und Aktualisierung sowie die Genehmi-
25 The Center for Internet Security: The CIS Security Metrics, 2010.
26 Chew, E.; Swanson, M.; Stine, K.; Bartol, N.; Brown, A.; Robinson, W.:
gung und ggf. Veröffentlichung von Dokumenten müssen
Performance Measurement Guide for Information Security. NIST Special nach einem definierten Verfahren (Workflow) erfolgen.
Publication 800-55 Revision 1, 2008.
ZZ Hierbei muss eine eindeutige Kennzeichnung von Doku- ZZ Wie gut sind die Mitarbeiter mit den Inhalten vertraut
menten erfolgen, z. B. Titel, Datum, Autor, Version, Abla- und wie werden die Anforderungen der Dokumente von
ge sowie eine angemessene Eignungs- und Tauglichkeits- den Betroffenen im Alltag »gelebt«?
prüfung (QS) und abschließende Freigabe.
ZZ Wer kennt die Ablageorte und Ablagemedien, an denen
ZZ Klassifizierung der Dokumente bzw. deren Inhalte bzgl. die aktuellen Dokumente zu finden sind?
der Vertraulichkeit
ZZ Sind die Inhalte zielgruppenorientiert aufbereitet und ein-
ZZ Erstellung ausreichender und inhaltlich relevanter Auf- deutig formuliert?
zeichnungen im Rahmen der operativen Tätigkeiten zur
ZZ Wie leicht fällt es neuen Mitarbeitern, die Inhalte der Do-
Sicherstellung der Nachvollziehbarkeit
kumente zu erfassen und im eigenen Arbeitsumfeld umzu-
setzen? Welche Art von Nachfragen gibt es?
Die Inhalte und die Detailtiefe der seitens der Norm geforder-
ten Dokumente werden u. a. vom gewählten Geltungsbereich ZZ Werden die Dokumente regelmäßig bzw. nach Anforde-
des ISMS, von der Größe der Organisation, von den einge- rung aktualisiert? Wie gut funktionieren die Aktualisie-
setzten Technologien und von der Organisationsstruktur be- rung und die Freigabe der Dokumente?
einflusst und unterscheiden sich daher von Organisation zu
ZZ Gibt es je Dokument dedizierte Dokumenteigentümer?
Organisation.
Die Anzahl und die Art der Dokumente variieren ebenfalls. Anforderungen an die Dokumentation
Aus Praxissicht kann es für eine Organisation sinnvoll sein,
ein Set von (vielen) Einzeldokumenten zu erstellen und granu- Gemäß ISO/IEC 27001:2013 bestehen immer folgende Min-
lar zu pflegen. Für eine andere Organisation wiederum kann destanforderungen an die Dokumentation (Abschnitte 4-10):
es sinnvoller sein, ein zentrales Ablagemedium zu nutzen, das
organisationsweit zugreifbar ist. Dies kann in der Praxis auch ZZ Geltungsbereich des ISMS
bedeuten, ein Wiki oder ein anderes Onlinesystem als Doku- (Scope of the ISMS, Abschnitt 4.3)
mentationsbasis zu verwenden.
ZZ Informationssicherheitsleitlinie
(Information security policy, Abschnitt 5.2 e)
Sofern keine spezifischen Dokumente gefordert werden,
verwendet die Norm ISO/IEC 27001:2013 den Begriff »do- ZZ Beschreibung des Risikobeurteilungsprozesses
cumented information« im Zusammenhang mit Dokumen- (Information security risk assessment process,
tation und Aufzeichnungen. In diesem Fall wird dem Unter- Abschnitt 6.1.2)
nehmen freigestellt, in welchen zugehörigen Dokumenten
ZZ Beschreibung des Risikobehandlungsprozesses
diese Informationen geführt werden, wobei der Begriff »Do-
(Information security risk treatment process,
kument« beliebige Formate beinhaltet.
Abschnitt 6.1.3)
Die innerhalb des ISMS erforderliche Dokumentation ist fort- ZZ Erklärung zur Anwendbarkeit
laufend zu kontrollieren, damit Folgendes sichergestellt ist: (Statement of Applicability, Abschnitt 6.1.3 d)
ZZ Risikobehandlungsplan
ZZ Verfügbarkeit und Eignung für die Verwendung, unab-
(Information security risk treatment plan,
hängig von Ort und Zeitpunkt
Abschnitt 6.1.3 e)
ZZ Angemessener Schutz, z. B. vor Verlust der Vertraulich-
ZZ Sicherheitsziele
keit, unsachgemäßer Verwendung oder vor unerlaubter
(Information security objectives, Abschnitt 6.2)
Manipulation/Verlust der Integrität
ZZ Kompetenznachweise
Erfolgsfaktoren aus der Praxis (Evidence of competence, Abschnitt 7.2 d)
Die Erfüllung der Anforderung an eine Dokumentenlenkung ZZ Nachweise zur korrekten Ausführung der ISMS-Prozesse27
kann in der Praxis grundsätzlich mit einer Dokumentenricht- (Operational planing and control, Abschnitt 8.1)
linie unterstützt werden. Entscheidend für den Umsetzungs-
ZZ Ergebnisse der Risikobeurteilung
erfolg ist allerdings nicht die Quantität der Dokumentation,
(Results of the Information security risk assessment,
sondern deren Güte, Akzeptanz und Verfügbarkeit sowie
Abschnitt 8.2)
deren effiziente Steuerung (Stichwort: Dokumentenlenkung).
ZZ Ergebnisse der Risikobehandlungen
Praktische Aspekte zur Einschätzung der Dokumentations- (Results of the Information security treatment,
qualität und der Dokumentenlenkung ergeben sich aus fol- Abschnitt 8.3)
genden Fragestellungen:
27 Die Norm spricht in diesem Kontext von »dokumentierte Information im
notwendigen Umfang«.
ZZ Nachweis von Kontrolle und Leistungsmessung des ISMS folgen soll. Die Ergebnisse der Analyse werden im Idealfall in
(Evidence of the monitoring and measurement results, einem Kommunikationsplan zusammengefasst. Dieser wird
Abschnitt 9.1) üblicherweise formal in fünf konkreten Schritten erarbeitet:
ZZ Nachweis über die Durchführung von Audits und deren
Resultate 1. Kommunikationsziele definieren
(Evidence of the audit programme(s) and the audit
results, Abschnitt 9.2)
2. Zielgruppenanalyse durchführen und geeignete Medien ermitteln
ZZ Nachweis über die Ergebnisse von Managementreviews
(Evidence of the results of management reviews,
3. Wichtigste Kommunikationsbotschaften identifizieren
Abschnitt 9.3)
ZZ Festgestellte Abweichungen von ISMS-Vorgaben sowie
Maßnahmen zur Behebung 4. Rollen und Aufgaben zuweisen
(Evidence of the nature of the nonconformities and any
subsequent actions taken, Abschnitt 10.1 f) 5. Detaillierten Kommunikationsplan ausarbeiten
ZZ Nachweis über die Resultate von Korrekturmaßnahmen
(Evidence of the results of any corrective action, Abbildung 5: Ausarbeitung eines Kommunikationsplans
Abschnitt 10.1 g)
ZZ Prozess- und Kommunikationsschnittstellen sollten im
Darüber hinaus muss die Organisation für sich selbst festle- Sinne der Effizienz eindeutig definiert sein und in die or-
gen, welche Dokumentation und Aufzeichnungen zusätzlich ganisatorischen bzw. operativen Abläufe integriert wer-
zum normativ Geforderten nötig sind, um »ein ausreichendes den. Es ist eindeutig zu regeln, welche Informationen zu
Vertrauen zu haben, dass die Prozesse wie geplant durchge- welchem Zeitpunkt von wem an wen geliefert werden
führt wurden« (siehe Abschnitt 8.1). müssen, beispielsweise im Rahmen des Change- oder In-
cident-Managements.
Hinzu kommen noch die Dokumente und Aufzeichnungen
ZZ Die Norm fordert, dass die Organisation interne und ex-
aus Annex A, sofern diese Maßnahmen gemäß »Statement of
terne Kommunikation im Kontext des ISMS bestimmt.
Applicability« angewendet werden.
Sie fordert nicht explizit, dass dies im Rahmen einer
Referenzen Analyse erfolgen muss. Der Praxisnutzen einer Analyse
besteht aber darin, dass mit ihrer Hilfe klar identifiziert
ISO/IEC 27001:2013
werden kann, welche Anforderungen an eine passgenaue
Kommunikationsstruktur existieren.
3.9 Communication
Beim Betrieb eines ISMS ist eine Zusammenarbeit mit ande-
ren Organisationen und Abteilungen erforderlich (z. B. Lie-
feranten, Personalabteilung, Rechtsabteilung, Revision). Die
wesentliche Aufgabe im Rahmen des Bausteins »Communi-
cation« besteht darin, den Bedarf an interner und externer
Kommunikation zu bestimmen und zu beschreiben.
Ein Kommunikationsplan, auch Kommunikationsmatrix genannt, kann beispielhaft im Ergebnis wie folgt aussehen:
Interne Kommunikation
Kommunikationsgrund Initiator Empfänger Häufigkeit Medium
Managementreview CISO Topmanagement jährlich Managementbericht
gemäß Template per Mail +
Präsentation
Reporting CISO Topmanagement quartalsweise KPI-Bericht gemäß Template
per E-Mail + Präsentation
Awareness-Training CISO Alle Mitarbeiter im jährlich Schulung (Präsenz/Online)
Geltungsbereich
IS-Newsletter CISO Alle Mitarbeiter im quartalsweise sowie E-Mail
Geltungsbereich fallbezogen bei akuter
Bedrohung
Risikomanagement CISO Topmanagement quartalsweise, fallbezogen Balanced-Scorecard-Bericht,
bei akuter Bedrohung, ggf. per E-Mail
projektbezogen
Sicherheitsvorfall Support CISO fallbezogen Eskalation gemäß SIRP
(ggf. weitere gemäß SIRP) (Security Incident Response
Process)
Sicherheitsvorfall CISO Topmanagement fallbezogen E-Mail ggf. mündlich
Sicherheitsvorfall mit CISO Datenschutzbeauftragter fallbezogen E-Mail, ggf. telefonisch oder
personenbezogenen mündlich
Daten
Sicherheitsvorfall mit CISO Justiziariat fallbezogen E-Mail, ggf. telefonisch oder
Compliance-Bezug mündlich
Externe Kommunikation
Kommunikationsgrund Initiator Empfänger Häufigkeit Medium
Report Betriebsdienstleister CISO quartalsweise SLA-Report gemäß Template
Betriebsdienstleister per E-Mail
Extern beauftragtes CERT/ CERT CISO/IT-Leiter wöchentlich/ Report gemäß Vertrag per
Vulnerability Analysis fallbezogen E-Mail
Sicherheitsvorfall CISO, ggf. betroffene Kunden/Partner fallbezogen gemäß SIRP, auf Website,
Topmanagement Brief, E-Mail, telefonisch
Sicherheitsvorfall CISO Ermittlungsbehörden fallbezogen gemäß SIRP
mit strafrechtlichem
Hintergrund
ZZ Um mit allen Ebenen der Organisation kommunizieren zu ZZ Verfahren zur internen und externen Kommunikation
können, sollte eine Plattform bereitgestellt werden, damit
die umfassenden Sicherheitsinformationen des ISMS für ZZ Kommunikationsmatrix
verschiedene Zielgruppen zugänglich sind. Kollaborati- ZZ Kommunikationsplan
onsplattformen zur besseren Kommunikation bzw. zum
Reporting könnten z. B. Intranet, Confluence, Wiki o.Ä.
Referenzen
sein.
ISO/IEC 27001:2013 – Abschnitt 7.4
»Informationssicherheit ist der Betrieb von Firewalls und Informationssicherheits-Awareness-Kampagnen lassen sich
Antivirus« – dies ist eine der großen Fehleinschätzungen, in der Praxis üblicherweise in verschiedene Phasen gliedern.
die die Sicherheit von Informationen und IT-Systemen eines Man startet zunächst mit einer Bedarfsermittlung und ver-
Unternehmens gefährden kann, denn eine Vielzahl von si- sucht dann zielgruppengerecht und auf Basis von konkreten
cherheitsrelevanten Ereignissen und Sicherheitsvorfällen im Gefährdungspotenzialen eine Sensibilisierungskampagne zu
operativen Betrieb fällt in die Kategorien »fehlendes Verant- planen und umzusetzen. Informationssicherheits-Awareness
wortungsbewusstsein«, »fehlende Prozesse« und »mangel- darf hierbei nicht als einmaliges Projekt gesehen werden, son-
hafte Ausbildung und/oder Sensibilität der Mitarbeiter«. dern sollte über entsprechend in der Kampagne eingeplante
Mechanismen nachhaltig etabliert werden. Die Analyse der
Natürlich ist die Sensibilisierung der Mitarbeiter und Füh- Wirksamkeit einer Kampagne sollte bereits im Vorfeld be-
rungskräfte kein Allheilmittel, wenn es um die Vermeidung dacht werden.
von Sicherheitsvorfällen geht. Es gibt auch keine empirischen
Nachweise, dass die Anzahl an Sicherheitsvorfällen mit oder In der Praxis haben sich die nachfolgenden Phasen für eine
nach der Durchführung von Sensibilisierungskampagnen Security-Awareness-Kampagne als sinnvoll erwiesen:
sinkt. Für berichtete Sicherheitsvorfälle ist meist sogar das
Gegenteil der Fall, da die Mitarbeiter aufgrund der gestiege-
Bedarfsermittlung
nen Sensibilität für das Thema vermehrt Vorfälle melden (un-
abhängig davon, ob darunter auch Fehlmeldungen sind). Das
heißt im Umkehrschluss, dass viele gemeldete Ereignisse nicht Konfrontation
schlecht sein müssen. Eines ist allerdings klar: Je weniger sich
ein Mitarbeiter oder eine Führungskraft der konkreten Ri-
siken bewusst ist, mit denen er oder sie tagtäglich konfron- Sensibilisierung
tiert ist, und je weniger die geltenden Sicherheitsvorgaben
und -prozesse bei den jeweils Betroffenen bekannt sind, desto
Nachhaltigkeit schaffen
schwieriger wird es, das angestrebte Sicherheitsniveau im Un-
ternehmen zu erfüllen und transparent zu machen.
Evaluation der Wirksamkeit
Die Schaffung eines »gesunden« Risikobewusstseins ist daher
ein wesentlicher Bestandteil eines praxistauglichen ISMS, das Abbildung 6: Phasenmodell für Security-Awareness-Kampagnen
einen Nutzen für die Organisation erzeugt, indem Bedrohun-
gen frühzeitig erkannt, Sicherheitsvorfälle vermieden und die
Aufwände, die für deren Behandlung notwendig wären, »ein-
gespart« werden. Phase 1: B
edarfsermittlung
(auf Basis von Gefahrenpotenzialen)
Sicherheitssensibilisierung (Security Awareness) ist hierbei Eine erfolgreiche Umsetzung von Security-Awareness-Kam-
kein Selbstläufer, sondern muss vom Unternehmen aktiv – pagnen setzt voraus, dass man seine Zielgruppe und deren
über entsprechende Awareness-Kampagnen – gefördert und Bedarf kennt. Aus diesem Grund sollten Awareness-Kampag-
gefordert werden, unter anderem durch folgende wichtige nen zunächst immer mit einer Bedarfsermittlung starten.
Aspekte (vgl. Abschnitt 7.3):
ZZ Sicherheitssensibilisierung ist in allen Unternehmensbe-
ZZ Die Kenntnis der Informationssicherheitsleitlinie und der reichen sinnvoll, jedoch nur in einem der tatsächlichen
relevanten Informationssicherheitsrichtlinien aufseiten Gefährdung und der Zielgruppe entsprechenden Umfang.
der Vorgabenempfänger (Mitarbeiter, Führungskräfte,
ZZ Die Kenntnis von Sicherheitsvorgaben kann z. B. durch
externe Partner) muss sichergestellt werden.
Awareness-Maßnahmen mit aktiver Beteiligung und Teil-
ZZ Der Beitrag eines jeden Mitarbeiters innerhalb des ISMS- nehmerprotokollen nachgewiesen werden.
Geltungsbereichs zur Wirksamkeit der Informationssi-
cherheitsrichtlinien sollte aus den Materialien, die im
Bevor mit der Definition und Planung von Awareness-Maß-
Rahmen einer Awareness-Maßnahme verwendet werden,
nahmen begonnen wird, sollte sich ein Unternehmen folglich
hervorgehen und kann optional durch Tests nachgewie-
Gedanken über seine individuellen Gefahrenpotenziale (Ri-
sen werden.
siken) bezogen auf die Anwender machen. Es ist wenig hilf-
ZZ Auswirkungen und ggf. Sanktionen bei Nichteinhaltung reich, die Anwender mit Gefahren und Situationen zu kon-
von Sicherheitsbestimmungen sollten aus den Materiali- frontieren, die nicht auf ihren Bereich zutreffen.
en, die im Rahmen einer Awareness-Maßnahme verwen-
det werden, hervorgehen.
Phase 2: Konfrontation mit der Thematik cken zu kennen. Der Umfang der durchgeführten Akti-
In der Phase der »Konfrontation« soll die Aufmerksamkeit vitäten und bereitgestellten Informationen muss mit der
der Mitarbeiter für das Thema geweckt, Betroffenheit erzeugt »Aufnahmekapazität« aufseiten der Adressaten abgegli-
und die Akzeptanz für die Phase 3, also die eigentliche Sen- chen werden. Nur so kann die Kampagne ihre volle Wir-
sibilisierung, gefördert werden. Dies erfolgt in der Regel am kung entfalten und wird weder als zu banal noch als zu
besten durch eine direkte Konfrontation der Mitarbeiter mit überzogen/überladen aufgenommen.
dem Thema (»erfahrungsbasiertes Lernen«).
Phase 3: Sensibilisierung
ZZ Durch Eigenerfahrung werden die Mitarbeiter hinsicht- Die eigentliche Sensibilisierung stellt bestenfalls einen Mix
lich ihrer Wichtigkeit für die Informationssicherheit sen- von Wissensvermittlung, Demonstration und aktiver Beteili-
sibilisiert und sind im Normalfall anschließend dankbar gung der Mitarbeiter dar. Für die Wissensvermittlung können
und offen für Weiterbildungsmaßnahmen zum Thema. hierbei verschiedene Methoden zum Einsatz kommen (Prä-
senzschulungen, E-Learning etc.).
Nachfolgend sind einige Simulationen von Angriffen aufge-
listet, um Mitarbeiter mit dem Thema zu konfrontieren: Die Kategorisierung von Sensibilisierungsmaßnahmen in
Themengebiete oder Maßnahmen hat sich bewährt, insbe-
ZZ Social-Engineering-Angriffe auf Mitarbeiter, beispielswei- sondere die folgende:
se mit Fake-Anrufen, um vertrauliche Informationen (wie
z. B. Passwörter) zu erhalten, und Fake-E-Mails (z. B. mit ZZ Physische Sicherheit/Sicherheit am Arbeitsplatz
der Aufforderung der Eingabe des Passworts in ein On- -- Worauf muss beim Zutritt zu den Gebäuden und
linesystem mit dem vorgeblichen Zweck, die Passwort- Räumlichkeiten geachtet werden?
stärke für ein anstehendes Audit zu prüfen). -- Wie wird verhindert, dass sich Unbefugte Zutritt ver-
schaffen, z. B. falsche Anlieferungen oder ein Unbe-
ZZ Präparierte USB-Sticks unternehmensintern auslegen
kannter hängt sich an eine Gruppe von Mitarbeitern
(Parkplatz, Besprechungsraum, WCs etc.), die bei Nut-
an und kommt unbemerkt mit in das Gebäude (»pig-
zung Warnmeldungen generieren, die anonymisiert regis-
gybacking«)?
triert und zur Auswertung genutzt werden können (»Ich
hätte ein Virus sein können«). ZZ Datenschutz
ZZ Altpapiertonne oder Papierkörbe nach vertraulichen Do-
-- Der Datenschutzteil sollte die gesetzlichen Anforde-
rungen herausstellen, z. B. Datengeheimnis und Ver-
kumenten durchsuchen (»dumpster diving«).
pflichtung der Mitarbeiter.
Die Praxis hat gezeigt, dass die oben genannten Angriffssze- ZZ IT-Sicherheit
narien in den meisten Unternehmen zu – in diesem Kontext -- Was ist beim Umgang mit IT-Systemen und Compu-
– »wertvollen« Sicherheitsvorfällen und verwertbaren Infor- tern zu beachten, z. B. Umgang mit E-Mails, Surfen
mationen führen. Die »anonyme« Auflösung der Aktion in im Internet, Handhabung von Wechselmedien (CDs,
Verbindung mit der Darstellung von möglichen Konsequen- USB-Sticks), Schutz und Werkzeuge gegen Malware?
zen für das Unternehmen sorgen üblicherweise für einen
ZZ Telefonie
»Hallo-Wach-Effekt« bei den Mitarbeitern, der als Einstieg
in die eigentliche IS-Kampagne (»Wissensvermittlung«) ge-
-- Was kann passieren, wenn schützenswerte Informa-
tionen oder Prozesse über das Telefon preisgegeben
nutzt werden kann.
werden?
Alternativ zu solchen Kampagnen kann die »Konfrontation« ZZ Meldung von und Umgang mit Sicherheitsvorfällen
auch passiv, etwa am Anfang einer Präsenzschulung erfolgen. -- Welche (zentralen) Anlaufstellen gibt es?
Als Demonstrationen wären z. B. Live-Hacking-Sessions, -- Was sind relevante Erstmaßnahmen?
anonymes Prüfen von Passwortstärken oder auch Rollenspie-
le denkbar. Zusätzlich müssen besonders gefährdete Zielgruppen (z. B.
IT-Administratoren, Mitarbeiter und Führungskräfte mit
ZZ Ein essenzieller Aspekt in dieser Phase ist es, einen positiv weitreichenden Zugangs-, Zugriffs- und Informationsrechten,
gestalteten Einstiegspunkt für das Thema zu erzeugen und mobile Mitarbeiter, aber auch Callcenter-Mitarbeiter oder an-
so den Kontakt mit den Mitarbeitern »auf Augenhöhe« dere Gruppen mit Außenkontakt) berücksichtigt werden, um
herzustellen. Bei aller Konfrontation muss die Grundrich- abzuwägen, ob diese besonders geschult werden müssen.
tung immer dahin gehen, die Mitarbeiter dort »abzuho-
len«, wo sie gerade stehen (Welche IS-Vorgaben gibt es Zur Unterstützung der Trainings sollten Awareness-Materia-
bereits? Wie wurden diese bisher kommuniziert? Welche len erstellt und bei Bedarf verteilt werden. Das können z. B.
Vorfälle gab es bereits? Etc.) und sie aktiv einzubinden. einseitige oder mehrseitige Broschüren oder Newsletter mit
Trainingsinhalten, aber auch Poster, Aufkleber oder andere
ZZ Es ist auch wichtig, sich über die Rahmenbedingungen im
Medien mit hohem Wiedererkennungseffekt (Plakate, Flyer,
Klaren zu sein und die ggf. bestehenden Informationslü-
Videos etc.) sein.
ISO/IEC 27036-2
Anforderungen ISO/IEC 27001
IS-Anforderungen für
ISMS
Lieferantenbeziehungen
Abbildung 7 zeigt eine Übersicht der in diesem Kontext re- sichtnahme in Ergebnisberichte externer Audits oder die
levanten Standards, unterteilt in Überblick, Anforderungen Zurverfügungstellung von Zertifikaten inklusive der je-
und Leitfäden, sowie ergänzende Dokumente, die auf Prozes- weiligen Geltungsbereiche.
se und Techniken fokussieren.
Zertifizierungen
In regulierten Branchen sind ggf. weitere konkrete Anforde-
rungen zu berücksichtigen, beispielsweise MaRisk AT 9 bei Das Verlangen nach Informationssicherheit bei Kunden wird
Banken. zunehmend durch Zertifizierungen beantwortet. Hierfür ge-
eignet sind ISO/IEC 27001, ISO/IEC 27018 für die Verar-
beitung personenbezogener Daten in einer Cloud oder – in
Erfolgsfaktoren aus der Praxis Teilen – der internationale Standard ISAE 3402 »Assurance
Ganzheitliche Risikobetrachtung
Reports on Controls at a Service Organization«.
Es ist wichtig, auf alle Risiken einzugehen, denen die eige- ZZ In allen Fällen ist ein vollständiger Bericht über das Au-
ne Organisation durch die Zusammenarbeit mit externen dit und seine Ergebnisse sehr wichtig, da der Scope einer
Dienstleistern ausgesetzt ist. Die Norm fordert an dieser Stel- Prüfung und die jeweils geprüften Kontrollen ggf. variie-
le, dass alle ausgelagerten Prozesse klar festgelegt und nach- ren können. Weiterhin sollten potenzielle Abweichungen
haltig gesteuert werden (siehe Abschnitt 8.1). durch den Auftraggeber gemäß eigenem Risikoappetit be-
wertet werden.
Eine mögliche Einteilung der Lieferantenbeziehungen bietet
ZZ Bei personenbezogenen Daten ist der Einsatz von Dienst-
die ISO/IEC 27036-1. Sie unterscheidet zwischen:
leistern, insbesondere von solchen, die außerhalb des
deutschen Rechtsraums oder außerhalb des EWR29 agie-
ZZ Lieferantenbeziehungen für Produkte
ren, sehr kritisch zu prüfen.
ZZ Lieferantenbeziehungen für Services
ZZ In diesen Kontext fällt ebenfalls das Thema Auftragsda-
ZZ Lieferkette für Informationstechnologie tenverarbeitung nach § 11 BDSG30 (ADV) unabhängig
davon, wo der Dienstleister angesiedelt ist.
ZZ Cloud Computing
Kennzahlen
Recht auf Auditierung Folgende Kennzahlen31 können beispielsweise zur Auswer-
Das Recht zur Auditierung sollte grundsätzlich in jedem Ver- tung der Informationssicherheit in Bezug auf Dienstleister
trag vorgesehen sein. genutzt werden:
ZZ Anzahl der Dienstleisterbeziehungen, die den definierten Mit dem Auditprogramm soll sichergestellt werden, dass alle
IS-Lieferantenprozess durchlaufen haben, im Verhältnis durch das ISMS abgedeckten Geschäftsprozesse (laut Scope)
zu allen Dienstleisterbeziehungen mindestens einmal in drei Jahren hinsichtlich der geltenden
Vorgaben und Richtlinien zur Informationssicherheit und
ZZ Anzahl der Dienstleister, die IS-Maßnahmen vertraglich
bzgl. Konformität zum ISMS auditiert werden. Dies ist nach-
zusichern, im Verhältnis zu allen Dienstleistern
zuweisen.
ZZ Anzahl der Audits bei Dienstleistern in einem Jahr im Ver-
hältnis zu allen Dienstleistern Mit internen Audits im Sinne der Norm ist nicht die Tätigkeit
der internen Revision gemeint. In der Praxis sind die internen
ZZ Anzahl der gemessenen Richtlinienverstöße durch Liefe-
ISMS-Audits eine zentrale Aufgabe des ISMS-Verantwortli-
ranten
chen/CISO, der – ggf. zusammen mit einem internen Audit-
ZZ Anzahl der Sicherheitsvorfälle bei Dienstleistern im ver- team oder mithilfe externer Unterstützung – Audits plant und
gangenen Berichtszeitraum verwaltet.
ZZ Festlegung des Geltungsbereichs unter Berücksichtigung 1. Das »Auditprogramm« bzw. »Auditrahmenwerk«, das
der Abhängigkeiten von externen Partnern und Dienst- als ein organisatorischer Überbau zur Steuerung und
leistern (Abschnitt 4.3) Überwachung aller Aktivitäten im Kontext interner Au-
dits dient und die Schnittstelle zu anderen Prozessen im
Darüber hinaus haben sich in der Praxis folgende Dokumen- ISMS bildet.
te als zielführend etabliert:
2. Die konkreten »Auditaktivitäten«, die die jeweilige Pla-
nung und praktische Durchführung einzelner interner
ZZ Es ist nach A.15.1.1 erforderlich, eine Richtlinie für
Audits beinhalten.
Dienstleisterbeziehungen zu erstellen. In diesem Doku-
ment sollten die Vorgaben, die sich aus der Beschaffungs- -- Die Auditaktivitäten dienen der betrieblichen Umset-
strategie und jeglicher Dienstleisterbeziehung ergeben, zung des Auditprogramms.
definiert werden.
-- Eine Abstimmung mit der internen Revisionsfunktion
Referenzen ist sinnvoll.
ISO/IEC 27001:2013 – Abschnitte 4.3 und 8.1 -- In größeren Organisationen ist eine organisatorische
ISO/IEC 27036-1:2014 Aufteilung zwischen diesen Bereichen sinnvoll, wobei
ein Auditteamleiter für das Auditprogramm verant-
3.12 Internal Audit wortlich ist und ein Team von Auditoren die internen
Audits praktisch durchführt.
Die primären Ziele interner ISMS-Audits sind die Über-
prüfung, inwieweit das ISMS den eigenen Anforderungen
-- Es ist sicherzustellen, dass sowohl die gesamtheitliche
Ausgestaltung als auch die operative Steuerung des
der Organisation sowie den Anforderungen nach ISO/IEC
Auditprogramms optimal auf die Erreichung der IS-
27001:2013 gerecht wird (Konformitätskontrolle), und die
Ziele hinwirken. Dadurch erhält die Organisation den
Überprüfung der Umsetzung und der Wirksamkeit ergriffe-
bestmöglichen Return on Investment für den Ressour-
ner Maßnahmen (Umsetzungs- und Wirksamkeitskontrolle).
ceneinsatz im Auditbereich.
Hierfür muss ein Auditprogramm geplant und eingeführt
werden, das Aspekte wie Häufigkeit, Verfahren, Zuständig-
keiten und Verantwortlichkeiten, Planungsanforderungen,
Nachverfolgung und Berichterstattung regelt. Ferner muss
festgelegt werden, wie mit Korrektur- und Vorbeugemaßnah-
men (also den aus den Audits direkt abgeleiteten Maßnah-
men) umgegangen wird und wo diese zur weiteren Bearbei-
tung »nachgehalten« werden.
Interne ISMS-Audits
Auditprogramm Auditaktivitäten
Planung
Beauftragung
Kommunikation und
Steuerung
Review und
Verbesserung Festlegung Startmeeting
Rollen und
Verantwortlichkeiten
Informationserhebung
und -prüfung
Monitoring
Dokumentensichtung
Implementierung
Ergebnisse
Auditprogramm
Reporting
(9.2 f)
32
1 Verweise in Klammern beziehen sich auf den Abschnitt 9.2 der Norm ISO/IEC 27001:2013.
verstanden worden, weil z. B. Informationen fehlen oder ZZ Werden bisher unbekannte prozessimmanente Defizite
Handlungsempfehlungen nicht passend sind, so sind dies oder Risiken identifiziert, deren Behandlung kurzfristig
Hinweise darauf, dass die Mitglieder des Auditteams zusätz- nicht möglich ist, sind diese im zentralen Risikoinventar
liche fachliche oder methodische Unterstützung benötigen. aufzunehmen.
Zu diesem Teilprozess gehört auch die Erfassung und Aus- ZZ Auditergebnisse müssen der Leitungsebene des ISMS
wertung des Feedbacks des Managements, der auditierten (zumindest in konsolidierter Form) regelmäßig gemeldet
Bereiche bzw. Organisationseinheiten, der Auditoren und an- werden.
derer Stakeholder. ZZ In Auditberichten ist eindeutig zu vermerken, welche Sys-
teme und Dokumente geprüft bzw. gesichtet und als Basis
Teilprozess »Review und Verbesserung«
für die Audits verwendet wurden.
Im Teilprozess »Review und Verbesserung« prüfen die für
ZZ Eine offene und über die gesamte Dauer eines Audits
das Auditprogramm verantwortlichen Personen regelmäßig,
ob die Erwartungen der Stakeholder nach wie vor erfüllt wer- aufrechterhaltene Kommunikation trägt wesentlich dazu
bei, Vorbehalte beim auditierten Bereich abzubauen, und
den. Ausgangsbasis sind die Informationen, die im Teilpro-
zess »Monitoring« gesammelt wurden. Weiterhin ist die kon- senkt damit das Risiko, dass Informationen zurückgehal-
ten oder nicht realitätsgetreu dargestellt werden.33
tinuierliche fachliche und methodische Weiterentwicklung
der Auditoren festzustellen und zu steuern.32 ZZ Um die Eignung, Vollständigkeit und Wirksamkeit der
umgesetzten Maßnahmen festzustellen, werden in der Re-
Der Status des Auditprogramms ist an das verantwortliche gel durch den Auditor die maßgeblich mit dem Betrieb
Management zu berichten. Zweckmäßig ist hier zudem die und der Überwachung dieser Maßnahmen beauftragten
Einführung von KPIs, um das Qualitätsniveau des Auditpro- Mitarbeiter direkt befragt, die Dokumentation geprüft
gramms und der internen Audits insgesamt messbar und ver- und/oder praktische Vorführungen veranlasst und beur-
gleichbar zu machen. Qualitätsaussagen wie z. B. »Anteil der teilt. Von den Auditoren wird dabei ein umfangreiches
von Fachbereichen akzeptierten und zur Umsetzung eingelei- technisches Wissen und methodisches Können gefordert.
teten Maßnahmen« sind gegenüber reinen Zeitaussagen wie Es ist daher angebracht, die Auditoren auf Basis der Ziele
z. B. »pro Audit aufgewendete Arbeitszeit« zu bevorzugen. und Inhalte des jeweiligen Audits auszuwählen.
ZZ Im Kontext der Planung einzelner Audits, d. h. vor Be-
Kompetenz und Auswahl der Auditoren ginn der Durchführung, muss durch die verantwortlichen
Leitungsebenen die Übernahme der entstehenden Kosten
ZZ Die Auswahl der ISMS-Auditoren sollte so erfolgen, dass
geklärt werden.
die notwendige Objektivität, Expertise und Unparteilich-
keit im Auditprozess sichergestellt ist. ZZ Spätestens im Abschlussmeeting eines Audits sind die Er-
gebnisse gemeinsam mit dem auditierten Bereich durch-
ZZ Die notwendigen Kompetenzen eines internen Auditors
zusprechen, da dieser die Feststellungen und Maßnah-
sollten beschrieben sein (z. B. in einer Rollen- bzw. Stel-
menempfehlungen verstehen und akzeptieren sollte. Eine
lenbeschreibung).
formale Abnahme des Auditberichts sollte angestrebt
werden. Meinungsverschiedenheiten, die nicht aufgelöst
Planung und Durchführung von Audits
werden können, sind im Bericht zu dokumentieren.
Durch Audits werden sowohl Nichtkonformitäten zu be-
ZZ Es ist sicherzustellen, dass die relevanten Informationen
stehenden Vorgaben als auch potenzielle bisher unbekannte
und Auditberichte vertraulich behandelt und vor unbe-
Schwachstellen und Gefährdungen identifiziert.
rechtigtem Zugriff geschützt aufbewahrt bzw. archiviert
werden.
ZZ Bei der Auditplanung gilt: Ohne dedizierten Auditauftrag
kein Audit. Das heißt, die eigentlichen Arbeiten werden ZZ Die Anforderungen aus Abschnitt 9.2 an interne Au-
erst dann aufgenommen, wenn die Beauftragung gesichert dits können durch die Umsetzung der Empfehlungen
und formal kommuniziert ist. Zudem sollte der zu audi- aus Abschnitt 6.4 der ISO/IEC 19011:2011 und ISO/
tierende Bereich aktiv in die Auditplanung einbezogen IEC 27007:2011 erfüllt werden, wobei zu beachten
werden, beispielsweise zur Abstimmung des Scopes, der ist, dass die normativen Anforderungen nach ISO/IEC
zeitlichen Planung und der Verfügbarkeit von Ansprech- 27001:2013 bei Weitem nicht so umfangreich sind, wie in
partnern während des Audits. gängigen Best Practices beschrieben.
ZZ Sofern möglich sind bereits im Audit (Sofort-)Maßnah- ZZ Weitere Informationen bzgl. interner Audits sind z. B. im
men für die angemessene Behandlung von Gefährdungen QAR-IT-Leitfaden der ISACA zu finden. Dieser Leitfaden
abzuleiten. Die Umsetzung muss allerdings formal mit ist zwar auf die interne IT-Revision ausgerichtet, kann je-
den jeweiligen Service-, System- und/oder Dateneigentü-
mern abgestimmt werden. 33 Siehe auch »Communication – The Missing Piece«, ISACA Journal 3/2012
(http://www.isaca.org/Journal/Past-Issues/2012/Volume-3/Documents/
32 Siehe auch Abschnitte 7.4, 7.5 und 7.6 der ISO/IEC 19011. 12v3-Communication.pdf).
doch sinngemäß auch für die internen ISMS-Audits ange- ZZ Sofern ein IKS bereits etabliert ist oder sich im Aufbau
wendet werden.34 bzw. in Veränderung befindet, lohnt es sich zu prüfen, ob
und inwieweit die Kontroll- und Auditanforderungen des
ISMS dort berücksichtigt oder ggf. sogar teilweise integ-
Abgrenzung interner ISMS-Audits zu
riert werden können. Eine vollständige Integration wird
Zertifizierungsaudits in der Praxis nicht möglich sein, da sich die Ziele der bei-
Interne (ISMS-)Audits sind ein wesentliches Instrument im den Systeme substanziell unterscheiden. Organisatorische
kontinuierlichen Verbesserungsprozess des Managementsys- Schnittstellen zum IKS und zur Internen Revision sind al-
tems. Über sie wird geprüft, ob das Managementsystem den lerdings in jedem Fall empfehlenswert.
eigenen Anforderungen der Organisation gerecht wird und
ZZ Zur Modellierung eines IKS kommen in der Praxis z. B.
wo Verbesserungspotenziale bestehen. Über das Auditpro-
COSO oder COBIT zum Einsatz.
gramm wird sichergestellt, dass alle Bereiche des Geltungs-
bereichs wirksam durch das Managementsystem gesteuert
werden. Anforderungen an die Dokumentation
Gemäß ISO/IEC 27001:2013 bestehen folgende Mindestan-
Zertifizierungsaudits sind immer externe Audits. Sie wer- forderungen an die Dokumentation:
den von qualifizierten externen Auditoren im Namen einer
Zertifizierungsstelle durchgeführt. Externe Auditoren arbei- ZZ Dokumentation des Auditprogramms bzw. der Auditpro-
ten in der Regel auf der Basis der beiden Normen »ISO/IEC gramme (Abschnitt 9.2 g)
27006:2011 Requirements for bodies providing audit and
ZZ Dokumentation der Auditergebnisse (Abschnitt 9.2 g)
certification of information security management systems«
und »ISO/IEC TS 17021-2:2012 Conformity assessment –
Requirements for bodies providing audit and certification of Referenzen
management systems«. ISO/IEC 27001:2013 – Abschnitt 9.2
ISO/IEC 19011:2011
Abgrenzung interner ISMS-Audits zum internen ISO/IEC 27007:2011
ISO/IEC 27006:2011
Kontrollsystem (IKS)
ISO/IEC TS 17021-2:2012
Das interne Kontrollsystem eines Unternehmens (IKS) stellt
ein wesentliches Steuerungs- und Überwachungsinstrument 3.13 Incident Management
dar. Aspekte des ISMS können ein Bestandteil des internen
Kontrollsystems sein, jedoch geht das IKS in der Regel weit Obwohl dies im normativen Teil der Norm nicht explizit
über das ISMS hinaus und umfasst vor allem auch fachliche erwähnt wird, ist das Management von Informationssicher-
Prozesskontrollen. heitsvorfällen ein weiterer elementarer Baustein eines gut
funktionierenden ISMS.
Bei einem IKS unterscheidet man zwischen prozessintegrier-
ten und prozessunabhängigen Kontrollaktivitäten. Bei den Sicherheitsrelevante Vorfälle sind in der Regel Nichtkonfor-
erstgenannten handelt es sich üblicherweise um Kontrollmaß- mitäten, die, sofern ihren Ursachen auf den Grund gegangen
nahmen, die aus der Risikoanalyse, aus guten Management- wird, einen entscheidenden Einfluss auf den kontinuierlichen
praktiken oder internen und externen Vorgaben resultieren Verbesserungsprozess (KVP) und den Reifegrad des ISMS
(z. B. Vieraugenprinzip bei Buchungsfreigabe, Multifaktor- haben. Denn letztlich gilt: Nur wer Fehler erkennt und aus
Authentifizierung für kritische Benutzer usw.) und somit die ihnen lernt, d. h. seine Aktivitäten und Strategien überdenkt
Empfehlungen der ISO/IEC 2700x als Ursprung haben kön- und beispielsweise unwirksame Maßnahmen entfernt oder
nen. Hierbei handelt es sich um die sogenannte »erste Vertei- ersetzt, bestehende (Sicherheits-)Konzepte anpasst oder neue
digungslinie«, die die Ordnungsmäßigkeit von Prozessen und (Sicherheits-)Lösungen umsetzt, der erhält langfristig auch
Aktivitäten im Unternehmen sicherstellen soll und durch die den bestmöglichen Nutzen eines innerhalb »unvorhersehba-
direkte Leitungsebene wahrgenommen wird. rer« Rahmenbedingungen (= Risiken) agierenden Manage-
mentsystems.
Die Wirksamkeit der Kontrollmaßnahmen kann weiterhin
beispielsweise durch ein ISMS außerhalb der IT oder eine Erfolgsfaktoren aus der Praxis
Compliance-Funktion prozessunabhängig überprüft werden.
Dies wird in der Praxis oft als »zweite Verteidigungslinie« Um die Informationssicherheit im operativen Betrieb auf-
bezeichnet. Diese Überprüfung ersetzt nicht die Tätigkeit der rechtzuerhalten, ist es unumgänglich, die Behandlung von In-
Internen Revision, die wiederum die Wirksamkeit des gesam- formationssicherheitsvorfällen bestmöglich zu antizipieren,
ten IKS als sogenannte »dritte Verteidigungslinie« prüfen d. h. bereits im Vorfeld Verantwortlichkeiten, Abläufe und
soll. Behandlungsoptionen festzulegen und auch einzuüben.
34 Siehe www.isaca.de.
Das grundsätzliche Ziel des Prozesses zur Behandlung von Planen und Vorbereiten
Informationssicherheitsvorfällen ist ein weitgehend koordi- Incident Response Plan (IRP) festlegen
niertes, zielgerichtetes und damit effizientes Handeln beim Incident Response Team etablieren
Eintreten einer tatsächlichen Sicherheitsverletzung oder eines Maßnahmen für relevante denkbare IS-Vorfälle definieren
gezielten Cyber-Angriffs. Melde- und Kontaktlisten pflegen/veröffentlichen/
Awareness schaffen
Eskalationswege definieren
ZZ In diesem Kapitel wird »nur« das Thema »Informations-
sicherheitsvorfälle« adressiert. Für die Erarbeitung eines
ganzheitlichen Notfallvorsorgesystems wird auf die ISO Erkennen und Annehmen
Eindeutige Meldewege und Verhaltensregeln für relevante
22301:2012 »Societal security – Business continuity ma-
Gruppen
nagement systems – Requirements« verwiesen. Definierter Meldeprozess
ZZ Die Organisation muss eine für sich sinnvolle Kategorisie-
rung für Vorfälle festlegen, die eine praktikable und ver- Klassifizieren und Entscheiden
nünftige Abgrenzung des Schweregrads ermöglicht, bei- Prüfung und ggf. Verifikation des gemeldeten Vorfalls
spielsweise Unterscheidung zwischen Störungen, Sicher Bei Bestätigung des Verdachts initiale Erfassung und
Bewertung inkl. Risikoklassifizierung
heitsvorfällen, Notfällen und Krisen.
Festlegen des weiteren Vorgehens/Zusammenstellen IRT
ZZ Es sollte ein entsprechender »Incident Response Plan«
(Behandlungsplan) entwickelt werden, in dem die we- Incident Response
sentlichen Abläufe festgeschrieben werden (siehe ISO/IEC Reaktion auf den IS-Vorfall gemäß vereinbartem Vorgehen
27002:2013). Dieser kann selbstverständlich nicht jede Organisatorisch: Kommunikation/Information
Eventualität abdecken und dient daher beim Eintritt eines Technisch: Beweise sichern/Ursachenfindung, Forensik,
Eindämmung, Beseitigung/Wiederherstellung
Vorfalls als Orientierung und sorgt für ein zielgerichtetes
Vorgehen.
Lessons Learned/Nachbereitung
ZZ Im Notfall funktioniert nur das, was bereits zuvor kom- Formaler Abschluss
muniziert und mehrfach geübt wurde. Wer sich darauf Reflexion/Identifikation von Verbesserungsmöglichkeiten
verlässt, dass die jeweils betroffenen Mitarbeiter (welche
sind das?) »im Falle eines Falles« noch wissen, an welcher Abbildung 10: Incident Response Management – Phasenmodell
Stelle sie in ihrem Behandlungsplan nachschlagen müssen angelehnt an ISO/IEC 27035
-- Name(n) des/der Meldenden, Name(n) des/der betrof- 3. Ursachenfindung und (erweiterte) Beweissicherung: Fest-
fenen Personen und Informationen/IT-Systeme stellung des Ursprungs (»root cause«) des Ereignisses und
-- Beschreibung des Security Incident (Wie ist der An- Sicherung potenzieller Hinweise und Belege, ggf. durch
greifer vorgegangen, welche Schwachstellen wurden weitergehende forensische Analysen.
ausgenutzt? Bisher entstandener Schaden)
Lessons Learned/Nachbereitung
ZZ Alle Sicherheitsvorfälle müssen nach einem vorab ab- ZZ Die Nachvollziehbarkeit zu einem Sicherheitsvorfall soll
gestimmten Klassifizierungsschema (initial) klassifiziert zu jeder Zeit gegeben sein. Das bedeutet, dass zu jedem
werden, sodass eine Priorität abgeleitet werden kann. Ab- Vorfall ersichtlich sein muss,
hängig von der Priorität sind vorab definierte Sofortmaß- -- wie der aktuelle Status der Bearbeitung ist (z. B. Neu,
nahmen einzuleiten und die verantwortlichen Personen Akzeptiert, In Arbeit, Angehalten, Gelöst, Abge-
(z. B. ISO, CISO) zu informieren. schlossen),
ZZ Die im (Ticket-)System dokumentierten Sicherheitsvorfäl- -- wer die mit der Bearbeitung beauftragten Mitarbeiter
le sollten ggf. einem Monitoring unterliegen, sodass si- sind,
chergestellt ist, dass auch niedrig klassifizierte Ereignisse -- welche Maßnahmen zur Problemlösung (aktuell) ge-
bearbeitet werden. plant sind,
-- wann die Umsetzung der erforderlichen Maßnahmen
Incident Response
vorgesehen ist.
In Bezug auf die Incident Response hat sich in der Praxis fol- ZZ Alle dokumentierten Sicherheitsvorfälle müssen (nach
gendes Vorgehen als effektiv erwiesen: Bearbeitung) einer Prüfung unterzogen werden, ob durch
eine Optimierung im »Incident Response Plan« oder
1. Eindämmung und (initiale) Beweissicherung: Analyse der durch Änderungen in der Aufbau- und Ablauforganisa-
Ausdehnung und Eindämmung des Sicherheitsvorfalls so- tion (u. a. Erstellung bzw. Anpassung von Handlungs-
wie (initiale) Sicherung potenzieller Hinweise und Belege, anweisungen) in Zukunft ein besseres Handling ähnlich
ggf. durch forensische Analysen und im Vorfeld festgeleg- gelagerter Vorfälle erreicht werden kann.
te und geübte (!) Vorgehensweisen (siehe auch Control ZZ Die Bearbeitung von Sicherheitsvorfällen muss zum Ab-
A.16.1.7). schluss immer zu einem Bericht führen, wie derartige Vor-
fälle in Zukunft zu vermeiden bzw. in ihrer Auswirkung
Beispiele für lokale Maßnahmen zur Eindämmung: zu minimieren sind. Daraus können ggf. weitere techni-
-- Sperrung kompromittierter Benutzerkonten sche und organisatorische Maßnahmen abgeleitet wer-
-- Abschaltung angegriffener bzw. gefährdeter Dienste den, die in den Regelbetrieb zu überführen sind.
-- Nutzung von Malware-Tools (Virenscanner, Anti-Spy-
ware oder ähnliche Programme), um Systeme ober- Anforderungen an die Dokumentation
flächlich zu säubern
-- Beispiele im Netzwerk: Gemäß ISO/IEC 27001:2013 bestehen keine Mindestanfor-
derungen an die Dokumentation.
OO Kompromittierte Systeme vom restlichen Netzwerk
isolieren und Zugriff auf ein Quarantänenetz be- Darüber hinaus haben sich in der Praxis folgende Dokumen-
schränken te als zielführend etabliert:
OO Sperren bestimmter Dienste und/oder Protokolle
und ausgewählter IP-Adressen ZZ Incident Response Plan (IRP), inklusive aktueller (!) Kon-
taktlisten und Eskalationspläne
2. Beseitigung und Wiederherstellung: Maßnahmen zur
ZZ Verhaltensregeln bei sicherheitsrelevanten Unregelmäßig-
Wiederherstellung der gewünschten Zielkonfiguration:
keiten
In vielen Fällen kann dies über ein Restore des Backups
erfolgen. Die Daten und Software werden in diesem Fall ZZ Prozessbeschreibungen und Arbeitsanweisungen für die
von »sauberen« Datensicherungsdateien auf »neuen« Sicherung von Beweisen
Systemen wiederhergestellt, wobei darauf zu achten ist,
ZZ IS-Vorfallsberichte
dass alle (im Backup evtl. noch vorhandenen) Schwach-
stellen geschlossen werden (ggf. Updates und Patches ein-
spielen) und die Sicherungsdateien frei von Veränderun- Referenzen
gen durch einen Angreifer sind. ISO/IEC 27001:2013 – A.16 (Annex A)
Eine weitere Maßnahme kann z. B. die Aktualisierung ISO/IEC 27035:2011
von Systemsoftware und die Härtung der betroffenen Sys- ISO 22301:2012
teme sein.
ZZ Act
Die Organisationen sind daher aufgefordert, die vorhandenen -- Treffen von notwendigen Managemententscheidun-
Best Practices zu analysieren und stetig an ihre Bedürfnisse an- gen, um die Effektivität von Sicherheitsmaßnahmen
gepasst anzuwenden. Insbesondere sind sie aufgefordert, aus oder ganzen Maßnahmenzielen wiederherzustellen.
ihren Nichtkonformitäten Verbesserungspotenziale abzulei- Entscheidungen werden an den operativen Betrieb zur
ten und dadurch ihr ISMS stetig zu verbessern. Dieser Prozess Umsetzung weitergegeben.
wird kontinuierlicher Verbesserungsprozess (KVP) genannt. -- Die getroffenen Entscheidungen werden mit Begrün-
dungen angemessen dokumentiert, beispielsweise über
Eine Organisation, die ein normkonformes ISMS betreiben das Security Controlling.
möchte, muss folglich organisatorische Maßnahmen festle-
gen, auf deren Basis eine kontinuierliche Verbesserung gezielt
und planmäßig stattfindet. Die Durchführung dieser Maß- Erfolgsfaktoren aus der Praxis
nahmen und die jeweiligen Ergebnisse sind hierbei zu über- Die Verbesserung des ISMS erfolgt in der Regel durch die
wachen und angemessen zu dokumentieren. Darüber hinaus Identifikation von Abweichungen zu den Anforderungen so-
hat die Organisation nachzuweisen, wie sie bei festgestellten wie durch daraus abgeleitete Korrekturmaßnahmen. Es ist al-
Mängeln dafür sorgt, dass sich diese nicht wiederholen. lerdings auch denkbar, dass Verbesserungsvorschläge direkt
bewertet und umgesetzt werden, also ohne eine vorliegende
PDCA-(Plan-Do-Check-Act-)Zyklus Abweichung.
Die empfohlene Herangehensweise zur nachhaltigen Sicher-
stellung der kontinuierlichen Verbesserung des ISMS kann Mögliche Quellen für Abweichungen und
Verbesserungsvorschläge
nach wie vor dem PDCA-Zyklus folgen, der die Basis vieler
Managementsysteme darstellt. QQ Schlussfolgerungen aus KPIs – Analysen und Messungen
QQ Nachbereitung von Sicherheitsvorfällen
ZZ Plan
-- Etablierung von Maßnahmenzielen und Verantwort- QQ Ergebnisse von (internen) Audits
lichkeiten für deren Erreichung
QQ Prüfung durch die Leitung (Managementbewertung)
-- Etablierung der Sicherheitsmaßnahmen zur Errei-
chung der Maßnahmenziele und der operativen Pro- QQ Betriebliches Vorschlagswesen (Verbesserungsvorschlag)
zessverantwortlichen für diese Maßnahmen
QQ Regelmäßig durchzuführende Risikoanalysen
-- Definition der Leistungsindikatoren, die eine Leis-
tungsmessung gegen die Maßnahmenziele erlauben
ZZ Maßnahmen aus dem KVP sollten in den übergreifenden
-- Definition des Prozesses zur Messung der Leistung Umsetzungs- bzw. Risikobehandlungsplan (der in der
inklusive der Messpunkte, Berechnungsmethode des
Regel aus der Informationssicherheitsrisikoeinschätzung
Indikators und der Norm- und Toleranzbereiche
resultiert) mit aufgenommen werden, sodass eine zentrale
-- Definition der Korrekturmaßnahmen, um die Sicher- konsolidierte oder zumindest eine geschäftsbereichsweite
heitsmaßnahme im Normbereich zu regeln
Liste mit Maßnahmen existiert.
ZZ Do
-- Kontinuierliche Messung der Maßnahmenzielerrei- ZZ Des Weiteren führen die regelmäßig vorzunehmenden Ri-
chung mit Lieferung an das Security Controlling in- sikoanalysen zu einer ständigen Verbesserung des ISMS.
nerhalb des ISMS Die Ergebnisse der Risikoanalysen stellen einen wesentli-
-- Einleitung von Korrekturen bei festgestellten Mängeln chen Bestandteil der Verbesserung des ISMS dar, da hier-
oder Nichtkonformitäten bei risikominimierende Maßnahmen identifiziert und in
Risikobehandlungspläne zur Umsetzung aufgenommen
ZZ Check werden. Außerdem wird über die Risikobehandlung die
-- Überwachen der einzelnen Sicherheitsmaßnahmenin- Umsetzung dieser Maßnahmen überwacht und deren
dikatoren und Vergleichen der einzelnen Leistungsfä- Wirksamkeit bewertet.
higkeiten mit den Maßnahmenzielen
ZZ Korrektur vs. Korrekturmaßnahme: Bei Feststellung von
-- Aufsicht über die eingeleiteten Gegenmaßnahmen und
Mängeln und Nichtkonformitäten muss die Organisati-
deren Verantwortliche, wenn eine Sicherheitsmaßnah-
on reagieren und diese korrigieren bzw. abstellen (siehe
me den Normbereich der Effektivität verlassen hat.
4. Glossar
BIA Business Impact Analysis ISMS Information Security Management System – Teil des
übergreifenden Managementsystems, basierend auf einem
BO Betriebsorganisation Geschäftsrisiko-Ansatz, zur Etablierung, Implementierung,
Betrieb, Überwachung, Überprüfung, Aufrechterhaltung
BSI Bundesamt für Sicherheit in der Informationstechnik und Verbesserung der Informationssicherheit.
Das Managementsystem beinhaltet die Organisations-
BSIMM Building Security in Maturity Model struktur, Policies, Planungsaktivitäten, Verantwortlichkei-
ten, Praktiken, Prozesse und Ressourcen.
CERT Computer Emergency Response Team
ISO International Organization for Standardization, Her
CIO Chief Information Officer ausgeber von internationalen Normen, u. a. der ISO/IEC
2700x-Familie.
CIS Center for Internet Security
ISO Information Security Officer
CISO Chief Information Security Officer
KPI Key-Performance-Indikator – ein Leistungsindikator
COBIT Control Objectives for Information and Related
Technology – ein international anerkanntes Framework KVP Kontinuierlicher Verbesserungsprozess
zur IT-Governance mit Fokus auf IT-Prozesse und Kontroll
ziele. MaRisk Mindestanforderungen an das Risikomanagement
– eine Verwaltungsanweisung zur Ausgestaltung des
COSO Committee of Sponsoring Organizations of the Risikomanagements in deutschen Kreditinstituten von der
Treadway Commission – eine US-amerikanische Orga Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
nisation, die u. a. den anerkannten Standard für interne
Kontrollen, das sogenannte COSO-Modell, entwickelt hat. QAR-IT ISACA-Leitfaden zur Durchführung eines Quality
Assurance Review der internen IT-Revision (QAR-IT).
PDCA Plan-Do-Check-Act-Zyklus – ein kontinuierlicher Ver TOMs Technische und organisatorische Maßnahmen
besserungsprozess
UWG Gesetz gegen den unlauteren Wettbewerb
RACI-Matrix Organisationen nutzen die Kategorisierung
nach RACI, um zu beschreiben, welche Rolle für welche Zero-Day-Schwachstelle Eine bislang nicht veröffentlichte
Aktivitäten verantwortlich ist und welche Rollen zu und nicht korrigierte Schwachstelle, die ausgenutzt werden
beteiligen sind. So kann man zu einer klaren Beschreibung könnte, um Computeranwendungen, Daten oder andere
der Verantwortlichkeiten und Zuständigkeiten gelangen. Netzwerkdienste zu manipulieren oder anzugreifen.
Dabei werden die Begriffe wie folgt interpretiert:
Responsible – zuständig für die eigentliche Durchführung
(Umsetzungsverantwortung). Die Person, die die Initiative
für die Durchführung an andere gibt. Wird auch als Ver-
antwortung im disziplinarischen und qualitativen Sinne
interpretiert.
Accountable – rechenschaftspflichtig (Gesamtverantwor-
tung), verantwortlich im Sinne von »genehmigen«, »billi-
gen« oder »unterschreiben«. Die Person, die im rechtlichen
oder kaufmännischen Sinne die Verantwortung trägt. Wird
auch als Verantwortung aus Kostenstellensicht interpre-
tiert.
Consulted – konsultiert (fachliche Expertise). Eine Person,
deren Rat eingeholt werden soll oder muss. Wird auch als
Verantwortung aus fachlicher Sicht interpretiert.
to be Informed – zu informieren (Informationsrecht). Eine
Person, die Informationen über den Verlauf bzw. das Er-
gebnis der Tätigkeit erhält oder die Berechtigung besitzt,
Auskunft zu erhalten.
In der Regel sollte pro Aktivität nur eine Person (Rolle)
accountable sein. Dagegen können mehrere Personen bei
einer Aktivität responsible, consulted oder informed sein.
Ebenso kann es vorkommen, dass eine Person für eine Ak-
tivität gleichzeitig accountable und responsible ist.
Scope Geltungsbereich
5. Referenzen
ISO/IEC 27005:2011 Information technology — Security tech- BSI-Standard 100-2, IT-Grundschutz-Vorgehensweise, Version
niques — Information security risk management 2.0, 2008
ISO/IEC 27006:2011 Information technology — Security BSI-Standard 100-3, Risikoanalyse auf der Basis von IT-Grund-
techniques — Requirements for bodies providing audit and schutz, Version 2.5, 2008
certification of information security management systems IT-Grundschutz-Kataloge des BSI, 14. Ergänzungslieferung,
ISO/IEC 27007:2011 Information technology — Security 2014
techniques — Guidelines for information security management Leitfaden Cyber-Sicherheits-Check, BSI/ISACA, 2014
systems auditing
SC27 Platinum Book – Twenty Years of ISO/IEC JTC1/SC27
ISO/IEC 27018:2014 Information technology – Security tech-
niques – Code of practice for protection of personally identifia-
ble information (PII) in public clouds acting as PII processors Weblinks
ISO/IEC 27032:2012 Information technology – Security tech- www.bsi.bund.de
niques – Guidelines for cybersecurity www.enisa.europa.eu
ISO/IEC 27035:2011 Information technology — Security tech- www.esma.europa.eu
niques — Information security incident management
www.isaca.de
ISO/IEC 27036-1:2014 Information technology — Security
techniques — Information security for supplier relationships — www.isaca.org
Part 1: Overview and concepts www.iso27001security.com
www.iso.org
www.jtc1sc27.din.de
6. Abbildungsverzeichnis
Abbildung 1:
Einbindung des ISMS in die Unternehmenssteuerung 8
Abbildung 2:
Bausteine eines ISMS nach ISO/IEC 27001:2013 9
Abbildung 3:
Risikomanagementprozess nach ISO 31000 19
Abbildung 4:
Risikobehandlungsoptionen nach ISO/IEC 27005 20
Abbildung 5:
Ausarbeitung eines Kommunikationsplans 25
Abbildung 6:
Phasenmodell für Security-Awareness-Kampagnen 27
Abbildung 7:
IS-Normenübersicht Lieferantenbeziehungen 30
Abbildung 8:
Struktur für interne ISMS-Audits (Auditprogramm vs.
Auditaktivitäten) 32
Abbildung 9:
Anforderungen an das Auditprogramm 32
Abbildung 10:
Incident Response Management – Phasenmodell
angelehnt an ISO/IEC 27035 36
Abbildung 11:
Durchführung interner ISMS-Audits (Prozessschaubild) 59
Abbildung 12:
Bausteine eines ISMS nach ISO/IEC 27001:2013 (deutsch) 60
7. Anlage 1:
Mapping ISO/IEC 27001:2013 vs.
ISO/IEC 27001:2005
Legende: = vollständige Abdeckung der Inhalte = teilweise Abdeckung der Inhalte
7.1 General
Norm-Abschnitte
4.3.1 General
7.3 Review output
8.2 Corrective action
8.3 Preventive action
8 ISMS improvement
(4 – 6)
6 Planning
6.1 Actions to address risks and opportunities
6.1.1 General ¡ ¡ ¡
6.1.2 Information security risk assessment ¡ ¡ ¡
6.1.3 Information security risk treatment ¡ ¡
6.2 Information security objectives and planning to achieve them ¡ ¡
45
7.1 General
Norm-Abschnitte
4.3.1 General
7.3 Review output
8.2 Corrective action
8.3 Preventive action
(7 – 10)
8 ISMS improvement
A.10.5 Back-up
A.10.5 Back-up
A.10.5 Back-up
A.15.3 Information systems audit considerations
A.15.2 Compliance with security policies and standards, and technical compliance
A.15.1 Compliance with legal requirements
A.15 Compliance
A.14.1 Information security aspects of business continuity management
A.14 Business continuity management
A.13.2 Management of information security incidents and improvements
A.13.1 Reporting information security events and weaknesses
A.13 Information security incident management
A.12.6 Technical vulnerability management
ISO/IEC 27001:2005
A.12.5 Security in development and support processes
A.12.4 Security of system files
A.12.3 Cryptographic controls
Annex A
A.15.3 Information systems audit considerations
A.15.2 Compliance with security policies and standards, and technical compliance
A.15.1 Compliance with legal requirements
A.15 Compliance
A.14.1 Information security aspects of business continuity management
A.14 Business continuity management
A.13.2 Management of information security incidents and improvements
A.13.1 Reporting information security events and weaknesses
A.13 Information security incident management
A.12.6 Technical vulnerability management
ISO/IEC 27001:2005
¡
A.12.5 Security in development and support processes
¡
A.12.4 Security of system files
A.12.3 Cryptographic controls
A.12.2 Correct processing in applications
A.12.1 Security requirements of information systems
A.12 Information systems acquisition, development and maintenance
A.11.7 Mobile computing and teleworking
A.11.6 Application and information access control l
l
A.11.5 Operating system access control
¡
l
l
l
Annex A
A.15.3 Information systems audit considerations
A.15.2 Compliance with security policies and standards, and technical compliance
A.15.1 Compliance with legal requirements
A.15 Compliance
A.14.1 Information security aspects of business continuity management
A.14 Business continuity management
A.13.2 Management of information security incidents and improvements
A.13.1 Reporting information security events and weaknesses
A.13 Information security incident management
ISO/IEC 27001:2005
A.12.6 Technical vulnerability management
¡
A.12.5 Security in development and support processes
A.12.4 Security of system files
A.12.3 Cryptographic controls
l
A.12.2 Correct processing in applications
A.12.1 Security requirements of information systems
A.12 Information systems acquisition, development and maintenance
A.11.7 Mobile computing and teleworking
A.11.6 Application and information access control
A.11.5 Operating system access control
¡
Annex A
A.12.3 Backup
A.15.3 Information systems audit considerations
l
A.15.2 Compliance with security policies and standards, and technical compliance
A.15.1 Compliance with legal requirements
A.15 Compliance
A.14.1 Information security aspects of business continuity management
A.14 Business continuity management
A.13.2 Management of information security incidents and improvements
A.13.1 Reporting information security events and weaknesses
A.13 Information security incident management
ISO/IEC 27001:2005
l
¡
A.12.5 Security in development and support processes
¡
A.12.4 Security of system files l
A.12.3 Cryptographic controls
A.12.2 Correct processing in applications
A.12.1 Security requirements of information systems
A.12 Information systems acquisition, development and maintenance
A.11.7 Mobile computing and teleworking
¡
Annex A
A.15.3 Information systems audit considerations
A.15.2 Compliance with security policies and standards, and technical compliance
A.15.1 Compliance with legal requirements
A.15 Compliance
A.14.1 Information security aspects of business continuity management
A.14 Business continuity management
A.13.2 Management of information security incidents and improvements
A.13.1 Reporting information security events and weaknesses
A.13 Information security incident management
ISO/IEC 27001:2005
A.12.5 Security in development and support processes
l
A.12.4 Security of system files
l
A.12.3 Cryptographic controls
¡
¡
A.12.2 Correct processing in applications
A.12.1 Security requirements of information systems
l
A.12 Information systems acquisition, development and maintenance
A.11.7 Mobile computing and teleworking
A.11.6 Application and information access control
A.11.5 Operating system access control
Annex A
A.15.3 Information systems audit considerations
l
A.15.2 Compliance with security policies and standards, and technical compliance
l
A.15.1 Compliance with legal requirements
A.15 Compliance
l
A.14.1 Information security aspects of business continuity management
A.14 Business continuity management
A.13.2 Management of information security incidents and improvements
l
A.13.1 Reporting information security events and weaknesses
l
A.13 Information security incident management
ISO/IEC 27001:2005
A.12.5 Security in development and support processes
A.12.4 Security of system files
A.12.3 Cryptographic controls
Annex A
A.17.2 Redundancies
management
A.18 Compliance
A.16.1 M
8. Anlage 2:
Versionsvergleich ISO/IEC 27001:2013 vs.
ISO/IEC 27001:2005
Nachfolgend finden Sie eine kurze Darstellung der wesentlichen inhaltlichen Änderungen
der ISO/IEC 27001:2013 gegenüber der Vorgängerversion aus dem Jahr 2005.
Die wesentliche Änderung in Bezug auf die Leitungsebene Die Forderung nach einem Risikobehandlungsplan ist nach
ist die Entfernung der 2005er-Maßnahme A.6.1.1 »Manage- wie vor als ein zentrales Element enthalten (vgl. Abschnitt
ment commitment to information security« und die stärkere 8.3 der ISO/IEC 27001:2013 vs. Abschnitte 4.2.2 und 7.3
Integration der Anforderungen an die Unternehmensleitung der ISO/IEC 27001:2005).
in die Grundlagen des Informationssicherheitsmanagements
im normativen Abschnitt 5.1 der Version 2013. Zudem wird Die Anforderungen bzgl. der im Kontext eines ISMS not-
nun nicht mehr von »Management«, sondern primär von wendigen Rollen und Verantwortlichkeiten finden sich in der
»Topmanagement« gesprochen (siehe Abschnitte 5 und 9.3). ISO/IEC 27001:2013 zwar in anderen Abschnitten wieder,
Durch diese Änderung wird die grundlegende Bedeutung des waren aber im Kern bereits in der Version 2005 vorhanden
Engagements (engl. commitment) der höchsten Leitungsebe- (vgl. Abschnitte 5.3, 7.1 und 7.2 der ISO/IEC 27001:2013 vs.
ne noch stärker in den Vordergrund gerückt. Des Weiteren Abschnitte 5.2.1 und 5.2.2 der ISO/IEC 27001:2005).
wird in der neuen Version die nachvollziehbare Konsistenz
der Informationssicherheitsziele mit den Geschäftszielen ex- In der Version 2005 waren das Monitoring und die Effektivi-
plizit gefordert und ist durch das Topmanagement sicherzu- tätsmessung von Sicherheitsmaßnahmen ein Unterpunkt des
stellen. Abschnitts »Management Review« (siehe Abschnitte 4.2.2 d
und 4.2.3). Dort wurden einige allgemeine Anforderungen
Die Integration des Themas Informationssicherheit in andere hinsichtlich der Überwachung und Überprüfung des ISMS
Geschäftsprozesse und allgemein in alle Projekte wird in der aufgeführt. Die Hinweise der ISO/IEC 27004:2009 wurden
aktuellen Version als eine explizite Anforderung hervorgeho- nicht explizit erwähnt und galten daher höchstens als Emp-
ben (siehe Maßnahme A.6.1.5 »Information security in pro- fehlung. In der 2013er-Version wird dem Thema nun größere
ject management«). Aufmerksamkeit und sogar ein eigener Abschnitt gewidmet.
Dokumentationsanforderungen zum Performance Monito-
Die Version 2005 forderte im Kontext der Informationssi- ring sind nun verpflichtender Bestandteil für eine etwaige
cherheitsleitlinie, dass geschäftliche, gesetzliche oder amtli- Zertifizierung (siehe Abschnitt 9.1).
che Anforderungen und vertragliche Sicherheitsverpflichtun-
gen beschrieben sind. Dies wird man gemäß der Version 2013 Bei den Anforderungen bzgl. interner Audits ist es zu kei-
nun eher im Scope-Dokument erwarten (siehe Abschnitt 4). nen fundamentalen Änderungen gekommen (vgl. Abschnitt
Darüber hinaus müssen in der Informationssicherheitsleitli- 9.2 der ISO/IEC 27001:2013 vs. Abschnitte 4.2.3 e und 6
nie nicht mehr zwingend (alle) Kriterien für das Risikoma- der ISO/IEC 27001:2005). Interne Audits sind nach wie vor
nagement im Kontext Informationssicherheit definiert sein. durchzuführen, allerdings ohne dass eine Prozessdokumen-
Das wird man nun in entsprechend detailliert ausgearbeiteten tation zur Beschreibung des Vorgehens erstellt werden muss.
Methodenbeschreibungen bzw. in einer separat ausgearbeite- Für größere Institutionen ist es jedoch noch immer empfeh-
ten Risikostrategie zur Informationssicherheit erwarten (sie- lenswert, diesen Prozess formal zu dokumentieren, um damit
he Abschnitt 6.1). beispielsweise mehrere für interne Audits zuständige Orga-
nisationseinheiten einen identischen Prozess nutzen zu las-
Der außerordentliche Stellenwert des Risikomanagements im sen bzw. die Abgrenzungen und Verantwortlichkeiten dieser
Rahmen eines ISMS wird in der 2013er-Version noch deutli- Auditabteilungen klar herauszustellen (ISMS-Audits, Interne
cher hervorgehoben als zuvor (siehe Abschnitt 0.1). Zudem Revision, Datenschutz, technische IT-Sicherheitsaudits etc.).
wird dem Themengebiet eine klarere Strukturierung gegeben Die Erstellung und Umsetzung eines ausreichend detaillierten
als in der Vorgängerversion. Dort waren Anforderungen an Auditprogramms ist hingegen explizit gefordert (siehe Ab-
das Risikomanagement verteilt in verschiedenen Abschnit- schnitt 9.2 c). Abschnitt 9.2 a, Satz 2 könnte zu der Annahme
ten enthalten, beispielsweise als Unterpunkte des Abschnitts verleiten, dass die Anforderungen nun weniger restriktiv sind
4.2.1 »Establish the ISMS«. Nun werden dem Thema drei als in Abschnitt 6 der Version 2005. Dies ist jedoch nicht der
eigene Abschnitte gewidmet (siehe Abschnitte 6.1, 8.2, 8.3). Fall. Es muss bei internen Audits obligatorisch auf alle An-
forderungen aus der Norm geachtet werden. Somit ist auch Die explizite Anforderung zur Umsetzung von Vorbeugungs-
auf die Einhaltung relevanter Gesetzgebung und Regularien maßnahmen ist nicht mehr enthalten. Diese ergibt sich aber
und die vorhandenen Anforderungen der Interessengruppen implizit aus den Abschnitten 6.1.1 und 10.1. In Abschnitt
zu achten (siehe Abschnitte 4.2 und 4.3). 10.1 a ist gefordert, die Auswirkungen festgestellter Fehler zu
behandeln. In der Praxis erfordert dies, nicht nur die unmit-
Bezüglich der Anforderungen an die Dokumentation ist ein telbaren, sondern auch zukünftige Auswirkungen und deren
wichtiger Unterschied zur Version aus 2005, dass in Ab- Risikopotenzial zu betrachten. In Abschnitt 10.1 b wird dies
schnitt 7.5 der Version 2013 keine explizite Aufzählung der nochmals deutlich hervorgehoben, indem gefordert wird,
zu erstellenden Dokumente mehr erfolgt. Konkrete Informa- Maßnahmen zur Beseitigung der Fehlerursachen zu evaluie-
tionen und Dokumente ergeben sich nunmehr ausschließlich ren, damit der Fehler nicht erneut oder nicht an anderer Stelle
aus den Anforderungen der jeweiligen Einzelabschnitte und, auftritt (Symptom- vs. Ursachenbehandlung). Dies bedeutet,
je nach Geltungsbereich, des Annex A. dass sowohl die Fehlerursache(n) zu untersuchen ist (sind)
als auch vorbeugende Maßnahmen wirksam implementiert
Die wichtigsten Änderungen im Kontext der Kommunika- werden müssen, damit der Fehler nicht erneut auftritt.
tion betreffen die Aufnahme des Themas in einen eigenen
Abschnitt (siehe Abschnitt 7.4) und die expliziten Anforde- ISO/IEC 27001:2013 betrachtet Vorbeugungsmaßnahmen
rungen an interne und externe Kommunikation. Die Anfor- also nicht mehr als gesonderten Schritt, sondern als eine in
derungen sind nun wesentlich spezifischer als in der Vorgän- alle Prozessschritte integrierte und notwendige Anforderung.
gerversion, folgen aber weitestgehend der gängigen Praxis. Durch die Erkennung und Beseitigung von Fehlerursachen
soll das erneute Auftreten der Fehler verhindert werden, was
In der alten Norm wurde das Thema Awareness nur in einem letztlich zur Verbesserung des ISMS insgesamt führt. ISO/
einzigen Satz explizit behandelt (siehe Abschnitt 5.2.2). Die IEC 27001:2013 nutzt nicht den Begriff »Fehler«, sondern
neue Norm weist hingegen einen eigenen Abschnitt auf und spricht nur von Nichtkonformitäten (Abgrenzung: In ISO/
verdeutlicht so die Wichtigkeit von Awareness-Maßnahmen. IEC 27002:2013 wird der Begriff »error« allerdings weiter-
Es werden auch drei konkrete Anforderungen definiert, die hin genutzt).
nachweislich zu erfüllen sind (siehe Abschnitt 7.3).
Zusammengefasst
Die Version 2013 legt nachvollziehbar einen Schwerpunkt auf
die beiden Themen Outsourcing und Lieferantenbeziehungen Mit der 2013er-Version erfolgt keine fundamentale Neuaus-
und widmet diesen sogar eine eigene Kontrolldomäne im An- richtung der Norm. Ein effizientes und angemessenes Risiko-
nex A (siehe A.15 »Supplier relationships«). Im Unterschied management bleibt nach wie vor einer der Kernpunkte der
zur Vorgängerversion wird in der Norm nicht mehr (nur) von ISO/IEC 27001. Die unterstützenden Prozesse sind ebenfalls
Stakeholdern, deren Anforderungen und Erwartungen initial weiterhin notwendig. Sie werden nun präziser beschrieben
zu ermitteln sind, gesprochen, sondern von dem weitreichen- und ihr Zusammenwirken innerhalb des gesamten Manage-
deren Begriff der Interested Parties. Lieferanten (Supplier) mentsystems kommt stärker zum Ausdruck als bislang. Ins-
werden explizit aufgeführt (siehe auch Kapitel 3.1 Context gesamt ist – auch mit den gleichzeitig durchgeführten Anpas-
of the Organization in diesem Leitfaden). Allerdings hält sich sungen der ISO/IEC 27002 – ein stabiles und übersichtliches
die Norm zurück mit konkreten Vorgaben zur Umsetzung Normenwerk entstanden, das den Verantwortungsträgern
und überlässt die jeweilige Ausgestaltung der nicht zertifizie- auch zukünftig eine wertvolle Hilfe beim Aufbau und Betrieb
rungsfähigen Norm ISO/IEC 27036. eines ISMS sein wird.
Eine wesentliche Änderung in puncto kontinuierliche Ver- Weitere Managementstandards, die neu publiziert werden,
besserung ist, dass der Plan-Do-Check-Act-Zyklus (PDCA- folgen ebenfalls den ISO/IEC-Direktiven (Annex SL), so etwa
Zyklus) nicht mehr explizit erforderlich ist. Es kann vielmehr auch die ISO 9001:2015 und ISO 22301:2012. Damit soll
jede Organisationsform genutzt werden, die kontinuierliche eine Harmonisierung der Managementsysteme ermöglicht
Verbesserungen unterstützt. Allerdings ergibt sich aus dem und deren Zusammenspiel verbessert werden. Gleichzeitig
Aufbau und den Inhalten der Norm (Abschnitte 4 bis 10) nun werden dadurch Zertifizierungen nach mehreren Normen
ein »im Hintergrund« wirkender PDCA-Zyklus: erleichtert und Unternehmen können somit wiederkehrende
Anforderungen aus den unterschiedlichen Managementsyste-
ZZ Plan: Kontext/Führungsaufgaben/Planung men in einem einheitlichen Ansatz und »unter einem Dach«
(Abschnitte 4, 5 und 6) erfüllen.
ZZ Do: Rahmenbedingungen/Support/Umsetzung
(Abschnitte 7 und 8)
ZZ Check: Überprüfung (Abschnitt 9)
ZZ Act: Reaktion/Verbesserung (Abschnitt 10)
9. Anlage 3:
Interne ISMS-Audits – Mapping zur
ISO/IEC 19011:2011 und ISO/IEC 27007:2011
Anforderungen an interne ISMS-Audits aus ISO/IEC 27001:2013 vs.
ISO/IEC 19011 & ISO/IEC 27007
Auditkriterien und Umfang 9.2 d 5.4.2 Defining the objectives, scope and criteria for an
je Audit festlegen individual audit
10. Anlage 4:
Durchführung interner ISMS-Audits
(Prozessschaubild)
Informationserhebung
Ergebnisse Schlussfolgerungen
und -prüfung
ISO/IEC 27007:2011, 6.4.7 ISO/IEC 27007:2011, 6.4.8
ISO/IEC 27007:2011, 6.4.6
Dokumentensichtung Abschlussmeeting
ISO/IEC 27007:2011, 6.4.3 ISO/IEC 27007:2011, 6.4.9
11. Anlage 5:
Bausteine eines ISMS nach ISO/IEC 27001:2013
(deutsch)
Rollen,
Führungs- Performance
Verantwort- Risiko-
verhalten und IS-Ziele IS-Leitlinie Monitoring &
lichkeiten und management
Verpflichtung KPIs
Kompetenzen
Verfügbarkeit
ISMS
Kontext der nach Sicherheits-
Organisation vorfallmanagement
ISO/IEC
27001
Fähigkeiten
Lieferanten- Kontinuierliche
Dokumentation Kommunikation und Interne Audits
beziehungen Verbesserung
Awareness