Die ISO 27001 ist eine bewährte Norm, wenn es um Informationssicherheit und den Schutz von Unternehmenswerten geht. Sie legt fest, wie Unternehmen Anforderungen, Richtlinien und Ziele an die Informationssicherheit stellen und ist ein internationaler Industriestandard geworden. Dabei wird die Informationssicherheit überprüft, das muss aber unabhängig geschehen – Wie wird das gemacht?
Warum muss ich die Informationssicherheit überprüfen?
Will ein Unternehmen die ISO 27001 Zertifizierung erlangen oder die Rezertifizierung erfolgreich absolvieren, muss es allen anwendbaren Forderungen der entsprechenden ISO nachkommen. Die Norm fordert in Maßnahme 18.2.1 eine unabhängige Überprüfung der Informationssicherheit und das mit gutem Grund: Die Informationssicherheit eines Unternehmens ist dynamisch, lebend und stets im Wandel.
Moderne Unternehmen setzen diverse kryptografische Maßnahmen und Datenschutzrichtlinien um, um Kundendaten sowie Unternehmensdaten zu schützen. Insbesondere Verschlüsselungsmaßnahmen werden im Laufe der Zeit schwächer, Schwachstellen bei Untersuchungen entdeckt, die Rechenleistung von Computern immer stärker.
Da eine ISO 27001 Zertifizierung der Beweis ist, dass ein Unternehmen ausreichend Maßnahmen für die Informationssicherheit durchführt, müssen diese Maßnahmen auf dem aktuellen Stand der Technik sein. Eine solche Überprüfung muss unabhängig sein und kann z. B. durch einen Penetrationstest erfolgen. Aber auch die Zertifizierung selber muss von anerkannten Auditoren durchgeführt werden.
Der Zweck eines Penetrationstests
Ein Penetrationstest deckt technische Schwachstellen in dem untersuchten System auf. Solche Schwachstellen können durch veraltete Software oder noch nicht entdeckte Schwachstellen sog. Zero-Day-Exploits entstehen. Nach der Durchführung eines Penetrationstests reicht es nicht, diese Schwachstellen zu kennen, sie müssen behoben werden. Insbesondere die Information über den Ursprung für das Auftreten der Schwachstelle ist von besonderem Mehrwert. Im Rahmen des PDCA-Zyklus kann ein Problem analysiert und systematisch angegangen werden. Unterm Strich wird dadurch die Informationssicherheit überprüft und kann verbessert werden.
Ursache und Symptom – Die Korrektur(maßnahme)
Angenommen ein Mitarbeiter der AWARE7 hat Knieschmerzen und geht damit zu seiner Hausärztin. Dort wird er untersucht und erhält für die Linderung seiner Symptome Schmerzmittel. Die Schmerzmittel wirken gut, doch zwei Wochen später muss er wieder zur Behandlung, die Schmerzen sind wieder da. Dieses Mal wird das Knie geröntgt und die Ursache festgestellt: Eine Verletzung, die sich der Mitarbeiter bei einem Fußballspiel zugezogen hat.
Was war wichtiger, dass der Mitarbeitende temporär keine Schmerzen mehr hat oder dass sie nicht mehr auftreten werden? Beides ist wichtig, sowohl die Ursachenforschung als auch die Symptombekämpfung!
Die ISO 27001 kennt keine Knieschmerzen, sie kann jedoch vielen Unternehmen Kopfzerbrechen bereiten. Wenn diese Unternehmen einen unabhängigen Penetrationstest in Auftrag geben, um Schwachstellen zu finden, aber nicht nach der Ursache suchen, dann ist das erneute Entstehen der Schwachstelle nicht unterbunden. Die Norm kennt hierfür zwei Begrifflichkeiten:
- Korrektur: Das Bekämpfen von Symptomen und die
- Korrekturmaßnahme: Das Bekämpfen der Ursache
Beide Begriffe sind wichtig, wenn man die Informationssicherheit überprüfen will.
Was passiert bei einer Korrektur?
Eine Korrektur ist die intuitive Reaktion auf das Entdecken einer Schwachstelle: Die Schwachstelle wird geschlossen. Ist eine Firewall beispielsweise fehlerhaft konfiguriert und lässt unautorisierte Zugriffe aus dem Internet zu, so wird diese Konfiguration überarbeitet und angepasst. Oft außer Acht gelassen wird jedoch die Frage, warum die Firewall überhaupt fehlerhaft konfiguriert sein konnte. Nach der Korrektur muss dementsprechend die Korrekturmaßnahme folgen.
Wie sieht eine Korrekturmaßnahme aus?
Für die Korrekturmaßnahme muss man die Ursache des Problems beheben. In dem oben genannten Beispiel wäre dies die Antwort auf die Frage: „Warum wurde die Firewall falsch konfiguriert?“ Ursache hierfür könnte sein, dass es keine einheitlichen Regelungen für die Firewallkonfiguration oder die Verantwortlichkeiten gibt.
War es vielleicht nur ein menschlicher Fehler? Wie kann ich diesen Faktor verringern? Ziel der Korrekturmaßnahme ist es, das zukünftige Entstehen von dem behandelten Problem zu verhindern. Ohne eine Korrekturmaßnahme ist die Korrektur nur kurzfristig ausreichend.
Informationssicherheit überprüfen, wo starte ich?
Wer das Bedürfnis als verantwortliche Person im Unternehmen verspürt, sich dem Thema intensiver anzunehmen, steht häufig vor der Frage: Wie starte ich eigentlich?
Die Antwort darauf ist so individuell wie die Strukturen, Prozesse und Assets der Unternehmen selber. Die ISO 27001 ist jedoch ein guter Ansatzpunkt, auch wenn aktuell keine Zertifizierung in Planung ist. Ein großer Vorteil entsteht durch die geschaffene Übersicht und das Abarbeiten bzw. Behandeln von Controls, den sogenannten Maßnahmen. Möchte man selbst in seinem Unternehmen mit der Einführung eines Informationssicherheitsmanagementsystems beginnen, so bietet es sich an, die ISO 27001 einmal komplett zu lesen und zu entscheiden, welche Punkte für das eigene Unternehmen besonders wichtig sind. Mit diesen Maßnahmen kann man dann beginnen und sich schrittweise durch die ISO durcharbeiten.
Existieren schon erste Richtlinien und ein ISMS wurde schon begonnen, so bieten sich GAP-Analysen an, mit denen erfasst wird, was von den in der ISO geforderten Maßnahmen umgesetzt wurde. Es gibt viele Möglichkeiten, die Informationssicherheit in einem Unternehmen unabhängig zu überprüfen. Auf technischer Seite bieten sich hier vor allem die Penetrationstests an. Es darf hierbei nicht vernachlässigt werden, dass ein Penetrationstest nur die Schwachstellen findet. Das Beheben von Schwachstellen muss aus eigenem Antrieb erfolgen und eine zielgerichtete Evaluation ist genauso wichtig, wie das Durchführen eines Tests selbst.
