(Bild KI generiert – Text nicht)
Kaum eine Zertifizierung begegnet uns im IT-Sicherheitsalltag so oft wie die ISO/IEC 27001 Zertifizierung. Sie gilt als anerkannter Standard, der Kunden, Partnern und Behörden signalisiert, dass im Unternehmen ein hohes Maß an Sicherheit existiert.
Für viele Unternehmen ist es entsprechend wünschenswert, diese Zertifizierung zu erreichen. Allerdings ist sie häufig mit viel Aufwand verbunden. Es entsteht eine paradox wirkende Situation: Gewünscht wird eine ISO/IEC 27001 Zertifizierung, um die eigene IT-Sicherheit zu stärken. Allerdings ist es durch den Umfang oft aber nicht möglich diese direkt aktiv anzugehen und das Thema wird verschoben bis man mehr Zeit dafür hat. Viele Unternehmen sehen sich dann nicht nach Alternativen um, da die ISO 27001 Zertifizierung angestrebt wird und man nicht „unnötig“ Zeit für etwas anderes opfern möchte. Die Folgen einer solchen Herangehensweise sind in so fern fatal, dass viele Unternehmen teilweise jahrelang auf ihrem derzeitigen Sicherheitsniveau verbleiben und das Thema immer wieder verschieben, anstatt schnelle kleinere Maßnahmen durchzuführen, die schon viel bewirken würden.
In unserem heutigen Blog-Beitrag schauen wir uns an, was das ISO 27001 Zertifikat beinhaltet, warum es vielleicht nicht für jedes Unternehmen das Mittel zur Wahl ist und welche Alternativen es gibt.
Was beinhaltet das ISO 27001 Zertifikat?
ISO/IEC 27001 ist bereits seit 2005 ein international anerkannter Stand für Informationssicherheitssysteme (ISMS). Ziel ist es Verantwortlichkeiten, Prozesse und auch technische Maßnahmen sinnvoll zu strukturieren, um die Informationssicherheit im Unternehmen zu erhöhen. Um die Zertifizierung zu erreichen, prüft ein Auditor vorgegebenen Bereiche. Das Zertifikat selbst muss regelmäßig erneuert werden. In manchen Bereichen ist die ISO 27001 Zertifizierung sogar verpflichtend.
Was zunächst erstrebenswert klingt, hat jedoch einen Haken, vor allem, wenn das primäre Ziel des Unternehmens IT-Sicherheit bedeutet. ISO 27001 beschäftigt sich vor allem mit dem Management der Informationssicherheit und nicht zwingend mit konkreten Maßnahmen. Das bedeutet, es geht vorrangig um Risiko- und Notfallmanagement, Dokumentation, Lieferantenmanagement und Zugriffskontrollen. Die konkreten IT-Sicherheitsmaßnahmen werden durch das Risikomanagement bestimmt. Hier wird eine Risikoanalyse durchgeführt und Sicherheitsmaßnahmen festgelegt. Das Ergebnis der Analyse kann jedoch für jedes Unternehmen unterschiedlich ausfallen. Aus diesem Grund können auch die Sicherheitsmaßnahmen für jedes Unternehmen unterschiedlich sein. ISO 27001 sollte damit garantieren, dass die Sicherheitsmaßnahmen dem Unternehmen angepasst sind, welche das jedoch genau sind ist nicht eindeutig definiert. Das bedeutet der eigentliche Weg zu mehr IT-Sicherheit ist etwas länger, da die eigentlichen Maßnahmen erst definiert werden müssen.
Wird der Aufwand einer ISO 27001 Zertifizierung häufig unterschätzt?
Ja, nicht immer ist Unternehmen die Tragweite einer solche Zertifizierung bewusst. Oft wird der Wunsch nach dem Zertifikat daraus geboren, dass die IT-Sicherheit verstärkt werden soll. Allerdings dient ISO 27001 auch stark der Organisation und ist eine entsprechend starke Management-Strategie. Wer an reiner IT-Sicherheit interessiert ist, für den ist diese Zertifizierung vielleicht ein wenig an der Sache vorbei. Hinzu kommt das Risikomanagement und die damit verbundene Risikoanalyse. Natürlich ergibt es erst einmal Sinn, das persönliche Risiko einer Firma zu erfassen und wichtige Bereiche abzustecken. Aber erfahrungsgemäß fehlen gerade bei Kleinen und mittelständischen Unternehmen (KMU) oft einige Basis-Maßnahmen, die schon einmal umgesetzt werden können, auch wenn keine Kapazitäten für eine ISO 27001 Zertifizierung vorhanden sind. Tatsächlich bedeutet dies nicht, dass nun der doppelte Aufwand getätigt werden muss. Die Umsetzung gängiger Sicherheitsmaßnahmen und die entsprechende Dokumentation dazu wird bei einer Zertifizierung ohnehin abgefragt und wenn diese bereits vollzogen wurde, kann dieser Punkt schneller abgehakt werden.
Welche vorbereitenden Maßnahmen sind für Incident Response sinnvoll?
Es gibt mehrere Möglichkeiten sich auf einen erfolgreichen Cyberangriff vorzubereiten. Die erste, unserer Meinung nach, sinnvollste Maßnahme, ist die Erstellung eines Notfallplans. Darin sind alle Schritte und Zuständigkeiten bei einem Angriff geregelt. Ziel ist es, das Unternehmen möglichst schnell wieder handlungsfähig zu machen. Vergleichen lässt sich dies mit einem Erste-Hilfe-Notfall. Wer erst bei einem akuten Notfall notwendige Handlungen recherchiert, wird deutlich langsamer in der Durchführung. Es ist sinnvoll, wenn alle Beteiligten vorher wissen, was zu tun ist.
Neben einem Notfallplan gibt es auch die Möglichkeit sich technisch zu wappnen. Sicherheitsfirmen wie Sophos bieten Incident Response Services an. Mit diesen können verdächtige Aktivitäten frühzeitig erkannt werden. Dadurch kann viel früher agiert werden und größerer Schaden wird verhindert.
In welchem Verhältnis stehen ISO 27001 und der BSI-Grundschutz?
Im Gegensatz zu einem reinen ISO 27001 ist der BSI-Grundschutz keine Organisations- oder Management-Leitlinie, sondern ein konkreter Maßnahmenkatalog, der Sicherheitsmaßnahmen für Unternehmen festlegt. Damit entfällt eine zeitaufwendige Risikoanalyse und man kann sich direkt auf die Umsetzung von den Basis-Maßnahmen konzentrieren, die ohnehin jedes Unternehmen (auch KMU) zur Absicherung haben sollte. Dabei gilt wieder: es entsteht kein doppelter Aufwand, denn die Wahrscheinlichkeit ist sehr hoch, dass während eines ISO 27001 Audits genau diese Maßnahmen ohnehin gefordert werden. Wichtig sind an der Stelle, neben der korrekten Umsetzung, auch die entsprechende Dokumentation, um später nachweisen zu können, welche Maßnahmen implementiert wurden. Wie im Bereich der IT-Sicherheit üblich, sollten diese Maßnahmen regelmäßig auf ihre Aktualität geprüft werden. Wurde beispielsweise eine Multi-Faktor-Authentifizierung für das ganze Unternehmen umgesetzt, sollte ein Prozess entstehen, wie diese auch für neue Mitarbeiter verpflichtend wird.
Es gibt auch die Möglichkeit eine ISO 27001 Zertifizierung nach BSI-Grundschutz zu bestehen. Hierbei wird der Maßnahmenkatalog mit in die Zertifizierung aufgenommen und ebenfalls bedacht. Dadurch wird aber die eigentliche ISO 27001 Zertifizierung nicht weniger zeitaufwendig. Der Vorteil daran ist, dass sie dann nicht ausschließlich auf Ihre Risikoanalyse angewiesen sind, sondern auch einige generelle Vorschläge des BSI im Bereich der IT-Sicherheit auf Ihr Unternehmen anwenden.
Welche Alternativen zu ISO 27001 gibt es?
Vor allem für kleine und mittelständische Unternehmen ist es sinnvoll erst einmal mit IT-Sicherheit anzufangen und diesen großen Bereich nicht vollständig zu ignorieren. Auch ist es sinnvoll hier strukturiert vorzugehen und immer wieder die Dokumentation zu prüfen und nachzuarbeiten. Wir empfehlen für den Einstieg zwei verschiedene Herangehensweise je nach Unternehmensgröße und bereits etablierten Standards:
1. Der CyberRisikoCheck für IT-Sicherheitsbeginner
Der CyberRisikoCheck wurde vom BSI speziell für KMU entwickelt, die gerade erst starten, sich um IT-Sicherheit zu kümmern. Wir möchten betonen, dass dies durchaus auch Unternehmen betreffen kann, die seit über zehn Jahren am Markt sind und über 20 Mitarbeitende haben. Manchmal wird das Thema etwas verschleppt. Das ist erstmal nicht schlimm. Schlimm und vor allem grob fahrlässig wäre allerdings, es dabei zu belassen. Der CyberRisikoCheck besteht in einem 1-2 stündigen Interview, bei dem in über 27 Fragen mit Unterfragen alle Bereiche der IT-Sicherheit abgefragt werden. Am Ende entsteht eine Übersicht mit allen Bereichen sowie konkrete Handlungsanweisungen, wie Sie mit beginnen können, IT-Sicherheitsmaßnahmen zu implementieren. Genauere Informationen zum CyberRisikoCheck finden Sie hier.
2. Das Cert+ Audit für IT-Sicherheitsfortgeschrittene
Die deutsche IT-Sicherheitsfirma Securepoint hat ein Sicherheitsaudit entwickelt, das zum BSI-Grundschutz kompatibel ist und alle wichtigen Bereiche der IT-Sicherheit abdeckt. Im Gegensatz zum CyberRisikoCheck ist dies noch einmal viel präziser und geht die Dokumentation Ihrer technischen Maßnahmen durch. Vor allem eignet sich dies für Unternehmen, die bereits an einiges gedacht haben, aber sicher gehen möchten, dass nichts wichtiges vergessen wurde. Auch hier entsteht im Anschluss eine Übersicht über alle Maßnahmen und welche fehlen. Wenn genügend Punkte bei dem Audit erreicht wurden, wird Ihnen auch ein Zertifikat ausgestellt. Für ein solches Audit müssen nicht nur 1-2 Stunden, sondern, je nach Unternehmensgröße, ein paar Tage eingeplant werden. Genauere Informationen zu diesem Security-Audit finden Sie hier.
In beiden Fällen helfen die Informationen auf dem Weg zur ISO 27001 Zertifizierung. Sie decken damit schon einen großen Bereich ab und können im Anschluss die fehlenden Bereiche Prozess und Management ergänzen.
Wer braucht eine ISO 27001 Zertifizierung?
Natürlich gibt es Situationen, in denen eine Zertifizierung absolut sinnvoll oder notwendig ist. In manchen Bereichen wird explizit die ISO 27002 Zertifizierung gefordert, um Sicherheitsstandards nachweisen zu können. Oft ist dies beispielsweise der Fall bei Ausschreibungen. Manche Kunden möchten auch explizit nur Partner, die diese Zertifizierung vorweisen können. Dann wird es notwendig diese Zertifizierung zu erreichen und sie sollte entsprechend angegangen werden.
Unsere Meinung zur ISO 27001 Zertifizierung
Prinzipiell finden wir es gut, wenn Unternehmen höhere Sicherheitsstandards an den Tag legen wollen. Dazu gehört natürlich auch die ISO 27001 Zertifizierung. Leider haben wir öfter erlebt, dass diese Zertifizierung wie der heilige Gral der IT-Sicherheit wirkt. Oft bekommt man den Eindruck, dass es entweder ISO/IEC 27001 sein soll oder gar nichts. Das empfinden wir als etwas zu kurz gedacht, denn die wesentliche Frage sollte nicht sein: „Welches Zertifikat braucht unser Unternehmen?“, sondern viel mehr „Was sichert uns bestmöglich gegen Cyberangriffe ab?“ Geht man dieser Frage nach, gibt es bereits viele Dinge, die leicht umzusetzen sind und nicht den monatelangen Prozess brauchen, bis die ISO 27001 Zertifizierung erreicht wird. Darauf aufbauend kann das eigentliche Zertifikat immer noch erreicht werden und es ist keinesfalls verschwendete Zeit jetzt damit anzufangen.