ISO 27001

Die Medienberichte über Sicherheitsvorfälle häufen sich: Während früher nur in ausgewählten Fachpublikationen über Informationssicherheitsvorfälle berichtet wurde, liest man heute auch in den gängigen Tageszeitungen beinahe täglich darüber. Die Zunahme solcher Ereignisse verwundert nicht, ist doch durch die immer weiter fortschreitende Vernetzung und die Digitalisierung jeder mit jedem permanent verbunden. Diese Entwicklung hat neben einer stetig steigenden Anzahl an Vorfällen auch eine weitere Folge: Informationssicherheitsvorfälle haben eine viel größere Tragweite als früher, als der Grad der Vernetzung und auch die Nutzerzahlen deutlich geringer waren. Wenn heute große Informationssicherheitsvorfälle publik werden, geht die Anzahl der betroffenen Personen nicht selten in die Millionen – so werden z. B. viele Online-Dienste von einer sehr breiten Masse an Menschen verwendet.

Aufgrund der immer höheren Zahl solcher Vorkommnisse erlassen Regulierungsbehörden weltweit immer neue Vorschriften, die einen methodischen Umgang mit solchen Vorfällen fordern. Gefordert ist meist ein systematischer Ansatz, um nicht nur Vorfälle im speziellen, sondern allgemein alle Aspekte der Informationssicherheit in einer geordneten Art und Weise proaktiv zu steuern. Man spricht hierbei von einem so genannten Informationssicherheitsmanagementsystem. Die gängige Abkürzung ist ISMS, welche wir auch im Folgenden verwenden möchten. Die internationale Norm ISO 27001 beschreibt ein solches ISMS.

Mit ISO 27001 ein ISMS aufbauen und betreiben: Darum geht es 

Aber was ist das eigentlich, ein ISMS? Und was ist überhaupt Informationssicherheit? Und wie unterscheidet sich Informationssicherheit von IT-Sicherheit?

Beginnen wir mit der grundlegenden Terminologie: Informationssicherheit beschäftigt sich mit dem Schutz aller Informationen einer Organisation – unabhängig davon, ob diese in analoger Form auf Papier oder in digitaler Form in einem IT-System vorliegen. IT-Sicherheit ist eine Teildisziplin der Informationssicherheit und beschäftigt sich mit Maßnahmen, die dem Schutz informationstechnischer Systeme dienen. Mit anderen Worten: Informationssicherheit ist das übergeordnete Konzept, welches sich mit dem “großen Ganzen” beschäftigt, während die IT-Sicherheit speziell auf den Schutz von IT-Systemen und -Services fokussiert.

Beide Begriffe werden häufig synonym verwendet – aber die Unterscheidung ist wesentlich:  Informationssicherheit sollte nicht nur als eine Aufgabe der IT sein. Es handelt sich im Gegenteil um eine klassische Querschnittsaufgabe, bei der neben der IT auch viele weitere Abteilungen wie HR, Finanzen oder das Beschaffungswesen genauso wie etwaig beteiligte dritte Parteien einbezogen sein sollten. Dritte Parteien können dabei beispielsweise Dienstleister und Kunden, aber auch sonstige Interessierte wie Aufsichtsbehörden oder andere Interessengruppen sein. Die vom ISMS umfassten Personengruppen werden im Norm-Jargon als Stakeholder bezeichnet.

ISO 27001 und das Triangel der Informationssicherheit

Im Zusammenhang mit dem Begriff Informationssicherheit wird oft im Kontext der ISO 27001 von dem Triangel der Informationssicherheit gesprochen; hierbei handelt es sich um die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. In manchen Publikationen wird auch von den sogenannten Primärschutzzielen gesprochen – die internationale Norm ISO 27001 verwendet diesen Begriff jedoch nicht.

Informationen vor dem Verlust der Vertraulichkeit zu schützen bedeutet, nur solchen Personen Zugang zu den Informationen zu verschaffen, die hierfür auch berechtigt sind. Ein Verlust der Vertraulichkeit liegt vor, wenn Unbefugte Zugang zu geschützten Informationen erlangen konnten. Man spricht dann von einem Informationssicherheitsvorfall, der die Vertraulichkeit kompromittiert.

Das Schutzziel der Integrität beschreibt die Intention, Daten und Informationen vor bewusster oder unbewusster Verfälschung zu schützen. Sicherstellung der Integrität meint, dass Daten und Informationen bei Speicherung und/oder Transport ohne jedwede Veränderung bleiben. Ist dies nicht mehr gewährleistet, d.h. Daten wurden verfälscht, spricht man vom Verlust der Integrität – und ein entsprechender Informationssicherheitsvorfall liegt vor.

Die Sicherstellung der Verfügbarkeit meint, den Zugriff auf Daten und Informationen dann für Berechtigte zu gewährleisten, wenn dieser erforderlich ist. Angriffe auf die Verfügbarkeit werden häufig durch Ransomware Trojaner durchgeführt, welche Daten und Informationen verschlüsseln und dadurch den Zugriff durch Berechtigte unterbinden. In diesem Fall spricht man von einem Informationssicherheitsvorfall, der die Verfügbarkeit beeinträchtigt.

Die ISO 27001 und ihre wichtigsten Schutzziele

Neben den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit können weitere Schutzziele mit dem Betrieb eines ISMS angestrebt werden. Beispiele sind die Authentizität , womit die zweifelsfreie Echtheit von Informationen oder Entitäten gemeint ist, oder auch die Nichtabstreitbarkeit – das bedeutet, dass der Versand oder das Versenden von Informationen nicht abgestritten werden kann. Ein weiteres Beispiel ist die Zurechenbarkeit. Damit ist gemeint, dass die Verantwortung für einen Wert, z.B. eine Information, zweifelsfrei einer Entität zugewiesen werden kann.

Schlussendlich hat die ISO 27001 in der Fassung aus 2022 in ihrem Titel noch die Aspekte Cybersecurity und Datenschutz explizit aufgeführt. Im Kontext der ISO 27001 beschreibt Cybersecurity die Anwendung von Technologien und Prozessen, um Informationen und die Systeme, in denen diese enthalten sind, vor Angriffen zu schützen.

Datenschutz beschreibt im Kontext der ISO 27001 – wie übrigens auch im Kontext der Datenschutzgrundverordnung DSGVO – den Schutz vor der missbräuchlichen Verarbeitung personenbezogener Daten sowie das Recht auf informationelle Selbstbestimmung.

Management der Informationssicherheit: Definition und Erklärungen

Nähern wir uns als nächstes dem Begriff des Informationssicherheitsmanagementsystems (ISMS): an sich schon ein sperriges Wort, aber was verbirgt sich dahinter?

Häufig ist mit diesem Begriff ein IT-System gemeint, also z.B. eine Anwendung zur Abbildung der notwendigen Prozesse für ein ISMSt, aber das entspricht nicht der eigentlichen Bedeutung des Begriffs. In erster Linie verbirgt sich hinter dem Begriff das Zusammenspiel aus Grundsätzen, Planungsaktivitäten, klar zugeordneten Verantwortlichkeiten, Prozessen/Verfahren sowie Ressourcen. Diese Elemente machen gemeinsam ein ISMS aus. Folglich handelt es sich bei einem ISMS in erster Linie um einen methodischen Ansatz zur Etablierung, Aufrechterhaltung und Weiterentwicklung der Informationssicherheit in einer Organisation mit angemessenen Mitteln.

Selbstverständlich wird jede halbwegs moderne Organisation diese Aufgabe nicht mit Papier und Bleistift erledigen, sondern dafür ein oder mehrere IT-Systeme einsetzen – aber in erster Linie beschreibt ein ISMS einen methodischen Ansatz, der die genannten Elemente umfasst – und kein IT-System, das die notwendigen Prozesse unterstützt.

Der ISO-Standard und der Deming-Kreis für kontinuierliche Verbesserung

Dasselbe gilt auch für andere Arten von Managementsystemen – Qualitätsmanagement- oder Umweltmanagement-Systeme seien hier exemplarisch erwähnt. Alle Managementsysteme der ISO folgen dabei dem sogenannten Deming-Kreis, auch PDCA-Zyklus genannt. Dieser Deming-Kreis, oft auch als Urmodell der kontinuierlichen Verbesserung bekannt und benannt nach seinem Erfinder William A. Deming, unterteilt jegliche Verbesserungsaktivität in die vier Phasen Plan, Do, Check und Act. In der Plan-Phase soll dabei ein Plan erstellt werden, um ein bestimmtes Ziel zu erreichen. In der Do-Phase wird dieser umgesetzt; in der Check-Phase werden die Ergebnisse im Hinblick auf die Zielerreichung überprüft. In der Act-Phase besteht schließlich die Möglichkeit, bei Abweichungen vom geplanten Ziel nochmals nachzusteuern – bevor ein neuer Zyklus beginnt. William A. Deming hat nachgewiesen, dass Reifegrad und Qualität der Abläufe über die Zeit gesehen steigen, wenn der PDCA-Ansatz verfolgt wird. Alle ISO-Managementsystem-Normen, so auch die ISO 27001 zum Informationssicherheitsmanagement, orientieren sich am Deming-Kreis.

Informationssicherheitsmanagementsysteme und ihr Anwendungsbereich

Ein Informationssicherheitsmanagementsystem hat immer einen definierten Anwendungsbereich. Als zugehörig zum Anwendungsbereich werden die Teile einer Organisation bezeichnet, die von den Vorgaben des ISMS umfasst sind. Der Anwendungsbereich kann sich beispielsweise auf einen oder mehrere Standorte einer Organisation beziehen oder auch bestimmte Technologien umfassen. Die vom Anwendungsbereich abgedeckten Organisationsteile unterliegen den Vorgaben des ISMS – alle anderen nicht. In kleineren Organisationen umfasst der Anwendungsbereich häufig die gesamte Organisation, während es in größeren Organisationen durchaus auch mehrere ISMSe geben kann – oder auch Bereiche, die nicht von einem ISMS umfasst sind.

Für ein ISMS ist ein Informationssicherheitsbeauftragter nicht zwingend erforderlich

Verantwortung ist einer der Aspekte, welchen die Norm an verschiedenen Stellen adressiert. Entgegen der landläufigen Meinung ist es von Seiten der ISO 27001 nicht zwingend erforderlich, als ISMS-Betreiber einen Informationssicherheitsbeauftragten zu ernennen. Die Norm fordert stattdessen, die Verantwortung für Informationssicherheit innerhalb einer Organisation angemessen zu verankern. Es liegt dabei nahe, die Rolle eines Informationssicherheitsbeauftragen – oft als ISB oder ISO (Information Security Officer) bezeichnet – zu etablieren und zu besetzen.

Der/die Inhaber(in) der Rolle ist jedoch nicht allein für die Informationssicherheit einer Organisation verantwortlich. Die Rolle sollte stattdessen so angelegt sein, dass aus dieser heraus alle Aktivitäten der Informationssicherheit koordiniert werden. Mit anderen Worten: der/die ISB(e) ist „accountable“ im Sinne einer ganzheitlichen Ende-zu-Ende-Verantwortung, alle anderen Stakeholder sind „responsible“ für die jeweils einzelnen Aufgaben, die im Rahmen des ISMS-Betriebs anfallen. Oder anders gesagt: Der ISB hat die Rechenschaftspflicht, gleichzeitig sind aber alle anderen Stakeholder für die Umsetzung des ISMS mit verantwortlich. Alle Stakeholder sollen dabei regelmäßig in ihrem Bewusstsein für ihren Beitrag zu einem effektiven ISMS geschult werden.

Die ISO 27001 und ihre wesentlichen Bestandteile

Die internationale Norm ISO 27001 besteht im Wesentlichen aus zwei Hauptbestandteilen. Da sind zum einen die oft als „normative Mindestanforderungen“ bezeichneten Normkapitel 4-10 der Norm. Jede Organisation, welche die Konformität ihres ISMS – beispielsweise im Rahmen eines Zertifizierungsaudits – mit der Norm beansprucht, muss zwingend alle Anforderungen aus den Normkapiteln 4-10 erfüllen.

ISMS-Betreiber können also nicht wahlweise die eine oder andere Normanforderung weglassen – dies würde bei einer Zertifizierung unweigerlich zu einer Hauptabweichung führen. Mehr zur ISO 27001-Zertifizierung erfahren Sie weiter unten.

Der zweite große Bestandteil der ISO 27001 ist der sogenannte „Anhang A“. Dieser Normbestandteil enthält eine Liste möglicher Maßnahmen, mit denen identifizierte Informationssicherheitsrisiken adressiert werden können.

Obgleich Anhang A als normativer Begriff gilt, so ist es – entgegen der landläufig verbreiteten Meinung – nicht erforderlich, zwingend alle Maßnahmen aus dem Anhang A umzusetzen. Im Gegensatz zu den normativen Mindestanforderungen (Normkapitel 4-10), die bei Beanspruchung der Normkonformität zwingend alle umzusetzen sind, können, sollen und dürfen Maßnahmen aus dem Anhang A auch ausgeschlossen („aus-ge-scoped“) werden.

Dies kann beispielsweise dann erfolgen, wenn kein Risiko identifiziert wurde, zu dessen Behandlung die Maßnahme erforderlich sein könnte. Umgekehrt erfordert die Umsetzung einer Maßnahme nicht zwingend ein explizit dokumentiertes Risiko. Weitere Informationen zum Informationssicherheitsrisikomanagement finden Sie weiter unten.

Zudem können Maßnahmen auch aus anderen Gründen umgesetzt werden. Beispiele sind vertragliche Verpflichtungen, die der ISMS-Betreiber eingegangen ist, oder auch gesetzliche Anforderungen, die die Umsetzung einer Maßnahme zwingend erforderlich machen. Auch die „gute Praxis“, also die Tatsache, dass die Umsetzung einer bestimmten Maßnahme als üblich erachtet wird, kann ein Grund für die Implementierung sein. Im weiteren Verlauf gehen wir später nochmals auf die Umsetzung von (Anhang A) Maßnahmen ein.

Das übergeordnete Ziel eines Informationsmanagementsicherheitssystems im Rahmen der ISO 27001

Übergeordnetes Ziel eines ISMS ist die Wahrung und Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit mit angemessenen Mitteln. „Angemessene Mittel“ bedeutet, dass der Aufwand für diese Mittel – im Wesentlichen die Maßnahmen, die ergriffen werden – in angemessenem Verhältnis zu den damit angestrebten Ergebnissen stehen soll.

Konkretes Beispiel: die Investition in eine Verschlüsselungslösung, mit der Daten mit schwachem Schutzbedarf verschlüsselt werden sollen, erfüllt diesen Anspruch möglicherweise nicht; das Schutzziel ließe sich möglicherweise auch mit anderen Maßnahmen, die ggfs. kosteneffizienter sind, erreichen.

An dieser Stelle sei schon mal vorweggenommen, dass die ISO 27001 weder ein absolutes Maß an Informationssicherheit fordert noch ein solches vorschreibt. Nirgendwo in der Norm ist beispielsweise verbindlich gefordert, dass schutzbedürftige Daten zwingend zu verschlüsseln sind. Oft wird die Implementierung der entsprechenden Maßnahme aus dem Anhang A zur Verschlüsselung naheliegend sein – aber die Norm fordert eben nicht explizit, dass zwingend Verschlüsselung zu betreiben ist. Dieses Beispiel dient lediglich der Illustration – und gilt sinngemäß auch für alle anderen technischen wie organisatorischen Maßnahmen.

ISO 27001 als Grundlage für Zertifizierungen

Die ISO 27001 dient als Grundlage für Konformitätsbewertungen, d.h. Zertifizierungen. Dabei können ISMS-Betreiber das Informationssicherheitsmanagementsystem ihrer Organisation gegen die Norm überprüfen lassen und erhalten bei Konformität ein entsprechendes Zertifikat, welches die Konformität mit der Norm bescheinigt.

Wichtig zu verstehen ist dabei, was eigentlich genau zertifiziert wird. Es ist mitnichten ein Produkt, ein Service, ein Rechenzentrum oder eine Applikation – sondern im Mittelpunkt der Zertifizierung steht die jeweilige Organisation. Ein ISO 27001 Zertifikat bescheinigt einen systematischen Ansatz und eine methodische Herangehensweise, Informationssicherheit im beschriebenen Geltungsbereich konform mit den Vorgaben der Norm zu steuern.

Auch wenn häufig – meist im werblichen Kontext – der Eindruck vermittelt wird, es handle sich bei einem ISO 27001 Zertifikat um eine Produktzertifizierung: das ist nicht der Fall. Zwar sind immer bestimmte Produkte, Services, Rechenzentren, Standorte, Abteilungen oder auch Applikationen im Geltungsbereich (Scope) eines Zertifikats – zertifiziert wird jedoch immer die Organisation, oder zumindest ein Teil davon, und ihre methodische Herangehensweise an das Thema Informationssicherheit.

ISO 27001: Anwendungsbereich des ISMS und Geltungsbereich des Zertifikats können sich unterscheiden

Weiter oben haben wir bereits den Begriff des Anwendungsbereichs eines ISMS erläutert. Wichtig ist, die Konzepte „Anwendungsbereich des ISMS“ vom „Geltungsbereich des Zertifikats“ zu unterscheiden. Grundsätzlich können Anwendungsbereich und Geltungsbereich voneinander abweichen; dies kann zum Beispiel dann der Fall sein, wenn eine Organisation einen ISMS-Anwendungsbereich über mehrere Standorte definiert hat, aber nur einen dieser Standorte zertifizieren lassen möchte. In diesem Fall umfasst der Geltungsbereich des Zertifikats nur eine Teilmenge des ISMS-Anwendungsbereichs.

In kleineren Organisationen sind ISMS-Anwendungsbereich und Zertifikats-Geltungsbereich oft deckungsgleich. Im Englischen existiert für beides lediglich das Wort „scope“ – weswegen es sich empfiehlt, immer dazuzuschreiben, welcher Scope gemeint ist – der „scope of ISMS“, der Geltungsbereich des ISMS, oder der „scope of certification“, der Geltungsbereich der Zertifizierung. Gegenstand der Untersuchungen bei Zertifizierungsaudits sind also nur diejenigen Themen, die sich im Geltungsbereich des Zertifikats befinden – alle anderen Themen bleiben bei der Betrachtung außen vor.

Mit ISO 27001 Werte und Assets methodisch schützen

Die ISO 27001 verfolgt das übergeordnete Ziel, schützenswerte Elemente – die Norm bezeichnete diese im Deutschen als Werte, im Englischen als Assets – zu identifizieren und im Hinblick auf die erwähnten Schutzziele angemessen zu schützen. Werte bzw. Assets können dabei beispielsweise alle schützenswerten Informationen, Dokumente, Services, Hard- und Software, aber auch immaterielle Werte wie Reputation und Ansehen sein. Die Grundüberlegung ist immer, ausgehend vom definierten Anwendungsbereich des ISMS zunächst die schützenswerten Assets zu identifizieren.

Viele technologiefokussierte Firmen führen diese Asset-Analyse ausschließlich basierend auf Technologie-Komponenten – z.B. Servern und Cloud-Services – durch. Ein solches Vorgehen wird dem Gedanken der Norm nur teilweise gerecht; natürlich werden schützenswerte Daten und Informationen auf Servern und/oder Clouddiensten verarbeitet.

Im Fokus der Betrachtung sollten primär jedoch die schützenswerten Daten und Informationen selbst stehen. Ein Vorgehen ausgehend von den Daten und Informationen stellt sicher, dass kein wesentliches Informations-Asset vergessen wird. Darüber hinaus ermöglicht es dem ISMS-Betreiber, sich über die „Kronjuwelen“ der eigenen Organisation bewusst zu werden.

In einem zweiten Schritt kann und soll dann auch auf die IT-Systeme fokussiert werden, die diese Daten und Informationen beinhalten. Bestandteil der Asset-Identifikation ist auch die Analyse des Schutzbedarfs der Daten – im Hinblick auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Nach der Asset-Identifikation erfolgt für diese Assets das Informationssicherheitsrisikomanagement – und basierend auf den Ergebnissen daraus die Umsetzung von einer oder mehreren Maßnahmen zur Risikobehandlung.

Die Steuerung von Risiken der Informationssicherheit mit ISO 27001

Die ISO 27001 propagiert einen risikobasierten Ansatz, bei dem regelmäßig Informationssicherheitsrisiken im Wege eines definierten Informationssicherheitsrisikomanagements beurteilt und behandelt werden sollen. Der übergeordnete Prozess wird dabei als Risikomanagement für Informationssicherheit bezeichnet, welches aus den zwei Aktivitäten Risikobeurteilung und Risikobehandlung besteht.

Die Risikobeurteilung selbst wird unterteilt in die drei Aktivitäten Identifikation, Analyse und Bewertung von Risiken. Die Norm gibt dabei das „was“ vor – sagt also, dass diese Aktivitäten durchzuführen sind, nicht jedoch, wie genau das zu tun ist. Das „wie“ liegt im Ermessen des ISMS-Betreibers. Dieser kann dazu auf Empfehlungen aus der ISO 27000 Normenreihe zurückgreifen – die ISO 27005 beschreibt ein mögliches Vorgehen für das Risikomanagement. Alternativ ist auch ein beliebiges anderes Framework anwendbar, z.B. das US-amerikanische NIST Risk Management Framework. Entscheidend ist, dass die Anforderungen der Norm erfüllt werden – nicht wie.

Beim Informationssicherheitsrisikomanagement wird zunächst ausgehend von den Assets bzw. Werten einer Organisation die Risikobeurteilung durchgeführt. Dabei werden die relevanten Risiken identifiziert, analysiert und bewertet. Auf der Basis der Ergebnisse erfolgt dann die die Risikobehandlung.

Grundsätzlich empfiehlt es sich, stringent zunächst die Risikobeurteilung eines Risikos abzuschließen, bevor mit der Risikobehandlung begonnen wird. Dies stellt sicher, dass keine unnötigen Maßnahmen ergriffen werden, die bei näherer Betrachtung im Rahmen der Bewertung möglicherweise nicht erforderlich gewesen wären.

Optionen zur Risikobehandlung nach ISO 27001

Für die Risikobehandlung kennt die Norm mehrere Optionen: Risiken bzw. deren Auswirkungen können vermindert werden. Dies geschieht üblicherweise durch Implementierung von Maßnahmen – oft von einer oder mehreren Maßnahmen aus dem Anhang A der ISO 27001. Zusätzlich können weitere Maßnahmen erforderlich sein und implementiert werden – man spricht dabei oft von sogenannten „Custom Controls“.

Die implementierten Maßnahmen werden in der Erklärung zur Anwendbarkeit (engl. Statement of Applicability – SOA) aufgeführt, zusammen mit einer Information über den Status der Implementierung und einer Begründung für den Einschluss der Maßnahme. Das SOA enthält auch die Maßnahmen aus dem Anhang A, die nicht implementiert wurden – eine Begründung, warum eine Maßnahme nicht umgesetzt wurde, ist hier mit anzugeben.

Eine weitere Option zur Risikobehandlung im Rahmen der ISO 27001 Norm ist die Risikovermeidung. Dabei wird beispielsweise ein risikoauslösender Geschäftsprozess so umgestellt, dass das Risiko in der Form nicht weiter auftritt. Ein solches Vorgehen kann sinnvoll sein, speziell wenn mit dem Risiko ein enorm hohes Schadenpotenzial einhergeht.

Bei der Risikoübertragung gibt üblicherweise eine dritte Partei – beispielsweise eine Versicherung – eine Garantie dafür ab, bei Schadeneintritt für die finanziellen Auswirkungen geradezustehen. Oft ist diese Option nur dann ein gangbarer Weg, wenn es sich beim zu erwartenden Risikoauswirkungen ausschließlich um finanzielle Schäden und nicht um immaterielle Schäden wie Reputation oder öffentliches Ansehen handelt.

Schlussendlich verbleibt noch die Option der bewussten Risikoakzeptanz. Hierbei sollte darauf geachtet werden, eine informierte Entscheidung zu treffen. Dies bedeutet, dass die Risikoauswirkungen und Eintrittswahrscheinlichkeit realistisch eingeschätzt werden, um nicht fälschlicherweise einer voreiligen Risikoakzeptanz zuzustimmen. Dies erreicht man am besten, indem das Risiko möglichst von mehreren Personen bewertet und die Risikoakzeptanz abhängig von der Schadenhöhe durch unterschiedliche Instanzen der Organisation akzeptiert wird. Faustregel dabei: je höher der zu erwartende Schaden und die Eintrittswahrscheinlichkeit, desto höher in der Hierarchie einer Organisation sollte der Entscheider positioniert sein, der die Zustimmung zur Risikoakzeptanz gibt.

Risikobehandlungsplan erlaubt flexible Gestaltung

Ein Risikobehandlungsplan formuliert für jedes Risiko die Maßnahmen, die zur Behandlung vorgesehen sind. Für diesen Risikobehandlungsplan gibt es keine formalen Vorgaben; die Normvorgaben erschöpfen sich in der Aussage, dass ein Risikobehandlungsplan zu führen ist, ohne genau zu sagen, was in diesem enthalten sein soll. ISMS-Betreiber haben hier also eine gewisse Flexibilität, was die Gestaltung dieses Dokuments anbelangt.

ISO 27001 und Anhang A: Der Umgang mit einzelnen Maßnahmen im Detail

In den vergangenen Abschnitten wurde bereits an einigen Stellen auf Maßnahmen zur Behandlung von Risiken und hier speziell auf die Maßnahmen aus dem Anhang A der ISO 27001 eingegangen. Grundsätzlich ist der Anhang A der ISO 27001 normativ. Dies bedeutet jedoch nicht, dass jede einzelne Maßnahme zwingend umzusetzen ist. Weiter oben haben wir bereits ausgeführt, dass einzelne Maßnahmen begründet ausgeschlossen werden können. Dies ergibt sich unmittelbar aus dem Normkapitel 6.1.3 d).

Darüber hinaus ist es sogar möglich, den kompletten Anhang A „auszu-scope-en“, d.h. als nicht anwendbar zu deklarieren, und stattdessen ein anderes Framework – z.B. das NIST Cyber Security Framework – zu verwenden. Dies empfiehlt sich häufig dann, wenn Organisationen auch andere Vorgaben (z.B. SOC 2) außer der ISO 27001 erfüllen müssen und nicht für jede Vorgabe ein eigenes Set an Maßnahmen implementieren können oder wollen.

Die Möglichkeit hierzu eröffnen die Normanforderungen 6.1.3 b) und c). Wichtig sind in diesem Zusammenhang insbesondere die Kommentare zu den genannten Normanforderungen. Diese besagen, dass „Organisationen (..) Maßnahmen nach Bedarf gestalten oder aus einer beliebigen Quelle auswählen (können)“. Darüber hinaus wird in 6.1.3 c) der Anhang A als „Liste von möglichen Informationssicherheitsmaßnahmen“ beschrieben.

Weiter sagt der Kommentar, dass die aufgeführten Maßnahmen nicht notwendigerweise erschöpfend sind. Daraus ergibt sich die Möglichkeit – manchmal auch die Notwendigkeit – eigene Maßnahmen („custom controls“) zu implementieren. Und diese eigenen Maßnahmen können entweder selbst erstellt werden – oder aber aus einem anderen Maßnahmenkatalog wie dem NIST Cyber Security Framework entstammen.

Wenn sich ein ISMS-Betreiber dazu entschließt, einen anderen Maßnahmenkatalog zu verwenden, so muss trotzdem ein Vergleich der festgelegten Maßnahmen mit dem Anhang A der ISO 27001 erfolgen, um sicherzustellen, dass keine erforderlichen Maßnahmen vergessen wurden. Insofern kann die Begründung für den Ausschluss der Maßnahmen aus Anhang A dann sinngemäß lauten, dass andere alternative Maßnahmen ausgewählt wurden, die denselben Zweck erfüllen.

ISO 27001 und die Dokumentationspflicht

In den vorherigen Kapiteln haben wir ausführlich einzelne Aspekte der Norm beleuchtet. Es stellt sich die Frage, wie im Rahmen einer Zertifizierung entsprechende Nachweise zu führen sind. Grundsätzlich gilt, dass der Betrieb eines ISMS mit einem Mindestmaß an Dokumentation einhergeht. Vorgaben – d.h. Richtlinien, Verfahren, weitere Dokumente – sind schriftlich zu fixieren, freizugeben und an betroffene Stakeholder zu kommunizieren.

Die Norm spricht hier von der Lenkung dokumentierten Informationen. Das bedeutet nicht zwangsläufig, dass es auf die Menge der dokumentierten Information ankommt. Kurze und verständliche Vorgaben sind in jedem Fall länglichen Prosatexten vorzuziehen. Betrachtet man die Vorgabendokumente aus der Brille der Personen, die die Vorgaben einhalten sollen, so zwingt sich der Gedanke „weniger ist mehr“ unmittelbar auf. Freigabeprozesse können und sollten schlank aufgesetzt werden und nicht überbürokratisiert werden.

Neben den Vorgaben sind auch Nachweise über die Anwendung dieser Vorgaben vorzuhalten – die sogenannten „Records“. Beispielsweise könnte eine Vorgabe es erfordern, regelmäßig hochprivilegierte Benutzerzugänge zu besonders sensiblen Informationen zu überprüfen. Es erscheint unmittelbar klar, dass die Vorgabe allein nutzlos ist – wenn sie nicht umgesetzt wird.

Die Umsetzung ist dabei als Nachweis („evidence“) zu dokumentieren. Als ein Bonmot von Auditoren ist hier das „not documented, not done“ zu erwähnen – das sinngemäß sagt, was nicht dokumentiert wurde, wurde auch nicht durchgeführt. ISMS-Betreiber sollten also darauf achten, als Nachweis der Durchführung entsprechende Dokumentationen („records“) anzulegen. Wie dies erfolgt und in welcher Form – das sagt die Norm wiederum nicht. ISMS-Betreiber sind frei darin, wie die Nachweise geführt werden. Oftmals wird der Nachweis in Form von Tickets geführt, aber auch eine schriftliche Dokumentation mit Stift und Papier kann der Norm gerecht werden. 

Die Art und Weise der Dokumentation können ISMS-Betreiber selbst bestimmen

Es gilt auch hier der Grundsatz, dass „dokumentierte Informationen“ vorgehalten werden sollen – die Norm sagt jedoch explizit nicht, welche das sein und wie diese aussehen sollen. Das ermöglicht wiederum einen gewissen Gestaltungsspielraum für ISMS-Betreiber. Organisationen können Art und Umfang der dokumentierten Information selbst festlegen. Die Norm erwähnt im Kommentar zur Normanforderung 7.5.1 sogar explizit, dass der Umfang dokumentierter Informationen eines ISMS sich von Organisation zu Organisation unterscheiden kann. Als Gründe werden u.a. die Größe der Organisation und die Komplexität der Prozesse aufgeführt.

Grundsätzlich gilt: Je schlanker die Dokumentation, desto besser

Es ist also keinesfalls so, dass an ein Startup dieselben Dokumentationsanforderungen gestellt werden wie an einen Großkonzern. Vielmehr hat man als ISMS-Betreiber hier Spielraum – den man auch nutzen sollte. Ein gewisser Pragmatismus ist hier angeraten, um die Dokumentation so schlank wie möglich zu halten – und das ISMS nicht zu überbürokratisieren.

Fazit: Ein ISMS betreiben und zertifizieren ist eine Aufgabe vieler Stakeholder

Zusammenfassend ist der Aufbau und Betrieb eines ISMS primär eine Organisationsaufgabe – kein originäres IT-Thema. Schlüssel zum Erfolg ist die möglichst breite Verankerung der Abläufe im gewählten Anwendungsbereich des ISMS – und die Einbeziehung möglichst aller Stakeholder, die dem Anwendungsbereich zugeordnet sind.

Der Erfolg eines ISMS steht und fällt mit der Akzeptanz innerhalb der Organisation und dem Erkennen des Mehrwerts, den die Organisation als Ganzes und ihre einzelnen Stakeholder davon haben. Stakeholder, die um die Bedeutung ihres Beitrags zur Erhaltung und kontinuierlichen Erhöhung des Informationssicherheitsniveaus wissen, verhalten sich entsprechend verantwortungsvoll und integrieren die Vorgaben eines ISMS in ihr Tagesgeschäft.

Ganz nebenbei wird so eine der Kernanforderungen der ISO 27001 erfüllt – nämlich die Verteilung der anfallenden Aufgaben und Verantwortlichkeiten auf möglichst viele Schultern. Gelingt dies, so ist eine erfolgreiche Zertifizierung des ISMS meist „nur“ noch das Resultat gut eingespielter Abläufe des ISMS.