Auf der Suche nach Werkzeugen, die Sie bei der Umsetzung von ISO 27001 oder SOC 2 unterstützen, werden Sie auch auf sogenannte (Compliance-)Automatisierungsplattformen stoßen, die Ihnen versprechen, bis zu 90% der Arbeit abzunehmen, indem sie sich in Ihre (Cloud-)Dienste integrieren.
In diesem Artikel erläutere ich, warum dies ein etwas zu rosiges Bild zeichnet. Der Beitrag ist eine Adaption eines Artikels von Maurice Pasman (Instant Management Systems), der zuerst am 14. Januar 2025 veröffentlicht wurde.
Integrationen mit Cloud-Systemen
Erstens kann keine Plattform sofort mit „allem“ integriert werden. Natürlich gibt es die Top-10-Anwendungen und die am häufigsten genutzten Cloud-Plattformen wie AWS, Azure und Google Cloud. Aber Ihre HR-Plattform ist natürlich nicht dabei, weil sie speziell für den deutschen, österreichischen oder schweizerischen Markt entwickelt wurde. Und wenn Sie noch einige Dienste und Services On-Premise betreiben, können Sie die Integration solcher Dinge in der Regel vergessen – es wird mangels Konnektoren nicht funktionieren.
Zugriffe mit erhöhten Rechte
Eine Automatisierungsplattform möchte sich mit Ihren Systemen verbinden, um so viele Parameter wie möglich auszulesen und diese dann den Anforderungen aus ISO 27001 oder SOC 2 zuzuordnen.
Um diese Parameter lesen zu können, muss die Plattform natürlich mit den entsprechenden Rechten ausgestattet sein. Aber wie sicher können Sie sein hinsichtlich dem, was hinter den Kulissen passiert – wenn man weiß, dass die meisten Plattformen aus den USA kommen?
Rechtliche Themen
Selbst wenn Ihre Automatisierungsplattform in der EU gehostet wird, ist ein amerikanisches Unternehmen aufgrund der geltenden US-amerikanischen Gesetze verpflichtet, Zugang zu gewähren, wenn behördliche Stellen dies verlangen. Aus diesem Grund haben Microsoft und Google schon länger Büros in Irland. Dies trifft auf die meisten Automatisierungsplattformen nicht zu.
Dashboard
Sobald die Integrationen eingerichtet sind, starren Sie blind auf die Dashboards, wo möglichst viele Ampeln auf Grün stehen sollen.
Tatsächlich reagiert man dann auf die Ergebnisse eines Schwachstellen-Scans oder einer Messung gegen eine bestimmte Baseline. Das ist für sich genommen natürlich völlig in Ordnung – der Punkt ist: das macht noch kein zertifizierungsfähiges Managementsystem!
Wir haben sogar schon Kunden getroffen, die noch nicht einmal eine Risikoanalyse durchgeführt, aber schon Richtlinien erstellt hatten – nur aufgrund dessen, was die Plattform auslesen konnte. Völlig losgelöst von der tatsächlichen Risikosituation, also eher angebots- als nachfrageorientiert.
Ohne Kontext
Abgesehen davon, dass es von der Integration mit der Compliance-Automatisierungsplattform abhängt, welche Informationen gelesen und angezeigt werden können, sagen die angezeigten Informationen ohne Kontext nicht viel aus.
Beispiel: MFA ist in AWS deaktiviert. Aber wo in ISO 27001 steht, dass das zwingend erforderlich ist? Das hängt ganz von Ihrer eigenen Policy ab, und die ergibt sich – wenn Sie vorgehen wie eigentlich gedacht – aus Ihrer eigenen Risikoanalyse und dem gewählten Risikobehandlungsplan. Und was machen Sie eigentlich, wenn Ihre Unternehmensrichtlinien eine Anmeldung mit einer PKI vorschreibt – und die Plattform diese nicht verwenden kann?
Nicht alles kann automatisiert werden
Und damit kommen wir zu einem weiteren – vielleicht dem wichtigsten – Punkt. Schauen Sie nicht blind auf die technischen Maßnahmen. ISO 27001 konzentriert sich auf das Vorhandensein und Funktionieren eines Managementsystems, das in den Kapiteln 4 bis 10 der Norm beschrieben wird. Nichts davon lässt sich automatisieren, diese Dinge muss man einfach tun.
Geht es nicht auch um Überwachung und Messung von Kontrollmaßnahmen? Ja, in Anhang A.8 finden sich technische Maßnahmen, von denen einige tatsächlich automatisch überprüft werden können. Das gilt aber nicht für organisatorische Maßnahmen (A.5), personenbezogene Maßnahmen (A.6) und physische Sicherheitsmaßnahmen (A.).
Ist das bei SOC 2 anders?
Die gemeinsamen Kriterien von SOC 2 (CC1 bis CC9) enthalten viele Elemente, die dem Managementsystem von ISO 27001 ähnlich sind und daher nicht automatisiert werden können. Die Prüfung konzentriert sich jedoch viel stärker als bei ISO 27001 auf das Vorhandensein und Funktionieren der getroffenen Maßnahmen. Der Auditor will also wesentlich mehr Nachweise sehen als bei einem Managementsystem-Audit. Die Sicherstellung, dass diese Nachweise an einer Stelle auffindbar sind, macht SOC2 Audits daher möglicherweise effizienter.
Und genau das ist das, was Instant 27001 seit 2018 tut.
Beginnen Sie am Anfang
Um für sich selbst herauszufinden, ob eine Automatisierung sinnvoll ist, muss man zunächst die Grundlagen verstehen. Das bedeutet, die Schritte des Managementsystems (manuell) durchzugehen und die eigenen Abläufe im Unternehmen dort zu verbessern, wo es notwendig ist. Dabei werden Sie auf Dinge stoßen, die sich vielleicht automatisch steuern lassen.
Dafür ist aber oft keine Automatisierungsplattform erforderlich, viele Dinge können Sie mit vorhandenen Tools (wie Pingdom, Intune oder Purview) leicht selbst überwachen. Und vergessen Sie nicht, dass Atlassian mittlerweile auch Automatisierung in Confluence und Jira anbietet, genauso wie Microsoft mit PowerAutomate. Damit können Sie die Benachrichtigungen dann auch zentral registrieren.
Fazit
Automatisierung kann nützlich sein, wenn das ISMS einen gewissen Reifegrad erreicht hat. Wenn Sie ohne Erfahrung mit einer Automatisierungsplattform beginnen, lassen Sie sich von den Daten leiten, die in den angebotenen Links verfügbar sind, und laufen Gefahr, Dinge zu übersehen. Damit suggerieren Sie sich selbst und Ihren Kunden möglicherweise ein falsches Gefühl der Sicherheit.
Wussten Sie übrigens, dass Sie Instant 27001 ideal zusammen mit einer Compliance-Automatisierungsplattform einsetzen können? Besuchen Sie https://instant27001.com/faq/instant-27001-co-pilot/!
Tags
Beitrag teilen
Thomas Neeff 
Thomas Neeff 
