ISO27001 Umsetzung

INHALTSVERZEICHNIS
ISO 27001 in der NIS2 Ära

In diesem umfassenden Ratgeber zur ISO 27001 Umsetzung lernst du, wie mittelständische Unternehmen die Controls von Annex A Schritt für Schritt implementieren können. Er deckt alle wichtigen Aspekte von Governance und Asset Management bis hin zu Informationsschutz und Identitäts- sowie Zugriffsmanagement ab. Er betont die Bedeutung einer klaren Struktur, Prozesse und Richtlinien, die mit den Geschäftszielen und rechtlichen Anforderungen übereinstimmen. Für jeden Bereich und jedes Control gibt es Beschreibungen für die Ziel und Zweck um die Priorisierung bei der Erfüllung der Anforderungen richtig zu setzen. Weiters gibt es für jeden Bereich eine Liste für Aspekte, die man für eine ISO27001 Compliance benötigt. Durch praxisnahe Tipps und strukturierte Anleitungen zielt der Ratgeber darauf ab, Unternehmen effektiv bei der Minimierung ihrer Risiken und der Einhaltung von Sicherheitsstandards zu unterstützen.

Inhalt

Jeder dieser Bereiche ist ein wesentlicher Bestandteil eines ganzheitlichen Informationssicherheitsmanagementsystems und trägt dazu bei, die Risiken für Unternehmen effektiv zu minimieren.

Governance

Governance umfasst die Strukturen und Prozesse, die sicherstellen, dass die Informationssicherheitsstrategie eines Unternehmens konsequent mit den Geschäftszielen und den Rechtlichen Anforderungen übereinstimmt. Es geht darum, eine klare Richtung und Kontrolle zu etablieren.

Information Security Richtlinien (Control 5.1)

Die Entwicklung und Implementierung von Richtlinien für Informationssicherheit bilden das Fundament eines wirksamen Sicherheitsmanagements. Sie definieren den Umgang mit und den Schutz von Informationen.

Die wichtigste Richtlinie ist die Informationssicherheitsrichtlinien/Information Security Policy. Weiters gibt es noch Themenspezifische Richtlinien wie z.B. Backuprichtlinie oder Netzwerksicherheitsrichtlinie.

Betroffene Controls:

  • Control 5.1 Richtlinien für Informationssicherheit (Policies for information security) gehört zur Kategorie Organisatorisch

Umsetzung:

  1. Festlegen des Geltungsbereichs der Richtlinien.
  2. Verfassen, Veröffentlichen und Vermitteln einer Informationssicherheitsrichtlinie/Information Security Policy, die von der obersten Führungsebene genehmigt wird.
  3. Verfasse, veröffentliche und kommuniziere unterstützende themenspezifische Richtlinien, die von den zuständigen Mitarbeitern genehmigt werden.
  4. Genehmigung jeder Richtlinie.
  5. Kommunikation an die Mitarbeiter und Partner, die für die jeweilige Richtlinie relevant sind.
  6. Bei der Informationssicherheitsrichtlinie kann man auch eine Erklärung der Mitarbeiter einholen, dass sie diese verstanden haben und damit einverstanden sind diese zu befolgen.
  7. Überprüfung der Informationssicherheitsrichtlinien in geplanten Abständen oder bei wesentlichen Änderungen, um sicherzustellen, dass sie immer noch angemessen und wirksam sind.

Mögliche Themenspezifische „Information Security Policies“ sind:

  • Access Control Policy – Zugriffskontrollrichtlinie
  • Physical Security Policy – Richtlinie zur physischen Sicherheit
  • Asset Management Policy – Richtlinie zum Asset-Management
  • Information Transfer Policy – Richtlinie zum Informationsaustausch
  • Secure Configuration and Handling of User Endpoint Devices – Sichere Konfiguration und Handhabung von Benutzerendgeräten
  • Network Security Policy- Netzwerksicherheitsrichtlinie
  • Information Security Incident Management Policy – Richtlinie zum Management von Informationssicherheitsvorfällen
  • Backup Policy Backuprichtlinie
  • Cryptography and Key Management Policy – Richtlinie zur Kryptographie und Schlüsselverwaltung
  • Information Classification and Handling – Richtlinie zur Klassifizierung und Handhabung von Informationen
  • Management of Technical Vulnerabilities – Management technischer Schwachstellen
  • Secure Development Policy – Richtlinie zur sicheren Entwicklung
  • Acceptable Use Policy – Richtlinie zur akzeptablen Nutzung
  • Clear Desk and Clear Screen Policy – Richtlinie für aufgeräumte Arbeitsplätze und Bildschirme
  • Mobile Devices Policy – Richtlinie für mobile Geräte
  • Remote Working Policy – Richtlinie für das Arbeiten aus der Ferne
  • Malware Protection Policy – Richtlinie zum Schutz vor Malware
  • Communications Security Policy – Richtlinie zur Kommunikationssicherheit
  • Privacy Policy – Datenschutzrichtlinie
  • Supplier Relationships Policy – Richtlinie für Lieferantenbeziehungen

Beim Verfassen deiner Informationssicherheitsrichtlinie solltest du die Anforderungen aus der Geschäftsstrategie, gesetzlichen Vorschriften und Risiken sowie Bedrohungen der Informationssicherheit berücksichtigen. Deine Richtlinie zur Informationssicherheit sollte Aussagen zur Definition von Informationssicherheit, den Zielen und Prinzipien der Informationssicherheit, dem Engagement deiner Organisation für die Informationssicherheit und der Zuweisung von Verantwortlichkeiten in diesem Bereich umfassen. Verfahren für den Umgang mit Ausnahmen und Abweichungen von der Informationssicherheitsrichtlinie sollten ebenfalls enthalten sein.

Zur Compliance benötigst du:

  • Policies sind geschrieben, veröffentlicht und kommuniziert.
  • Zeige, dass du die Policies regelmäßig überprüfst und updatest

Rollen, Verantwortlichkeiten und Pflichten (Controls 5.2–5.4)

Die klare Zuweisung von Rollen, Verantwortlichkeiten und Pflichten ist entscheidend für die Sicherstellung der Informationssicherheit innerhalb eines Unternehmens.

Betroffene Controls:

  • Control 5.2 Rollen und Verantwortlichkeiten für Informationssicherheit (Information security roles and responsibilities) gehört zur Kategorie Organisatorisch
  • Control 5.3 Trennung von Aufgaben (Segregation of duties) gehört zur Kategorie Organisatorisch
  • Control 5.4 Managementverantwortlichkeiten (Management responsibilities) gehört zur Kategorie Organisatorisch

Das Control 5.2 passt zu Kapitel 5.3 und wird wie folgt umgesetzt:

  1. Identifikation aller Rollen, die für die Informationssicherheit relevant sind.
  2. Definition der spezifischen Verantwortlichkeiten und Pflichten für jede Rolle.
  3. Definition von Verantwortlichkeiten für den Schutz von Daten und Asset, für Security Prozesse sowie Risk und Personal Management
  4. Kommunikation dieser Verantwortlichkeiten an die entsprechenden Personen.
  5. Sicherstellung, dass jeder seine Rolle und seine Verantwortlichkeiten versteht.
  6. Laufende Überprüfung und Anpassung der Rollen und Verantwortlichkeiten.

Umsetzung 5.3

  • Möglichst alle Pflichten und Verantwortlichkeiten soweit trennen, dass keine einzelne Person die vollständige Kontrolle über einen kritischen Prozess oder eine kritische Funktion hat.

Umsetzung 5.4

  • Management soll sicherstellen, dass alle Personen der Informationssicherheitsrichtlinie entsprechen
  • Außerdem sollen alle Personen über ihre Security Rollen und Verantwortlichkeiten klar aufgeklärt sind
  • Management muss auch an Security Trainings teilnehmen
  • Gibt die Möglichkeit Verstöße gegen die Informationssicherheitsrichtlinie zu melden

Zur Compliance benötigst du:

  • Klare Definition der Aufgaben und Zuständigkeiten für die Informationssicherheit für alle Mitarbeiter
  • Definiere, dokumentiere und kommuniziere die Sicherheitsbereiche, für die einzelne Personen verantwortlich sind.
  • Trenne die Aufgaben aller Personen, die am ISMS beteiligt sind, so weit wie möglich voneinander
  • Nachweis, dass ein vertraulicher Kanal für die Meldung von Richtlinienverstößen existiert


Kommunikationskanäle und Projektmanagement (Controls 5.5, 5.6, und 5.8)

Diese drei Controls sind nicht so offensichtlich wie so manche andere Controls. Das vorbereiten von Kommunikationskanälen mit Behörden, das erhalten von Beziehungen mit Special Interest Groups sowie das Integrieren von Information Security in den Projektmanagement Lifecycle.

Betroffene Controls:

  • Control 5.5 Kontakt mit Behörden (Contact with authorities) gehört zur Kategorie Organisatorisch
  • Control 5.6 Kontakt mit Interessengruppen (Contact with special interest groups) gehört zur Kategorie Organisatorisch
  • Control 5.8 Informationssicherheit im Projektmanagement (Information security in project management) gehört zur Kategorie Organisatorisch

Control 5.5 kümmert sich darum dass Kommunikationskanäle im Falle eines Sicherheitsvorfalles schon bestehen oder vorbereitet sind. Diese Information soll auch im Business Continuity Plan vorhanden sein. Dabei soll man wissen:

  • Wann man Behörden kontaktieren soll
  • Welche Behörde man in welcher Situation kontaktieren soll
  • Wie soll der Sicherheitsvorfall zu der entsprechenden Behörde übermittelt werden

Control 5.6 stellt sicher, dass dein Unternehmen auch mit Special Interest Groups kommuniziert. (in US: ISACA, ISSA oder ISC2 bzw. ein ISACs)

Control 5.8 kümmert sich um die Integration von Information Security in den Projektmanagement Lifecycle. (e.g. Information Security Verantwortliche in jedem Projekt) Dabei sollte die Projektmanagement Methodologie folgendes enthalten:

  • Assessment von Information Security Risiko (regelmäßig)
  • Information Security in der Requirements Phase von Projekten
  • Regelmäßige Überprüfung der Maßnahmen

Umsetzung:

  1. Einrichtung von Kommunikationskanälen für Sicherheitsfragen zu Behörden wie Polizei oder Datenschutzbehörde
  2. Integration von Sicherheitsüberlegungen in die Projektmanagementphasen.
  3. Zuweisung von Sicherheitsrollen innerhalb der Projektteams.
  4. Regelmäßige Überprüfung des Projektfortschritts hinsichtlich Sicherheitsanforderungen.
  5. Dokumentation und Kommunikation von Sicherheitsentscheidungen und -maßnahmen.

Zur Compliance benötigst du:

  • Stelle Kontakte zu den zuständigen Behörden her
  • Dokumentiere die Verfahren, die bei der Kontaktaufnahme mit diesen Behörden zu befolgen sind
  • Trete speziellen Interessengruppen für Informationssicherheit bei
  • Integriere Informationssicherheit in die Projektmethodik deiner Organisation

Asset Management

Asset Management bezieht sich auf die systematische Identifikation, Klassifizierung und Handhabung von Informationswerten. Ziel ist es, deren Schutz durch geeignete Maßnahmen zu gewährleisten und Risiken zu minimieren.

Was ist ein Asset Owner / Asset-Eigentümer?

Ein Asset-Owner ist in der Regel die Person, die ein bestimmtes Asset nutzt oder direkt damit arbeitet und dafür verantwortlich ist, die damit verbundenen Informationen zu schützen. Dies kann von Systemadministratoren für Server bis hin zu Erstellern für Dateien variieren. Bei Assets, die von mehreren Personen genutzt werden, gilt die nutzende Person als Eigentümer. Für zentral genutzte Systeme, wie ERP-Software, kann ein höheres Managementmitglied, zum Beispiel der CIO, der Asset-Owner sein. Das Konzept unterstreicht die Wichtigkeit der Identifizierung von Werten und zuständigen Personen im Unternehmen, um effektiven Informationsschutz zu gewährleisten.

Responsibility for information assets (Controls 5.9, 5.10, 6.7, and 8.1)

Das Festlegen von Verantwortlichkeiten für Informationswerte sichert deren angemessenen Schutz und die Einhaltung der Sicherheitsrichtlinien. Bei Assets / Vermögenswerten handelt es sich um digitale Assets wie Datenbanken, Software und geistiges Eigentum sowie Personal und die physische Infrastruktur wie Laptops, Servers, Handy, Cloud.

Betroffene Controls:

  • Control 5.9 Inventar von Informationen und anderen zugehörigen Vermögenswerten (Inventory of information and other associated assets) gehört zur Kategorie Organisatorisch und kümmert sich um die Inventarisierung.
  • Control 5.10 Zulässige Nutzung von Informationen und anderen zugehörigen Vermögenswerten (Acceptable use of information and other associated assets) gehört zur Kategorie Organisatorisch und fokussiert darauf, wie man die Assets nutzen darf (acceptable use) z.b. Keine Spiele auf dem Firmenlaptop.
  • Control 6.7 Arbeiten im Homeoffice (Remote working) gehört zur Kategorie Personell
  • Control 8.1 Endgeräte für Benutzer (User endpoint devices) gehört zur Kategorie Technologisch. Es handelt sich um Devices für Mitarbeiter wie Computer und Handys

Umsetzung:

  1. Inventarisierung aller Informationswerte (Asset-Register / Asset-Liste) und gleiche diese an anderen Inventarlisten im Unternehmen an
  2. Klassifizieren der Assets
  3. Zuweisung von Eigentümer (asset owner) und Verantwortlichkeiten für jeden Informationswert. (asset owner sind für den gesamte LifeCycle des Assets verantwortlich)
  4. Schreiben einer Acceptable Use Policy für die Assets.
  5. Definieren von Schutzmaßnahmen basierend auf der Klassifizierung der Informationswerte.
  6. Definiere den Umgang mit Assets bei Remote Work
  7. Überwachung und regelmäßige Überprüfung der Verantwortlichkeiten.
  8. Aktualisierung der Verantwortlichkeiten bei Änderungen in der Asset-Struktur.

Zur Compliance benötigst du:

  • Entwickle und pflege ein Inventar von Informationen und anderen zugehörigen Assets.
  • Identifiziere die Informationsklassifizierung von Assets und weise ihnen Eigentümer zu, seien es Einzelpersonen oder Gruppen.
  • Verfasse, veröffentliche und kommuniziere eine Acceptable Use Policy in Übereinstimmung mit Control 5.10 und stelle sicher, dass alle Nutzer ihr zugestimmt haben.
  • Verfasse, veröffentliche und kommuniziere eine themenspezifische Richtlinie, die Bedingungen und Einschränkungen für die Arbeit im Homeoffice definiert.
  • Verfasse, veröffentliche und kommuniziere eine themenspezifische Richtlinie, die die sichere Konfiguration und Handhabung von Endgeräten der Nutzer definiert.

Asset security procedures (Controls 5.11, 5.14, und 5.37)

Sicherheitsverfahren für Assets stellen sicher, dass alle Informationen konsistent und effektiv geschützt werden, unabhängig von ihrer Form.

Betroffene Controls:

  • Control 5.11 Rückgabe von Vermögenswerten (Return of assets) gehört zur Kategorie Organisatorisch und handelt von der Rückgabe von Assets (Daten und Hardware!) sobald der Arbeitsvertrag oder Projektvertrag gekündigt wurde.
  • Control 5.14 Informationstransfer (Information transfer) gehört zur Kategorie Organisatorisch. Hier geht es um die Übertragung von Informationen (elektronisch, physisch oder verbal) mit dem Fokus auf Schutz der Information, Verhindern, dass Malware übertragen wird, Aufbewarung(sdauer) von Informationen.
  • Control 5.37 Dokumentierte Betriebsverfahren (Documented operating procedures) gehört zur Kategorie Organisatorisch. Hier geht es um die Dokumentation von Prozessen die in Bezug zu Information Security stehen. Das Dokument ist ein notwendiges Dokument für die vollständige ISO27001 Compliance. Es beinhaltet Anweisungen zur Installation und Konfiguration von Systemen, wie Backups durchgeführt werden, Supportprozesse und System Recovery Prozeduren.

Umsetzung:

  1. Entwicklung von Verfahren zur Handhabung und zum Schutz von Informationswerten.
  2. Schulung der Mitarbeitenden in den Verfahren.
  3. Implementierung von Zugriffssteuerungen und Sicherheitsmaßnahmen.
  4. Überwachung der Einhaltung der Verfahren.
  5. Regelmäßige Überprüfung und Anpassung der Verfahren.

Zur Compliance benötigst du:

  • Dokumentiere Verfahren, die die Rückgabe von Informationsassets sicherstellen.
  • Schreibe und teile eine sichere Richtlinie zum Informationstransfer, die die Anforderungen von Control 5.14 erfüllt.
  • Dokumentiere Verfahren für operative Tätigkeiten bezogen auf die Informationssicherheit.

Information Protection / Informationsschutz

Informationsschutz konzentriert sich auf die Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Es geht um die Implementierung von Maßnahmen, die Daten vor unberechtigtem Zugriff und Missbrauch schützen.

Motivation: Stell dir vor Du wirst beauftragt einen Raum voll mit alten Dokumenten leer zu räumen. Schmeiss du diese einfach ins Altpapier? Von wo weisst Du ob nicht doch irgendwo vertrauliche Information oder personenbezogene Daten enthalten sind?

Classification, labeling, and privacy (Controls 5.12, 5.13, and 5.34)

Die Klassifizierung, Kennzeichnung und Wahrung der Privatsphäre von Informationen ermöglichen eine gezielte Anwendung von Schutzmaßnahmen auf verschiedene Informationsarten.

Betroffene Controls:

  • Control 5.12 Klassifizierung von Informationen (Classification of information) gehört zur Kategorie Organisatorisch. . Dabei muss Information nach Vertraulichkeit, Integrität, Verfügbarkeit und Anforderungen Dritter klassifiziert werden.
  • Control 5.13 Kennzeichnung von Informationen (Labelling of information) gehört zur Kategorie Organisatorisch
  • Control 5.34 Datenschutz und Schutz personenbezogener Informationen (Privacy and protection of PII – Personal Identifiable Information) gehört zur Kategorie Organisatorisch

Wenn deine Organisation noch kein Klassifizierungsschema hat, empfehlen wir, folgendes Schema aufzubauen:

  • Öffentlich/Public“: Daten sind für jedermann (auch externe) zugänglich. Dafür sind keine speziellen Maßnahmen erforderlich.
  • Intern/For internal use only“ für weniger sensible Informationen, die dennoch kontrolliert werden müssen. Diese Informationen werden lediglich den eigenen Mitarbeitern zugänglich gemacht.
  • Vertraulich/Confidential“ für Ihre sensibelsten und geschützten Informationen, die nur für eine begrenzten Anzahl von Mitarbeitern zugänglich sind (e.g. Personaldaten)
  • Streng Vertraulich /Strictly Confidential“ sind auschließlich konkret angegebenen Personen zugänglich. Eine Weitergabe kann das Unternehmen nachhaltig schaden.

Umsetzung:

  1. Entwickeln eines Klassifizierungsschemas für Informationen.
  2. Anwenden von Kennzeichnungen (Labelling) auf Informationen basierend auf ihrer Klassifizierung.
  3. Implementierung von Datenschutzmaßnahmen entsprechend der Sensibilität der Informationen.
  4. Schulung der Mitarbeitenden im Umgang mit klassifizierten Informationen.
  5. Überprüfung und Anpassung der Klassifizierungs- und Kennzeichnungspraktiken.

Zur Compliance benötigst du:

  • Erstelle und veröffentliche eine Richtlinie zur Datenklassifizierung (Data Classification Policy) gemäß Control 5.12.
  • Erstelle und veröffentliche eine Datenschutzrichtlinie (Privacy Policy) gemäß Control 5.34.
  • Entwickle Verfahren zur Kennzeichnung von Informationen und zum Umgang mit diesen.
  • Schulung der Anwender in der korrekten Klassifizierung, Kennzeichnung und Handhabung von Informationsressourcen.
  • Dokumentierte Verfahren zum Schutz von personenbezogenen Daten (PII – Personal Identifiable Information).

Löschung, Maskierung, DLP, and test data (Controls 8.10, 8.11, 8.12 und 8.33)

Das Löschen, Maskieren, Verhindern von Datenverlust (DLP) und der sichere Umgang mit Testdaten sind essenziell, um die Vertraulichkeit und Integrität von Informationen zu schützen.

Betroffene Controls:

  • Control 8.10 Löschung von Informationen (Information deletion) gehört zur Kategorie Technologisch. Hier geht es um das Löschen von Daten im eigenen Unternehmen aber auch bei Partnern, Lieferanten und anderen 3rd Party Unternehmen, wenn diese nicht mehr benötigt werden.
  • Control 8.11 Datenmaskierung (Data masking) gehört zur Kategorie Technologisch. Z.B. bei der Eingabe eines Passworts erscheinen nur „Sterne“ anstatt den eingegebenen Zeichen
  • Control 8.12 Prävention von Datenlecks (Data leakage prevention) gehört zur Kategorie Technologisch. Hier geht es darum, dass man unautorisierte Weitergabe von Informationen erkennen und verhindern können soll.
  • Control 8.33 Testinformationen (Test information) gehört zur Kategorie Technologisch

Umsetzung:

  1. Festlegung von Richtlinien für das Löschen und Maskieren von Daten.
    Konfiguriere Systeme so, dass Informationen sicher gelöscht werden, wenn sie nicht mehr benötigt werden, lösche veraltete Versionen, Kopien und temporäre Dateien, verwende zugelassene, sichere Löschsoftware, nutze zugelassene, zertifizierte Anbieter von sicheren Entsorgungsdiensten und verwende geeignete Entsorgungsmechanismen für Speichermedien.
  2. Implementierung von DLP-Systemen zur Überwachung und Verhinderung unautorisierten Datenabflusses.
    Identifiziere und Klassifizerie seneitive Information. Überwache Kanäle über die Daten unauthorisiert weitergegeben werden können (z.B. E-Mails) Ergreife Massnahmen wie z.B. Quarantäne von Emails, die eventuell sensitive Informationen beinhalten könnten.
  3. Sichere Erstellung und Verwendung von Testdaten, die keine realen personenbezogenen Daten enthalten.
  4. Regelmäßige Überprüfung der Prozesse und Technologien zum Datenlöschen und -maskieren.
  5. Anpassung der Maßnahmen basierend auf technologischen Entwicklungen und organisatorischen Veränderungen.

Umsetzungshinweise zu Control 8.10:

  • Das Unternehmen verfügt möglicherweise bereits über Datenschutzregelungen zu diesem Thema. Oft sind Datensicherheitsbehälter oder professionelle Aktenvernichter vorhanden, um Dokumente sicher zu vernichten. Es ist ratsam, mit dem Datenschutz zusammenzuarbeiten, um Löschfristen für digitale Informationen gemeinsam festzulegen und durchzusetzen.
  • Bei der Speicherdauer müssen rechtliche Vorgaben beachtet werden, die einerseits Mindestspeicherfristen (z.B. aufgrund gesetzlicher Nachweispflichten) und andererseits Höchstspeicherfristen (z.B. aufgrund datenschutzrechtlicher Verpflichtungen) festlegen.
  • Beim Einsatz von Dienstleistern für die Datenlöschung sollte ein angemessener Nachweis über die sichere Löschung aufbehalten werden.

Umsetzungshinweise zu Control 8.11:

  • Datenmaskierung umfasst Techniken zum Verbergen, Ersetzen oder Verzerren sensibler Daten. In der ISO/IEC 27002 wird der Begriff daher für alle Arten der Datenverzerrung verwendet, nicht nur für die klassische Anonymisierung und Pseudonymisierung persönlicher Daten. Alternativ können auch Verschlüsselung oder Hashing zur Maskierung von Daten eingesetzt werden.
  • Folgende Methoden können zur Datenschutzmaskierung verwendet werden: Anonymisierung und Pseudonymisierung, Verschlüsselung, Zeichen löschen (um die vollständige Nachricht vor unbefugten Benutzern zu verbergen), Zahlen und Daten variieren, Substitution (Ersetzen eines Wertes durch einen anderen, um sensible Daten zu verbergen), Ersetzen von Werten durch ihren Hash (Hashing)

Umsetzungshinweise zu Control 8.12:

  • Die Notwendigkeit von Data Leakage Prevention (DLP)-Lösungen hängt vom Schutzbedarf der Daten und der Exposition der IT-Systeme ab, z.B. bei Verarbeitung sensibler Daten wie Gesundheits- oder Kreditkartendaten.
  • Ihr Einsatz erfordert einen Abwägungsprozess aufgrund des erhöhten Verwaltungsaufwands. Alternativ können Maßnahmen in Betracht gezogen werden wie:
    • die Identifizierung schützenswerter Informationen,
    • das Need-to-Know-Prinzip,
    • Verschlüsselung,
    • Richtlinien für mobile Speichermedien und
    • Mitarbeiterschulungen.

Zur Compliance benötigst du:

  • Erstelle und veröffentliche eine Richtlinie zur Datenaufbewahrung (Data Retention Policy), die festlegt, wie deine Organisation Daten löscht, die nicht mehr benötigt werden.
  • Bewahre die Ergebnisse der durchgeführten Datenlöschungen deiner Organisation und deiner Dienstleister auf.
  • Erstelle und veröffentliche eine Zugriffskontrollrichtlinie (Access Control Policy), die definiert, wie Datenmaskierung angewendet werden soll.
  • Setze Datenmaskierung in Übereinstimmung mit deiner Zugriffskontrollrichtlinie (Access Control Policy) um.
  • Lege Beweise für die ergriffenen Maßnahmen zur Verhinderung von Datenlecks vor.
  • Nutze Tools zur Verhinderung von Datenlecks, um die unbefugte Offenlegung sensibler Informationen zu identifizieren, zu überwachen und zu erkennen.
  • Dokumentiere die Verfahren, die deine Organisation zum Schutz von Testdaten anwendet.

Identity und Access Management / Identitäts- und Zugriffsmanagement

Identitäts- und Zugriffsmanagement ist der Schlüssel zur Sicherstellung, dass nur berechtigte Personen Zugang zu Systemen und Daten haben. Es regelt die Vergabe, Überwachung und Revokation von Zugriffsrechten.

Access management (Controls 5.15, 5.16, 5.17 und 5.18)

Das Zugriffsmanagement gewährleistet, dass nur autorisierte Personen Zugang zu Systemen und Daten erhalten. Es regelt die Vergabe, Überwachung und Revokation von Zugriffsrechten.

Betroffene Controls:

  • Control 5.15 Zugangskontrolle (Access control) gehört zur Kategorie Organisatorisch
  • Control 5.16 Identitätsmanagement (Identity management) gehört zur Kategorie Organisatorisch ist um den gesamten Lebenszyklus aller Identitäten zu managen.
  • Control 5.17 Authentifizierungsinformationen (Authentication information) gehört zur Kategorie Organisatorisch. Dies betrifft vor allem Passwörter und Verfahren wie 2FA und MFA.
  • Control 5.18 Zugriffsrechte (Access rights) gehört zur Kategorie Organisatorisch

Umsetzung:

  1. Definition der Zugriffsrichtlinien basierend auf dem Prinzip der geringsten Rechte.
    Diese Aspekte berücksichtigen: Bestimmung der Zugriffsanforderungen für verschiedene Entitäten, Sicherstellung der Anwendungssicherheit, Implementierung geeigneter physischer Zugangskontrollen, Autorisierung des Zugriffs auf Informationen nach dem Need-to-Know-Prinzip und Einschränkungen für privilegierten Zugriff.
  2. Einrichtung eines Verfahrens für die Zugriffsanforderung und -genehmigung.
  3. Implementierung von Authentifizierungs- und Autorisierungsmechanismen.
  4. Regelmäßige Überprüfung der Zugriffsrechte und -protokolle.
  5. Entfernung oder Anpassung von Zugriffsrechten bei Änderungen der Nutzerrolle oder -status.

Zur Compliance benötigst du:

  • Erstelle und veröffentliche eine Richtlinie zur Zugangskontrolle (Access Control Policy) gemäß Control 5.15.
  • Entwickle und halte Verfahren zur Zuweisung, Verwaltung und Aufhebung von Identitäten fest (identity management process), entsprechend der Control 5.16.
  • Richte Verfahren zur Passwortverwaltung (password management process) ein und dokumentiere diese gemäß Control 5.17.
  • Führe Schulungs- und Sensibilisierungsprogramme durch, um Nutzerinnen und Nutzer über die Bedeutung der Passwortsicherheit aufzuklären.
  • Etabliere und dokumentiere Prozesse zur Verwaltung von Zugriffsrechten (access rights management process) in Übereinstimmung mit Control 5.18.

System and application access control (Controls 8.2, 8.3, 8.4 und 8.5)

System- und Anwendungszugriffskontrollen dienen dem Schutz von Informationen vor unbefugtem Zugriff, sowohl intern als auch extern.

Würde sich jeder im Unternehmen mit vollen Admin-Rechten in alle Systeme einloggen können, wäre das natürliche eine Katastrophe für das Unternehmen. Diese Controls stellen sicher, dass der Zugang zu Systemen gut geregelt ist.

Betroffene Controls:

  • Control 8.2 Privilegierte Zugriffsrechte (Privileged access rights) gehört zur Kategorie Technologisch. Hier geht es um Konten die irgendeine Art von Administrativen Rechten besitzen.
  • Control 8.3 Einschränkung des Informationszugriffs (Information access restriction) gehört zur Kategorie Technologisch
  • Control 8.4 Zugang zum Quellcode (Access to source code) gehört zur Kategorie Technologisch
  • Control 8.5 Sichere Authentifizierung (Secure authentication) gehört zur Kategorie Technologisch. Dies beinhaltet eine Authorized Use Notice, Schutz gegen Brute-Force Attacken und das aufzeichnen von erfolgreichen und erfolglosen Anmelde-Versuchen.

Umsetzung:

  1. Implementierung von Passwortrichtlinien und -verwaltung.
  2. Einrichtung von Mehrfaktor-Authentifizierung, wo möglich.
  3. Einsatz von Verschlüsselungstechniken für sensible Daten.
  4. Sicherstellung der sicheren Konfiguration von Systemen und Anwendungen.
  5. Überwachung und Protokollierung von Zugriffsversuchen und -aktivitäten.

Zur Compliance benötigst du:

  • Etabliere einen Prozess, um den privilegierten Zugang zu beschränken und zu verwalten.
  • Zeige Belege dafür, dass der Zugriff auf Informationen und Systeme gemäß deiner Zugriffskontrollrichtlinie eingeschränkt ist.
  • Führe einen Prozess ein, um Lese- und Schreibzugriffe auf Quellcode, Entwicklungswerkzeuge und Softwarebibliotheken zu steuern.
  • Setze sichere Authentifizierungsverfahren gemäß Control 8.5 um.

Supplier Relationship Security / Sicherheit in der Lieferantenbeziehung

Die Sicherheit in Lieferantenbeziehungen adressiert Risiken, die durch Dritte entstehen. Es geht darum, die Sicherheitsanforderungen klar zu definieren und in allen Phasen der Zusammenarbeit durchzusetzen.

Supplier relationships security (Controls 5.19, 5.20 und 5.21)

Die Sicherheit in Lieferantenbeziehungen stellt sicher, dass Drittanbieter die Sicherheitsstandards eines Unternehmens einhalten und keine zusätzlichen Risiken einführen.

Betroffene Controls:

  • Control 5.19 Informationssicherheit in Lieferantenbeziehungen (Information security in supplier relationships) gehört zur Kategorie Organisatorisch. Hier sollen Prozesse implementiert werden, durch die man die Sicherheitsrisiken managen kann, die von Lieferanten kommen.
  • Control 5.20 Berücksichtigung von Informationssicherheit in Lieferantenverträgen (Addressing information security within supplier agreements) gehört zur Kategorie Organisatorisch. (Was darf der Lieferant machen, worauf kann er zugreifen, Mindestanforderungen an die Cybersecurity, Kooperation bei Sicherheitsvorfällen, Monitoring)
  • Control 5.21 Verwaltung der Informationssicherheit in der ICT-Lieferkette (Managing information security in the ICT supply chain) gehört zur Kategorie Organisatorisch. Hier geht es auch um die Lieferanten deiner Lieferanten.

Umsetzung:

  1. Bewertung der Sicherheitspraktiken und -fähigkeiten von Lieferanten vor der Vertragsunterzeichnung.
  2. Integration von Sicherheitsanforderungen in Lieferantenverträge. (incl. Zugangsrechte zu Informationen und Möglichkeiten um deren Security Controls zu überprüfen)
  3. Regelmäßige Überwachung und Bewertung der Sicherheitsleistung von Lieferanten.
  4. Management von Sicherheitsvorfällen, die Lieferanten betreffen.
  5. Durchführung von Sicherheitsaudits bei Lieferanten, wenn nötig.

Zur Compliance benötigst du:

  • Formuliere und kommuniziere eine Richtlinie zur Informationssicherheit für Lieferantenbeziehungen (information security policy for supplier relationships).
  • Stelle sicher, dass Anforderungen an die Informationssicherheit in allen Lieferantenverträgen enthalten sind.
  • Integriere Kontrollmechanismen für die Lieferkette in deine Verträge mit ICT-Lieferanten.

Managing supplier service delivery and cloud services security (Controls 5.22 und 5.23)

Das Management der Dienstleistungserbringung durch Lieferanten und die Sicherheit von Cloud-Diensten sichert die Einhaltung der Sicherheitsanforderungen und -praktiken.

Betroffene Controls:

  • Control 5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten (Monitoring, review and change management of supplier services) gehört zur Kategorie Organisatorisch
  • Control 5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten (Information security for use of cloud services) gehört zur Kategorie Organisatorisch. Prozesse für das bestellen, nutzen, managen und kündigen von Cloud Services.

Umsetzung:

  1. Festlegung klarer Service-Level-Agreements (SLAs) bezüglich Sicherheit. (e.g. Übermittlung von Service Reports)
  2. Durchführung von Risikobewertungen für externe Dienstleistungen.
  3. Implementierung von Kontrollmechanismen für die Datenübertragung zu und von Drittanbietern.
  4. Überprüfen wie der Dienstleister mit Sicherheitsvorfällen umgeht.
  5. Sicherstellung, das (bzw. überprüfen wie) die Services auch bei größeren Ausfällen und Katastrophen geliefert werden.
  6. Sicherstellung der Einhaltung von Datenschutz- und Sicherheitsgesetzen bei Cloud-Diensten.
  7. Regelmäßige Überprüfung der Dienstleistungserbringung und Sicherheitsmaßnahmen der Lieferanten.

Umsetzungshinweise zu Control 5.23:

  • Die Cloud-Policy muss Punkte wie Verantwortlichkeiten, Freigabeprozesse, Sicherheit in Lieferantenverträgen und risikobasierte Sicherheitsanforderungen beschreiben.
  • Typische Sicherheitsanforderungen könnten zum Beispiel sein:
    • Nutzung von Multi-Faktor-Authentifizierung
    • Verschlüsselung von Informationen bei Speicherung und Übertragung
    • Schwachstellen- und Patchmanagement
    • State-of-the-Art-Maßnahmen zur Erkennung und Abwehr von netzwerkbasierten Angriffen.
  • Je nach gewähltem Cloud-Service-Modell gibt es Unterschiede, ob der Cloud-Anbieter oder der Cloud-Nutzer die einzelnen Anforderungen erfüllen oder umsetzen muss.
  • Alle genutzten Cloud-Services sollten in einer zentralen Übersicht aufgelistet und Verantwortlichkeiten zugewiesen werden (im Lieferantenmanagement oder einem separaten Cloud-Register).

Zur Compliance benötigst du:

  • Beschreibe, wie dein Unternehmen die Dienstleistungserbringung der Lieferanten überwacht.
  • Leg Belege für durchgeführte Überprüfungen der Lieferanten vor.
  • Erstelle eine Richtlinie für Cloud-Dienste, die festlegt, wie dein Unternehmen Informationssicherheitsrisiken beim Einsatz von Cloud-Diensten handhabt.
  • Nehme die Cloud-Anbietern in eine zentrale Übersicht (Lieferantenmanagement) auf.

Information Security Event Management / Verwaltung von Informationssicherheitsereignissen

Das Management von Informationssicherheitsereignissen (Security Incidents) befasst sich mit der Erkennung, Untersuchung und Behebung von Sicherheitsvorfällen. Schnelles und effektives Handeln minimiert potenzielle Schäden.

Information security incident management (Controls 5.24, 5.25, 5.26, 5.27, 5.28 und 6.8)

Das Management von Informationssicherheitsvorfällen beinhaltet die Vorbereitung auf, das Erkennen von, das Reagieren auf und das Wiederherstellen von Sicherheitsvorfällen, um den Schaden zu minimieren.

Security Events und Security Incidents kann man wie folgt unterscheiden:

Sicherheitsereignisse / Security EventsSicherheitsvorfälle / Security Incidents
fehlgeschlagene Anmeldeversucheerfolgreicher unbefugter Zugriff
Empfang von Phishing-E-Mailskompromittierung des Benutzerkontos durch Phishing
Erkennung von VirenAusbreitung einer Malware-Infektion im Netzwerk

Sicherheitsereignisse können zu Sicherheitsvorfällen fürhren. Sicherheitsvorfälle können zu Datenverlust, Systemausfällen und kritischen Auswirkungen auf das Unternehmen führen.

Betroffene Controls:

  • Control 5.24 Planung und Vorbereitung des Incident-Managements für Informationssicherheit (Information security incident management planning and preparation) gehört zur Kategorie Organisatorisch. Das Ziel dieses Controls ist eine rasche, effektive, konsistente und gut organisierte Antwort auf Sicherheitsvorfälle parat zu haben.
  • Control 5.25 Bewertung und Entscheidung zu Sicherheitsereignissen (Assessment and decision on information security events) gehört zur Kategorie Organisatorisch. Hier geht es darum wie Sicherheitsereignisse zu Sicherheitsvorfällen klassifizert werden.
  • Control 5.26 Reaktion auf Sicherheitsvorfälle (Response to information security incidents) gehört zur Kategorie Organisatorisch. Hier geht es nun aum die Reaktion auf Sicherheitsvorfälle. (Der Incident Response Plan ist ein notwendiges Dokument für ISO27001 Compliance)
  • Control 5.27 Lernen aus Sicherheitsvorfällen (Learning from information security incidents) gehört zur Kategorie Organisatorisch
  • Control 5.28 Evidenzsammlung (Collection of evidence) gehört zur Kategorie Organisatorisch
  • Control 6.8 Berichterstattung über Sicherheitsereignisse (Information security event reporting) gehört zur Kategorie Personell

Tieferes Wissen ist im ISO/IEC 27035 (international incident management standard) definiert.

Umsetzung:

  1. Entwicklung eines Incident-Response-Plans inklusive Prozesse, Rollen und Verantwortlichkeiten
    • Eindämmung der von dem Vorfall betroffenen Systeme
    • Sammlung von Beweismitteln
    • ggf. Eskalation
    • Kommunikation mit allen Beteiligten, die Bescheid wissen müssen
    • Aufzeichnung und Abschluss des Vorfalls
    • forensische Analyse
    • Ermittlung der Grundursachen (root cause analysis).
  2. Einrichtung eines Incident-Response-Teams.
  3. Schulung der Mitarbeitenden in der Erkennung und Meldung von Sicherheitsvorfällen.
  4. Schnelle Reaktion auf Sicherheitsvorfälle zur Schadensminimierung.
  5. Nachbereitung von Sicherheitsvorfällen, um zukünftige Vorfälle zu verhindern.

Zur Compliance benötigst du:

  • Schreibe einen Incident Response Plan der mindestens enthält:
    • Zuständigkeiten und Verfahren des Managements
    • Wie Ereignisse und Schwachstellen der Informationssicherheit gemeldet werden sollen
    • Wie Sicherheitsereignisse bewertet werden, um zu bestimmen, ob es sich um tatsächliche Sicherheitsvorfälle handelt
    • Wie deine Organisation auf Sicherheitsvorfälle reagiert, einschließlich der Sammlung und des Schutzes digitaler Beweise
  • Bereitstellung von Berichten über frühere Sicherheitsvorfälle

Logging und Monitoring (Controls 8.15, 8.16 und 8.17)

Logging und Monitoring (von System Event Logs) sind essenziell, um Sicherheitsvorfälle zu erkennen, zu analysieren und darauf zu reagieren. Sie bieten Einblick in verdächtige Aktivitäten und Systemzustände.

ISO27001 stellt sicher, dass auch die richtigen Events geloggt werden.

Betroffene Controls:

  • Control 8.15 Logging (Logging) gehört zur Kategorie Technologisch. Erzeuge, speichere, schütze und analysiere Logs, die Aktivitäten, Exceptions, Fehler und andere relevante Events aufzeichnen. (z.B. Login, Logout, Änderungen von Konfigurationen, Admin Aktivitäten). Auch die Dauer der Aufzeichnung ist wesentlich. (min 90 Tage)
  • Control 8.16 Überwachung der Logs (Monitoring activities) gehört zur Kategorie Technologisch. Erkennung von Anomalitäten (ungeplantes Beenden von Applikationen, Erkennung von Aktivitäten, die für Malware typisch sind, unautorisiertes scannen von Systemen und Netzwerken) und festlegen einer Baseline.
  • Control 8.17 Zeitsynchronisation (Clock synchronization) gehört zur Kategorie Technologisch

Umsetzung:

  1. Einrichtung von Protokollierungs- und Überwachungstools. (SIEM)
  2. Definition der Protokollierungsrichtlinien und -verfahren.
  3. Sicherstellung der Integrität und Sicherheit der Protokolldaten.
  4. Regelmäßige Analyse der Protokolldaten auf Anzeichen von Sicherheitsvorfällen.
  5. Anpassung der Überwachungsstrategie basierend auf erkannten Bedrohungen und Schwachstellen.

Umsetzungshinweise zu Control 8.16:

  • Die Grundlage für die Sicherheitsanforderungen ist die Aktivierung von Erkennungs- und Meldungsfunktionen in IT-Systemen oder Anwendungen und das Reagieren darauf. Die Notwendigkeit zusätzlicher Überwachungslösungen hängt vom Risiko ab. Sicherheitsüberwachung sollte mindestens umfassen:
    • Internetverkehr (ein- und ausgehend)
    • Zugriffe auf kritische Systeme und Anwendungen
    • Logs von Sicherheitstools (z.B. Antivirus, IDS/IPS, Webfilter, Firewalls)
    • Ressourcennutzung (CPU, Festplatten, Speicher, Bandbreite)

Zur Compliance benötigst du:

  • Stelle sicher, dass deine Ereignisprotokolle die gemäß ISO 27002 empfohlenen Informationen erfassen.
  • Beweise, dass die Ereignisprotokolle regelmäßig überprüft werden.
  • Schütze Log-Informationen vor Manipulation und unbefugtem Zugriff.
  • Identifiziere abweichendes Verhalten, indem du es mit einer etablierten Basislinie vergleichst.
  • Synchronisiere die Systemuhren mit genehmigten Zeitquellen und dokumentiere, wie dies erfolgt.

Continuity

Kontinuitätsmanagement sichert den Fortbestand kritischer Geschäftsprozesse auch im Falle von Störungen oder Katastrophen. Es umfasst Vorbereitung, Reaktion und Wiederherstellung.

Continuity (Controls 5.29, 5.30 und 8.6)

Kontinuitätsmanagement sichert den Betrieb kritischer Geschäftsprozesse während und nach einem Vorfall. Es umfasst die Planung, Implementierung und Überprüfung von Maßnahmen zur Risikominderung und Wiederherstellung.

Betroffene Controls:

  • Control 5.29 Informationssicherheit während Störungen (Information security during disruption) gehört zur Kategorie Organisatorisch. Dieses Control schützt Informationen und andere dazugehörige Assets während Ausfällen.
  • Control 5.30 ICT-Bereitschaft für Geschäftskontinuität (ICT readiness for business continuity) gehört zur Kategorie Organisatorisch. Zweck ist die Verfügbarkeit von Informationen und dazugehörigen Assets sicherzustellen indem die IT- und Kommunikationssysteme im Störungsfall innerhalb einer akzeptablen Zeit wiederhergestellt werden. Dies ist wichtig, damit die Unternehmensziele auch bei einem Ausfall der Kommunikationssysteme weiterhin erreicht werden können.
  • Control 8.6 Kapazitätsmanagement (Capacity management) gehört zur Kategorie Technologisch. Dies ist wichtig, da Systeme aufgrund Kapazitätsmangel offline gehen können.

Die ISO/IEC 22301 behandelt Business Continuity Management Systems

Die ISO/TS 22317 beschreibt die BIA guidelines

Umsetzung:

  1. Identifikation kritischer Geschäftsprozesse und zugehöriger Ressourcen.
  2. Durchführung regelmäßiger Risikoanalysen und Business Impact Analysen (BIA) dabei wird RTO und RPO für jede Aktivität festgelegt.
  3. Entwicklung und Implementierung eines Business Continuity Plans (BCP) mit der BIA als Input.
  4. Planung und Durchführung von Übungen und Tests des BCP.
  5. Überprüfung und Aktualisierung des BCP basierend auf Testergebnissen und veränderten Bedingungen.

Umsetzungshinweise zu Control 5.30:

  • Grundsätzlich sollten für alle kritischen IT-Systeme, Anwendungen und IT-Infrastrukturen angemessene Redundanzen implementiert werden. Zusätzlich sollte ein Plan existieren, der beschreibt, wie im Falle eines Ausfalls zu reagieren ist. Ein solcher Notfallplan sollte unter anderem folgende Punkte enthalten:
    • Beschreibung der betroffenen Assets (IT-Systeme, Anwendungen oder IT-Infrastrukturen)
    • Beschreibung des Ausfallszenarios
    • Sofortmaßnahmen
    • Interne und externe Ansprechpartner
    • Wiederherstellungspläne
  • Es bleibt noch zu klären, was eigentlich als „kritisch“ eingestuft werden sollte. Der beste Weg dies zu tun, ist die Definition der maximal tolerierbaren Ausfallzeit (MTA) für IT-Systeme, Anwendungen und IT-Infrastrukturen. Es könnte zum Beispiel festgelegt werden, dass Redundanzen etabliert und ein Notfallplan vorhanden sein muss für alle Systeme, bei denen die MTA 24 Stunden beträgt.
  • Übungen sollten durchgeführt und Dokumentiert werden. Nach diese Dokumentation kann beim Audit gefragt werden.

Zur Compliance benötigst du:

  • Führe eine Geschäftsauswirkungsanalyse (BIA / Business Impact Analysis) durch, die die Wiederherstellungszeitobjekte (RTOs) und Wiederherstellungspunkte (RPOs) für Geschäftsaktivitäten definiert.
  • Entwickle einen Geschäftskontinuitätsplan (BCP / Business Continuity Plan), der festlegt, wie deine Organisation Störungen managen und darauf reagieren wird.
  • Entwickle und teste Sicherheitsfortführungsprozesse und integriere sie in den BCP.
  • Entwickle und befolge einen Kapazitätsmanagementplan.

Backup und Verfügbarkeit (Controls 8.13 und 8.14)

Backup und Verfügbarkeitsmanagement sind essentiell, um Datenverluste zu verhindern und die fortlaufende Verfügbarkeit von Diensten und Informationen sicherzustellen.

Betroffene Controls:

  • Control 8.13 Informationssicherung (Information backup) gehört zur Kategorie Technologisch
  • Control 8.14 Redundanz von Informationsverarbeitungsanlagen (Redundancy of information processing facilities) gehört zur Kategorie Technologisch. Um die gewünschte Verfügbarkeit sicher zu stellen.

Umsetzung:

  1. Festlegung einer Backup-Strategie, die Geschäftsanforderungen und Risikobewertungen berücksichtigt.
  2. Implementierung von Lösungen zur Datensicherung und -wiederherstellung.
  3. Sicherstellung der regelmäßigen Überprüfung und Aktualisierung von Backup-Verfahren.
  4. Planung für Redundanz und Failover, um hohe Verfügbarkeit zu gewährleisten.
  5. Durchführung regelmäßiger Tests der Wiederherstellungsprozesse und -systeme.

Zur Compliance benötigst du:

  • Verfasse und befolge eine Sicherungsrichtlinie, die sich an den Empfehlungen der ISO 27002 orientiert.
    • Ausrichtung von Backup-Plänen an Geschäftsanforderungen, Sicherheitsanforderungen und Informationskritikalität.
    • Aufbewahrung von Backups entweder physisch oder logisch getrennt, sodass sie im Falle einer Katastrophe am Hauptstandort nicht beschädigt werden können
    • Definiere die Aufbewahrungsanforderungen des Unternehmens
    • Backups verschlüsseln
    • Backups und die Fähigkeit zur Datenwiederherstellung regelmäßig testen
  • Lege Nachweise über Redundanz in den Informationsverarbeitungssystemen und -anlagen vor.
  • Teste, ob das Umschalten von einer Komponente auf eine andere wie vorgesehen funktioniert.

Legal, Compliance und Security Assurance

Rechtliche Konformität und Sicherheitszusicherung beziehen sich auf die Einhaltung gesetzlicher, regulatorischer und vertraglicher Sicherheitsanforderungen. Dies schützt das Unternehmen vor rechtlichen Risiken und stärkt das Vertrauen der Stakeholder.

Legal und Compliance (Controls 5.31, 5.32 und 5.33)

Rechtskonformität und Compliance stellen sicher, dass Organisationen gesetzliche, regulatorische und vertragliche Sicherheitsanforderungen erfüllen.

Betroffene Controls:

  • Control 5.31 Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen (Legal, statutory, regulatory and contractual requirements) gehört zur Kategorie Organisatorisch
  • Control 5.32 Geistiges Eigentum (Intellectual property rights) gehört zur Kategorie Organisatorisch. Dieses Control soll rechtliche Schritte gegen Ihre Organisation wegen der unbefugten Nutzung von urheberrechtlich geschütztem Material verhindern.
  • Control 5.33 Schutz von Aufzeichnungen (Protection of records) gehört zur Kategorie Organisatorisch

Umsetzung:

  1. Identifikation relevanter Gesetze, Vorschriften und Vertragsanforderungen.
  2. Bewertung der bestehenden Sicherheitsmaßnahmen hinsichtlich ihrer Compliance.
  3. Implementierung notwendiger Maßnahmen zur Sicherstellung der Einhaltung.
  4. Durchführung regelmäßiger Compliance-Überprüfungen und -Audits.
  5. Anpassung der Sicherheitsmaßnahmen an Änderungen in der Rechtslage.

Zur Compliance benötigst du:

  • Halte eine aktuelle dokumentierte Analyse der rechtlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen vor, einschließlich einer Beschreibung, wie diese Anforderungen erfüllt werden. Für alle Länder, in denen das Unternehmen agiert.
  • Stelle Nachweise bereit, dass deine Organisation ihre rechtlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen erfüllt.
  • Verfasse eine Richtlinie zum Schutz von geistigem Eigentum.
  • Definiere regelkonforme Nutzung von Software und Informationsprodukten.
  • Bewahre Nachweise über Lizenzen für alle verwendeten Softwareprodukte auf.
  • Führe Softwareinventuren durch, um eine ordnungsgemäße Lizenzierung sicherzustellen.
  • Dokumentiere Regeln für die Entsorgung ungenutzter Software oder deren Übertragung an andere.
  • Verfasse eine Richtlinie zur Aktenverwaltung, die Regeln zum Schutz von Akten umreißt, einschließlich Richtlinien für Lagerung, Handhabung, Verantwortungsketten und Entsorgung.
  • Entwickle einen Aufbewahrungszeitplan, der die Dauer für die Aufbewahrung von Akten angibt.
  • Klassifiziere Akten basierend auf der Informations-Sicherheitsklassifizierungspolitik oder -standards deiner Organisation.
  • Wähle Datenspeichersysteme, die eine zeitnahe Wiederherstellung und Formatierung der erforderlichen Unterlagen ermöglichen.

Information security assurance (Control 5.35 und 5.36)

Informationssicherheitszusicherung befasst sich mit der kontinuierlichen Überprüfung und Verbesserung der Wirksamkeit von Sicherheitsmaßnahmen.

Betroffene Controls:

  • Control 5.35 Unabhängige Überprüfung der Informationssicherheit (Independent review of information security) gehört zur Kategorie Organisatorisch
  • Control 5.36 Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit (Compliance with policies, rules and standards for information security) gehört zur Kategorie Organisatorisch. Hier geht es darum dass Manager und Information Owners überprüfen müssen, ob die Information Security Anforderungen eingehalten werden. (Teile können auch automatisiert durchgeführt werden. z.B. Vulnerability Scans, interne Pentests, interne Secutity Reviews)

Umsetzung:

  1. Durchführung regelmäßiger Sicherheitsbewertungen und -audits.
  2. Überwachung von Sicherheitsindikatoren zur Bewertung der Sicherheitslage.
  3. Einleitung korrigierender Maßnahmen zur Behebung identifizierter Schwachstellen.
  4. Verfolgung von Verbesserungsmaßnahmen und Überprüfung ihrer Wirksamkeit.
  5. Engagement für kontinuierliche Verbesserung im Bereich der Informationssicherheit.

Zur Compliance benötigst du:

  • Berichte von unabhängigen Sicherheitsüberprüfungen
  • Ein dokumentiertes Programm oder eine Richtlinie für das Schwachstellenmanagement, oder beides
  • Dokumentierte Sicherheitsüberprüfungsprozesse und -verfahren
  • Nachweise über Sicherheitsüberprüfungen, Korrekturmaßnahmen und deren Ergebnisse

Human Resource Security / Sicherheit des Personalwesens

Die Sicherheit im Bereich Human Resources zielt darauf ab, Mitarbeiter im Kontext der Informationssicherheit zu sensibilisieren, zu schulen und entsprechende Verhaltensweisen zu fördern.

Nicht jeder Mitarbeiter ist gleich verlässlich. Spielschulden, Scheidungen und auch andere Aspekte eines Mitarbeiters können für dein Unternehmen wesentliche Sicherheitsrisiken bedeuten.

Vor der Einstellung des Mitarbeiters (Controls 6.1 und 6.2)

Sicherheitsmaßnahmen vor der Einstellung dienen dazu, sicherzustellen, dass neue Mitarbeiter die Sicherheitsanforderungen des Unternehmens verstehen und erfüllen.

Betroffene Controls:

  • Control 6.1 Screening (Screening) gehört zur Kategorie Personell. Schützt dein Unternehmen davor, jemanden einzustellen, der eventuell ein Sicherheitsrisiko werden kann.
  • Control 6.2 Arbeitsvertrag (Terms and conditions of employment) gehört zur Kategorie Personell

Umsetzung:

  1. Durchführung von Sicherheitsüberprüfungen (Background Checks) im Rahmen des Einstellungsprozesses. Dies kann beinhalten:
    • Überprüfung der Identität des Kandidaten
    • Charakter- oder Arbeitszeugnisprüfungen
    • Überprüfung des Lebenslaufs
    • Bonitätsprüfung (z.B. mittels KSV)
    • Zuverlässigkeitsüberprüfung (Innenministerium)/Strafregisterbescheinigung (Online)
  2. Sicherstellung, dass Bewerber über die erforderliche Sicherheitsbewusstsein und -kompetenz verfügen.
  3. Unterzeichnung von Vertraulichkeits- und Sicherheitsvereinbarungen (NDA – Non Disclosure Agreement) durch neue Mitarbeiter.
  4. Bereitstellung von Informationen über Sicherheitsrichtlinien und -verfahren.

Zur Compliance benötigst du:

  • Dokumentiere ein Verfahren für Hintergrundüberprüfungen, das spezifiziert:
    • Was deine Überprüfung beinhaltet
    • Wer die Überprüfung durchführt
    • Wie und wann sie durchgeführt wird
  • Führe Hintergrundüberprüfungen bei Stellenbewerbern durch und bewahre Aufzeichnungen dieser Überprüfungen auf
  • Arbeite mit der Personalabteilung zusammen, um sicherzustellen, dass die Bedingungen der Arbeitsverträge für alle Angestellten und Auftragnehmer vorliegen und dass sie die Verantwortlichkeiten des Personals zum Schutz von Informationen enthalten
  • Bewahre Aufzeichnungen aller abgeschlossenen Arbeitsverträge für Angestellte und Auftragnehmer auf

Während des Dienstverhältnisses (Controls 6.3, 6.4, 6.5 und 6.6)

Sicherheitsmaßnahmen während der Beschäftigung umfassen die fortlaufende Sensibilisierung, Schulung und Überwachung von Mitarbeitern hinsichtlich Sicherheitspraktiken.

Betroffene Controls:

  • Control 6.3 Informationssicherheitsbewusstsein, Schulung und Ausbildung (Information security awareness, education and training) gehört zur Kategorie Personell
  • Control 6.4 Disziplinarverfahren (Disciplinary process) gehört zur Kategorie Personell
  • Control 6.5 Verantwortlichkeiten nach Beendigung oder Änderung des Beschäftigungsverhältnisses (Responsibilities after termination or change of employment) gehört zur Kategorie Personell
  • Control 6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen (Confidentiality or non-disclosure agreements) gehört zur Kategorie Personell

Umsetzung:

  1. Bereitstellung regelmäßiger Schulungen und Bewusstseinsprogramme zur Informationssicherheit.
  2. Entwickeln eines NDA für Mitarbeiter, das in den Arbeitsvertrag eingebaut ist oder zusätzlich vom Mitarbeiter unterfertigt werden muss.
  3. Entwickeln eines NDA für externe Untertnehmen und Partner
  4. Überprüfung und Aktualisierung der Zugriffsrechte von Mitarbeitern bei Rollenänderungen.
  5. Durchführung regelmäßiger Leistungsüberprüfungen unter Berücksichtigung der Sicherheitspraktiken.
  6. Etablierung eines Prozesses zur Meldung von Sicherheitsvorfällen und -bedenken durch Mitarbeiter.
  7. Implementierung von Disziplinarverfahren bei Verstößen gegen Sicherheitsrichtlinien.

Zur Compliance benötigst du:

  • Zeige, dass neue Mitarbeiter und Auftragnehmer über ihre Verantwortung zum Schutz von Informationen aufgeklärt werden.
  • Entwickle ein Sicherheitsbewusstseins- und Schulungsprogramm für Mitarbeiter und Auftragnehmer, das ihnen ihre Verantwortlichkeiten im Bereich der Informationssicherheit vermittelt und ihr Bewusstsein für Sicherheitsbedrohungen schärft.
  • Verfasse und befolge einen Disziplinarprozess in Übereinstimmung mit Control 6.4.
  • Arbeite mit der Personalabteilung zusammen, um sicherzustellen, dass dokumentierte Informationssicherheitsanforderungen vorliegen, wenn Mitarbeiter und Auftragnehmer das Unternehmen verlassen oder sich ihre Beschäftigung innerhalb der Organisation ändert.
  • Zeige, wo Informationssicherheitsanforderungen in deinem Vertraulichkeitsabkommen oder den Arbeitsvertrag enthalten sind.
  • Verlange von Mitarbeitern und externen Parteien, die mit den Informationen deiner Organisation umgehen, das Unterzeichnen von Vertraulichkeits- oder Geheimhaltungsvereinbarungen.

Physical Security / Physische Sicherheit

Physische Sicherheit schützt die materiellen Vermögenswerte (Assets) eines Unternehmens, einschließlich Gebäuden und Hardware, vor physischen Bedrohungen. Ein solider Schutz ist grundlegend für die Informationssicherheit.

Ensuring authorized access (Controls 7.1, 7.2 und 7.3)

Die Gewährleistung des autorisierten Zugangs zu Räumlichkeiten und Systemen verhindert unbefugten physischen und logischen Zugriff.

Der Ausdruck Sicherheitsperimeter (Security Perimeters) bezieht sich auf physische oder virtuelle Grenzen, die sichere Bereiche definieren, in denen der Zugang und die Nutzung von Informationen und Informationsverarbeitungseinrichtungen strengen Zugangskontrollen unterliegen. z.B. Türen, Fenster Dach, Wände, Boden und Plafon.

Betroffene Controls:

  • Control 7.1 Physische Sicherheitsperimeter (Physical security perimeters) gehört zur Kategorie Physisch
  • Control 7.2 Physischer Zugang (Physical entry) gehört zur Kategorie Physisch. Z.B. Aufzeichnen, we zu welchem Zeitpunkt eintritt. Tragen einer Badge.
  • Control 7.3 Sicherung von Büros, Räumen und Einrichtungen (Securing offices, rooms and facilities) gehört zur Kategorie Physisch

Umsetzung:

  1. Implementierung von Zugangskontrollsystemen und Authentifizierungsverfahren.
  2. Definition und Durchsetzung von Zugangsrichtlinien.
  3. Überwachung und Protokollierung des Zugangs zu sensiblen Bereichen.
  4. Regelmäßige Überprüfung der Zugangsberechtigungen und -protokolle.
  5. Schnelle Deaktivierung des Zugangs bei Beendigung der Berechtigung.

Zur Compliance benötigst du:

  • Verfasse und befolge eine Richtlinie zur physischen Sicherheit sowie unterstützende Verfahren, die von deiner Organisation verlangen, diese Controls einzuhalten.
  • Lege Beweise vor, dass die entsprechenden physischen Sicherheitskontrollen vorhanden sind.

Protecting secure areas (Controls 7.4, 7.5 und 7.6)

Der Schutz sicherer Bereiche umfasst Maßnahmen zur physischen Sicherung von Orten, an denen sensible Informationen verarbeitet oder gespeichert werden.

Betroffene Controls:

  • Control 7.4 Physische Sicherheitsüberwachung (Physical security monitoring) gehört zur Kategorie Physisch. Dies betrifft Überwachung mittels Kamera und anderen Systemen.
  • Control 7.5 Schutz vor physischen und Umweltgefahren (Protecting against physical and environmental threats) gehört zur Kategorie Physisch. Schutz gegen absichtlich (z.B. Einbruch) oder unabsichtlich (z.B. Feuer, Erdbeben, Überflutung) entstandene Physischen Bedrohungen.
  • Control 7.6 Arbeiten in sicheren Bereichen (Working in secure areas) gehört zur Kategorie Physisch. Hier geht es um Design und Maßnahmen beim Arbeiten in Sicheren Bereichen wie z.B. Server Raum

Umsetzung:

  1. Gestaltung sicherer Bereiche unter Berücksichtigung von Sicherheitsanforderungen.
  2. Einsatz von Sicherheitsmaßnahmen wie Überwachungskameras und Alarmanlagen.
  3. Zugangsbeschränkungen für nicht autorisiertes Personal.
  4. Sicherung von Fenstern, Türen und anderen Zugangspunkten.
  5. Regelmäßige Sicherheitsüberprüfungen und -anpassungen basierend auf Risikobewertungen.

Umsetzungshinweise zu Control 7.4:

  • Beim Betrieb von Servern oder technischen Räumen ist oft eine Kameraüberwachung nötig, um unbefugten Zugang oder verdächtiges Verhalten schnell zu erkennen.
  • Wichtige Komponenten der Überwachung sollten sicher aufgestellt und regelmäßig auf ihre Funktionsfähigkeit sowie Datenschutzkonformität geprüft werden.
  • Sollte eine ständige Überwachung als nicht notwendig oder umsetzbar gelten, muss dies risikobasiert dokumentiert und bewertet werden, besonders wenn keine kritische IT-Infrastruktur vorliegt oder sensible Daten verarbeitet werden.

Zur Compliance benötigst du:

  • Setze Maßnahmen zur Überwachung der physischen Sicherheit um, einschließlich ständiger Zugangskontrolle und Tests von Einbruchserkennungssystemen.
    • Kontinuierliche Überwachung des Zugangs zu Gebäuden, die kritische Systeme auf unbefugten Zutritt oder verdächtiges Verhalten enthalten
    • Prüfung von Kontakt-, Ton- oder Bewegungsmeldern, um sicherzustellen, dass sie Einbruchalarme auslösen
    • Wahrung der Vertraulichkeit des Designs von Überwachungssystemen und Schutz vor unbefugtem Zugriff
    • Anordnung der Alarmsystemsteuerungszentrale in einer Alarmzone mit manipulationssicheren Mechanismen.
  • Entwickle und implementiere Schutzvorkehrungen gegen physische und umweltbedingte Bedrohungen.
  • Lege Sicherheitsmaßnahmen für die Arbeit in gesicherten Bereichen fest, wie das Abschließen leerer Räume und die Regulierung der Nutzung von Aufzeichnungsgeräten.

Equipment security (Controls 7.7, 7.8, 7.9 und 7.10)

Sicherheitsmaßnahmen für Geräte schützen Hardware vor Diebstahl, Beschädigung und unbefugtem Zugriff.

Betroffene Controls:

  • Control 7.7 Leerer Schreibtisch und leerer Bildschirm (Clear desk and clear screen) gehört zur Kategorie Physisch. Wegräumen von Informationen, Dokumenten damit die Information nicht verloren gehen oder zerstört werden können.
  • Control 7.8 Standort und Schutz von Geräten (Equipment siting and protection) gehört zur Kategorie Physisch. Kein Essen oder Trinken beim Laptop oder im Server Raum. Aber auch das überwachen von Temperatour und Luftfeuchtigkeit in Server Räumen.
  • Control 7.9 Sicherheit von Assets außerhalb des Firmengeländes (Security of assets off-premises) gehört zur Kategorie Physisch
  • Control 7.10 Speichermedien (Storage media) gehört zur Kategorie Physisch

Umsetzung:

  1. Physische Sicherung von Geräten und Ausrüstung.
  2. Einsatz von Diebstahlsicherungen und Sicherheitsschlössern.
  3. Regelmäßige Wartung und Überprüfung der Gerätesicherheit.
  4. Einbauen von Aspekten in die Mitarbeiterschulungen (z.B. Umgang mit Endgeräten in der Öffentlichkeit)
  5. Kümmere dich um den Sicheren Umgang mit Speichermedien wie USB Sticks oder Harddists/SSDs (z.B. Verschlüsselung, Wiederverwertung oder Löschung)
  6. Sicherer Entsorgungs- und Recyclingprozess für Altgeräte.
  7. Überwachung der Gerätenutzung und -bewegung.

Zur Compliance benötigst du:

  • Verfasse und veröffentliche eine Richtlinie zur physischen Sicherheit, die diese Sicherheitskontrollen für Geräte einschließt.
  • Verfasse und veröffentliche eine Richtlinie für eine klare Schreibtisch- und Bildschirmordnung.
  • Verfasse und veröffentliche eine Richtlinie für Wechselspeichermedien (removable storage media policy) gemäß den Anforderungen von Control 7.10.

Versorgungsleistungen, Verkabelung und Equipment Management (Controls 7.11, 7.12, 7.13 und 7.14)

Die Sicherung von Versorgungsleistungen, Verkabelung und Ausrüstung gewährleistet die Integrität und Verfügbarkeit von Informationsverarbeitungsservices.

Wenn Versorgungsleistungen wie Strom, Gas, Wasser oder Kühlung ausfallen oder unterbrochen werden, können Informationsressourcen beeinträchtigt oder die Geschäftskontinuität unterbrochen werden.

Betroffene Controls:

  • Control 7.11 Unterstützende Versorgungsleistungen (Supporting utilities) gehört zur Kategorie Physisch
  • Control 7.12 Kabelsicherheit (Cabling security) gehört zur Kategorie Physisch
  • Control 7.13 Gerätewartung (Equipment maintenance) gehört zur Kategorie Physisch
  • Control 7.14 Sichere Entsorgung oder Wiederverwendung von Geräten (Secure disposal or re-use of equipment) gehört zur Kategorie Physisch

Umsetzung:

  1. Erstelle Mechanismen um die Versorgungsleistungen sicherzustellen und richte Alarme für den Schadensfall ein
  2. Sicherstellung der physischen Sicherheit von Kabelwegen und Versorgungsleitungen.
  3. Schutz kritischer Infrastrukturen vor Umwelteinflüssen.
  4. Implementierung von Redundanzen für wichtige Versorgungsdienste.
  5. Regelmäßige Überprüfung und Wartung der physischen Infrastruktur.
  6. Verwaltung der Lagerung und Sicherung von Ausrüstung.

Zur Compliance benötigst du:

  • Verfasse und befolge eine Richtlinie zur physischen Sicherheit (physical security policy), die verlangt, dass deine Organisation diesen Controls entspricht.
  • Lege Beweise vor, dass die angemessenen physischen Controls vorhanden sind.

System and Network Security / System- und Netzwerksicherheit

System- und Netzwerksicherheit umfasst technische Maßnahmen zum Schutz von IT-Infrastrukturen gegen Cyberangriffe und Datenlecks. Hier steht die Absicherung der technologischen Basis im Vordergrund.

Network security management (Controls 8.20, 8.21, 8.22 und 8.23)

Netzwerksicherheitsmanagement umfasst Strategien und Maßnahmen zum Schutz von Daten während ihrer Übertragung über Netzwerke.

Betroffene Controls:

  • Control 8.20 Netzwerksicherheit (Networks security) gehört zur Kategorie Technologisch. Netzwerke und Netzwerkdevices müssen gemanaged werden, damit sie Informationen im System und in den Applikationen schützen. (z.B. prozesse, Authentication und Restrictions von Systemen, die in das Netzwerk dürfen, Logging und Monitoring)
  • Control 8.21 Sicherheit von Netzwerkdiensten (Security of network services) gehört zur Kategorie Technologisch. Behandelt Sicherheitsmechanismen, Service Levels und Service Anforderungen von Netzwerkdiensten. (z.B. Firewalls, IDS)
  • Control 8.22 Trennung von Netzwerken (Segregation of networks) gehört zur Kategorie Technologisch. Netzwerktechnisches Abgrenzen von Service Gruppen, Benutzer und Systemen, damit sich Sicherheitsvorfälle nicht ausdehnen können. z.B. Öffentliches WiFi vom internen Netzwerk, Benutzer Systeme von den Servern, Finance und ERP Systeme von anderen Teilen des Netzwerks.
  • Control 8.23 Webfilterung (Web filtering) gehört zur Kategorie Technologisch. Erfordert, dass dein Unternehmen den Zugriff auf externe Websites verwaltet, um die Gefährdung durch schädliche Inhalte zu verringern.

ISO/IEC 27033 ist der offizielle Standard für IT Netzwerksicherheit.

Umsetzung:

  1. Berücksichtige Netzwerksegmentierung im Risk Assessment
  2. Einsatz von Firewall- und Intrusion-Detection-Systemen.
  3. Verschlüsselung sensibler Datenübertragungen.
  4. Segmentierung des Netzwerks zur Begrenzung des Zugriffs.
  5. Überwachung und Analyse des Netzwerkverkehrs auf verdächtige Aktivitäten.
  6. Regelmäßige Aktualisierung und Konfiguration von Netzwerkgeräten.

Umsetzungshinweise zu Control 8.23:

  • Die Basisanforderung lässt sich durch die Webfilter-Funktion in gängigen Browsern, wie z.B. „Erweitertes sicheres Browsen“ in Google Chrome, erfüllen.
  • Diese Grundschutzmaßnahme sollte durch weitere Aktionen wie Mitarbeiterschulungen, Virenschutz und eingeschränkte Benutzerrechte unterstützt werden.
  • Eine Risikoanalyse ist nötig, um die Angemessenheit des Schutzes zu prüfen. Die Möglichkeit zur Analyse des Internetverkehrs durch erweiterte Webfilter hängt von der Erlaubnis zur privaten Internetnutzung ab und muss datenschutzkonform sein.

Zur Compliance benötigst du:

  • Dokumentiere aktuelle Netzwerkkontrollen wie:
    • Zugriffskontrolllisten
    • Authentifizierungssysteme
    • Netzwerk- und Protokollüberwachung
  • Dokumentiere Netzwerkdienste und die damit verbundenen Controls, Service-Level und Managementanforderungen.
  • Gliedere dein Netzwerk in separate Domänen mit angemessenen Controls.
  • Identifiziere nicht autorisierte Webseiten und implementiere Maßnahmen, um diese zu blockieren.

Schutz von Informationssystemen (Controls 8.7, 8.18, 8.30 und 8.34)

Der Schutz von Informationssystemen beinhaltet Maßnahmen zur Sicherung von Systemen und Anwendungen gegen Cyberbedrohungen.

Betroffene Controls:

  • Control 8.7 Schutz vor Malware (Protection against malware) gehört zur Kategorie Technologisch
    Fordert, dass dein Unternehmen Schutz vor Malware implementiert und diesen mit entsprechendem Benutzerbewusstsein unterstützt.
  • Control 8.18 Verwendung privilegierter Dienstprogramme (Use of privileged utility programs) gehört zur Kategorie Technologisch
    Der Zweck dieses Controls besteht darin, das Risiko zu verringern, dass Dienstprogramme als Hintertüren verwendet werden, um unbefugten Zugriff auf Systeme und Anwendungen zu erhalten. (z.B. Registry Edit, PowerShell, Computermanager oder alle Systemtools oder Dienstprogramme, für deren Funktion Administratorrechte erforderlich sind.)
  • Control 8.30 Outsourcing der Entwicklung (Outsourced development) gehört zur Kategorie Technologisch
    Diese Kontrolle ist für die Umsetzung notwendiger Maßnahmen zur Sicherung von Software und Anwendungen, die von externen Anbietern entwickelt werden, gewährleistet.
  • Control 8.34 Schutz von Informationssystemen während der Auditprüfung (Protection of information systems during audit testing) gehört zur Kategorie Technologisch

Umsetzung:

  1. Implementierung von Antivirus/EDR-Software und Malware-Schutz.
  2. Blockiere die Nutzung von bekannter oder verdächtiger Websites
  3. Anwendung von Patch-Management-Verfahren zur Sicherstellung aktueller Software.
  4. Einsatz von Endpunkt-Sicherheitslösungen.
  5. Sicherung von Webanwendungen und -diensten.
  6. Schule deine Mitarbeiter wie sie Malware erkennen und darauf reagieren.
  7. Durchführung regelmäßiger Sicherheitsüberprüfungen und -tests.

Zur Compliance benötigst du:

  • Installiere Antimalware/Antivirus/EDR-Software auf allen Systemen, um mutmaßliche Malware zu erkennen und in Quarantäne zu setzen.
  • Führe regelmäßige Sensibilisierungsschulungen für Benutzer zum Thema Malware und zum Schutz dagegen durch.
  • Entwickle einen Plan zur Wiederherstellung nach Malware-Angriffen.
  • Beschränke die Nutzung von privilegierten Dienstprogrammen gemäß der Anleitung für Control 8.18.
  • Fordere vertraglich von Drittanbieterentwicklern, sichere Design-, Programmier- und Testpraktiken zu befolgen.
  • Dokumentiere die Controls, die deine Organisation für die Auditierung von Informationssystemen implementiert hat.

Threat and Vulnerability Management and Secure Configuration / Bedrohungs- und Schwachstellenmanagement sowie sichere Konfiguration

Bedrohungs- und Schwachstellenmanagement sowie sichere Konfigurationen sind entscheidend, um Sicherheitslücken zu identifizieren und zu schließen. Es geht um die kontinuierliche Überwachung und Anpassung der Sicherheitseinstellungen.

Threat and vulnerability management (Controls 5.7 und 8.8)

Bedrohungs- und Schwachstellenmanagement identifiziert, bewertet und behebt Sicherheitslücken, um potenzielle Risiken zu minimieren.

Betroffene Controls:

  • Control 5.7 Threat intelligence (Threat intelligence) gehört zur Kategorie Organisatorisch
    Es fordert, Informationen bezüglich Sicherheitsbedrohungen zu sammeln und zu analysieren, um Threat Intelligence zu produzieren. Der Zweck dieses Controls besteht darin, ein Bewusstsein für die Bedrohungsumgebung deiner Organisation zu schaffen, damit du die angemessenen Minderungsmaßnahmen ergreifen kannst.
  • Control 8.8 Verwaltung technischer Schwachstellen (Management of technical vulnerabilities) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, zeitnah Informationen über Schwachstellen in den von deiner Organisation genutzten Systemen zu beschaffen, diese Schwachstellen zu bewerten, um die Risikoexposition deiner Organisation zu bestimmen, und angemessene Schritte zu unternehmen, um dieses Risiko zu minimieren.

Umsetzung:

  1. Regelmäßige Schwachstellen-Scans und Risikobewertungen.
  2. Entwicklung eines Plans zur Behebung oder Minderung von Schwachstellen.
  3. Überwachung von Bedrohungsinformationen und Sicherheitswarnungen.
  4. Subscribe zu Security Updates von cisa.gov (oder ähnlichen Services)
  5. Durchführung von Penetrationstests zur Bewertung der Sicherheit.
  6. Aktualisierung von Sicherheitsmaßnahmen basierend auf Bewertungsergebnissen.

Umsetzungshinweise zu Control 5.7:

  • Um über Bedrohungen informiert zu bleiben, sind verschiedene Quellen für Threat-Intelligence-Feeds online verfügbar. Es ist entscheidend, regelmäßig die verfügbaren Informationen zu bewerten und Schlussfolgerungen zu ziehen.
  • Threat Intelligence kann in drei Ebenen unterteilt werden: strategische Threat Intelligence, taktische Threat Intelligence und operative Threat Intelligence. Operative Threat Intelligence hat typischerweise einen sehr kurzen Lebenszyklus, da viele Indikatoren für Kompromittierungen (IoCs) schnell veralten. Die Verarbeitung dieser Informationen erfolgt in der Regel automatisch in Sicherheitslösungen (z.B. Antivirus, Firewalls oder Mail-Gateways). Daher sollte der Fokus insbesondere auf strategischer und taktischer Threat Intelligence liegen. Typische Quellen für diese Art von Informationen umfassen Herstellerwarnungen, vertrauenswürdige Websites, Sicherheits-Whitepapers oder den Jahresberichte.
  • Ziel hierbei ist es zu demonstrieren, dass Threat-Informationen regelmäßig überprüft und an die relevanten Parteien (Administratoren, CISO, Geschäftsführung) weitergegeben werden, damit geeignete Gegenmaßnahmen ergriffen werden können. Dies könnte beispielsweise in Form eines internen Threat-Intelligence-Berichts erfolgen, in dem überprüfte Quellen, Erkenntnisse und potenzielle Gegenmaßnahmen aufgelistet werden.

Zur Compliance benötigst du:

  • Sammle und analysiere Bedrohungsdaten.
  • Erstelle Prozesse zur Integration von Bedrohungsdaten (threat intelligence) in das Sicherheitsrisikomanagement und in technische Maßnahmen.
  • Implementiere ein formelles Schwachstellenmanagementprogramm, das den Empfehlungen der ISO 27002 für Control 8.8 entspricht.

Secure configuration (Controls 8.9, 8.19 und 8.24)

Sichere Konfiguration von Systemen und Anwendungen verhindert unbefugten Zugriff und minimiert Sicherheitsrisiken.

Betroffene Controls:

  • Control 8.9 Konfigurationsmanagement (Configuration management) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, Konfigurationen von Hardware, Software, Diensten und Netzwerken zu etablieren, zu dokumentieren, zu implementieren, zu überwachen und zu überprüfen. Der Zweck dieses Controls besteht darin, sicherzustellen, dass deine Betriebssysteme korrekt mit den erforderlichen Sicherheitseinstellungen funktionieren und dass unbefugte oder fehlerhafte Änderungen die Konfigurationen nicht verändern.
  • Control 8.19 Installation von Software auf Betriebssystemen (Installation of software on operational systems) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, Verfahren und Maßnahmen zur sicheren Verwaltung der Softwareinstallation auf Betriebssystemen zu implementieren. Der Zweck dieses Controls besteht darin, die Integrität der Betriebssysteme zu gewährleisten und die Ausnutzung technischer Schwachstellen zu verhindern.
  • Control 8.24 Verwendung von Kryptographie (Use of cryptography) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, Regeln für die wirksame Nutzung von Kryptografie, einschließlich des Managements kryptografischer Schlüssel, zu definieren und zu implementieren. Der Zweck dieses Controls besteht darin, den korrekten Einsatz von Kryptografie zum Schutz von Informationen basierend auf geschäftlichen und sicherheitstechnischen Bedürfnissen zu gewährleisten, während gleichzeitig rechtliche und regulatorische Anforderungen eingehalten werden.

ISO/IEC 11770 ist der Standard für Key Management.

Umsetzung:

  1. Entwicklung und Implementierung von Baseline-Sicherheitskonfigurationen.
  2. Einsatz von Konfigurationsmanagement-Tools zur Überwachung und Durchsetzung.
  3. Deaktivierung unnötiger Dienste und Funktionen.
  4. Sicherstellung der Sicherheit von Standardbenutzerkonten und -passwörtern.
  5. Regelmäßige Überprüfung und Anpassung der Konfigurationen.

Umsetzungshinweise zu Control 8.9:

  • Für kritische Systeme sollte eine Standardkonfiguration nach Best Practices festgelegt werden, die unter anderem minimale administrative Zugriffe, Deaktivierung unnötiger Nutzer und Dienste, Änderung von Standardpasswörtern vorsieht sowie „Timeouts“ für Inaktivität
  • Die Nutzung von Automatisierungstools wie Ansible, Terraform, AWS CloudFormation, … garantieren eine sichere und konsistente Konfiguration.

Zur Compliance benötigst du:

  • Definiere und wende Härtungsstandards für alle Betriebssysteme an.
  • Überwache die Konfigurationen deiner Systeme und stelle sicher, dass sie konform bleiben.
  • Dokumentiere Verfahren zur Kontrolle der Softwareinstallation auf deinen Betriebssystemen.
  • Führe Aufzeichnungen über jegliche Softwareänderungen und -installationen durch, die von deiner Organisation durchgeführt werden.
  • Verfasse und setze eine Richtlinie über den Einsatz kryptografischer Maßnahmen durch.
  • Verfasse und setze eine Richtlinie über die Nutzung und den Schutz kryptografischer Schlüssel während ihres gesamten Lebenszyklus durch.

Application Security

Anwendungssicherheit befasst sich mit der Entwicklung und Wartung von Software, die vor Angriffen geschützt ist. Dies umfasst sichere Codierungspraktiken, Tests und regelmäßige Updates.

Secure development (Controls 8.25, 8.26, 8.27 und 8.28)

Sichere Entwicklungsmethoden integrieren Sicherheitsüberlegungen in den Softwareentwicklungslebenszyklus, um robuste und sichere Anwendungen zu erstellen. Du kennst vielleicht den Begriff DevSecOps, der betont, wie Softwareentwicklung, Sicherheit und Betrieb zusammenarbeiten sollten. Hier geht es genau um das!

Betroffene Controls:

  • Control 8.25 Sicherer Development Life Cycle (Secure development life cycle) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, Regeln für die sichere Entwicklung von Software und Systemen zu etablieren und anzuwenden. Der Zweck dieses Controls besteht darin, sicherzustellen, dass Informationssicherheit innerhalb des sicheren Entwicklungslebenszyklus von Software und Systemen konzipiert und implementiert wird.
  • Control 8.26 Anforderungen an die Anwendungssicherheit (Application security requirements) gehört zur Kategorie Technologisch
    Erfordert von deiner Organisation, Informationssicherheitsanforderungen zu identifizieren, zu spezifizieren und zu genehmigen, wenn Anwendungen entwickelt oder angefordert werden. Der beste Weg, die Sicherheitsanforderungen für deine Anwendungen zu identifizieren, besteht darin, eine Risikobewertung durchzuführen.
  • Control 8.27 Sichere Systemarchitektur und technische Grundsätze (Secure system architecture and engineering principles) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, Prinzipien für die Entwicklung sicherer Systeme zu etablieren, zu dokumentieren, zu pflegen und auf alle Aktivitäten zur Entwicklung von Informationssystemen anzuwenden. Der Zweck dieses Controls besteht darin, sicherzustellen, dass deine Informationssysteme während des gesamten Entwicklungslebenszyklus sicher entworfen, implementiert und betrieben werden.
  • Control 8.28 Sicheres Codieren (Secure coding) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, sichere Programmierprinzipien bei der Softwareentwicklung anzuwenden. Der Zweck dieses Controls besteht darin, sicherzustellen, dass die Software sicher geschrieben wird, was die Anzahl potenzieller Informationssicherheitsschwachstellen in der Software reduziert.

Umsetzung:

  1. Anwendung von Sicherheitsprinzipien im Design- und Entwicklungsprozess. (einbinden in die Secure Development Policy von Control 8.25)
  2. Durchführung von Sicherheitsüberprüfungen und Codeanalysen.
  3. Einsatz von Entwicklungsrichtlinien und Standards zur Sicherheit. (Secure programming techniques, pair programming, SASTs, hebandliung von entdeckten Schwachstellen)
  4. Schulung von Entwicklern in sicheren Programmierpraktiken.
  5. Integration von Sicherheitstests in den Entwicklungsprozess.

Umsetzungshinweise zu Control 8.28:

  • Bei der agilen Softwareentwicklung sind oft schon wichtige Sicherheitsaspekte integriert. Dazu gehören:
    • Qualifikation der Entwickler
    • Sicheres Design und Architektur
    • Threat Modeling
    • Sichere Programmierung (Pair Programming, Refactoring, Peer Review)
    • Tests während und nach der Entwicklung
    • Schutz des Quellcodes
    • Management und regelmäßige Aktualisierung externer Abhängigkeiten.

Zur Compliance benötigst du:

  • Führe Risikobewertungen durch, um Risiken zu identifizieren, die mit Anwendungen verbunden sind.
  • Identifiziere und spezifiziere Anforderungen an die Informationssicherheit für Anwendungen.
  • Dokumentiere die Implementierung angemessener Maßnahmen, um die identifizierten Anforderungen an die Informationssicherheit zu adressieren.
  • Dokumentiere Anforderungen an die Anwendungssicherheit und Prinzipien der sicheren Systementwicklung.
  • Verfasse, veröffentliche und setze eine Richtlinie für sichere Entwicklung durch.

Testing, Trennung von Entwicklungs/Test/Produktionsumgebung und Change Management (Controls 8.29, 8.31 und 8.32)

Testen, separate Umgebungen und Change management sorgen für die Sicherheit und Stabilität von Anwendungen während des Entwicklungsprozesses.

Betroffene Controls:

  • Control 8.29 Sicherheitstests in Entwicklung und Abnahme (Security testing in development and acceptance) gehört zur Kategorie Technologisch
    Es erfordert von deiner Organisation, Sicherheitstestprozesse im Entwicklungszyklus zu definieren und zu implementieren. Der Zweck dieses Controls besteht darin zu validieren, ob die Anforderungen an die Informationssicherheit während der Bereitstellung von Anwendungen oder Code in die Produktionsumgebung erfüllt werden.
  • Control 8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen (Separation of development, test and production environments) gehört zur Kategorie Technologisch
    Der Prozess der Entwicklung und des Testens von Software kann Probleme für Produktionssysteme verursachen, wenn sie auf demselben System oder in derselben Umgebung durchgeführt werden. Daher ist dieses Control darauf ausgelegt, diese Risiken zu reduzieren. Es erfordert von deiner Organisation, Entwicklungs-, Test- und Produktionsumgebungen zu trennen und zu sichern, um die Wahrscheinlichkeit unbefugten Zugriffs oder unbefugter Änderungen an der Produktionsumgebung und den Daten zu verringern.
  • Control 8.32 Änderungsmanagement (Change management) gehört zur Kategorie Technologisch
    Dieses Control erfordert von deiner Organisation, bei Änderungen an Informationsverarbeitungsanlagen und Informationssystemen die Grundsätze des Changemanagements zu befolgen. Dies ist darauf ausgelegt, die Informationssicherheit bei der Durchführung von Änderungen zu bewahren.

Umsetzung:

  1. Einrichtung separater Entwicklung-, Test- und Produktionsumgebungen.
  2. Durchführung umfassender Tests gegen spezifizierte Requirements
  3. Führe Secure Coding Praktiken ein
  4. Change Control Procedures einführen:
    • Plane und bewerte die Auswirkungen von Änderungen unter Berücksichtigung aller Abhängigkeiten.
    • Hole die entsprechende Genehmigung ein, bevor Änderungen umgesetzt werden.
    • Teste Änderungen und stelle sicher, dass sie vordefinierte Akzeptanzkriterien erfüllen.
    • Passe Betriebsdokumentationen und Benutzerverfahren bei Bedarf an, um die Änderungen genau widerzuspiegeln.
    • Führe detaillierte Aufzeichnungen über alle Änderungen.

Zur Compliance benötigst du:

  • Dokumentation der Sicherheitstestprozesse, denen deine Organisation während des gesamten Entwicklungslebenszyklus der Anwendung folgt.
  • Dokumentation von gefundenen und behobenen Sicherheitsmängeln.
  • Logische oder physische Trennung von Entwicklungs-, Test- und Produktionsumgebungen.
  • Dokumentation deiner Änderungskontrollverfahren sowie das Verfassen einer Änderungsmanagementrichtlinie (change management policy).

Relevante Artikel

ISO27001 Implementationsleitfaden

Risikomanagement nach ISO27005

Relevante Glossareinträge

Cybersecurity Kennzahlen, die zählen!

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Herwart Wermescher

Managing Director

Herwart ist Gründer von kmusec.com und Cybersecurity-besessen seit 2011.

Artikel teilen!