Die Sicherheit einer IT-Umgebung zu gewährleisten ist eine Herkules-aufgabe. Mit der ISO-Zertifizierung 27001 steht jedoch eine Spezifikation zur Verfügung, in der die Rahmenbedingungen für eine sichere IT-Land-schaft festgelegt sind. Doch bei der Umsetzung in die Praxis lauern etli-che Falltüren. Netzheimer zeigt, worauf ein Unternehmen achten muss, das sich nach ISO 27001 zertifizieren lassen möchte.

Praxistipps: Mit ISO 27001 auf der sicheren Seite

Prozesse für die Sicherheit

Die Absicherung der Firmen-IT ist wichtig. Das ist dem IT-Lei- ter, der Geschäftsleitung und den Mitarbeitern klar. Denn IT- gestützte Prozesse sind essen- ziell für viele Firmen. Damit steigen die Anforderungen an die Sicherheit der IT-Infrastruk-tur und der Daten auf Rechnern, mobilen Geräten, Servern und Speicher-Systemen. Laut einer Studie des US-For-schungsinstituts Ponemon aus Michigan mussten deutsche Firmen 2010 im Schnitt 3,4 Millionen Euro aufbringen, um die Folgen einer Datenpanne zu beseitigen. Dafür sind nicht nur externe Hacker verantwortlich: In 36 Prozent der Fälle waren Mitarbeiter schuld, wenn in- terne Informationen in falsche Hände fielen. Unterstützung bei der Absicherung des Unterneh-mens bietet die ISO-Zertifizie-rung ISO 27001. Was dabei zu beachten ist, verraten Ihnen meine Tipps.Bei weiteren Fragen wenden Sie sich einfach an den Internet-Dienstleister Ihres Vertrauens. Viel Erfolg wünscht Ihnen

IhrFelix Netzheimer

Netzheimer rät

Checkliste // Zertifizierung ISO 27001

Neben finanziellen Folgen kann der sorg-lose Umgang mit IT-Sicherheit weitere ne-gative Folgen haben, etwa Image-Schä-den, wenn Datenlecks publik werden, Schadenersatzansprüche oder den Ver-lust von Kunden. Hinzu kommen Strafen bei groben Verstößen gegen das Bundes-datenschutzgesetz für IT-Verantwortliche und Geschäftsführer.

Um mit seiner Firmen-IT auf der sicheren Seite zu sein, können Unternehmen ihre IT gemäß ISO 27001 zertifizieren lassen. Im Gegensatz zum IT-Grundschutz-Katalog des Bundesamts für Sicherheit, der stär-

ker auf die Absicherung der technischen Infrastruktur abzielt, betrachtet die ISO 27001 Norm das Thema IT-Sicherheit aus Sicht des Managements. Der Haken da-bei: Die Norm enthält rund 130 Rege-lungen und Maßnahmen zum Thema Da-tensicherheit. Daher ist es relativ aufwändig, ISO 27001 in der Praxis umzu-setzen. So verlangt die Norm die Imple-mentierung eines Information-Security-Management-Systems ( = kurz genannt ISMS), einer Informationssicherheitsrichtli-nie und die regelmäßige Überprüfung durch Audits, die unabhängige und spezi-ell dazu zertifizierte Experten vornehmen.

Checkliste // Zertifizierung ISO 27001

Checkliste

Ohne die Firmenleitung geht nichtsSecurity Policies sind nur mit Unterstützung der Un-ternehmensleitung umzusetzen. Nicht nur, weil eine ISO-Zertifizierung aufwändig ist und Geld kostet. Die Geschäftsführung muss die notwendigen Ressourcen bereitstellen und der IT-Abteilung Rückendeckung ge-ben, damit diese die Einhaltung der ISO-Normen in der Praxis durchsetzen kann – bis hin zu arbeitsrechtlichen Konsequenzen bei Verstößen.

Den Rahmen für ISMS festlegenDas ISMS (= Information-Security-Management-System) ist das Herzstück der ISO 27001. In dieser Leitlinie wer-den grundlegende Fragen im Zusammenhang mit der Firmen-IT-Sicherheit beantwortet. Das Dokument muss nicht alle Maßnahmen detailliert beschreiben, sondern die Kernziele definieren, die ein Unternehmen mit der Einführung der ISO 27001 erreichen will.

Relevante gesetzliche Regelungen, Verordnungen und Vorgaben aufführenIn manchen Branchen gelten spezielle Vorgaben, was Datenschutz und IT-Sicherheit betrifft – etwa im Gesund-heitswesen oder im öffentlichen Bereich. Jedes Unter-nehmen und jede Einrichtung muss daher exakt wissen, welche speziellen Regelungen greifen, die Auswirkungen auf IT-Sicherheit und die Umsetzung der ISO-Norm ha-ben. Das schließt Compliance-Vorgaben mit ein.

Risikoeinschätzung treffenDie Risikoabschätzung ist der aufwändigste Zertifizie-rungsvorgang. Die Firma muss ermitteln, welche Infor-mationen besonders schützenswert sind, etwa Patente, Kundendaten etc., welchen Wert diese im Einzelnen ha-ben und welchen Gefahren sie ausgesetzt sind. Kriterien wie Vertraulichkeit, Verfügbarkeit von Informationen usw. werden hier angewandt und es wird ermittelt, welchen Schaden der Verlust oder die Manipulation solcher In-formationen mit sich bringen könnte. Bestandteil der Ri-sikoeinschätzung ist die Auflistung von Maßnahmen, die Risiken verringern. Anhand einer Liste fällt es leichter, je-des Risiko einzeln unter die Lupe zu nehmen und zu ent-scheiden, welche Maßnahmen sinnvollerweise ergriffen werden müssen und welche optional sind.

Inventarliste der schützenswerten Informationsbe-stände erstellenDie Inventarliste zu erstellen ist sehr zeitintensiv. Sie sollte enthalten, um welche Art von Information es sich handelt (strategische Daten, Projektpläne etc.), wem sie „gehören“, etwa dem Geschäftsführer, dem Vertriebsleiter oder dem IT-Chef, und wo sie lagern (in einer bestimmten Daten-bank, auf lokalen Client-Systemen).

Regeln für den Umgang mit Risiken erarbeitenDie ISO 27001 sieht 133 Maßnahmen vor, mit denen sich IT-Risiken minimieren oder beseitigen lassen. Meist ist nur ein Teil davon für ein Unternehmen relevant. Die-se Maßnahmen müssen aus dem Katalog herausgefiltert werden, inklusive der Begründung, warum einzelne Maß-nahmen anwendbar sind, andere nicht. Außerdem muss ein Plan erstellt werden, welche Mitarbeiter für einzelne Notfallmaßnahmen zuständig sind und wer auf Basis wel-cher Kriterien den Ernstfall ausruft. Natürlich sollten den Mitarbeitern entsprechende Ressourcen zur Verfügung stehen, etwa ein Budget für die Anschaffung von IT-Si-cherheitssystemen.

Mitarbeiter schulen und auf das neue „ISO-Zeitalter“ einstellenEinfach zu verkünden, „wir haben jetzt ISO 27001“, ist nicht hilfreich. Alle Mitarbeiter müssen wissen, was das konkret heißt und welche Regeln und Arbeitsprozesse damit verbunden sind. Das bedeutet eine regelmäßige Schulung der Kollegen. Wichtig ist, den Mitarbeitern den Nutzen einer ISO-27001-Zertifizierung klar zu machen.

Die Wirksamkeit von Maßnahmen überprüfenDies ist ein wichtiger, aber oft schwer realisierbarer Punkt. In einigen Fällen ist es relativ einfach, etwa wenn verein-bart wird, in bestimmten Zeiträumen Backups durchzu-führen. Ob sich aber Mitarbeiter an die Vorgabe halten, vertrauliche Dokumente ordnungsgemäß mit Schreddern zu entsorgen, ist schwerer zu kontrollieren.

Prüfen, ob das ISMS in der Praxis funktioniertEin zentraler Punkt sind hier Aufzeichnungen und Pro-tokolle. Sie sind auch deshalb wichtig, weil Prüfer diese Unterlagen beim ersten Audit oder der Rezertifizierung sehen wollen. Vermerkt werden muss unter anderem, wie viele und welche sicherheitsrelevanten Vorfälle („In-cidents“) auftreten und welche Gegenmaßnahmen ge-troffen wurden. Auch jede organisatorische Maßnahme, die Auswirkungen auf das ISMS haben kann, muss ver-zeichnet werden, etwa die Anbindung einer Außenstelle an das Firmennetz.

ISO 27001 wirklich lebenDie Zertifizierung gemäß ISO 27001 erhält nur, wer seine Sicherheitsmaßnahmen von einem unabhängigen Prüfer unter die Lupe nehmen lässt. Es findet alle drei Jahre eine „Rezertifizierung“ statt sowie eine jährliche Begut-achtung. Nur ein Unternehmen, welches ISO 27001 auch „lebt“, das also durch einen „Plan-Do-Check-Act Zyklus“ für ständige Verbesserungen sorgt, wird auch die Folge-prüfungen bestehen.

Noch eine Bemerkung zum Schluss: In einem gesun-den Unternehmen sind viele „ISO-Kriterien“ bereits er-füllt. Wer also mehr Aufwand betreiben muss als andere, braucht ISO deshalb umso mehr.

SpaceNet AG | Joseph-Dollinger-Bogen 14 | D-80807 München | Tel. (089) 323 56-0 | Fax (089) 323 56-299 | info@space.net

Praxistipps zur Umsetzung der ISO 27001 Zertifizierung