Wir berichteten bereits im Februar 2022 über die ISO 27002 im aktualisierten Gewand und zeigten die vielen Neuerungen, die den Standard auf den Stand der Zeit gebracht haben. Ende Oktober 2022 wurde nun auch die ISO 27001 aus der gleichen Normfamilie aktualisiert und dadurch der Anhang A mit den Maßnahmen (Controls) in Einklang gebracht. Doch was bedeutet dies für die Anwender und Unternehmen die es noch werden wollen?

Screenshot des englischen Titels der Norma ISO 27001: "Information security, cybersecurity and privacy protection - Informaiotn security management systems - Requirements"
Titel der neuen Version der ISO/IEC27001

Der neue Name

Stand die Norm in der Version aus 2013 noch unter der Überschrift „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ so zeigt der neue Titel „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ den Wandel vom reinen Management zum gelebten Schutz von Daten und Informationen. Auch wenn Datenschutz und Informationssicherheit unterschiedliche Positionen einnehmen können sollten sie in Kooperation umgesetzt werden, da sie sehr ähnliche Ziele verfolgen.

Der Anhang A

Wie bereits erwähnt finden nun die 93 Controls, der vormals 114 in Version 2013, in vier statt wie bisher 14 Abschnitten den Weg aus der aktuellen Version der 27002. Hinzu kommen die 11 neuen Maßnahmen die aktuellen Anforderungen, Bedrohungen und Herausforderungen, im Umgang mit Informationen, Rechnung tragen. Eine detaillierte Analyse der Änderungen in der ISO 27002:2022 finden Sie in unserem Artikel zu „ISO/IEC 27002:2022 – Was verändert die neue Version?“, aus dem Februar 2022.

Kleine Änderungen im Wortlaut

Zum aktuellen Zeitpunkt liegt uns die ISO 27001:2022 nur im englischen Wortlaut vor. Dennoch lassen sich ein paar kleineren Stellen bereits redaktionelle Änderungen erkennen.

  • In den Anmerkungen (NOTE 2 & 3) zu 6.1.3.c wurden die Kontrollziele „control objectives“ entfernt und das Wort „control“ durch „information security control“ ersetzt
  • 6.1.3.d wurde neu formatiert und die Anforderungen erscheinen übersichtlich als Liste
  • Die Gleiderung von Abschnitt 9.3 wurde geändert. Hier erscheinen nun die Unterabschnitte General (9.3.1), Managment review inputs (9.3.2) und Management review results (9.3.3)
  • Weiterhin taucht in 9.3.2.c die Änderung und Bedürfnisse von interessierten Parteien als neuer Teil des Management Reviews auf

Was bedeutet das nun für mein ISMS?

Da die neue Version am 25. Oktober 2022 veröffentlicht wurde und der Zeitplan eine Umstellungszeit von 3 Jahren vorsieht, muss Ihr laufendes ISMS bis spätestens November 2025 die neuen Anforderungen erfüllen. Ein Audit kann bei einem beliebigen Audit im 3-jährigen Übergangszeitraum oder im Rahmen eines speziellen Übergangsausdit erfolgen.

Wann Sie den Übergang zur neuen Version vollziehen bleibt dabei Ihnen überlassen. Sie sollten sich aber auf alle Fälle zeitnah mit den neuen Anforderungen beschäftigen und beginnen diese umzusetzen. Machen Sie sich also mit der neuen Version vertraut. Stellen Sie sicher, dass die Mitglieder ihrer Organisation die neuen Anforderungen kennen und verstehen. Ermitteln Sie Lücken, bilden Sie diese in einem Umsetzungsplan ab und setzen Sie die Maßnahmen um. Nach der Umsetzung können Sie ihr Managementsystem aktualisieren, um die Erfüllung der Anforderungen zu dokumentieren.

Mit ibi systems iris auf dem richtigen Weg

Screenshot der beiden Normversionen 2017 und 2022 der ISO 27001 als Kompendien in ibi systems iris.

Sollten Sie zur softwaregestützten Umsetzung der ISO 27001:2022 Fragen haben, stehen unsere Partner und wir gerne zur Verfügung.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

Vom ISMS zum IMS – Integration der Managementsysteme

Mit Integrierten Managementsystemen lassen sich Unternehmen ganzheitlich, transparent und effizient steuern! Prozesse werden in einem „End-to-End“-Kontext betrachtet, Strategien und Ziele lassen sich zentral und nachhaltig umsetzen. Gleichzeitig reduzieren Unternehmen damit den personellen, zeitlichen und finanziellen Aufwand.

Tausend Normen, ein System – #integration

#Digitalisierung #Nachhaltigkeit #Arbeitsschutz #Kulturwandel #Wettbewerbsdruck: In unserer rasanten und globalisierten Welt müssen sich moderne Unternehmen in zahlreichen, teils konkurrierenden Themenfeldern beweisen. Mittlerweile gibt es für fast jede Unit zertifizierbare Managementsysteme, die dabei unterstützen, die zahlreichen Herausforderungen zu meistern und dies von unabhängigen Institutionen bestätigen zu lassen – angefangen bei der ISO 9001 für das Qualitätsmanagement über die ISO 14001 für das Umweltmanagement, die ISO 50001 für das Energiemanagement, die ISO 45001 für Sicherheit und Gesundheit bei der Arbeit, die 37301 für Compliance, die 31000 für Risikomanagement bis hin zur ISO 27001 für die Informationssicherheit und die ISO 55001 für das Asset Management.

„Synergieeffekt“ lautet das Stichwort – Gebündelte Ressourcen, zentrales Management, zufriedene Mitarbeiter.

Ein IMS ermöglicht ein integriertes Auditprogramm für "N" Systeme und spart somit enorm Ressourcen ein.
Ein Audit für „N“ Systeme – #integration

Unternehmen, die mehrere Managementsysteme betreiben, leiden oft an der Dokumentation, der Vor- und Nachbereitung der internen wie externen Audits und an der laufenden Weiterentwicklung der Kernleistung des Unternehmens. Diese Maßnahmen binden personelle und finanzielle Ressourcen.

Mit einem Integrierten Managementsystem (IMS) lassen sich enorme Synergieeffekte erzielen: Es unterstützt, die Unternehmensstrategie und -ziele und die damit verbundenen Prozesse – salopp gesagt – „unter einen Hut“ zu bringen. Dies bedeutet, dass alle Anforderungen und Prozesse in den relevanten Bereichen in einem ganzheitlichen System fortlaufend konvergieren. So wird es ermöglicht, eine umfassende Transparenz und zentrale Steuerung aller Prozesse und Verfahren zu erzielen. Nicht zuletzt erleichtert ein IMS den Arbeitsalltag enorm und sichert damit auch die Akzeptanz der Mitarbeiter.

Somit hat die Integration mehrerer Managementsysteme das primäre Ziel, Ressourcen zu bündeln. Beispielsweise ermöglicht ein IMS die kombinierte Dokumentation zahlreicher Informationen und Prozesse. Audits, Awarenessmaßnahmen (Schulungen, interne Kommunikation, etc.) und Verbesserungsmaßnahmen hinsichtlich des IMS lassen sich kombiniert durchführen, was sich auf das Ressourcenkonto positiv zu Buche schlägt. Mithilfe der Integration ist es möglich, dass wenige Mitarbeiter für diese Aufgabe verantwortlich sind – dies ist besonders für kleinere und mittlere Unternehmen von enormen Vorteil.

„Die Formel“ – wo beginnt der Weg zum IMS?

Unternehmen nutzen als Referenzsystem meist das bereits vorhandene Qualitätsmanagementsystem (QMS) nach ISO 9001 und integrieren Schritt für Schritt weitere Systeme. Aber auch auf ein Informationssicherheitsmanagementsystemen (ISMS) nach ISO 27001 lässt sich hervorragend aufsetzen!

Dabei gilt: Wer das Leitsystem frühzeitig auf die Integration weiterer Systeme vorbereitet und auf eine integrierte Zertifizierung ausrichtet, profitiert schon zu Beginn von optimalen Prozessen und erzielt enorme Synergieeffekte. Die nahezu identischen Begriffe und Definitionen und der einheitliche Aufbau der Harmonized Structure (HS) erleichtern es, die Managementsysteme zu integrieren. Darüber hinaus können andere Begleitkonzepte wie etwa der Datenschutz, das Risikomanagement oder Changemanagement in das IMS ebenfalls eingebettet werden. Dies vermeidet Überschneidungen und Doppelarbeit.

Integration von Managementsystemen mit der Software „iris“

Ein Software wie "ibi systems iris" kann dabei unterstützen, dass die verschiedenen Lösungsbereiche konvergieren.
Zentrale Lösungen für „N“ Systeme – #integration

Für eine erfolgreiche und reibungslose Implementierung eines Integrierten Managementsystems (IMS) sollte von Anfang an eine gesamtheitliche (GRC-/IMS-)Software zur Unterstützung der definierten Prozesse eingesetzt werden. Die Software erleichtert dabei etwa das Management von Anforderungen (regulatorisch, intern, normativ), Risiken, Audits, Feststellungen und Maßnahmen.

Zunehmende regulatorische Anforderungen, Anforderungen seitens der Stakeholder, aber auch die regelrechte „Flut“ an Normen und Standards verdichten den bestehenden Anforderungsdschungel fortlaufend. Die systemgestützte Umsetzung eines IMS kann die Einhaltung diverser anderer Gesetze und Richtlinien hinsichtlich der zu integrierenden Managementsysteme gewährleisten. Hierzu unterstützt etwa der Funktionsbereich „Prüfungen“ in der Software ibi systems iris. Dadurch lassen sich individuelle Checklisten zu diversen Standards, Gesetzen und Normen erstellen sowie darauf aufbauend Prüfungen planen, durchführen und deren Ergebnisse in gängige Formate exportieren.

Risk
Harmonisierte Risikobetrachtung für „N“ Systeme – #integration

Durch die systematischen und präventiven Governance-Maßnahmen im Rahmen einer IMS-Einführung, lassen sich teure und ggf. existenzbedrohende Risiken vermeiden. Maßnahmen werden durch den Einsatz einer Software systematisch definiert, getrackt und umgesetzt. Maßnahmen-Kataloge können dazu in der Software ibi systems iris ebenfalls angelegt und zu Rate gezogen werden. Auch eingetretene Risiken, Sicherheitsvorfälle oder Notfälle und der systematisch geplante Umgang mit diesen kann so festgehalten und dokumentiert werden.

Es sollten Schnittstellen und Prozesse der jeweiligen Managementsysteme und die Software von Beginn an aufeinander abgestimmt werden. Ein solches Vorgehen gewährleistet eine konsistente und strukturierte Einführung eines Integrierten Managementsystems und vermeidet einen „Wildwuchs“ von Dokumenten und Excel-Listen.

Mit einer ganzheitlichen Software für GRC/IMS haben Sie jederzeit den vollen Überblick über alle Aspekte der unternehmenseigenen und nachhaltigen Governance. Mit Hilfe von Dashboards und Reports in der Software ibi systems iris ist ein übersichtlicher Statusbericht nur wenige Mausklicks entfernt.

Fazit

Die Einführung eines IMS bringt also viele Vorteile mit sich und sollte in jedem Fall in Verbindung mit einer geeigneten Software wie ibi systems iris umgesetzt werden. Im Bereich der IT-Sicherheit gibt es diverse Förderprogramme um Unternehmen auch finanziell zu unterstützen – zum Beispiel bei der Softwarebeschaffung für eine IMS-Implementierung. Der Freistaat Bayern bietet hier mit dem Digitalbonus für kleine und mittlere Unternehmen eine attraktive Möglichkeit, um sich für die Herausforderungen der digitalen Welt zu rüsten.

Vorteile mit ibi systems iris beim Aufbau des IMS

  • Integrierte Systemarchitektur und zentrale Datenbank zur Verwaltung aller relevanten Assets und Prozesse des IMS
  • Direkte Hinterlegung von Anforderungen (regulatorisch, intern, normativ), zugehörigen Dokumenten und Erstellung von Feststellungen bzw. Schwachstellen (Soll-/Ist-Abgleich inkl. Gap-Analyse)
  • Ständig aktueller und verfügbarer Nachweis über den Systemstatus im IMS Betrieb und bei der Zertifizierung der Managementsysteme
  • Zuständigkeiten für Assets und Prozesse sind klar definiert
  • Automatisierte Handlungsempfehlungen je Kategorie (Gefährdungen und Maßnahmen)
  • Modellierung inkl. (vererbten) Schutzbedarf
  • Erfassung, Bewertung und Behandlung der Risiken nach definiertem Risikoprozess
  • Tracking und aktive Steuerung definierter Maßnahmen
  • Regelmäßige oder Ad-hoc-Reports über aktuelle Risikolage abrufbar
  • Aktuelle Prüfergebnisse, Kennzahlen und Informationen zu Vorfällen, Risiken, Maßnahmen, etc.
  • Reportfunktion für nahezu alle relevanten Berieche inkl. Prüfungen bzw. Audits
  • Ad-hoc-Monitoring aller relevanten Aktivitäten mit der Dashboardfunktion

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Management Summary

Im Jahr 2013 wurde sie zum letzten Mal veröffentlicht. Jetzt, acht Jahre später, wird die ISO/IEC 27000 Normenreihe neu aufgearbeitet. Dabei steht zunächst der ISO/IEC 27002 in naher Zukunft die endgültige Veröffentlichung bevor. Die vorläufige Version, in der die umfassenden Änderungen eingesehen werden können, kann bereits erworben werden.

Doch was ist neu in der ISO/IEC 27002? Darauf möchten wir in diesem Beitrag genauer eingehen.

Neue Struktur

Die Struktur der ISO/IEC 27002 wurde von 14 Kapitel auf 4 Kapitel reduziert. Zusammengefasst wurden die Kapitel in:

  1. People controls (8 Controls – es sind einzelne oder mehrere Menschen betroffen)
  2. Physical controls (14 Controls – es sind physische Objekte betroffen)
  3. Technological controls (34 Controls – es sind die Technik betroffen)
  4. Organizational controls (37 Controls – es passt in keine der anderen drei Themenbereiche)

Controls

Auf der nächsten Ebene wurde der Aufbau der Controls geändert. Eine Control gliedert sich nun in die folgenden Bausteine:

  • Control title – Bezeichnung des Controls
  • Attribute – Die Tabelle zeigt Wert(e) des Attributs für das jeweilige Control
  • Control – Beschreibung des Controls
  • Purpose – Zweck des Controls wird erläutert (es gibt keine Ziele mehr in Unterabschnitten, dafür hat jede Control jetzt ihren eigenen Zweck)
  • Guidance – Implementierungsanleitung für das Control
  • Other Information – Erläuternder Text, Verweise auf zugehörige Dokumente.

Attribute

Nicht nur der Aufbau der Controls hat sich geändert. Jede Control wurde mit 5 Attributen ausgestattet, wobei jedem Attribut mindestens ein Wert mittels Hashtags (#) zugeordnet wird. Der Vorteil hierbei ist, dass die Controls somit semantisch zusammengefasst werden können.

Control typeInformation security propertiesCyber security conceptOperational capabilitiesSecurity domains
#Preventive (Prävntiv, Control, wirkt, bevor Bedrohung auftritt)
#Detective (Detektiv, Control wirkt, wenn eine Bedrohung auftritt)
#Corrective (Korrektiv, Control wirkt, nachdem eine Bedrohung aufgetreten ist)
#Confidentiality (Vertraulichkeit)
#Integrity (Integrität)
#Availability (Verfügbarkeit)
#Identify (Identifizieren von Assets)
#Protect (Schutz von Assets)
#Detect (Monitoring und Erkennen von Anomalien)
#Respond (Reaktionsprozesse auf Vorfälle und Notfälle )
#Recover (Prozesse zur Wiederherstellung des Normalzustands und zur Verbesserung nach Vorfällen)
#Governance
#Asset_management
#Information_protection
#Human_resource_security
#Physical_security
#System_and_network_security
#Application_security
#Secure_configuration
#Identity_and_access_management
#Threat_and_vulnerability_management
#Continuity
#Supplier_relationships_security
#Legal_and_compliance
#Information_security_event_management
#Information_security_assurance
#Governance_and_Ecosystem
#Protection
#Defence
#Resilience

Am Beispiel „5.1 Policies for Information security“ ist der Aufbau der Control ersichtlich:

Quelle: DRAFT INTERNATIONAL STANDARD ISO/IEC DIS 27002

Vorteil dieser Attribute

Nun kann nach individuellen Aspekten gefiltert werden. Zum Beispiel alle #Preventive Controls, welche auf das Schutzziel #Availability wirken.

Quelle: DRAFT INTERNATIONAL STANDARD ISO/IEC DIS 27002

So kann mit wenig Aufwand zielgerichtet agiert und das ISM nach individuellen Gegebenheiten bzw. Rangfolge ausgeprägt werden.

Ideale Unterstützung durch ibi systems iris

Anhand unseres Beispiels Filtern wir die aktuelle Draft der ISO/IEC 27002:2021 nach dem Control type #Corrective und Schutzziel #Availability. Als Ergebnis bekommen wir alle Controls ausgegeben die die entsprechenden Attribute enthalten. Dies lässt sich später selbstverständlich auch auf Risiken oder Maßnahmen anwenden.

Quelle: ibi systems iris

Just to Know – Was außerdem noch neu ist: Weggefallene und neue Controls

Die bisherigen 114 Controls wurden auf 93 komprimiert. Lediglich eine einzige Control, nämlich die „11.2.5 Removal of asset“ ist dabei tatsächlich weggefallen. Die Controls “8.2.3 Handling of Assets” und “16.1.3 Reporting information security weaknesses“ wurden in anderen Controls konsolidiert. Die übrigen Controls wurden zusammengefasst und komprimiert. Zudem wurden elf Controls neu aufgenommen:

ISO/IEC 27002 control identifierControl name
5.7Threat intelligence
5.23Information security for use of cloud services
5.30ICT readiness for business continuity
7.4Securing offices, rooms and facilities
8.9Configuration management
8.10Information deletion
8.11Data masking
8.12Data leakage prevention
8.16Monitoring activities
8.22Web filtering
8.28Secure coding

Die ISO/IEC27002:2022 – ein Fazit

Wie sich hier schon abzeichnet, bleiben die Komplexität und die Anforderungen der Norm von 2013 erhalten. Jedoch erscheint sie in einem neuen, verbesserten Gewand.

Aufgrund der stetigen Veränderung der Bedrohungslage im digitalen Raum wurde von der Normungsorganisation die ISO/IEC 27002 durch die Umstrukturierungen an einigen Stellen wesentlich expliziter gestaltet als die Vorgängerversion.

In Kapitel „5.7 Threat Intelligence“ beispielsweise wird die Sammlung und Auswertung von Informationen über Bedrohungen gefordert. Dies bedeutet zwar einen Mehraufwand, hilft den umsetzenden Organisationen aber dabei, ein aktuelles Bild von vorhandenen Bedrohungsszenarien vor Augen zu haben. Das dadurch entstandene Wissen kann dann dazu genutzt werden, Prozesse neu zu bewerten, verantwortliche Personen in der Organisation zu informieren und den Schutz der betroffenen Assets zu verbessern.

Ein weiterer, sehr wichtiger Punkt der Verjüngungskur wird in Kapitel „5.23 Information security for use of cloud services“ im Hinblick auf die Nutzung von Cloud-Infrastruktur deutlich. Auch hier geht das Update sehr viel genauer ins Detail als noch in früheren Fassungen der Norm. Neben Verantwortlichkeiten in der Organisation und die Prüfung der technisch organisatorischen Maßnahmen der Cloudanbieter fordert die Norm auch eine Exit-Strategie inklusive Maßnahmen und Prozessen für Informationssicherheitsvorfälle bei den Clouddiensten. Weiterhin wird in diesem und anderen Kapiteln ein stärkerer Fokus auf den Schutz von personenbezogenen Daten gelegt.

Auch wenn die ISO/IEC 27002 informativ und nicht normativ anzusehen ist, spiegeln sich in der Struktur der Norm der Umfang und Aufbau der noch neu erscheinenden ISO/IEC 27001 wider.

Es gibt zwar eine Übergangsfrist von einem Jahr, in der die 2013er-Fassung noch für eine Zertifizierung verwendet werden kann, nachdem die endgültige Fassung der ISO/IEC 27002 veröffentlicht wurde. Dennoch empfiehlt es sich aufgrund der umfangreichen Änderungen, schon bald mit der Implementierung zu beginnen, da diese nicht nur die Struktur betreffen. Mit Hilfe unserer softwaregestützten ISMS und GRC Lösung können die anstehenden Änderungen einfach und effektiv umgesetzt werden.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Was ist ein ISMS und wo kann eine ISMS-Software unterstützen?

Ein Informationssicherheitsmanagementsystem (kurz: ISMS) ist ein wesentlicher Bestandteil für die Informationssicherheit im gesamten Unternehmen. Mit fortschreitender Digitalisierung wird es für die Unternehmen jetzt und in Zukunft immer wichtiger für ein angemessenes Schutzniveau zu sorgen, um die wichtigsten Unternehmenswerte etwa vor Cyberangriffen und Malware zu schützen.

„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“

Quelle: Security-Insider.de

Für eine erfolgreiche und reibungslose Implementierung sollte von Anfang an eine gesamtheitliche ISMS-Software zur Unterstützung der definierten Prozesse eingesetzt werden. Die Software erleichtert dabei etwa das Management von Risiken, Audits, Feststellungen und Maßnahmen.

7 Gründe für ein softwaregestütztes ISMS

Im Folgenden werden 7 gute Gründe für die Umsetzung eines ISMS unter Zuhilfenahme einer geeigneten ISMS-Software genannt und erläutert:

1. Schutz der geschäftskritischen Unternehmenswerte und Prozesse

Zur Identifikation der kritischen Assets und Prozesse ist es wichtig eine initiale Schutzbedarfsfeststellung durchzuführen. Die Assets und Prozesse können in einer ISMS-Software wie ibi systems iris verwaltet und sogar zueinander modelliert werden. Dadurch ergibt sich dann auch die Vererbung des erfassten Schutzbedarfs nach dem Maximalprinzip.

Für die kritischen Assets und Prozesse ist im nächsten Schritt eine Risikobetrachtung durchzuführen. Diese sollte in jedem Fall die gewählte Risikobehandlungsstrategie und zugehörige, geeignete Maßnahmen beinhalten. Der Umgang mit den Risiken über den Zeitverlauf ist somit perfekt dokumentiert, jederzeit vorzeigbar und für den Schutz der wichtigsten Unternehmenswerte und Prozesse ist gesorgt.

2. Generierung eines Wettbewerbsvorteils

Das Vertrauen in ein Unternehmen, welches seine (Kunden-)Daten besser schützt, ist in der Regel größer als in ein Unternehmen, das hierfür nichts unternimmt. Im Geschäftskundenbereich wird zunehmend darauf bestanden, dass Lieferanten ein bestimmtes IT-Sicherheitsniveau vorweisen können. Wer dies vielleicht sogar mit einem Zertifikat (z. B. ISMS nach ISO 27001) nachweisen kann, hat einen klaren Wettbewerbsvorteil gegenüber seiner Konkurrenz. In jedem Fall läuft dieses Unternehmen dann nicht in Gefahr im Vergabeprozess nicht berücksichtigt zu werden.

3. Einhaltung von Compliance-Richtlinien mit Hilfe der ISMS-Software

Zunehmende regulatorische Anforderungen verdichten den bestehenden Gesetzesdschungel fortlaufend. So sind Betreiber Kritischer Infrastrukturen mit Inkrafttreten des IT-Sicherheitsgesetzes (2015) sogar verpflichtet ein ISMS zu betreiben (KRITIS-Schwellwerte). Durch die systemgestützte Umsetzung eines ISMS kann ebenso die Einhaltung diverser andere Gesetze und Richtlinien gewährleistet werden. Hierzu unterstützt etwa der Funktionsbereich „Prüfungen“ in der ISMS-Software ibi systems iris. Dadurch lassen sich individuelle Checklisten zu diversen Standards, Gesetzen und Normen erstellen sowie darauf aufbauend Prüfungen planen, durchführen und deren Ergebnisse in gängige Formate exportieren.

4. Kosteneinsparung durch Vorsorgemaßnahmen

Durch die im Rahmen einer ISMS-Einführung umgesetzten Vorsorgemaßnahmen lassen sich teure Informationssicherheitsvorfälle vermeiden. Diese Maßnahmen werden durch den Einsatz einer ISMS-Software systematisch definiert, getrackt und umgesetzt. Kataloge können dazu in der Software ibi systems iris ebenfalls angelegt und zu Rate gezogen werden. Auch ein aufgetretener Sicherheitsvorfall und der Umgang damit kann so festgehalten und dokumentiert werden.

5. Saubere Trennung der Datensätze durch Benutzerrollen und Organisationseinheiten

Das Rechtesystem in der Software ibi systems iris gewährleistet stets eine saubere Trennung aller angelegten Datensätze. Durch die Vergabe von Benutzerrollen und die Zuweisung von Organisationseinheiten wird gewährleistet, dass Die Benutzer nur das sehen, was sie sehen sollen und dürfen (Need-to-know-Prinzip).

6. Sicherstellung einer einheitlichen Vorgehensweise und Datenerfassung

Die Prozesse und die Software sollten von Beginn an aufeinander abgestimmt werden. Ein solches Vorgehen gewährleistet eine konsistente und strukturierte Einführung eines ISMS und vermeidet einen „Wildwuchs“ von Dokumenten und Excel-Listen. So werden etwa im Rahmen einer Prüfung gewisse Schwachstellen identifiziert. Diese werden dann mit den Risiken in Verbindung gebracht und nach erfolgter Risikobewertung und Auswahl einer geeigneten Behandlungsstrategie, sind geeignete Maßnahmen zu definieren um das Risiko zu mitigieren. Somit ist der komplette Prozess und die daraus resultierenden Zusammenhänge ganzheitlich in der Software ibi systems iris abgebildet.

7. Überblick und Auswertungen auf Knopfdruck in der ISMS-Software

Mit einer ganzheitlichen ISMS Software haben Sie jederzeit den vollen Überblick über alle Aspekte der unternehmenseigenen Informationssicherheit. Mit Hilfe von Dashboards und Reports in der ISMS Software ibi systems iris ist ein übersichtlicher Statusbericht nur wenige Mausklicks entfernt.

Fazit

Die Einführung eines ISMS bringt also viele Vorteile mit sich und sollte in jedem Fall in Verbindung mit einer geeigneten Software wie ibi systems iris umgesetzt werden. Im Bereich der IT-Sicherheit gibt es diverse Förderprogramme um Unternehmen auch finanziell zu unterstützen – zum Beispiel bei der Softwarebeschaffung für eine ISMS-Implementierung. Der Freistaat Bayern bietet hier mit dem Digitalbonus für kleine und mittlere Unternehmen eine attraktive Möglichkeit, um sich für die Herausforderungen der digitalen Welt zu rüsten.

Die typische Vorgehensweise und weitere Vorteile der Softwareunterstützung bei der ISMS-Einführung haben wir in einem weiteren Beitrag für Sie aufgezeigt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

Ausgangslage und Inhalte der betrachteten Studie

Der Support für das GSTOOL des BSI wurde zum Ende des Jahres 2016 aus wirtschaftlichen Gründen eingestellt. Somit sollten alle Anwender bereits ein Nachfolgetool ausgewählt und im Einsatz haben. Für alle Anwender die nach wie vor das GSTOOL des BSI nutzen, kann die im Folgenden betrachtete Studie als Entscheidungshilfe dienen.

Am Markt sind eine Vielzahl von ISMS-Tools als Alternative zum GSTOOL vertreten. Für diese Studie wurden die Produkte von acht Herstellern analysiert. Zur besseren Vergleichbarkeit wurde das GSTOOL ebenso in die Studie mit einbezogen. Dabei mussten die Hersteller Fragenkataloge mit den wichtigsten Anforderungen beantworten. Diese wurden anschließend zusammen mit den Ergebnissen eines Anwendungstest durch ein Team von Grundschutz und Informationssicherheitsexperten ausgewertet.

Ergebnisse der Studie zu ISMS-Tools als GSTOOL-Alternative

Schließlich wurde nach Auswertung der Fragebögen und Ergebnisvalidierung mittels Produkttests unter anderem ibi systems iris die Eignung als ISMS-Tool in heterogenen und geografisch verteilten Umgebungen attestiert und als sehr empfehlenswert eingestuft. Weitere Details können ferner den aufgeführten Grafiken weiter unten in diesem Beitrag entnommen werden.

Im Folgenden sind die Kriterien kurz aufgelistet und in Stichpunkten erläutert, die im Fragebogen berücksichtigt wurden:

Systemvoraussetzungen

  • Clients
  • Server
  • Datenbanken

Benutzbarkeit (Usability)

  • Mehrbenutzerfähigkeit
  • Mandantenfähigkeit
  • Integriertes Berechtigungssystem
  • Netzwerkfähigkeit
  • Offlinefähigkeit
  • Mehrsprachigkeit
  • Modellierung von IT-Verbünden

Risikoanalyse

  • Konfiguration der Schutzbedarfskategorien
  • Manuelle Anpassung des vererbten Schutzbedarfs

IT Grundschutz (BSI)

  • Importierbarkeit der Grundschutz-Kataloge
  • Erstellung eigener Bausteine, Gefährdungen und Maßnahmen
  • Dokumentation Basis-Sicherheitscheck

ISO 27001

  • Nativer Support
  • Parallel/alternatives Arbeiten nach ISO 27001 (Controls implementierbar etc.)

ISMS Managementprozesse und Workflows

  • DMS und Versionierung
  • Integration anderer Tools (z. B. Vulnerability Scanner)

Reporting

  • Reporting-Funktion mit individuell konfigurierbaren Reports
  • Import-/Exportfunktion (Microsoft Office kompatibel)


Fazit

Das ISMS-Tool ibi systems iris überzeugte schließlich in der Studie. Darüber hinaus kamen bis heute viele weitere Funktionen in der Software ibi systems iris hinzu. Dabei wurde insbesondere zum Thema Reporting eine umfangreiche und vom Kunden individuell konfigurierbare Reporting-Engine integriert. Damit ist folglich die Erstellung eigener Reportingvorlagen über die Benutzeroberfläche möglich. Somit ist anzunehmen, dass das Kriterium sieben („REPORTING“) heute eine noch höhere Bewertung erzielen würde.

Es wurde aber auch deutlich, dass die untersuchten ISMS-Tools in den Bewertungskategorien heterogene Stärken und Schwächen aufweisen. Eine eindeutige Empfehlung für ein Produkt ist daher nicht möglich. Die Ergebnisse erlauben jedoch GSTOOL-Nutzern, ein für ihre Bedürfnisse geeignetes Produkt zu ermitteln. Somit bestimmen die individuellen Anforderungen der Nutzer, welche ISMS-Tools zum Einsatz kommen sollten.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Zur kompletten CSC-Studie



Quellen:

Relevanz und Vorteile der Softwareunterstützung in der Informationssicherheit

Jede Organisation, unabhängig der Branche, Rechtsform oder Größe, ist heute und in Zukunft auf eine angemessene Informationssicherheit angewiesen. Dies liegt daran, dass nahezu kein Geschäftsprozess ohne IT-Unterstützung effektiv und effizient ausgeführt werden kann und Daten und Informationen von immenser Wichtigkeit für die einzelnen Organisationen sind. Angriffe auf die Informationssicherheit stellen daher eine nicht zu verachtende Bedrohungslage dar, die von existentiellen wirtschaftlichen Verlusten bis hin zu personenbezogenen Schäden führen kann. Daher ist ein angemessener Schutz der Informationen bzw. ein angemessenes Niveau der Informationssicherheit inhärentes Interesse jeder Organisation und zudem Inhalt diverser rechtlicher und regulatorischer Anforderungen.

Stellt sich die Frage, wie setzt man Informationssicherheit angemessen um? Die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS) ISO/IEC 27001 bietet Organisationen einen Rahmen, die Informationssicherheit zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. Durch die optionale Zertifizierung kann die Einhaltung des Standards bestätigt und damit die Wettbewerbsfähigkeit gesteigert sowie das Unternehmensimage in der Öffentlichkeit und bei Geschäftspartnern gestärkt werden.

Doch wie lässt sich eine ganzheitliche und umfassende Informationssicherheit im Unternehmen garantieren bzw. wie lässt sich der Zertifizierungsprozess unterstützen und somit leichter bewältigen? Die Antwort ist ein ISMS, das mit Hilfe einer integrativen Software implementiert wird und damit einen nachhaltigen Mehrwert bei gleichzeitiger Kostenreduktion für das Unternehmen generiert.

Die 6 Schritte des systemgestützten ISMS

Zu Beginn ist es entscheidend die Unterstützung des Managements sicherzustellen und im Anschluss den Anwendungsbereich des ISMS genau zu definieren. Als dritter Schritt sollte überprüft werden, welche Controls aus dem Anhang A der ISO 27001 umgesetzt werden müssen bzw. welche Controls ausgeschlossen werden können. Das Ergebnis aus dem dritten Schritt ist das Statement of Applicability. Anschließend sollten alle Assets und Prozesse des Unternehmens inventarisiert werden, damit das Unternehmen weiß, welche Informationswerte geschützt werden müssen. Erst danach können die Informationssicherheitsrisiken effektive gemanagt werden. Unter dem sechsten Schritt ISMS-Betrieb verbergen sich Teilbereiche wie Audits, Indikatoren und Sicherheitsvorfälle. Die nachfolgende Abbildung zeigt Ihnen die 6 Schritte des systemgestützten ISMS.

Schritt 1 und 2: Sicherstellung der Management Unterstützung und Definition des ISMS Anwendungsbereichs

Zu Beginn gilt es, durch Initiative der Geschäftsführung den Stein ins Rollen zu bringen. Hierbei ist es nicht von Bedeutung, ob die Einführung eines ISMS durch Gesetze oder Kunden vorgeschrieben wird oder auf internen Vorschlägen beruht – der Sicherheitsprozess muss von der Geschäftsführung angestoßen, genehmigt und auch (kontinuierlich) vorgelebt werden. Außerdem muss der Geltungsbereich des ISMS festgelegt werden. Mithilfe einer Informationssicherheitsleitlinie legt das Management fest, mit welcher Strategie das angestrebte Sicherheitsniveau im Geltungsbereich erreicht werden soll und definiert die Organisation des Sicherheitsprozesses.

Schritt 3: Statement of Applicability

Um die Erklärung zur Anwendbarkeit (=Statement of Applicability, SoA) nach ISO 27001 auszufüllen, bietet sich eine Prüfung in ibi systems iris an. Hier ist die Prüfvorlage schon vorhanden und muss nur entsprechend befüllt werden. Somit ist es ein Leichtes, Controls der ISO 27002 (bzw. Anhang A der ISO 27001) auszuschließen und den Ausschlussgrund zu dokumentieren oder auch anwendbare Controls näher zu beschreiben.

Schritt 4: Inventarisierung der Assets / Prozesse

Sind der Scope und die anwendbaren Controls definiert, können die Geschäftsprozesse der Organisation inklusive Verantwortlichen sowie die verarbeiteten Informationen ermittelt werden – sei es innerhalb oder außerhalb von IT-Systemen. In einem ersten Schritt ist es auch sinnvoll, sich schon über den Schutzbedarf dieser Informationen Gedanken zu machen: Gibt es also Informationen, die bezüglich der Vertraulichkeit, Integrität oder Verfügbarkeit von besonderer Wichtigkeit sind? Sie können softwaregestützt den Schutzbedarf erfassen, die Objekte modellieren und Angaben zur Business Impact Analyse und Business Continuity Management definieren.

Schritt 5: Management der Informationssicherheitsrisiken

Die ISO 27001 fordert u. a. Maßnahmen zum Umgang mit Risiken und deren regelmäßige Beurteilung und Behandlung festzulegen. Die geforderten Punkte aus der ISO 27001 können mithilfe der Software ibi systems iris umgesetzt werden. Nach erfolgter Risikoerfassung und Risikobewertung können Sie im nächsten Schritt Maßnahmen definieren.

Schritt 6: ISMS-Betrieb

Mithilfe der Software ibi systems iris lässt sich Ihr ISMS effektiv betreiben. Sie können u. a. Audit / Prüfungen durchführen, Indikatoren bzw. Kennzahlen definieren und tracken und Sicherheitsvorfälle dokumentieren. Audit bzw. Prüfungen werden zuerst geplant, durchgeführt und anschließend können Berichte erzeugt werden. Des Weiteren können Sie Kennzahlen definieren und diese grafisch aufbereitet beobachten. Sicherheitsvorfälle können ebenfalls in ibi systems iris softwaregestützt dokumentiert und mit Risiken verknüpft werden.

Vorteile des Einsatzes von ibi systems iris

  • Direkte Hinterlegung von Dokumenten und Erstellung von Feststellungen bzw. Schwachstellen
  • Ständig aktueller und verfügbarer Nachweis im ISMS Betrieb und bei der Zertifizierung (SoA)
  • Zuständigkeiten für Assets und Prozesse sind klar definiert
  • Automatisierte Handlungsempfehlungen je Kategorie (Gefährdungen und Maßnahmen)
  • Modellierung inkl. (vererbten) Schutzbedarf
  • Erfassung, Bewertung und Behandlung der Risiken nach definiertem Risikoprozess
  • Regelmäßige oder Ad-hoc-Reports über aktuelle Risikolage abrufbar
  • Aktuelle Prüfergebnisse, Kennzahlen und Informationen zu Vorfällen etc.
  • Reportfunktion für Prüfungen bzw. Audits

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Leitfaden – Systemgestütztes ISMS nach ISO 27001

Allgemeines und Zielgruppe von ISIS12

ISIS12 ist ein sequenzielles Vorgehensmodell (bestehend aus Katalog und Handbuch) zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Die im Katalog definierten Bausteine von ISIS12 enthalten allerdings Anforderungen aus der ISO/IEC 27000-Normenreihe, dem IT-Grundschutz und der Datenschutzgrundverordnung (DSGVO). Somit kann das mit Hilfe von ISIS12 aufgebaute ISMS auch als Grundlage für eine später angestrebte ISO/IEC 27001-Zertifizierung dienen. Schließlich besteht das Vorgehen aus zwölf Schritten, die sich in drei Phasen einteilen lassen:

  • Initialisierungsphase
  • Aufbau- und Ablauforganisation
  • Entwicklung und Umsetzung ISIS12Konzept

Die Zielgruppe von ISIS12 ist dabei klar definiert. Es richtet sich an kleine und mittlere Unternehmen (KMUs) sowie kommunale Verwaltungen und zeichnet sich durch Kompaktheit, Überschaubarkeit und Strukturierung aus.  

Neuerungen und Änderungen in ISIS12 2.0

Neuerungen ISIS12 2.0

In ISIS12 2.0 sind nicht alle zwölf Schritte von Änderungen betroffen. Schritt 9 und 10 werden zu „Planen und Umsetzen“ zusammengefasst. Darüber hinaus werden optionale Einstiegsmöglichkeiten für wichtige Anforderungen aus der ISO/IEC 27000-Normenreihe und IT-Grundschutz ergänzt. Das Thema Risikomanagement (BSI-Standard 200-3 bzw. ISO/IEC 27005) wird ferner optional als neuer Schritt 8 hinzugenommen. Die Modellierung der Sicherheitsmaßnahmen (bis ISIS12 1.9 in Schritt 8) wird unter Schritt 6 ebenfalls mit der Identifikation kritischer Applikationen zusammengeführt. Darüber hinaus wird in Schritt 11 mit dem internen Audit ein optionaler Pfad aufgenommen, was insbesondere im Rahmen der ISO/IEC 27000-Normenreihe ein wichtiger Punkt ist.

ISIS12 2.0 zeichnet sich insbesondere durch die Flexibilität hinsichtlich des möglichen Ausbaus hin zu IT-Grundschutz und/oder der ISO/IEC 27000-Normenreihe aus. Des Weiteren wird die Einbindung individueller Anforderungen wie eine alleinstehende Risikobetrachtung deutlich verbessert.

Vor allem die Einbindung optionaler Pfade wird es dem Anwender erleichtern, ISIS12 auf seine Bedürfnisse und perspektivischen Anforderungen hin anzupassen.

Sandra Wiesbeck, Vorstandsvorsitzende & Leiterin Bayerischer IT-Sicherheitscluster e.V.

Softwaregestützte Umsetzung von ISIS12 2.0 mit ibi systems iris

ISIS12 2.0 mit ibi systems iris

Die Software ibi systems iris unterstützt neben den gängigen Standards wie IT-Grundschutz und der ISO/IEC 27000-Normenreihe selbstverständlich auch ISIS12 2.0, welches einen sehr guten Einstieg in das Thema Informationssicherheit für KMUs darstellt. ibi systems iris findet dabei insbesondere für die Schritte 6 – 11 Anwendung:

Schritt 6, Kritische Applikationen identifizieren + Sicherheitsmaßnahmen modellieren

In ibi systems iris können alle kritischen Applikationen als Assets angelegt, als kritisch gekennzeichnet und später danach gefiltert werden. Maßnahmen (inkl. Angabe der Verantwortlichkeiten) werden auf Basis von Maßnahmenkatalogen, Handlungsempfehlungen und/oder manuell definiert.

Schritt 7, IT-Struktur analysieren

Die IT-Struktur wird in ibi systems iris unter dem Funktionsbereich Architektur abgebildet. Hier werden Assets und Prozesse erfasst und zueinander modelliert sowie eine Schutzbedarfsfeststellung durchgeführt. Auf Basis der Modellierung findet eine Vererbung des Schutzbedarfs nach dem Maximalprinzip statt.

Schritt 8, Risikomanagement (optional)

ibi systems iris ermöglicht ein umfassendes Risikomanagement. Bei der Beschreibung eines Risikos kann dabei eine Vielzahl an Verknüpfungen (u. a. mit Bedrohungen/Gefährdungen, Schwachstellen, Assets) hinzugefügt werden. Das Risiko wird im Anschluss bewertet und dabei auh eine Risikobehandlungsstrategie inkl. Maßnahmen zugewiesen. Nach der Risikobehandlung erfolgt eine Neubewertung des Risikos. Dieser iterative Bewertungs- und Behandlungsprozess wird so lange durchlaufen, bis das Risiko akzeptiert werden kann und dann so im Unternehmen verbleibt. Die Dokumentation der Risikobehandlung (auch über den Zeitverlauf) kann dabei jederzeit eingesehen und exportiert werden. Außerdem wird mit der Software ein schneller Überblick über den Status quo aller aktuellen Risiken ermöglicht.

Schritt 9, SOLL-IST vergleichen

Ein SOLL-IST-Vergleich wird in ibi systems iris durch eine Prüfung ermöglicht. Bei den einzelnen Kontrollen wird festgehalten, ob eine Anforderung umgesetzt wurde oder ob Nachbesserung erforderlich ist. Allgemein können bei den Kontrollen einer Prüfung Feststellungen (z. B. Abweichungen, Schwachstellen, Verbesserungspotenziale) identifiziert und darauf wiederum Maßnahmen zugewiesen werden.

Schritt 10, Umsetzung planen + Umsetzung

Die unter Schritt 6 definierten Maßnahmen werden in iris den Empfängern zur Umsetzung zugewiesen. Die Software unterstützt folglich eine Rollentrennung zwischen Maßnahmenverantwortlichem und Maßnahmenumsetzer.

Schritt 11, Jährlicher Bericht des Informationssicherheitsbeauftragten + internes Audit (optional)

Durch Dashboards, Exportmöglichkeiten der Listenansichten und Generierung von Reports basierend auf Vorlagen sind die Berichtsmöglichkeiten durch ibi systems iris sehr umfangreich. Ein internes Audit inkl. Feststellungen und weiterem Follow-up durch Maßnahmen ist in Form von Prüfungen in ibi systems iris möglich.

Übergreifend zum Thema DSGVO

Hinsichtlich DSGVO unterstützt ibi systems iris bei der Erstellung eines Verfahrensverzeichnisses und der Risikofolgeabschätzung.

Fazit

Durch den Einsatz der Software ibi systems iris wird die Umsetzung von ISIS12 maßgeblich unterstützt. Mit der softwaregestützten ISIS12-Umsetzung als Einstiegspunkt zur Informationssicherheit schlagen Sie eine Brücke zur möglichen Zertifizierung z. B. nach ISO 27001. Mit ibi systems iris haben Sie von Anfang an ein verlässliches Tool zur Hand, welches Sie in allen Belangen der Informationssicherheit unterstützt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Hintergrund und Vorteile von Cloud Vendor Assessments (CVA)

Auf dem aktuellen Markt existieren unzählige Cloud-Dienstleister mit unterschiedlichen Sicherheitskonzepten und -zertifizierungen. Unternehmen, die Cloud-Lösungen nutzen wollen, sind dabei oftmals um die Sicherheit ihrer Daten besorgt. Durch Cloud Vendor Assessments wird das Sicherheitsniveau von Cloud-Dienstleistern beurteilt.

Mit einem individuellen Assessment kann das Sicherheitsniveau der Provider toolgestützt, nachvollziehbar und vergleichbar beurteilt werden. Die Ergebnisse des Assessments fließen danach u. a. in die unternehmenseigenen Risikobewertungen ein. Die Prüfung der Anbieter (Vendoren) sollte ferner in regelmäßigen Abständen wiederholt werden. Der aktuelle Status eines bewerteten Cloud Vendors kann darüber hinaus jederzeit eingesehen und die Entwicklung des Sicherheitsniveaus über den Zeitverlauf nachvollzogen werden. Des Weiteren sollten für die im Rahmen des Assessments identifizierten Feststellungen geeignete Maßnahmen zu deren Behandlung definiert und umgesetzt werden.

Zu den Vorteilen von Cloud Vendor Assessments sind neben der aktuellen Information über den Status der Informationssicherheit die folgenden Punkte zu nennen:

  • Schutz des unternehmenseigenen geistigen Eigentums
  • Schutz von Kundendaten und damit Schaffung von Vertrauen bei eigenen Kunden
  • Erfüllung gesetzlicher Verpflichtungen
  • Größere Genauigkeit bei eigenen Risikobewertungen

Cloud Vendor Assessment (CVA) mit ibi systems iris

Durch den Einsatz der Software ibi systems iris, können Cloud Vendor Assessments für jeden Vendor zentral geplant und durchgeführt werden. Durch die Sammlung der Ergebnisse in nur einem Tool, ist somit die gesamtheitliche Übersicht über alle relevanten Informationen stets gewährleistet. Die Software ermöglicht also eine zentrale Einsicht auf die Ergebnisse der Self-Assessments, identifizierte Feststellungen und durchgeführte (Gegen)Maßnahmen bei jedem Vendor.

Toolgestützte Cloud Vendor Assessments (CVA)
Cloud Vendor Assessments (CVA) mit ibi systems iris

Im Folgenden die Schritte für ein beispielhaftes Vorgehen mit der Software ibi systems iris:

  1. Zentrale Erstellung von Prüfvorlagen für die (Self-)Assessments
  2. Zentrale Planung und Zuweisung der (Self-)Assessments
  3. Durchführung der (Self-)Assessments bei bzw. durch die Vendoren
  4. Reporting der Assessment-Ergebnisse inkl. Feststellungen an zentrale Stelle
  5. Zentrale Definition und Verteilung von Maßnahmen als Reaktion auf identifizierten Feststellungen
  6. Umsetzung der zugewiesenen Maßnahmen durch die Vendoren
  7. Rückmeldung bzw. Reporting des Umsetzungsstatus der Maßnahmen an zentrale Stelle

Fazit

Ein Unternehmen sollte zur Verbesserung der Informationssicherheit in jedem Fall Cloud Vendor Assessments durchführen. Am besten werden diese dabei durch ein Tool unterstützt, an zentraler Stelle geplant und die Ergebnisse gesammelt. Damit ist es möglich die Vendoren hinsichtlich des Status der Informationssicherheit schnell und einfach zu vergleichen sowie bei Mängeln mit angemessenen Maßnahmen bzw. Maßnahmenzuweisungen zu reagieren.

Die Webanwendung ibi systems iris unterstützt Sie bei der Planung, Steuerung und Kontrolle von Cloud Vendor Assessments. So kann zum Beispiel nach dem Anforderungskatalog Cloud Computing (C5) mit Hilfe der Software geprüft werden. Starten daher auch Sie mit ibi systems iris und optimieren Sie Ihr Vorgehen!

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Warum ein ISMS-Tool eine sinnvolle Investition darstellt

Nach einer Umfrage von bitkom, die Ende 2018 durchgeführt wurde, gaben sieben von zehn befragten Unternehmen an, in den vergangenen beiden Jahren Opfer von Sabotage, Datendiebstahl oder Spionage gewesen zu sein. Dabei entstand ein Gesamtschaden von über 43 Milliarden Euro! Diese Zahl veranschaulicht daher die Dringlichkeit, in die Verbesserung der IT-Sicherheit zu investieren und angemessene Maßnahmen zu ergreifen.

„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“

www.security-insider.de

Eine toolgestützte ISMS-Implementierung etwa auf Basis der ISO 27001 ist dabei aus folgenden Gründen sinnvoll:

Generierung eines Wettbewerbsvorteils

Einem Unternehmen, das seine sensiblen Daten schützt, wird folglich in der Regel mehr Vertrauen entgegengebracht. Häufig wird auch darauf geachtet, dass Zulieferer ein bestimmtes Niveau an IT-Sicherheit einhalten. Wer nachweisen kann, dass Informationssicherheitsmaßnahmen umgesetzt werden, sichert nicht nur die Zukunft des Unternehmens, sondern schafft dafür auch einen Wettbewerbsvorteil.

Vermeidung teurer IT-Vorfälle

Maßnahmen zu ergreifen und damit Vorsorge zu leisten, ist grundsätzlich immer besser als nichts zu tun. Dies sollte ferner natürlich in einem angemessenen Kosten-Nutzen-Verhältnis stehen und die Umsetzung dokumentiert sein.

Erhöhung der Transparenz

Darstellung des Status der Informationssicherheit eines Unternehmens in übersichtlicher Art und Weise, um so einen regelmäßigen Management-Review zu ermöglichen.

Erhöhung der Qualität

Verfolgung eines bewährten und nachvollziehbaren Vorgehens bei der Implementierung eines ISMS nach dem PDCA-Zyklus. Das ISMS kann dadurch kontinuierlich überwacht und verbessert werden.

Senkung von Kosten

Vermeidung von Redundanzen und Doppelarbeiten durch die einheitliche Erfassung der ISMS-Aktivitäten in einem einzigen Tool.

Welche Anforderungen sollte ein ISMS-Tool erfüllen

Bei der Auswahl eines ISMS-Tools sind die Anforderungen abhängig von der Unternehmensgröße, dem bereits definierten Prozessen als auch von bevorzugter Technik und Betriebsform (Webanwendung? SaaS? On Premises?). Welche Anforderungen erfüllt sein sollten, sind im Folgenden aufgeführt:

Dashboards und Report-Generierung

Grafischer Überblick über alle relevanten Informationen und umfassende Exportmöglichkeiten in Form von Reports.

Integrierte Regelwerke, Standards und Richtlinien

Möglichkeit der Abbildung bzw. Unterstützung verschiedener Standards (z. B. ISO 27001, ISO 27019, IT-Sicherheitskatalog, TISAX, VDA etc.) sowie deren Verknüpfung zu anderen Datensätzen in der Software (Risiken, Schwachstellen, Maßnahmen etc.).

Durchführung von Audits

Softwareunterstützung beim gesamten Audit inklusive Follow-Up (Zuweisung von Aufgaben und Verantwortlichkeiten, Durchführung von Kontrollen, Erstellung des Statement of Applicability, Schwachstellenmanagement, Maßnahmendefinition etc.)

Management von Risiken

Beschreibung, Bewertung und Behandlung des Risikos sollten unbedingt Bestandteil eines ISMS-Tools sein. Am Ende sollten die aktuellen Bewertungen der Risiken in einer Risikomatrix visualisiert werden und der Umgang mit den Risiken über den Zeitverlauf einsehbar bzw. nachvollziehbar sein.

Workflowfähigkeit

Um die Vorgehensweise z. B. bei der Anlage von Datensätzen genauer einzugrenzen und den Benutzer an die Hand zu nehmen (User Guidance), sollten individuelle Workflows vorgegeben werden können.

Mandantenfähigkeit

Basierend auf einem Berechtigungskonzept sollte die Trennung von Datensätzen für verschiedene Mandanten möglich sein. Darüber hinaus wäre es sinnvoll, wenn die Möglichkeit bestünde, individuelle Berechtigungen auf Datensatzebene (zeitlich befristet oder dauerhaft) anzupassen.

Flexibilität

Es sollte möglich sein, die Datensätze und die Verknüpfungen untereinander in beliebiger Reihenfolge anzulegen.

Konfigurierbarkeit

Die Software sollte umfangreiche Konfigurationsmöglichkeiten aufweisen, um den Kunden eine bestmögliche Anpassung der Software an deren individuelle Anforderungen und Wünsche zu ermöglichen.

Fazit

Im Rahmen der erwähnten Umfrage von bitkom gaben schließlich zwei Drittel der befragten Unternehmen als künftige Bedrohung den Mangel an IT-Sicherheitskräften an. Um diesem Mangel an IT Sicherheitskräften mit Effizienzsteigerungen entgegenzuwirken, sollte daher unbedingt ein ISMS-Tool wie die ibi systems iris genutzt werden. Damit lassen sich die ISMS-Prozesse nicht nur effizienter durchführen, sondern auch der Überblick über den Status quo bleibt erhalten und es können jederzeit und bequem Reports für das Management generiert werden. Eine toolgestützte ISMS-Implementierung ist also sehr zu empfehlen.

Die Wichtigkeit der erwähnten Anforderungen an ein ISMS-Tool ergibt sich ebenfalls aus den individuellen Präferenzen der Anwender. Die Auflistung hat dahe keinen Anspruch auf Vollständigkeit, stellt aber eine gute Basis für eine erfolgversprechende Auswahl eines ISMS-Tools dar.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Bußgeldregelungen bei Verletzung der Pflichten des Verantwortlichen

Regelungen zu den Bußgeldern sind in Artikel 83 der DSGVO zu finden. Geldbußen müssen demnach wirksam, verhältnismäßig, aber auch abschreckend sein.

  • Bei Verstößen gegen die Pflichten des Verantwortlichen oder des Auftragsverarbeiters werden Bußgelder von bis zu 10 Millionen Euro fällig oder bei Unternehmen von bis zu zwei Prozent des weltweiten Umsatzes des Vorjahres. Der jeweils höhere Betrag zählt.
  • Das Gleiche gilt, wenn Zertifizierungsstellen oder Überwachungsstellen ihre Pflichten verletzen.
  • In diesen Bereich fällt auch die Einhaltung der Vorschrift, dass Kinder erst ab 16 Jahren selbst in die Datenverarbeitung einwilligen dürfen. Das hatte übrigens auch Auswirkungen auf die Nutzung von Facebook und WhatsApp.
  • Beispiele: fehlendes Vorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten, unzureichende Sicherheitsvorkehrungen bei der Datenverarbeitung oder nichtrdnungsgemäße Erfüllung der Aufgaben durch den betrieblichen Datenschutzbeauftragten.

Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Dabei ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Ein besonderes Augenmerk sollte dabei auf den verfolgten risikobasierten Ansatz hinsichtlich technisch-organisatorischer Maßnahmen gelegt werden.

Seit dem 25. Mai 2018 ist die neue DSGVO direkt anwendbar. Somit löst das neue EU-Recht das bisherige Bundesdatenschutzgesetz (BDSG) und die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab. Gleichzeitig zur neuen DSGVO tritt ferner eine neue Fassung des BDSG in Kraft, welches die DSGVO konkretisiert. Des Weiteren sind Neuerungen mit der EU-e-Privacy- Verordnung abzusehen. Dabei sorgte die neue Regelung nicht nur für eine einheitliche Datenschutzregelung innerhalb der EU, sondern auch für Furore und Verängstigungen, denn die Regelungen erscheinen kompliziert und die Strafmaßnahmen im Fall von Verstößen sind empfindlich.

Bußgeldregelungen bei Verstößen gegen Grundsätze der Datenverarbeitung

Härter sind die Strafen im Falle eines Verstoßes gegen die Grundsätze der Datenverarbeitung. Der Fokus liegt hierbei auf der Frage ob Daten überhaupt erhoben bzw. verarbeitet werden dürfen und hierfür die entsprechenden Bestimmungen eingehalten wurden.

  • Wer Daten verarbeitet, obwohl er es eigentlich gar nicht darf, muss mit Geldbußen von bis zu 20 Millionen Euro rechnen oder bis zu vier Prozent des Unternehmensumsatzes des Vorjahres. Auch hier gilt der Betrag, der höher ist.
  • Wer sich einer Anweisung der Aufsichtsbehörde widersetzt, muss mit denselben Bußgeldern rechnen.
  • Vergehen in dieser Kategorie liegen beispielsweise vor, wenn Daten ohne vorherige Einwilligung des Betroffenen verarbeitet werden oder die Rechte des Betroffenen verletzt werden.
  • Das kann schon der Fall sein, wenn ein Unternehmen seiner Informationspflicht gegenüber den Betroffenen über die Datenverarbeitung nicht nachkommt oder es kein Löschkonzept gibt. Betroffene haben das Recht auf Vergessenwerden, wenn der Zweck für die Datenverarbeitung weggefallen ist.
  • Dieselben Strafen werden verhängt, wenn personenbezogene Daten in Drittländer oder internationale Organisationen übermittelt werden und die extra dafür vorgesehenen Paragrafen der DSGVO missachtet werden.

Die Schonfrist ist vorbei

Die erste Zeit der Zurückhaltung ist vorbei. Das erste höhere Bußgeld in Europa kam von der Datenschutzbehörde in Portugal. Aufgrund mangelhafter Zugriffsbeschränkungen wurde ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängt. Im November 2018 wurde in Baden-Württemberg das erste Bußgeld nach Art 83. DSGVO verhängt. Und auch gegen den Internetriesen Google wurde in Frankreich eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt.

Zahlreiche Verfahren laufen noch – allein in Bayern sind es über 80. Dabei wurde der Großteil der Verfahren durch Beschwerden Betroffener ausgelöst. Bußgelder, Schadenersatzforderungen bis hin zu Freiheitsstrafen bei Vorsatz.

Werden Sie aktiv!

Das Risiko infolge mangelhafter Datenverarbeitung oder suboptimaler Datensicherheit zur Rechenschaft gezogen zu werden, ist deutlich gestiegen. Folgende strategische Überlegungen sollten Unternehmen treffen:

Effektive Umsetzung der DSGVO

„Angriff ist die beste Verteidigung“. Um Strafen zu vermeiden sollten die Anforderung der DSGVO und der jeweiligen nationalen Vorschriften erfolgreich umgesetzt werden. Nicht nur belastbare Strukturen und Prozesse, sondern auch ein effektives Datenschutz- bzw. Compliance-Managementsystem sind unerlässlich.

Schwachstellen identifizieren

Wie bereits erwähnt entsteht der Großteil der Bußgeldverfahren durch die Beschwerde betroffener Personen. Es ist daher ratsam gerade in besonders gefährdeten Bereichen, bspw. Beschwerden von Beschäftigten, besonders genau hinzusehen. Ein besonderes Konfliktpotential bergen Kontrollmechanismen.

Prozessorientierte Dokumentation

Mit der neuen DSGVO wurde das sogenannte Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO, eingeführt. Die verantwortliche Person, häufig die Unternehmensleitung, muss durch eine umfangreiche Dokumentation nachweisen, dass die Datenschutzregel eingehalten werden. Neben Verfahrensverzeichnisses bis hin zu Checklisten für eventuelle Datenschutzpannen- die Liste ist lang und die Dokumentation daher unübersichtlich. Medienbrüche, Informationsverluste und ein damit einhergehendes steigendes Risikopotential sind die Folge.

Fazit

Unternehmen sollten daher nicht tatenlos abwarten, sondern auf professionelle Unterstützung bauen. Die Anforderungen hieran sollten nicht zu niedrig liegen, denn die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen selbst.

ibi systems iris ist eine ISMS- und GRC-Software durch die Sie nicht nur die Einhaltung der DSGVO mittels Audits überprüfen, sondern gleichzeitig Schwachstellen und Risiken erkennen und mittels geeigneter Maßnahmen beseitigen. ibi systems iris unterstützt damit nachgewiesen die Einhaltung der Anforderungen der DSGVO.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Art. 82 DSGVO: Allgemeine Bedingungen für die Verhängung von Geldbußen, Online im Internet: https://dsgvo-gesetz.de/art-83-dsgvo/, Abfrage: 04.02.2018, 15:49 Uhr.
  • IHK Osnabrück, Emsland, Grafschaft Bentheim: Stichtag 25. Mai 2018: EU-Datenschutzrecht, Online im Internet: https://www.osnabrueck.ihk24.de/blob/osihk24/recht_und_fair_play/recht/Downloads/3936174/8b15a20815b682588d036e5076d51a72/Ueberblick-EU-DSGVO-data.pdf, Abfrage: 05.02.2018, 15:07 Uhr.
  • ePrivacy-Verordnung: Die Ergänzung zur EU-Datenschutzverordnung, Online im Internet: https://www.datenschutz.org/eprivacy-verordnung/, Abfrage: 13.02.2019, 10:44 Uhr.
  • DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen, Online im Internet: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html, Abfrage: 13.02.2019, 10:36 Uhr.