Umsetzung der ISO 27001

IT-Sicherheit: Praxis mit Löchern

Sensible Informationen, Prozesse und Systeme zu schützen, wird im Rahmen der ­Digitalisierung und einer dynamischen Bedrohungslage immer schwieriger. Mit ISO 27001 lassen sich Risiken minimieren und Sicherheitsverfahren etablieren. So weit die Ziele der Norm. In der Praxis tun sich Unternehmen mit der durchgängigen Umsetzung zuweilen allerdings schwer.

In der Praxis tun sich Unternehmen mit der durchgängigen Umsetzung der ISO-Norm 27001 zuweilen schwer.

In der Praxis tun sich Unternehmen mit der durchgängigen Umsetzung der ISO-Norm 27001 zuweilen schwer.

Die ISO 27001 stellt u.a. die Anforderung, dass Unternehmen ein gezieltes Risikomanagement betreiben. In diesem Zusammenhang setzen sich diese zwar oft mit Schwachstellen der IT-Infrastruktur auseinander, vernachlässigen aber die physische, personelle und organisatorische Sicherheit. Ein klassisches Beispiel: In der Regel gibt es in Unternehmen eine zentrale Besucheranmeldung, die den Zutritt zum Gebäude offiziell steuert. „Konterkariert wird dies etwa durch einen ungesicherten Nebeneingang, über den sich nicht nur die Raucher unter den Mitarbeitern, sondern auch ungebetene Dritte Zutritt zum Gebäude verschaffen können. Mögliche Folgen sind Datendiebstahl oder die Manipulation von Prozessen und Systemen bis hin zur Kompromittierung privilegierter Accounts“, erklärt Bernd Kloft, Lead-Auditor ISO/IEC 27001 beim Tüv Rheinland. Gemäß der ISO 27001 muss sich die Organisation konkrete Informationssicherheitsziele setzen und dokumentieren, wie sie diese erreichen will, wer sie verantwortlich überwacht und wie die Ergebnisse zu bewerten sind. Zentrales Instrument zur Dokumentation dieser Punkte ist das sogenannte Management-Review der Geschäftsleitung. „In der Praxis ist immer wieder zu beobachten, dass Firmen zwar monetäre Kennzahlen dokumentieren, aber nicht die zentralen Fragen rund um den Schutz der Organisation stellen“, weiß Bernd Kloft. Wichtige Fragen sind:

– Sind wir angegriffen worden und wenn ja, wie oft?
– Wurde versucht, unser System zu hacken, und wenn ja, wie oft?
– Welche Sicherheitsziele verfolgen wir?
– Was unternehmen wir, damit wir diese auch erreichen?

„Wäre dieser zentrale Report nicht vorhanden oder beinhaltete er nicht die geforderten Informationen, hätte die Organisation die Zertifizierung verfehlt. Das Audit müsste wiederholt werden“, so Bernd Kloft. Die geforderten Kennzahlen können auch auf andere verborgene Probleme hinweisen. In einem konkreten Beispiel steckte hinter einer vergleichsweise hohen Reklamationsquote ein Problem mit der Verfügbarkeit der IT, welches das Unternehmen bis zu acht Prozent des Umsatzes kostete. Durch gezielte Ursachenanalysen und Korrekturmaßnahmen konnte die Organisation diese Ausfälle auf unter ein Prozent senken.

Die richtigen Korrekturen vornehmen


Jedes Managementsystem zielt darauf ab, dass sich die Organisation kontinuierlich verbessert. Das gilt auch für ISO 27001. Tritt im Rahmen eines Zertifizierungs- und Auditverfahrens eine Abweichung von Maßnahmen und den damit verbundenen Zielen auf, handelt es sich um eine „Nichtkonformität“. Die Organisation muss diese korrigieren und sicherstellen, dass die Abweichung nicht erneut oder später an anderer Stelle wieder auftreten kann. In der Praxis werden Nichtkonformitäten häufig mit falschen Korrekturen belegt. Das kann folgende Gründe haben: Zum einen schöpft die Organisation die Möglichkeiten der Ursachenfindung nicht aus, zum anderen wird die Korrektur ohne Rücksprache mit dem Prozessverantwortlichen definiert und umgesetzt.

Verbietet die Sicherheitsrichtlinie des Unternehmens etwa den Einsatz von USB-Sticks und die Assistentin der Geschäftsleitung hält sich nicht daran, wäre eine Ermahnung der Mitarbeiterin die falsche Korrektur. Warum? Weil diese Maßnahme nicht verhindert, dass die Mitarbeiterin den Einsatz des USB-Sticks wiederholen kann, auch sind Nachahmer an anderen Stellen im Unternehmen nicht auszuschließen. „Die richtige Korrektur wäre zu prüfen, wie die Verwendung von USB-Sticks technisch unmöglich wird, z.B. indem man die Ports an den Geräten entsprechend sperrt“, erklärt Bernd Kloft. Um zu verhindern, dass unbefugte Dritte aus Vorsatz oder Fahrlässigkeit Werte der Organisa­tion ändern oder für eigene Zwecke missbrauchen können, fordert ISO 27001 die Trennung von Aufgaben und Verantwortlichkeitsbereichen, die miteinander in Konflikt stehen könnten. Im Rahmen eines Audits stellte sich heraus, dass ein Fachbereich Informationen dokumentiert und eingesetzt hatte, ohne dass der Informationssicherheitsbeauftragte diese hätte bewerten oder freigeben können.

In diesem Fall ging es um das Freigabeformular für die Ausgabe von Computern und Tablets, also um Werte (Assets) der Gesellschaft mit einer hohen Relevanz für die Informationssicherheit der Organisation. Üblicherweise gibt es für die Ausgabe solcher Werte einen Freigabeprozess, der an dieser Stelle jedoch „ressourcenschonend“ umgangen wurde: Eine Kollegin aus der Beschaffung erstellte das Freigabeformular, gab das Tablet an sich selbst aus, unterzeichnete das Formular persönlich und heftete es ab. An keiner Stelle der „Warenausgabe“ war eine zweite, kontrollierende Partei im Unternehmen beteiligt. Nach Aktenlage wusste kein Dritter über die Ausgabe des Geräts Bescheid. Der Vorgang fiel nur deshalb auf, weil die Auditoren stets im ersten Schritt die Vorgaben, dann die Umsetzung und zur Abrundung die Nachweise dazu prüfen. „Erfahrungsgemäß reicht schon eine Stichprobe, um zu ermitteln, wie die Organisation mit dem Thema Aufgabentrennung umgeht“, so Bernd Kloft. „Mangelnde Trennung von Aufgaben ist immer ein ­K.-o.-Kriterium gegen die Erteilung eines Zertifikats.“

Sensible Informationen in Mülltonnen


Darüber hinaus ist der Informationssicherheitsbeauftragte oft nicht in Prozesse einbezogen. Ein Beispiel: Eine Neueinstellung steht an. Der Geschäftsführer fordert im Einkauf die Einrichtung eines neuen Arbeitsplatzes an, damit der neue Kollege am ersten Tag zügig starten kann. Der Einkauf händigt die Ressourcen der IT aus, damit der Rechner professionell aufgesetzt wird. Der Informationssicherheitsbeauftragte als unabhängiger Dritter wird nicht über die Neueinstellung informiert und auch nicht über die Ausgabe der Endgeräte durch die IT. Das ist in doppelter Hinsicht problematisch: Der Sicherheitsbeauftragte ist für die Verwaltung der IT-Werte zuständig – Stichwort Inventarisierung – und auch für die Prüfung und Freigabe der IT-Identität des neuen Mitarbeiters (Definition von Rollen und Berechtigungen im Identity- und Access-Management).

Dies ist ein Artikel aus unserer Print-Ausgabe 01-02/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Die Organisation ist für den Schutz der Informationen, die im Unternehmen ausgetauscht werden, verantwortlich. Das bedeutet: Sie muss dafür sorgen, dass sensible Informationen vor dem unbefugten Zugriff oder der Offenlegung durch Dritte geschützt sind. Bei Begehungen ist immer noch festzustellen, dass Dokumente vertraulichen Inhalts in der Papiertonne entsorgt werden, ohne sie zu schreddern. Die Reinigungskräfte entsorgen diesen „Müll“ in den Papiertonnen auf dem Betriebsgelände. Mitarbeiter können diese Dokumente in ihrer Gesamtheit entnehmen und somit z.B. auch auf Gehälter der Kollegen schließen. Ferner geraten sie unter Umständen in Besitz von Informationen, die durch das Bundesdatenschutzgesetz als besonders schutzwürdig eingestuft sind. Dieses ist ein grober Verstoß gegen die Bestimmungen der ISO 27001.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok