BIC Information Security: Der fachliche Hintergrund

Das Ziel dieser Phase ist eine Auflistung aller (kritischen) verwendeten Assets. Ein Asset kann jeglichen Vermögenswert darstellen, der für das Unternehmen essenziell ist. Gemäß ISO 27002 und ISO 27005 können sich Assets folgendermaßen gliedern: Informationen, Software, Gebäude, Einrichtungen, Fahrzeuge, Betriebsmittel, Hardware, Datenträger, Rechen- und Kommunikationsdienste, Versorgungseinrichtungen, MitarbeiterInnen mit ihren Qualifikationen und immaterielle Werte wie beispielsweise Ruf und Image der Organisation.

Neben der Identifikation der Vermögenswerte wird auch ein Verantwortlicher für jedes Asset bestimmt, da die ISO 27001:2013 die Zuweisung von Asset Ownern vorschreibt. Unter dem Asset-Owner versteht die Norm eine Person oder eine Einheit von Personen, die für die Verwaltung des entsprechenden Vermögenswerts sowie etwaige verbundene Risiken und Maßnahmen zuständig ist.

Die BIA (Business Impact Analyse) stellt eines der effektivsten Instrumente zur Identifikation von kritischen Schutzobjekten dar, da sie aufzeigt, welche Prozesse und Assets besonders schützenswert sind. Im Rahmen der BIA wird der Ausfall von Schutzobjekten hinsichtlich der finanziellen Auswirkungen, der Beeinträchtigung der Aufgabenerfüllung, des Verstoßes gegen Gesetze, Vorschriften und Verträge oder der negativen Innen- und Außenwirkung bewertet.

Die zweite Phase widmet sich der Risikoidentifikation. Das Unternehmen ermittelt eine umfassende Liste an Risiken, die für die Geschäftstätigkeit relevant sind und Unternehmensziele beeinträchtigen könnten. Dies sollte idealerweise prozessorientiert erfolgen. Meist wird anhand von Workshops mit den ISMS Verantwortlichen und den jeweiligen Abteilungsleitern durch die Ausarbeitung von Risikoszenarien ein umfassendes Ergebnis erzielt. Die Erarbeitung von Risikoszenarien stellt eine Methode dar, mithilfe derer festgestellt wird, ob Risiken bestehen, die die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit des Informationssystems und somit die Geschäftsziele beeinträchtigen könnten.

Ein weiterer Teilbereich der Risikoidentifikation stellt die Identifikation von bereits bestehenden Maßnahmen dar. Ausgangspunkt dieser Vorgehensweise ist die Überlegung, dass Unternehmen bereits Maßnahmen umgesetzt haben und gewisse Kontrollen des Annex A, ISO 27001 erfüllen, wie beispielsweise eine Passwort Policy. Jedoch kann es vorkommen, dass der Reifegrad dieser Maßnahmen noch nicht einer Zertifizierung entspricht, daher sollten sie hinsichtlich ihrer Aktualität, Effektivität und Normkonformität analysiert werden. Damit werden Duplikate und unnötige Kosten vermieden.

Die in der Risikoidentifikation festgestellten Risiken werden im Rahmen der Risikoanalyse weiter untersucht. Durch die Einschätzung von Eintrittswahrscheinlichkeit und potenziellem Schaden ergibt sich die Errechnung eines Risikowerts, welcher in BIC Information Security qualitativ anhand einer Heatmap oder quantitativ erhoben werden kann. 

Anhand der Definition der Risikosteuerung wird entschieden, wie mit dem betrachteten Risiko im Unternehmen umgegangen wird. Abhängig von der Risikoneigung, die von Risikoaversion über Risikoneutralität bis hin zur Risikofreude reichen kann, gibt es vier unterschiedliche Arten einem Risiko zu begegnen: Akzeptanz, Reduzierung, Vermeidung und Transfer. Ziel ist es, in weiterer Folge das Risiko so weit zu reduzieren, dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird.

Im nächsten Schritt wird festgelegt, wie die analysierten Risiken zu bewältigen sind. Ein externer Auditor erwartet einen Risikobehandlungsplan, in dem die Maßnahmen zur Risikobehandlung aufgeführt sind, die durchgeführt worden oder geplant sind. Dieser Plan wird von den zugewiesenen Risikomanagern oder Maßnahmenmanagern genehmigt und gibt Auskunft über den Implementierungsstatus jeder Maßnahme. 

In BIC Information Security können Maßnahmen anhand ihrer Risikobehandlungsstrategie, den Implementierungs- und Umsetzungsverantwortlichkeiten, Kosten, Schadens- und Eintrittswahrscheinlichkeitsreduktion dokumentiert werden.

Im Statement of Applicability (SoA) wird dokumentiert, dass sich das Unternehmen mit allen Kontrollen aus Annex A beschäftigt hat und diese für sich und seine Unternehmensziele bzw. Informationssicherheitsrisiken berücksichtigt hat. Das SoA beschreibt die Maßnahmenziele und Maßnahmen innerhalb des Geltungsbereichs (Scope) des Unternehmens und bezieht sich auf die 114 Maßnahmen/Kontrollen aus Annex A von ISO/IEC 27001:2013 bzw. ISO/IEC 27002. Für eine ISO-Zertifizierung des ISMS stellt das SoA – zusammen mit dem Geltungsbereich (Scope) – eine Kernanforderung dar.

Mindestens einmal jährlich sollte das Top-Management mit Unterstützung der ISMS-Verantwortlichen die Aktualität und Angemessenheit des Informationssicherheitssystems überprüfen, da die kontinuierliche Verbesserung der operativen Wirksamkeit ein Erfordernis von ISO 27001 darstellt. Die Themen eines solchen Management Reviews umfassen unter anderem folgende Bereiche: Ergebnisse der Risikoanalyse und Umsetzungsstatus der Maßnahmen, Wirksamkeit von den bereits umgesetzten Maßnahmen, interne bzw. externe Auditergebnisse, etwaige Nichtkonformitäten, entsprechende Korrekturmaßnahmen, Ergebnisse aus Messungen, unternehmensspezifische KPIs, allgemeine Informationssicherheitsleistung und Entwicklungen im ISMS uvm.

Um die Informationssicherheit im operativen Betrieb aufrechtzuerhalten, führen Unternehmen entsprechend dem Standard ISO 27001:2013, Annex A – Abschnitt 16 (Handhabung von Informationssicherheitsvorfällen) Verfahren für die Erfassung von Informationssicherheitsvorfällen ein. Dadurch wird effizientes Handeln bei Eintritt eines sicherheitsrelevanten Vorfalls sichergestellt. Die Verfahren beinhalten nicht nur die Meldung von Vorfällen, sondern auch die anschließende Bewertung und Behandlung inklusive der Sammlung von Beweismaterialien.   

In der Regel stellen Vorfälle Nichtkonformitäten dar, welche Einfluss auf den kontinuierlichen Verbesserungsprozess des Unternehmens und somit auf den Reifegrad des ISMS haben. Aufgrund der Bewertung von Vorfällen und den daraus resultierenden Erkenntnissen werden Korrekturmaßnahmen eingeleitet, die darauf abzielen, eine Beeinträchtigung von Verfügbarkeit, Integrität und Vertraulichkeit von Informationen zu minimieren und Schwachstellen im ISMS aufzudecken, zu korrigieren und folglich zukünftigen Vorfällen vorzubeugen.

Die planmäßige Überprüfung der Wirksamkeit des ISMS wird anhand von internen Audits durchgeführt und hat die kontinuierliche Verbesserung des Managementsystems zum Ziel. Der ISO-Standard definiert, dass mindestens einmal im Zertifizierungszyklus ein interner Audit durchgeführt wird. Der Ablauf eines internen Audits ähnelt dem externer Audits. Im Rahmen eines Audits kann entweder die gesamte Organisationseinheit oder Teilbereiche betrachtet werden. Die Ergebnisse werden für zukünftige Zertifizierungs-Audits genutzt und in Form von Findings weiter behandelt.

Um die Konformität des Managementsystems mit ISO 27001 zu gewährleisten, finden externe Zertifizierungsaudits statt, die von qualifizierten Auditoren im Namen einer Zertifizierungsstelle durchgeführt werden. Im Audit wird festgestellt, welche Defizite und Abweichungen das Unternehmen noch hinsichtlich ihres ISMS im Vergleich zur Norm aufweist.  

In BIC Information Security stehen für die Planung unterschiedliche Typen von Audits zur Auswahl: Pre-Audit, Zertifizierungsaudit, Überwachungsaudit und Re-Zertifizierungsaudit.

Findings werden in unterschiedlichen Kontexten erstellt. Sie stellen Resultate von externen und internen Audits oder von Management Reviews dar. Sie decken Norm-Abweichungen bzw. generelle Sicherheitsschwachstellen auf, die von den ISMS Verantwortlichen begutachtet und behandelt werden. Findings werden je nach Kritikalität als „Wesentliche Nicht-Konformität“, „Unwesentliche Nicht-Konformität“, „Beobachtung“, „Empfehlung“ oder „Verbesserungswunsch“ klassifiziert. Wesentliche Nicht-Konformitäten bzw. mehrere unwesentliche Nicht-Konformitäten stellen oftmals ein Hindernis für die Zertifizierung dar und sollten schnellstmöglich beseitigt werden.

Wesentliche Voraussetzung für die erfolgreiche Implementierung eines Informationssicherheits-managementsystems ist die Dokumentation der getroffenen Entscheidungen und der angestrebten Ziele. Dokumentierte Informationen werden benötigt, um beispielsweise Informationssicherheitsziele, -politik, -richtlinien, -anweisungen, -prozesse und -prozeduren zu definieren und zu kommunizieren. Des Weiteren werden Dokumentierte Informationen für Zertifizierungsaudits herangezogen. In der ISO Norm finden sich einige dokumentationspflichtige Abschnitte, die offiziell freigegeben und den interessierten Parteien revisionssicher zur Verfügung gestellt werden müssen. Darüber hinaus dokumentieren Unternehmen, je nach Zielsetzung und angestrebtem Reifegrad, zusätzliche Informationen, weshalb der Umfang der Dokumente variieren kann.