alphaspirit - Fotolia
ISO 27001: Die ersten Schritte zur Umsetzung
Eine Zertifizierung nach ISO 27001 bedarf einer strukturierten Herangehensweise – und liefert viele Erkenntnisse für die IT-Sicherheit eines Unternehmens.
Die ISO 27001:2022 hat als Norm für Unternehmen zunächst einmal nur einen bedingt verpflichtenden Rahmen. Nur wer sich nach der Norm prüfen lassen will, muss die Auflagen der Norm erfüllen. Je mehr Kunden und Partner für ihre Ausschreibungen und Verträge die Norm als Maßstab für IT-Sicherheit im weitesten Sinne anlegen, desto wichtiger wird es selbstverständlich, sich mit der Norm auseinanderzusetzen und eine Zertifizierung in Angriff zu nehmen.
Die Norm dient dabei nicht allein einem Selbstzweck wie einer Zertifizierung. Sie enthält zwar die Vorgaben für diese Zertifizierung, ist jedoch ein Leitfaden für die Steuerung und Verwaltung der IT-Sicherheit.
Die Zertifizierung kann sich auch auf die Zulassung von Produkten im Markt auswirken. So hatte ein Unternehmen aus der Pharmabranche eine Spezialmaschine entwickelt, jedoch außer Acht gelassen, dass die Maschine bis ins letzte Schräublein dokumentiert sein muss, um die Zulassung für die Fertigung durch Aufsichtsbehörden zu erhalten. Im Nachhinein ließen sich kaum noch Lieferscheine für Gehäusebleche, geschweige denn Bescheinigungen der Materialeigenschaften der eingesetzten Teile ermitteln. Das bedeutet das Aus für eine Zertifizierung – und das droht selbstverständlich latent auch bei einer ISO-Norm.
Drei Blöcke mit dem Ziel eines Lagebildes
Die grundlegende Herangehensweise ähnelt zunächst der vieler Vorbereitungen von Audits und Prüfungen: Man beginnt mit der Definition von Zweck, Umfang und Verantwortlichkeiten, was im Englischen oft mit Purpose, Scope und People benannt wird.
Daran schließen sich Untersuchung der gesamten IT-Landschaft an – und je nach deren Größe kann das bereits ausufern. Es gibt allerdings schon hier einen Hoffnungsschimmer: Bei den Assessments, also den Bestandsaufnahmen kann bereits ermittelt werden, ob die jeweilige Komponente, also der Gegenstand der Untersuchung, als kritisch im Sinne des IT-Betriebs einzustufen ist. Da mag so manches Endgerät auf dem Schreibtisch als Einfallstor für Schadsoftware eine Rolle spielen, der Plotter für technische Zeichnungen vielleicht weniger. Rein aus einer Sicherheitsperspektive spielt jedes Gerät mit einer IP-Adresse grundsätzlich eine Rolle. Aber auch die Haustechnik für die IT von Klima- bis Brandschutz-Anlage können in den Scope fallen.
Um einen gehörigen Berg an Dokumentationen kommt man nicht umhin. Dienstleister bieten hier ihre Unterstützung mit Templates und Tools an. Die Preisspannen für diese Services sind enorm.
Der Zweck
Bevor Firmen zur sehr aufwendigen Umsetzung der Norm ISO 27001:2022 schreiten, sollte im Unternehmen klar sein, welches Ziel die Aktivitäten haben sollen: Geht es um eine Zertifizierung? Ist diese womöglich Voraussetzung für das Gewinnen bestimmter Aufträge, ist also die Zertifizierung an sich bereits geschäftsrelevant? Soll die Norm zur internen Strukturierung der IT-Sicherheit angewendet werden? Diese Fragen müssen vorab beantwortet sein.
Damit dann auch die Zusammenarbeit mit Partnern und Zulieferern reibungslos läuft, bietet es sich an diese zu fragen. Überlegen Sie, wie Sie die Partner und Zulieferer, also die berühmte Lieferkette, in die Umsetzung der ISO 27001 in Ihrem Unternehmen einbeziehen.
Der Umfang
Die ISO 27001 befasst sich generell mit der IT und den Auswirkungen der IT auf die Betriebssicherheit eines Unternehmens. Deshalb sollten Sie sich von vornherein darüber im Klaren sein, dass sich die ISO 27001 im Grunde auf alle Unternehmensbereiche bezieht, die einen Bezug zur IT haben. Da heute kaum eine Fertigungsanlage ohne IT-Steuerung auskommt, ist es wichtig, sich über den Detaillierungsgrad zu einigen. Systeme, die vielleicht nur in einem Verbund Auswirkungen auf die IT-Sicherheit haben, könnten zu einer Blackbox summiert werden.
Die Verantwortlichkeiten
Dass ein Unterfangen wie eine ISO-27001-Zertifizierung ein großes Projekt ist, das nach dem Top-Down-Prinzip organisiert werden muss, sollte allen Beteiligten klar sein. Je größer das Unternehmen, desto komplexer wird eine Zertifizierung. Manche Anwenderunternehmen mag schon an den Startschuss denken, wenn endlich in einem Projektteam die Verantwortlichkeiten für die ISO-Zertifizierung verteilt sind. Es geht aber vor allem um die Verantwortlichen für die Gegenstände beziehungsweise Werte, also die Assets, des Unternehmens. Wer hatte gleich noch einmal die Hoheit für den Drucker an der Pforte und wieso muss dieser per Internet erreichbar sein? Wann wurde er beschafft und von wem?
Das Assessment zum Aufbau eines Lagebildes
In diesem Komplex der Erarbeitung von Zweck, Umfang und Verantwortlichkeiten wird ein Assessment die Basis für alle weiteren Schritte sein.
Die Gesamtheit der Maßnahmen für die Vorbereitung einer Zertifizierung beziehungsweise für die Ertüchtigung des Unternehmens gemäß ISO 27001 wird daher von vielen Beratungs- und Dienstleistungsunternehmen in fünf grundlegende Abschnitte gegliedert.
- Als erstes lohnt es sich, generell einmal eine Risikoanalyse durchzuführen. Es sollte eigentlich eine Selbstverständlichkeit sein, dass die aus der IT entstehenden Risiken bekannt sind, doch immer noch gibt es Unternehmen mit USB-Sticks oder ähnlichem für das Turnschuh-Netzwerk – eben mit allen Risiken.
- Darauf aufbauend werden die Maßnahmen zur Sicherheit in der IT untersucht. Welche Tools sind im Einsatz? Welche werden zusätzlich benötigt? Hier sollte sich in jedem Unternehmen eine Diskrepanz zwischen Anspruch und Wirklichkeit ergeben, denn die perfekte IT-Landschaft ist eine Illusion. Mag vielleicht die Zutrittssteuerungnoch gut gelöst sein, kann es an der Haustechnik zumindest Prüfmängel geben.
- Weil die beiden genannten Punkte mit einem Excel-Sheet kaum zu leisten sind, empfehlen die Beratungsunternehmen hier oft den Einsatz eines IT- (Security-) Management-Systems. Im Assessment sollte geprüft werden, ob und in welchem Umfang das Management-System für die Erfassung und Verwaltung der IT geeignet ist. Dabei kann auch die Interoperabilität mit einem MES (Manufacturing Execution System) oder einem ERP- (Enterprise Resource Planning) System geprüft werden.
- Das Assessment muss für alle Geschäftsprozesse und Verantwortlichkeiten durchgeführt werden. Ein Assessment sollte unter anderem folgende Angaben erfassen: Gegenstand, Verantwortung (namentlich), Bedrohungsarten, Gefahren bei Beschädigung, Verantwortlichkeit im Schadenfall, Wahrscheinlichkeit und Risikoklasse.
Ein nicht unwesentlicher Aspekt ist dabei die Bestimmung der Verantwortlichen und eine ausführliche Dokumentation. - Eine interne Auditierung könnte zeigen, ob die IT-Landschaft und deren Sicherheit in einem vollständigen Lagebild erfasst worden sind. Sie zeigt auch, den Nachholbedarf. Damit ist sie eine gute Vorbereitung für eine aufwendige und teure externe Auditierung.
Die interne Auditierung hilft auch herauszufinden, warum ein Gegenstand im Assessment erfasst worden ist und was im Falle eine Störung tatsächlich geschehen kann. Auf dieser Basis können dann Testverfahren entwickelt werden. In den Testverfahren wird erarbeitet, wie sich die Bedrohungen auswirken. Geschieht das für alle erfassten Entitäten, erarbeitet sich ein Unternehmen schlussendlich die Voraussetzungen für eine Zertifizierung.
Bei all diesen Schritten ist es hilfreich die Brille der Risikoperspektive nie abzusetzen.
Die Risikoperspektive und auch die Risiken auf dem Weg zur Zertifizierung nach ISO 27001 sind Gegenstand eines weiteren Artikels in dieser Reihe. Die Beiträge zum Thema, wie sich Teams mit ISO 27001 auseinandersetzen und was die Norm für IT-Anbieter und Kunden bedeutet, haben wir hier verlinkt.
