Gorodenkoff - stock.adobe.com
Was die ISO 27001 für IT-Anbieter und ihre Kunden bedeutet
Die ISO 27001 gehört zu den Bestimmungen zur Risikominimierung und im Besonderen in der IT. Teil 1 unserer Reihe liefert eine Einordnung der ISO 27001 innerhalb der Vorschriften.
Cyberattacken, Ransomware-Attacken, Hardwaredefekte und menschliche Fehler: Es gibt einiges, was die Informationssicherheit eines Unternehmens, und dazu gehören auch Behörden und Einrichtungen der Öffentlichen Hand, gefährden kann. Die Störungen stellen sowohl für die Betreiber der IT wie auch für deren Anwender, ganz gleich ob im eigenen Hause oder bei den Kunden, ein Risiko da.
Es gibt viele Handreichungen für den Aufbau der Sicherheit im Unternehmen. So hat der Bitkom auch einige nützliche Leitfäden, die bei der Einrichtung stabiler, sicherer und geschützter IT-Umgebungen helfen. Das Datenschutzgrundhandbuch des BSI hilft ebenso. Seit einiger Zeit sind die wichtigsten Grundsätze des Datenschutzes in einer europäischen Norm zusammengefasst.
Gut – Unfälle sind unvermeidbar, was jedoch an Zeit und Mitteln für die Reparatur von IT-Umgebungen aufgewendet wird, stellt einen erheblichen unternehmerischen und somit volkswirtschaftlichen Schaden dar.
All dies soll Anlass sein für eine kleine Reihe von Artikeln zur ISO 27001, die als europäische Norm die formalen Kriterien definiert. Die Einhaltung der formalen Kriterien ist wiederum die Voraussetzung für die Zertifizierung des Unternehmens entsprechend der Norm. Dies hier ist der erste Artikel der Reihe, bei einige grundlegende Aspekte erörtert werden.
Relevanz von Normen
Wie sich in den Gesprächen mit den Anwendern gelegentlich zeigt, sind viele der Leitfäden Gesetze und Normen wie die ISO 27001 nicht immer so präsent, wie es für das Unternehmen nötig oder zumindest wünschenswert wäre. Oft fließt die Energie bei der Projektierung in die Fachverfahren. Diese sind oft mustergültig formuliert und geplant. Bei der Umsetzung stoßen die Unternehmen dann mitunter auf Schwierigkeiten bei der Auslegung des Data Centers und der Speicherarchitektur (ganz gleich, ob On-premises oder in der Cloud) oder auch bei der Gestaltung der IT-Prozesse unter der Anwendungsebene. Schlussendlich entsteht daraus ein Risiko für die Durchführung des jeweiligen Fachverfahrens.
Die Gefahren können nicht nur das Fachverfahren stören, sondern auch die umgebenden Unternehmensprozesse beeinträchtigen. Längere Störungen führen schlussendlich zu einem Reputationsverlust. Dieses Thema ist in Deutschland noch nicht immer so richtig angekommen, wird sich aber angesichts der Globalisierung der Märkte weiter verschärfen.
Zur Minimierung von Risiken wurden neben Leitfäden von Branchenverbänden auch Normen, Gesetze und Verordnungen zur geflissentlichen Beachtung erarbeitet.
Die ISO 27001 als Norm
Zunächst einmal handelt es sich mit der ISO 27001 um eine Norm. Die Unternehmen sind also frei in ihrer Entscheidung, ob sie ihre IT nach dieser Norm ausrichten – so wie es den Unternehmen auch freisteht, für Briefe das Format nach DIN A4 oder doch lieber das Format US Legal zu verwenden. Entscheidet man sich für US Legal, hat man vielleicht hier und da Schwierigkeiten bei der Weiterverarbeitung, weil zum Beispiel nicht alle Briefumschläge passen.
Gar nicht so unähnlich ist die ISO 27001: Sie dient vor allem für die Kunden als wichtiges Orientierungsmerkmal bei der Gestaltung von Ausschreibungen. Ist ein IT-Anbieter nach ISO 27001 zertifiziert, darf davon ausgegangen werden, dass bestimmte IT-Prozesse nicht nur normgerecht funktionieren, sondern eben auch entsprechend dokumentiert und abgenommen sind. Das sorgt für ein positives Erwartungshaltungsmanagement, dokumentiert die Maßnahmen zur Risikominimierung und verschafft so auch eine gewisse rechtliche Sicherheit für alle Beteiligten.
Wie sortiert sich die Norm ein?
Es gibt eine Vielzahl von Bestimmungen und Handreichungen und Gesetzen an die man sich als Unternehmen halten muss beziehungsweise deren Bestimmungen man sinngerecht anwenden sollte. So gibt es neben der ISO 27001 als Norm auch die DSGVO als Verordnung, das KonTraG als Artikelgesetz, Basel III als Vereinbarung für Banken und Finanzinstitute (im weitesten Sinne) und rings um diese das BGB und das HGB.
Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie soll Unternehmen helfen, die Informationssicherheit systematisch zu verbessern. Im Vergleich zu Basel III, der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) lässt sich ISO 27001 folgendermaßen einordnen:
ISO 27001
Als Norm ist sie in Organisationen jeder Branche universell anwendbar. Ziel ist der Schutz der Vertraulichkeit, Integritätund Verfügbarkeit von Informationen. Als Standard spezifiziert die ISO 27001 die Anforderungen an ein ISMS und deckt verschiedene Aspekte der Informationssicherheit (das heißt, das Risikomanagement, die Sicherheitsrichtlinien und die Schutzmaßnahmen) ab. Als Standard ist die Beachtung freiwilliger. Doch zunehmend gilt eine Zertifizierung entsprechend der ISO 27001 als Nachweis für Informationssicherheit.
Basel III
Die Vereinbarung von Basel III, als Nachfolger des vor 20 Jahren heiß diskutierten Basel II, dient als Richtlinie zur Erhöhung der Stabilität innerhalb des Bankensektors. Bezogen auf die IT enthält Basel III eigentlich nur einige Absätze, die erklären, dass ein Ausfall der IT die Geschäfte der Bank nicht gefährden darf. Hier gilt es also abzuschätzen, wie weit man diese Begrifflichkeit fasst. Basel III umfasst zum Beispiel kein ISMS im Sinne der ISO 27001, setzt jedoch auf ein Risikomanagement, das durch ISO 27001 unterstützt werden kann.
DSGVO
Ziel dieser Verordnung ist der Schutz personenbezogener Daten und die Sicherstellung der Privatsphäre von EU-Bürgern. Sie ist verbindlich im Sinne eines Gesetzes und beschreibt die Regelungen und Anforderungen an den Datenschutz. Die ISO 27001 kann hier zur Orientierung bei der Umsetzung eines Datenschutzmanagements herangezogen werden.
KonTraG
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich ist ein sogenanntes Artikelgesetz, das die Vorschriften des AktG, des HGB sowie des BGB ergänzt. Es gilt vorrangig für börsennotierte Unternehmen in Deutschland. Auch das KonTraG verpflichtet Unternehmen zur Einrichtung eines Systems zur Früherkennung von Risiken (Risikomanagementsystem). Auch hier kann die Umsetzung der Normen der ISO 27001 zur Erfüllung der Anforderungen des KonTraG im Bereich IT- und Informationssicherheitsrisiken beitragen.
Die ISO 27001 liefert also einen allgemeinen Standard für Informationssicherheitsmanagement und deckt unter anderem das Risikomanagement für Informationen ab. So gesehen stellt sie auch eine nützliche Basis für die Umsetzung der Bestimmungen und Empfehlungen der DSGVO, des KonTraG und in gewissem Maße auch von Basel III dar, da sie ein systematisches Rahmenwerk für das Management von Risiken in der Informationssicherheit darstellt.
Der zweite Artikel unserer kleinen Reihe erläutert die Struktur der Norm.