cherezoff - stock.adobe.com

Das sollten Unternehmen beim Aufbau eines ISMS beachten

Der Aufbau und Betrieb eines Information Security Management Systems (ISMS) nach ISO 27001 ist kein Kinderspiel. Hier einige Best Practices für die Umsetzung am konkreten Beispiel.

„Grundsätzlich gibt es keine festgelegte Standardmethode für den Aufbau und Betrieb eines ISMS. Wir berücksichtigen immer die individuelle Situation unserer Kunden, orientieren uns aber an bewährten Best Practices“, erklärt Benjamin Kahler, Lead Consultant ISMS und IT-Sicherheit bei der ausecus GmbH in Augsburg. Er sitzt auch im Normierungsgremium für die ISO 27001. Für den Aufbau eines ISMS rechnet Kahler im Schnitt mit einer Dauer zwischen 14 Monaten und zwei Jahren, abhängig von den verfügbaren Ressourcen und der Zeit, die sich die Verantwortlichen abseits vom Tagesgeschäft für das Projekt nehmen können.

Zentral für den Erfolg des ISMS ist die Unterstützung der Geschäftsführung. „Sie brauchen als ISMS-Verantwortlicher das Mandat durch das obere Management, um die notwendigen Ressourcen und finanziellen Mittel für Berater, Hardware und Software für Sicherheitsmaßnahmen oder Audits zu erhalten“, so Benjamin Kahler. Argumentationshilfen geben hier etwa die Risikoanalyse (Kosten für ISMS verhindern noch größeren Schaden), gesetzliche Verpflichtungen (IT-Sicherheitsgesetz für die Betreiber kritischer Infrastrukturen) oder Kunden etwa von IT-Service-Providern, die eine ISO 27001-Zertifizierung verlangen. Der Provider kann die ISO 27001-Zertifizierung letztendlich auch zum Marketing für die eigenen Dienstleistungen verwenden.

Scope aus Anforderungen herleiten

Benjamin Kahler empfiehlt, den Scope (Anwendungsbereich) des ISMS genau aus diesen Anforderungen des Unternehmens herzuleiten: „Aus den Anforderungen entsteht eine Liste der wichtigsten Geschäftsprozesse; damit verbunden sind die Informationswerte (Assets) sowie die Risiken inklusiver technischer Details. Relevant sind zudem die Bedürfnisse der Interessensgruppen im Unternehmen, die vom Aufbau eines ISMS betroffen sind.“

Einer der Kunden, die Kahlers Firma bei der Einführung eines ISMS beraten hat, sind die Stadtwerke Fürstenfeldbruck in der Nähe von München. Sie versorgen die Stadt und den Landkreis Fürstenfeldbruck mit Strom, Trinkwasser und Wärme sowie einem Frei- und Hallenbad. Hintergrund für die Einführung des ISMS war die gesetzliche Verpflichtung durch das IT-Sicherheitsgesetz.

„Durch die gesetzliche Vorgabe war bei unserem Geschäftsführer nicht viel Überzeugungsarbeit notwendig, um die Ressourcen für den Aufbau eines ISMS zu erhalten“, sagt Dr.-Ing. Michael Manhardt, Leiter Stromnetze bei den Stadtwerken Fürstenfeldbruck und zuständiger ISMS-Projektleiter. „Auch der Scope war von Anfang an klar: So wenig wie möglich, so viel wie nötig. Wir haben den Anwendungsbereich auf die IT-gesteuerte Leitstelle beschränkt und damit den vorgeschriebenen Mindestumfang gewählt. Möglicherweise weiten wir den Scope später noch auf unser geografisches Informationssystem GIS und die Kunden-Datenbank aus. Das ist aber dann eine Management-Entscheidung.“

Risikobewertung und Liste der Maßnahmen

Zentral für das ISMS sind die Inventarisierung der Assets, sprich der Werte im Unternehmen wie Informationen, Anlagen, Hardware, Software, Mitarbeiter oder Reputation, sowie die Identifikation und Bewertung der damit verbundenen Risiken. Bei den Stadtwerken Fürstenfeldbruck gehören dazu neben Servern oder PCs auch der Strukturplan des IT-gesteuerten Stromfernwirknetzes, der beispielsweise zeigt, mit welchen Switches ein Umspannwerk verbunden ist.

„Wir müssen unsere Systeme an neue Anforderungen anpassen oder mit besseren Sicherheits-Maßnahmen auf neue Bedrohungs-Szenarien reagieren. Das ISMS ist kein einmaliger Akt, sondern ein permanenter Prozess.“
Michael ManhardtStadtwerke Fürstenfeldbruck

Benjamin Kahler rät Firmen, hier die Assets zu gruppieren und dann weiter zu differenzieren. Ein Beispiel: Die Asset-Gruppe „Clients“ lässt sich beispielsweise nochmals in privilegierte Accounts (Administratoren) oder „normale“ Nutzer unterteilen. Im nächsten Schritt geht es darum, die Risiken für die Werte und den Geschäftsbetrieb zu identifizieren und zu klassifizieren. „Üblich ist eine Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe mit den Stufen 1/2/3 und nach qualitativen Kriterien wie etwa Passiert einmal in fünf Jahren“, erläutert Benjamin Kahler. Bei der Entscheidung über die Akzeptanz von bestimmten Risiken ist auch das Top-Management gefragt.

Im folgenden Risikobehandlungsplan geht es um den Umgang mit diesen Risiken: Was müssen wir tun, um unsere Assets zu schützen? Hier helfen die Maßnahmen (Controls) in Anhang A der ISO 27001 weiter zu Themen wie Incident Management, Kryptographie, Netzwerksicherheit oder Zugangskontrolle. Insgesamt beschreibt der Anhang A 114 Maßnahmen in 14 Bereichen. Ergänzende Maßnahmen liefern auch die Norm ISO 27002 oder bei den Stadtwerken Fürstenfeldbruck die Norm 27019. Letztere Ist eine Adaption der ISO 27001 speziell für Energieversorger.

Ergebnis ist das Statement of Applicability (SoA), eine Erklärung zur Anwendbarkeit der Maßnahmen. „Das SoA beschreibt die Risiken und welche Maßnahmen warum getroffen oder ausgeschlossen wurden. Firmen müssen nicht alle Maßnahmen sofort umsetzen, sondern vor allem diejenigen Maßnahmen, die die größten Risiken lindern“, erklärt Benjamin Kahler. Inbegriffen ist zudem der Status der Implementierung der Maßnahmen (implementiert, teilweise implementiert etc.). Wichtig ist die permanente Dokumentation aller umgesetzten Maßnahmen und die regelmäßige Prüfung, ob die Controls greifen - ganz im Sinne der kontinuierlichen Verbesserung nach dem PDCA-Zyklus (Plan – Do – Check – Act).

Wichtige Schritte auf dem Weg zum ISMS

  • Unterstützung und Mandat durch das Top-Management
  • Verantwortlichkeiten klar festlegen: Wer ist zuständig für den Aufbau des ISMS?
  • Scoping: Anwendungsbereich (Scope) des ISMS festlegen
  • Asset-Inventarisierung (Welche Werte hat das Unternehmen?)
  • Risikobewertung: Welche Themen bringen das größte Risiko für unsere Geschäftsprozesse und unser Business? Was kann uns und unseren Kunden am meisten Schaden bereiten?
  • Maßnahmenliste (Risikobehandlungsplan): Statement of Applicability = Erklärung zur Anwendbarkeit; Welche Maßnahmen (Controls) müssen wir ergreifen, um unsere Assets zu schützen? (Controls im Anhang A der ISO 27001; ergänzende Maßnahmen liefert die ISO 27002)
  • Internes Audit zur Prüfung der Effektivität der Maßnahmen mit anschließender Management-Bewertung
  • Zertifizierungs-Audit (alle drei Jahre)
  • Regelmäßige Überprüfung durch interne und externe Audits (Grundsatz der kontinuierlichen Verbesserung im Rahmen des PDCA-Zyklus)
  • Wichtig: Ausführliche Dokumentation der Richtlinien, Verfahren, Prozesse oder Maßnahmen

Audit zeigt die Qualität des ISMS

Die Stadtwerke Fürstenfeldbruck benötigten für den Aufbau ihres ISMS insgesamt knapp eineinhalb Jahre (April 2016 bis September 2017). „Der Aufwand für zwei Leute betrug im Schnitt drei bis vier Tage pro Monat. Das Tagesgeschäft muss ja weiterlaufen. Bei der Umsetzung hat uns ein Berater von ausecus unterstützt“, erzählt Projektleiter Michael Manhardt. Im September 2017 folgte vor der Zertifizierung das interne Audit (kann auch durch externen Berater erfolgen), um zu prüfen, ob das ISMS die Vorgaben der ISO 27001 erfüllt. Die interne Prüfung soll grundsätzlich Verbesserungspotenzial für die Organisation aufzeigen. „Das interne Audit war sehr streng, damit wir beim externen Audit, sprich der Prüfung zur Zertifizierung, keine Überraschungen erleben. Wir hatten einige Abweichungen und mussten nachlegen.“

Anschließend folgten die Bewertung und Freigabe des ISMS durch die Geschäftsführung und die ISO 27001-Zertifizierung. Diese gilt für drei Jahre. In diesem Zeitraum erfolgt bis zum nächsten Zertifizierungs-Audit jedes Jahr ein abgespecktes externes Überprüfungs-Audit, dem erneut ein internes Audit vorausgeht. Dieses erfolgte im September 2018. „Der Prüfer stellte formale Mängel bei der Dokumentation fest. Wir sollten vor allem unsere Maßnahmenliste detaillierter beschreiben“, so Manhardt. 

Die regelmäßigen internen und externen Audits stehen für den PDCA-Zyklus. Die ISO 27001 fordert, dass Firmen ihr ISMS regelmäßig überprüfen und kontinuierlich weiterentwickeln. So werden die Stadtwerke Fürstenfeldbruck im Jahr 2019 beispielsweise ein Dokumenten-Management-System einführen, um die Dokumentation zu verbessern, die Suche und den Zugriff nach Dokumenten zu vereinfachen und Workflows einzurichten. „Wir müssen unsere Systeme an neue Anforderungen anpassen oder mit besseren Sicherheitsmaßnahmen auf neue Bedrohungsszenarien reagieren. Das ISMS ist kein einmaliger Akt, sondern ein permanenter Prozess“, resümiert Michael Manhardt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

ISO 27001: Ein Information Security Management System einrichten

Die Herausforderung, ein ISMS zu implementieren

Die Änderungen bei IT-Grundschutz: Folgen für die Zertifizierung

Erfahren Sie mehr über IT-Sicherheits-Management