© denisismagilov - Fotolia.com

IT-GRC Blog: DIN ISO/IEC 27001

Das Zertifikat zur Norm DIN ISO/IEC 27001 findet sich auf zahlreichen Webseiten, oftmals in Kombination mit Sätzen wie "Bei uns sind ihre Daten sicher!". Im heutigen Beitrag möchte ich die Norm etwas näher betrachten und erläutern, was tatsächlich hinter der Zertifizierung steckt und wie diese aus Kundensicht zu werten ist.

Die Norm DIN ISO/IEC 27001

Der Vollständigkeit halber zu Beginn eine kurze begriffliche Einordnung. Anders als ein Standard wie ITIL, COBIT oder TOGAF wird eine Norm durch ein anerkanntes Normungsinstitut herausgegeben. In Deutschland handelt es sich hierbei beispielsweise um das "Deutsche Institut für Normung e. V." (DIN), welches mit der Bundesrepublik Deutschland im Jahr 1975 einen Normenvertrag geschlossen hat. Das internationale Pendant ist die "International Organization for Standardization" (ISO), ein Zusammenschluss verschiedener nationaler Normungsinstitute. Das amerikanische Institut ist das „American National Standards Institute“ (ANSI).

Die korrekte Bezeichnung der Norm DIN ISO/IEC 27001 ist

"Information Technology - Security techniques - Information security management systems - Requirement"

oder auf deutsch

"Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme – Anforderungen."

Bereits der Name verrät einiges über den Inhalt der Norm. Es handelt sich hierbei um eine internationale Norm ("ISO/IEC"), welche in das deutsche Normenwerk ("DIN") übernommen wurde. Die Norm behandelt Sicherheitsverfahren in der Informationstechnik, konkret die Anforderungen eines ISMS, eines Informationssicherheitsmanagementsystem.

Der Titel der DIN ISO/IEC 27001 ist "Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme – Anforderungen."

ISMS: Ein Informationssicherheits-managementsystem

Hinter dem etwas sperrigen Begriff ISMS verbirgt sich ein Managementsystem, welches sich um die Informationssicherheit kümmert. Informationssicherheit bedeutet, den Dreiklang Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Die Sicherstellung der Informationssicherheit in einem Unternehmen ist meist "das Resultat eines Systems aus Richtlinien, Planungsaktivitäten, Verantwortungen, Prozessen, Verfahren und Ressourcen" [1].

Das Bundesamt für Sicherheit in der Informationstechnik definiert ein ISMS als ein System, dass "festlegt, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert)" [2].

Vereinfacht gesagt: Informationssicherheit entsteht durch eine Vielzahl von Aktionen im Unternehmen. Das Ganze beginnt bei der Personalsicherheit, geht über Verantwortlichkeiten, physische Sicherheit, bis hin zu Themen wie Datenbackups oder Protokollierung. All diese Regelungen dienen dem Zweck, die Informationssicherheit aufrechtzuerhalten. Die Gesamtheit des Systems wird ISMS genannt.

Die DIN ISO/IEC 27001 zertifiziert keine einzelnen Produkte oder Services, sondern ein Managementsystem für Informationssicherheit. Die Zertifizierung sagt nicht aus, ob beispielsweise ein Webservice besonders sicher bzw. sauber programmiert wurde oder gar frei von Sicherheitsproblemen ist.

Informationssicherheit

Der Begriff Informationssicherheit wird häufig verwechselt mit dem Begriff der IT-Sicherheit. Informationssicherheit beinhaltet zwar die IT-Sicherheit, ist jedoch deutlich umfassender.

Informationssicherheit

In Abgrenzung zu IT-Sicherheit umfasst Informationssicherheit neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten Informationen, etwa in Form handgeschriebener Dokumente [3].

IT-Sicherheit ist nur ein Teil der Informationssicherheit.

Normenreihe 27000

Die 27000er-Normenreihe besteht aus einer Vielzahl von Normen. Am bekanntesten ist beispielsweise die Norm ISO/IEC 27001. Die Normenreihe selbst ist in normative und informative Normen differenziert. Die informativen Normen lassen sich weiter in allgemeine und branchenspezifische Leitfäden differenzieren.

Normativ, also zwingend zu beachten, sind insbesondere die ISO/IEC 27001 und die ISO/IEC 27006 (Anforderungen an Zertifizierungsstellen).

Die ISO 27001 ist die zentrale Norm, gegen welche ein Unternehmen zertifiziert werden kann. Sie besteht aus einigen einleitenden Kapiteln (0-3) und sieben zwingenden umzusetzenden Kapiteln (4-10), die nicht ausgeschlossen werden dürfen, insofern die Konformität mit der Norm beansprucht wird.

Spannend ist hierbei insbesondere der Anhang A: Er zeigt Referenzmaßnahmenziele und -maßnahmen auf, welche im Rahmen der Konformität umgesetzt werden sollten. Beispielhafte Maßnahmen aus der Norm betreffen beispielsweise den Umgang mit Wechseldatenträgern oder die Meldung von Informationssicherheitsereignissen. Die Maßnahmen aus Anhang A müssen nicht zwingend vollständig umgesetzt werden.

Im Rahmen der Zertifizierung muss hierzu ein Statement of Applicability (SOA) erstellt werden, in welchem aufgelistet ist, welche Maßnahmen umgesetzt bzw. nicht umgesetzt wurden und warum nicht.

In der ISO/IEC 27002 Norm finden sich Erläuterungen und Umsetzungsanleitungen zu jeder Maßnahme aus Anhang A der ISO/IEC 27001.

Weitere interessante Normen sind beispielsweise die ISO/IEC 27005 (Risikomanagement) oder die ISO/IEC 27007 (Leitlinien zu ISMS-Audits).

Die zentrale Norm, gegen welche ein Unternehmen zertifiziert wird, ist die DIN ISO/IEC 27001.

Audit

Im Rahmen eines Audits wird systematisch geprüft, ob das Managementsystem die Auditkriterien erfüllt. Ein Audit kann intern sein, also in eigener Verantwortung des Unternehmens durchgeführt, oder extern, durch eine unabhängige Organisation. Eine besondere Form des externen Audits ist das Zertifizierungsaudit.

Ein Zertifizierungsaudits umfasst insbesondere die Dokumentenprüfung, Audittätigkeiten vor Ort im Unternehmen und die Erstellung des Audit-Berichts. Im Rahmen der Zertifizierung muss der "Scope" definiert werden, also der Umfang der Zertifizierung. Im Rahmen eines Audits muss nicht immer das ganze Unternehmen zertifiziert werden, auch ein Zertifizierung einzelner Unternehmensbereiche ist, insofern sinnvoll, möglich.

Die Zertifizierung sagt nicht aus, dass stets das ganze Unternehmen geprüft wurde. Der Umfang der Zertifizierung kann auch Teilorganisationen umfassen.

Der Wert aus Kundensicht / Fazit

Häufig wird die Zertifizierung als Beweis herangezogen, dass beispielsweise Daten in der Cloud eines Anbieters "super sicher" sein sollen. Dies zu beweisen, ist jedoch nicht Sinn & Zweck der DIN ISO/IEC 27001 Zertifizierung.

Sinn & Zweck ist die Überprüfung und Sicherstellung der Wirksamkeit eines Managementsystems. Optimalerweise stellt das Managementsystem durch Richtlinien, Verfahren und Prozesse sicher, das im Rahmen der Entwicklung des Produkts bestimmte Maßnahmen beachtet wurden, welche die Sicherheit erhöhen. Es ist jedoch genauso gut möglich, dass ein Unternehmen eine Zertifizierung besitzt, das angebotene Produkt bzw. der Service jedoch grobe handwerkliche Fehler enthält, welche die komplette Sicherheit kompromittieren.

Das DIN ISO/IEC 27001 Zertifikat ist aus Kundensicht nur ein Indikator, dass im Unternehmen grundlegende Aspekte der Informationssicherheit realisiert wurden. Genauer betrachtet werden sollte insbesondere der Scope, der der Zertifizierung zu Grunde liegt.

Auch ohne Zertifizierung lohnt sich ein Blick in die Norm, da diese viele Impulse bieten kann, inwiefern die Sicherheit im eigenen Unternehmen weiter erhöht werden kann.

Quellen / Bildnachweis:

  • [1] Kess IT: Schulungsunterlagen Information Security Officer
  • [2] Definition des BSI Standards 100‐1
  • [3] Wikipedia (DE): Informationssicherheit, https://de.wikipedia.org/wiki/Informationssicherheit#IT-Sicherheit
  • Beitragsbild: © denisismagilov - Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert