Die Cyberbedrohungslandschaften von heute verändern sich rasant. Analog dazu gilt es, die systematische Absicherung der Informationssicherheit stetig auf Stand zu halten und weiterzuentwickeln – mit einem modernen, breiten und flexiblen Katalog zeitgemäßer Informationssicherheitsmaßnahmen. Die neue ISO/IEC 27001:2022 unterstützt exakt dieses Ziel und stellt elf neue Maßnahmen bereit, von denen wir im Folgenden drei genauer beleuchten wollen, die ihre Wirkung bei der Angriffsprävention und -erkennung entfalten.

Loading...

Cyberangriffe bleiben zu lange unentdeckt

Der eminente Wert von Informationen und Daten in der Business-Welt des 21. Jahrhunderts zwingt Unternehmen und Organisationen zunehmend, sich auf Informationssicherheit zu fokussieren und in den systematischen Schutz ihrer digitalen Assets zu investieren. Warum? In dynamischen Bedrohungslandschaften werden die Taktiken der Angreifer stetig raffinierterer und vielschichtiger – mit der Konsequenz gravierender Image- und Reputationsschäden für betroffene Unternehmen und jährlich weltweit zunehmenden wirtschaftlichen Schäden in Milliardenbereich.

Einen lückenlosen Schutz vor Cyberangriffen, auch da sind sich Experten einig, gibt es dabei nicht mehr – allein schon aufgrund des Unsicherheitsfaktors Mensch. Umso wichtiger ist die frühzeitige Erkennung potenzieller und tatsächlicher Angriffe, um deren lateralen Vektor in Unternehmensnetzwerken einzugrenzen und die Anzahl kompromittierbarer Systeme so gering wie möglich zu halten. Doch in diesem Bereich gibt es noch enormen Nachholbedarf: Untersuchungen im Rahmen der Studie „Cost of a data breach 2022“ von IBM zeigen, dass es im Jahr 2022 durchschnittlich 277 Tage dauerte, um einen Angriff zu erkennen und einzudämmen.

Die neue ISO 27001:2022

Um Unternehmen und Organisationen mit einem zeitgemäßen, normierten Rahmen für Informationssicherheitsmanagementsysteme zu unterstützen, veröffentlichte die ISO am 25. Oktober 2022 die neue ISMS-Norm ISO/IEC 27001:2022. Der Anhang A liefert Controls/Maßnahmen, die unternehmensspezifisch zur Behandlung von Informationssicherheitsrisiken herangezogen werden können.

neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale
Loading...

Auch interessant:

Die neue ISO/IEC 27001:2022 – wesentliche Änderungen

Die inhaltliche Umsetzung der Maßnahmen aus Anhang A in der aktuellen Version wird durch die identisch strukturierte Umsetzungsanleitung der bereits im Februar aktualisierten ISO/IEC 27002:2022 unterstützt. Neu sind darin generische Maßnahmen für eine strategische Angriffsprävention und zügigere Detektion aufgenommen.

Drei neue Controls für Detektion und Prävention

Die jetzt 93 Maßnahmen des Anhang A der ISO/IEC 27001:2022 finden sich im Rahmen der Aktualisierung nun neu geordnet in den vier Themenbereichen

  • Organisatorische Maßnahmen,
  • Personenbezogene Maßnahmen,
  • Physische Maßnahmen und
  • Technologische Maßnahmen.

3 von den 11 neu eingeführten Informationssicherheitsmaßnahmen beziehen sich auf die Vorbeugung und das rechtzeitige Erkennen von Cyber-Angriffen. Diese 3 Maßnahmen sind

  • 5.7   Bedrohungsintelligenz (organisatorisch)
  • 8.16 Überwachung von Aktivitäten (technologisch)
  • 8.23 Webfilterung (technologisch)

Im Folgenden werden wir diese 3 neuen Controls genauer betrachten.

Bedrohungsintelligenz

Die organisatorische Maßnahme 5.7 behandelt die systematische Erhebung und Analyse von Informationen über relevante Bedrohungen. Zweck der Maßnahme ist die Sensibilisierung von Organisationen für ihre eigene Bedrohungslage, um in der Folge geeignete Maßnahmen zur Risikominderung ergreifen zu können. Bedrohungsdaten sollten strukturiert nach drei Aspekten analysiert werden: strategisch, taktisch und operativ.

Die strategische Bedrohungsanalyse liefert Einsichten in sich verändernde Bedrohungslandschaften, wie beispielsweise über Angriffsarten und die Akteure, zum Beispiel staatlich motivierte Akteure, Cyberkriminelle, Auftragsangreifer, Hacktivisten. Nationale und internationale staatliche Stellen (wie zum Beispiel das BSI - Bundesamt für Sicherheit in der Informationstechnik, die enisa - European Union Agency for Cybersecurity, das U.S. Department of Homeland Security oder NIST - National Institute of Standards and Technology) liefern ebenso wie gemeinnützige Organisationen und einschlägige Foren gut recherchierte Bedrohungsinformationen über alle Branchen und kritischen Infrastrukturen hinweg.

whitepaper-dqs-iso-27001-leitfaden
Loading...

DQS-Auditleitfaden zu ISO 27001

Wertvolles Wissen

Unser Auditleifaden ISO 27001 – Annex A wurde von führenden Experten als praktische Umsetzungshilfe erstellt und eignet sich hervorragend, um ausgewählte Normanforderungen besser zu verstehen. Der Leitfaden bezieht sich noch nicht auf die im Oktober 2022 revidierte Version von ISO 27001. 

Taktische Bedrohungsdaten und ihre Auswertung ermöglichen Einschätzungen über Methoden, Werkzeuge und Technologien der Angreifer.

Die operative Auswertung konkreter Bedrohungen stellt Detailinformationen zu bestimmten Angriffen einschließlich technischer Indikatoren bereit, wie zum Beispiel aktuell die in 2022 extreme Zunahme von Cyber-Angriffen durch Ransomware und ihre Varianten.

Die Bedrohungsanalyse kann wie folgt unterstützen

  • prozessual zur Einbindung von Bedrohungsdaten in den Risikomanagementprozess,
  • technisch präventiv und detektierend, zum Beispiel durch Aktualisierung von Firewall-Regeln, Intrusion‑Detection‑Systemen (IDS), Anti-Malware-Lösungen,
  • mit Eingabeinformationen für spezifische Testverfahren und Testtechniken gegen die Informationssicherheit.

Die Datenqualität aus der organisatorischen Maßnahme 5.7 zur Bestimmung der Bedrohungslage und deren Analyse wirken unmittelbar auf die beiden nachfolgend erläuterten technischen Maßnahmen zur Überwachung von Aktivitäten (8.16) und zur Webfilterung (8.23), die ebenfalls neu in die ISO/IEC 27002 aufgenommen wurden.

Überwachung von Aktivitäten

Die detektierende und korrektive Informationssicherheitsmaßnahme 8.16 zur technischen Überwachung von Aktivitäten stellt die Anomalie-Erkennung als Methode zur Gefahrenabwehr in den Fokus. Netzwerke, Systeme und Anwendungen verhalten sich nach erwartbaren Mustern, beispielsweise bezüglich Datendurchsatz, Protokollen, Meldungen und so weiter.  Jede Änderung oder Abweichung von diesen erwarteten Mustern wird als Anomalie detektiert.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Zertifizierung nach ISO 27001

Mit welchem Aufwand müssen Sie rechnen, um Ihr ISMS nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich kostenfrei und unverbindlich.

Wir freuen uns auf das Gespräch mit Ihnen.

Um dieses ungewöhnliche Verhalten zu erkennen, gilt es, entsprechend den Geschäfts- und Informationssicherheitsanforderungen, relevante Aktivitäten zu überwachen und etwaige Anomalien u.a. mit vorhandenen Bedrohungsdaten abzugleichen (siehe oben, Anforderung 5.7). Folgende Aspekte sind dabei für das Überwachungssystem relevant:

  • ein- und abgehender Netzwerk-, System- und Anwendungsverkehr,
  • Zugang zu Systemen, Servern, Netzwerkausrüstung, Überwachungssystemen, kritischen Anwendungen usw.,
  • System- und Netzkonfigurationsdateien auf administrativer oder geschäftskritischer Ebene;
  • Protokolle von Sicherheitstools [unter anderem Antivirus, Intrusion‑Detection‑Systemen (IDS), Intrusion‑Prevention‑System (IPS), Webfilter, Firewalls, Verhinderung von Datenabflüssen],
  • Ereignisprotokolle in Bezug auf System- und Netzwerkaktivitäten,
  • Überprüfung, ob ausführbarer Code in einem System integer und autorisiert ist,
  • Nutzung der Ressourcen, zum Beispiel Prozessorleistung, Festplattenkapazität, Speichernutzung, Bandbreiten.

Die Grundvoraussetzungen für eine funktionierende Überwachung von Aktivitäten sind eine sauber und transparent konfigurierte IT-/OT-Infrastruktur sowie einwandfrei funktionierende IT-/OT-Netzwerke. Jede Änderung gegen diesen Grundzustand wird als potenzielle Gefährdung der Funktionsfähigkeit und damit als Anomalie detektiert. Abhängig von der Komplexität einer Infrastruktur ist die Umsetzung dieser Maßnahme trotz einschlägiger Herstellerlösungen eine große Herausforderung. Die Bedeutung von Systemen zur Anomalie-Erkennung wurde fast zeitgleich mit der Anforderung 8.16 der ISO/IEC 27002:2022 regulatorisch für Betreiber sogenannter Kritischer Infrastrukturen erkannt. So besteht für diese im nationalen Anwendungsbereich einschlägiger, gesetzlicher Regelungen die Verpflichtung, sogenannte Systeme zur Angriffserkennung mit Fristsetzung wirksam anzuwenden.

Webfilterung

Das Internet ist Segen und Fluch zugleich. Der Zugriff auf zweifelhafte Websites ist nach wie vor ein Einfallstor für bösartige Inhalte und Schadsoftware. Mit der Informationssicherheitsmaßnahme 8.23 Webfilterung wird präventiv bezweckt, eigene Systeme einer Organisation vor dem Eindringen von Schadsoftware zu schützen und den Zugang zu nicht autorisierten Webressourcen zu verhindern. Organisationen sollten hierfür Regeln für die sichere und angemessene Nutzung von Online-Ressourcen aufstellen – einschließlich verbindlicher Zugangsbeschränkungen auf unerwünschte oder ungeeignete Websites und webbasierte Anwendungen. Der Zugang zu folgenden Arten von Websites sollte unternehmensseitig gesperrt werden:

  • Websites, die über eine Funktion zum Hochladen von Informationen verfügen – es seid denn, dies wäre aus berechtigten, geschäftlichen Gründen notwendig,
  • bekannte oder auch vermutete bösartige Websites,
  • Command- und Control-Server,
  • bösartige Websites, die aus den Bedrohungsdaten (s.a. Maßnahme 5.7) als solche identifiziert wurden,
  • Websites mit illegalen Inhalten.

Die Maßnahme zur Webfilterung funktioniert nur wirklich mit geschultem Personal, das in der sicheren und angemessenen Nutzung von Online-Ressourcen ausreichend sensibilisiert ist.

Technisches Fazit

Den hier beschriebenen neuen Detektions- und Präventionsmaßnahmen kommt bei der Abwehr organisierter Cyber-Kriminalität eine Schlüsselrolle zu, und sie haben zurecht Einzug in die aktuellen Fassungen der ISO/IEC 27001 und ISO/IEC 27002 gefunden. Mit der kontinuierlichen Aktualisierung und Analyse verfügbarer Bedrohungsinformationen, einer umfangreichen Aktivitätsüberwachung in eigenen IT-Infrastrukturen und einer Absicherung eigener Systeme gegen zweifelhafte Websites verstärken Unternehmen nachhaltig den Schutz gegen das Eindringen gefährlicher Schadsoftware. Zudem versetzen sie sich in die Lage, frühzeitig angemessene Reaktionsmaßnahmen einzuleiten.

Für Unternehmen und Organisationen gilt es nun, die 3 vorgestellten Controls/Maßnahmen entsprechend umzusetzen und konsistent in ihr ISMS zu integrieren, um die Anforderungen zukünftiger Zertifizierungsaudits zu erfüllen. Die DQS verfügt seit mehr als 35 Jahren über umfassende Expertise im Bereich unparteilicher Audits und Zertifizierungen – und unterstützt Sie gerne beim Change Management Ihres Informationssicherheitsmanagementsystems gemäß ISO/IEC 27001:2022.

Was bedeutet das Update für Ihre Zertifizierung?

Die ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

  • Zertifizierungsbereitschaft nach ISO/IEC 27001:2022 voraussichtlich ab Februar – April 2023 (abhängig von DAkkS Deutsche Akkreditierungsstelle GmbH)
  • Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ ISO 27001:2013 ist der 31. Oktober 2023. Nach dem 31. Oktober 2023 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm ISO/IEC 27001:2022 durchführen
  • Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022: Es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022. Ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig oder müssen zu diesem Datum zurückgezogen werden.

Modernisiertes ISMS mit der Expertise der DQS

Beim Übergang auf die neue Version der ISO/IEC 27001 bleibt Organisationen also noch etwas Zeit. Die aktuellen Zertifikate auf Basis der alten Norm verlieren am 31.10.2025 ihre Gültigkeit. Dennoch sind sie gut beraten, sich frühzeitig mit den veränderten ISMS-Anforderungen auseinanderzusetzen, geeignete Change-Prozesse einzuleiten und dementsprechend umzusetzen.

Als Experten für Audits und Zertifizierungen mit der Erfahrung aus über drei Jahrzehnten unterstützen wir Sie bei der Umsetzung der neuen Norm. Informieren Sie sich bei unseren zahlreichen erfahrenen Auditoren über die wichtigsten Änderungen und deren Relevanz für Ihre Organisation – und vertrauen Sie auf unsere Expertise. Gemeinsam erörtern wir Ihr Verbesserungspotenzial und unterstützen Sie bis zum Erhalt des neuen Zertifikats. Wir freuen uns auf Ihre Kontaktaufnahme.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Sie haben Fragen?

Kontaktieren Sie uns!

Ganz unverbindlich und kostenfrei.

Autor
Markus Jegelka

DQS-Fachexperte für Informationssicherheitsmanagementsysteme (ISMS) und langjähriger Auditor für die Regelwerke ISO 9001, ISO/IEC 27001 und IT-Sicherheitskatalog § 11 Abs. 1a EnWG.

Loading...