Im Fokus von ISO 27001 stehen die schützenswerten Informationen eines Unternehmens: ihr Schutz, ihre Vertraulichkeit, ihre Integrität sowie ihre Verfügbarkeit. Bei ISO 27001 handelt es sich um eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Die Norm beschreibt Anforderungen zur Einrichtung, Umsetzung, zum Betreiben sowie zur Optimierung eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Das Hauptaugenmerk des Managementsystems liegt hierbei auf der Identifizierung, dem Umgang sowie der Behandlung von Risiken.

Welche Gefahren und Risiken gibt es für die Informationssicherheit?

Schwachstellenmanagement im Kontext von ISO 27001 bezieht sich auf technische Schwachstellen. Diese können zu Bedrohungen für die IT-Sicherheit von Unternehmen und Organisationen führen. Hierzu gehören:

  • Ransomware, eine Erpressungssoftware, die zur Verschlüsselung von Datenträgern und zur Erlangung kompromittierender Information führen kann
  • Remote Access Trojaner (RAT), der einen Fernzugriff auf das Netzwerk erlauben kann
  • Phishing und SPAM, die zu einem Kontrollverlust per E-Mail führen können. Hier ist ein besonders beliebtes Einfallstor die Datenschutz-Grundverordnung (DS-GVO) und die Aufforderung in einer E-Mail, per Klick auf einen Link Kundendaten zu überprüfen. Oftmals scheinen die Absender Banken oder auch PayPal zu sein.
  • DDoS/Botnetze, die aufgrund riesiger Datenpakete zur Beeinträchtigung der Verfügbarkeit und Integrität der Systeme führen können
  • Staatlich unterstützte Cyberterroristen, Aktivisten, Kriminelle sowie Innentäter, die vielfältigste Bedrohungen mit sich bringen
  • Mangelhafte oder fehlende Prozesse

Um Schwachstellen und Sicherheitslücken zu identifizieren, die aus diesen Gefahren entstehen, bedarf es einer Schutzbedarfsfeststellung mit ISO 27001, weil so ein systematisches Schwachstellenmanagement zur Absicherung der IT-Infrastruktur bei kontinuierlicher Schwachstellenanalyse (Vulnerability Assessment) entsteht.

ISO 27001 wurde einer Revision unterzogen und am 25.10.2022 in englischer Sprache neu veröffentlicht. Die deutsche Norm ist beim Beuth Verlag erhältlich:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Welche Änderungen und Fristen mit der Revision einhergegangen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.

Die bestehende DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) verliert am 31. Oktober 2025 ihre Gültigkeit.

Mangelhafte Prozesse — Eine Gefahr für die Informationssicherheit?

Ohne einen Prozess der Analyse von Systemprotokollen und Logdaten, Kenntnisse der technischen Schwachstellen sowie eine tiefergehende Überprüfung der IT-Systeme ist eine realistische Risikobeurteilung nicht möglich. Ebenso wenig erlaubt ein mangelnder oder fehlerhafter Prozess eine Festlegung von Kriterien zur Risikoakzeptanz oder die Bestimmung des Risikoniveaus – wie in ISO 27001 gefordert.

Daraus folgt, dass das Risiko für die IT-Sicherheit und somit für die Informationssicherheit eines Unternehmens nicht bestimmbar ist und vom höchstmöglichen Risiko für dieses Unternehmen ausgegangen werden muss.

Schwachstellenmanagement im Kontext von ISO 27001: Infrastruktur optimal absichern

Eine mögliche angemessene Maßnahme zur Absicherung der IT-Infrastruktur ist das Management möglicher Schwachstellen und Sicherheitslücken. Dabei werden regelmäßig systematische, über das Netzwerk gesteuerte Überprüfungen (Scanning) und Penetrationstests aller Systeme auf technische Schwachstellen durchgeführt. Daraus ermittelte Schwachstellen werden im Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 festgehalten.

iso 27001-whitepaper-fragen-antworten
Loading...

„Die Neue“ für Informationssicherheit

Wertvolles Wissen: 44 Fragen und Antworten zu ISO/IEC 27001:2022

Zusammenstellung wissenswerter Details zur revidierten ISO 27001 von Anwendern und Experten:

  • Wann sollen wir auf die neue Norm umsteigen?
  • Was hat es mit den neuen Controls auf sich?
  • Was ist mit Prozesskriterien genau gemeint?
  • Wird es eine neue ISO/IEC 27019 geben?
  • u.v.m. 

Ebenfalls ist es wichtig, die Gefahren für die IT-Sicherheit sowie die übergreifende Informationssicherheit festzulegen. Die technischen Schwachstellen sind dabei nach Schweregrad (CVSS) zu priorisieren und letztendlich zu beheben. Eine Beurteilung des Restrisikos durch verbleibende technische Schwachstellen sowie letztendlich eine Risikoakzeptanz fallen gleichfalls unter das Schwachstellenmanagement nach ISO 27001.

„Um den Schweregrad einer Schwachstelle zu bewerten, wird der Industriestandard „CVSS – Common Vulnerability Scoring System“ herangezogen. Ein Gesamtwert von 0 bis 10 wird aus den Base Score Metrics ermittelt, die sich u.a. mit diesen Fragen beschäftigen: Wie „nah“ muss der Angreifer dem verwundbaren System kommen (Attack Vector)? Wie leicht kommt der Angreifer ans Ziel (Attack Complexity)? Welche Zugriffsrechte sind für die Ausnutzung der Schwachstelle Voraussetzung (Priviliges Required)? Benötigt man Mithelfer, zum Beispiel ein Benutzer, der zunächst einem Link folgen muss (User Interaction)? Wird die Vertraulichkeit beeinträchtigt (Confidentiality Impact)?"


Einen CVSS-Rechner finden Sie auf den Seiten des US-amerikanischen National Institute of Standards and Technology (NIST)

 

Wie kann sich ein Unternehmen vor einer technischen Schwachstelle schützen?

Ein Unternehmen kann sich beispielsweise präventiv gegen Schadsoftware schützen, indem es Maßnahmen zur Erkennung, Vorbeugung und Datensicherung in Verbindung mit einer angemessenen Sensibilisierung der Nutzer einführt und umsetzt. Im Detail bedeutet dies: Um die Ausnutzung einer technischen Schwachstelle beim Schwachstellenmanagement im Kontext von ISO 27001 zu verhindern, ist es notwendig,

  • rechtzeitig Informationen über die technischen Schwachstellen der verwendeten Informationssysteme einzuholen,
  • deren Gefährlichkeit zu bewerten und
  • angemessene Maßnahmen zu ergreifen.

Dies kann durch die Installation von Sicherheitspatches (Patch Management), die Isolation gefährdeter IT-Systeme oder letztlich über Systemabschaltungen erfolgen. Weiterhin müssen Regeln für die Softwareinstallation durch Benutzer festgelegt und umgesetzt werden.

ISO 27001 Quality standards assurance business technology concept.; Shutterstock ID 1348453067; purc
Loading...

ISO 27001 - Einführung eines Informationssicherheitsmanagementsystems

In unserer Schulung machen Sie sich mit den Grundlagen der neuen ISO 27001:2022 vertraut. Sie erkennen die Bezüge zu Ihrem Managementsystem und erfahren, was für eine Implementierung nötig ist. Aus dem Inhalt: 

  • Grundlagen der Informationssicherheit
  • Anforderungen der Norm und des Annex
  • Aufbau, Integration und Zertifizierung 

Wichtige Fragen zum Schwachstellenmanagement und dem ISO 20071-Sicherheitskonzept 

Im Rahmen eines Audits könnten die folgenden Fragen gestellt werden, weshalb es sinnvoll ist, sich im Vorfeld mit ihrer Beantwortung zu befassen:

  • Haben Sie Rollen und Verantwortlichkeiten für den Umgang mit und die Überwachung von technischen Schwachstellen festgelegt?
  • Haben Sie Informationsquellen in Erfahrung gebracht, mit deren Hilfe technische Schwachstellen identifiziert werden können?
  • Gibt es eine Frist, innerhalb derer auf die Benachrichtigung und Aufdeckung einer Sicherheitslücke mit Maßnahmen reagiert wird?
  • Haben Sie eine Risikobewertung der Schwachstellen unter anderem mit Blick auf die Unternehmenswerte durchgeführt?
  • Kennen Sie Ihre technischen Schwachstellen?

Wenn Sie sich einen umfassenden und fundierten Überblick über die Bedrohungen Deutschlands im Cyber-Raum verschaffen möchten, finden Sie hier als Informationsquelle den „Lagebericht zur IT-Sicherheit 2019“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) als PDF.

Fazit – ISO 27001 Schwachstellenmanagement

Das Schwachstellenmanagement im Kontext von ISO 27001 ist ein kontinuierlicher Prozess, der regelmäßig durchgeführt werden muss. Laut ISO 27001 müssen die Ergebnisse dabei gültig sein. Dies bedeutet, dass eine einmalige Schwachstellenprüfung und Bewertung von Risiken zur Einführung oder Zertifizierung zu einem späteren Zeitpunkt, beispielsweise bei einer Rezertifizierung, nicht mehr gültig ist.

Ein Schwachstellenscan ist nur genau im dem Moment gültig, in dem er durchgeführt wird. Aber werden später Softwareaktualisierungen durchgeführt oder Veränderungen in der Topologie vorgenommen, können diese zu neuen Schwachstellen führen.

Daher ist es für jede Organisation wichtig, die Prozesse des Schwachstellenmanagements kontinuierlich nachzuverfolgen, zu verifizieren, zu wiederholen und die entsprechenden Informationen in das Informationssicherheits-Managementsystem zu tragen.

iso-27001-anhang-a-dqs-auditleitfaden-kostenfrei.png
Loading...

Wertvolles Wissen: DQS-Auditleitfaden

Unser Auditleifaden ISO 27001 – Annex A wurde von führenden Experten als praktische Umsetzungshilfe erstellt und eignet sich hervorragend, um ausgewählte Normanforderungen besser zu verstehen. Der Leitfaden bezieht sich auf die Version ISO 27001:2013. Eine Aktualisierung auf die am 25.10.2022 veröffentliche, revidierte Version erfolgt zeitnah.

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fra­gen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Vertrauen und Expertise 

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

Loading...