Eine rei­bungs­los funk­tio­nie­ren­de In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT) ist im Rahmen der Di­gi­ta­li­sie­rung für die Auf­recht­erhal­tung der Geschäftsprozesse essenziell. Selbst kürzeste Ausfälle und Störungen gehen häufig mit schweren fi­nan­zi­el­len Einbußen einher. Dieses Scha­dens­po­ten­zi­al machen sich Hacker zunutze, wenn sie bei ausgeklügelten Ran­som­wa­re-At­ta­cken Daten und Systeme verschlüsseln und erst nach Zahlung hoher Lösegelder frei­ge­ben.

Die Ak­tua­li­sie­run­gen der in­ter­na­tio­na­len Normen für In­for­ma­ti­ons­si­cher­heit, ISO 27001 und ISO 27002, sollen dieser Ent­wick­lung nun Einhalt ge­bie­ten: Die Sicherheitsmaßnahme (Con­trol) 5.30 „IKT-Bereitschaft für Business Continuity“ im Anhang A ver­pflich­tet Un­ter­neh­men, die Verfügbarkeit der IKT auch im Störungsfall si­cher­zu­stel­len. Die neue ISO 27001:2022 setzt hier mit den Controls ein starkes Signal und hilft Un­ter­neh­men dabei, ihre Or­ga­ni­sa­ti­ons­struk­tu­ren und Si­cher­heits­ar­chi­tek­tu­ren zeitgemäß gegen Be­dro­hungs­sze­na­ri­en zu wappnen. Was das Control 5.30 für Ihr In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem bedeutet und wie sich das auf künftige Audits aus­wirkt, lesen Sie im fol­gen­den Blog­bei­trag.

IKT-Sicherheit im Unternehmen: Relevanz für heutige Geschäftsprozesse

Nicht erst seit der Corona-Pandemie gehören Collaboration-Tools wie Microsoft Teams, Cloud-Anwendungen auf den Plattformen der großen Hyperscaler, die Nutzung von Cloud Diensten oder die vernetzte Produktion (Industrie 4.0) häufig zum Alltag moderner Unternehmen. Zeitgemäße Informations- und Kommunikationstechnologien ermöglichen schnelle und effiziente Arbeitsabläufe und sind quer durch alle Branchen zu unersetzlichen Werkzeugen für die Aufrechterhaltung der Geschäftsprozesse geworden.

Das bedeutet im Umkehrschluss, dass die Sicherheit und Verfügbarkeit der IKT einen sehr hohen Stellenwert besitzt – und systematisch überwacht und durch geeignete Maßnahmen und Prozesse vor Störungen geschützt werden muss, um reibungslose Abläufe zu garantieren und mögliche Schäden so gering wie möglich zu halten. Gerade in Zeiten verschärfter, durch geopolitische Konflikte befeuerter Cyberbedrohungen wird dies immer wichtiger. Dafür steht den Unternehmen eine Reihe von Werkzeugen zur Verfügung, die nachfolgend allgemein erklärt und anschließend im Kontext zur Control 5.30 in ISO 27001 betrachtet werden.

Cover sheet for german whitepaper iso 27001 new controls with pdf
Loading...

ISO 27001:2022 – Controls im neuen Anhang A

Kos­ten­frei­es White­pa­per

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist.

Pro­fi­tie­ren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Business Continuity Management

Das Business Continuity Management (BCM) zum Beispiel nach ISO 22301 ist ein Managementprozess, der durch die Erstellung, Umsetzung und Prüfung von (Notfall-)Plänen und Strategien sicherstellt, dass kritische Geschäftsfunktionen während und nach einer Störung nicht lange unterbrochen werden beziehungsweise möglichst schnell wieder anlaufen können.

Die Norm beschreibt präventive Vorkehrungen im Sinne einer (Notfall-)Vorsorgeorganisation und Notfallplanung, um die Ausfallsicherheit der Geschäftsprozesse zu erhöhen. Außerdem werden im Rahmen der (Notfall-) Bewältigungsorganisation reaktive Maßnahmen (diaster recovery) geplant und ergriffen, um ein schnelles und zielgerichtetes Reagieren im Fall einer Störung der IT-Prozesse zu ermöglichen und die Ausfallzeiten zum Beispiel durch hohe IKT-Sicherheit im Unternehmen zu reduzieren.

Das BCM als Bestandteil strategischer Planungen umfasst die Identifizierung potenzieller Risiken und Schwachstellen, die Bewertung der Kritikalität von Geschäftsprozessen, die Entwicklung von Plänen zur Reaktion auf Störungen und die Erprobung dieser Pläne durch regelmäßige Übungen und Simulationen. Ziel des betrieblichen Kontinuitätsmanagements ist es, sicherzustellen, dass ein Unternehmen schnell und effektiv auf eine Störung reagieren kann und dass sich das Vertrauen seiner Stakeholder hinsichtlich der Liefer- und Betriebsfähigkeit verbessert.

Business-Impact-Analyse

Die Business-Impact-Analyse (BIA) ist im Business Continuity Management die Methode, um kritische Prozesse und Geschäftsfunktionen innerhalb einer Organisation zu erfassen und wechselseitige Abhängigkeiten zwischen ihnen und ihrer zugrundeliegenden Ressourcen zu identifizieren. Damit ist sie ein strategischer Prozess, der dabei hilft, Auswirkungen von Störungen der Geschäftsaktivitäten zu ermitteln und zu beurteilen. Die BIA bildet die Grundlage, um die benötigten Wiederanlaufzeiten zu ermitteln.

Die BIA umfasst in der Regel die Bewertung der Kritikalität von Geschäftsprozessen, die Ermittlung der zur Unterstützung dieser Prozesse erforderlichen Ressourcen und die Bestimmung der Auswirkungen von Störungen auf diese Prozesse und Ressourcen. Die Analyse hilft Unternehmen, die potenziellen Folgen von Störungen zu verstehen und ihre Reaktions- und Wiederherstellungsbemühungen entsprechend zu priorisieren.

Die Ergebnisse einer BIA können in die Entwicklung eines Business Continuity Plans (BCPs) und anderer Risikomanagementstrategien einfließen, um sicherzustellen, dass das Unternehmen durch die Hochverfügbarkeit von Systemen und Strukturen besser darauf vorbereitet ist, unerwartete Ereignisse zu bewältigen und deren Auswirkungen zu minimieren.

Weitere Empfehlungen zur Durchführung einer Business-Impact-Analyse (BIA) findet man auch in dem Leitfaden ISO/TS 22317.

 

ISO 27001:2022 als Rückgrat der Business Continuity

Die Informations- und Kommunikationstechnologie (IKT) hat im Unternehmen einen erheblichen Einfluss auf die Geschäftskontinuität. Störungen können erhebliche Auswirkungen verursachen, insbesondere zum Beispiel im Bereich der Kritischen Infrastrukturen (KRITIS). Aus diesem Grund hat das Control 5.30 „IKT-Bereitschaft für Business Continuity“ (Englisch: ICT readiness for business continuity) im Anhang A der neuen ISO/IEC 27001:2022 eine hohe Bedeutung.

Happy young indian girl with wireless headphones looking at laptop screen, reading listening online
Loading...

ISO 27001 – Ein­füh­rung

Seminar zum In­for­ma­ti­ons­si­cher­heits­ma­nage­ment

Nach diesem Workshop ver­ste­hen Sie die An­for­de­run­gen und Be­son­der­hei­ten der neuen ISO 27001:2022 und können die Si­cher­heit der In­for­ma­tio­nen in Ihrem Un­ter­neh­men sicherstellen. Aus dem Inhalt: 

  • Grundlagen
  • Anforderungen der Norm und des Anhangs A
  • Mögliche Vor­ge­hens­wei­sen

Der Zweck der Maßnahme ist die Sicherstellung der Hochverfügbarkeit der kritischen IKT-System auf Grundlage von Geschäftskontinuitätsziele und daraus abgeleiteten, umgesetzten und überprüften IKT‑Kontinuitätsanforderungen. Dazu gehört es, innerhalb des BIA-Prozesses Auswirkungsarten und Auswirkungskriterien zu definieren.

Auf dieser Basis werden vorrangige Betriebstätigkeiten ermittelt, denen eine Wiederherstellungsdauer (RTO = Recovery Time Objective) zugewiesen wird. Die BIA legt dann fest, welche Ressourcen für diese priorisierten Aktivitäten notwendig sind und weist auch ihnen eine RTO zu. Eine Teilmenge dieser Ressourcen wird IKT-Dienste umfassen. Zusätzlich sollten für die priorisierten IKT-Ressourcen auch Wiederherstellungspunkte (RPO = Recovery Point Objective) und deren Abstände definiert werden.

Anhand der Ergebnisse all dieser Verfahren müssen Unternehmen IKT-Kontinuitätsstrategien ermitteln und auswählen, die Optionen für die Zeit vor, während und nach einer Störung berücksichtigen. Aufsetzend darauf werden Kontinuitätspläne (inkl. Reaktions- und Wiederherstellungsverfahren) entwickelt, umgesetzt und geprüft, um die erforderliche IKT-Bereitschaft zu erfüllen.

In diesem Zusammenhang sei auch auf den ISO-Standard ISO/IEC 27031, einen Leitfaden für die Bereitschaft von IKT für Business Continuity verwiesen, der Unternehmen Empfehlungen für die Sicherung der Verfügbarkeit der IKT-Systeme aufzeigt.

Auswirkungen des Controls 5.30 auf die Zertifizierung

Um sich nach der revidierten Norm ISO 27001:2022 zertifizieren zu lassen, müssen Unternehmen …

  • über eine angemessene Organisationsstruktur zur Vorbereitung, Eindämmung und Reaktion auf einen Störfall verfügen. Dies erfordert auch Personal mit der erforderlichen Verantwortung, Befugnis und Kompetenz.
  • verbindliche IKT-Kontinuitätspläne einschließlich Reaktions- und Wiederherstellungsverfahren erarbeitet haben, die detailliert beschreiben, wie die Organisation mit einer Störung der IKT-Dienste umzugehen gedenkt. Diese Pläne müssen von der obersten Leitung freigegeben und regelmäßig durch Übungen und Prüfungen bewertet werden.
  • in ihren Kontinuitätsplänen folgende Informationen festhalten:
    - Leistungs- und Kapazitätsspezifikationen zur Erfüllung der in der BIA festgelegten Anforderungen und Ziele der Aufrechterhaltung der Betriebsfähigkeit
    - RTO der einzelnen priorisierten IKT-Dienste und die Verfahren zur Wiederherstellung dieser Komponenten
    - RPO der priorisierten IKT-Ressourcen, die als Informationen definiert sind, und Verfahren zur Wiederherstellung der Informationen

ISO 27001 Zer­ti­fi­zie­rung

Mit welchem Aufwand müssen Sie für die Zer­ti­fi­zie­rung rechnen? Jetzt in­for­mie­ren. Ganz un­ver­bind­lich und kos­ten­frei.

Mehr zur ISO 27001 Zer­ti­fi­zie­rung

IKT-Sicherheit für Business Continuity – Fazit

Das prominente Beispiel des Verwaltungs-Hacks in Anhalt-Bitterfeld, infolgedessen kommunale Bürgerleistungen zum Teil wochen- oder monatelang nicht verfügbar waren, belegt die hohe Relevanz der Informations- und Kommunikationstechnik in der heutigen Zeit. Das Beispiel zeigt aber auch, wie wichtig Kontinuität und etablierte Notfallpläne sind.

Die Sicherheitsmaßnahme Control 5.30 „IKT-Bereitschaft für Business Continuity“ (ICT readiness for business continuity) ist daher in den überarbeiteten Informationssicherheitsnormen ISO/IEC 27001:2022 und ISO/IEC 27002:2022 ein wichtiger Aspekt, um die Widerstandsfähigkeit von Unternehmen zu stärken.

Organisationen tun sich bei der Umsetzung jedoch mitunter schwer, die Kritikalität eingesetzter Informations- und Kommunikationstechnologien sowie deren Risikopotenzial zu beurteilen, was sich wiederum direkt auf die Priorisierungskette auswirkt. BIA und Risikoanalyse sind sozusagen das Rückgrat des Business Continuity Management. Im Vorlauf einer Zertifizierung lohnt es sich daher, mit erfahrenen Spezialisten die eigenen Bemühungen für Business Continuity und der Verfügbarkeit der IKT-Lösungen auf den Prüfstand zu stellen und zu optimieren.

DQS: Ihr verlässlicher Partner für Informationssicherheitsmanagement

Unternehmen haben dank der Übergangsfristen ausreichend Zeit, um ihr Informationssicherheitsmanagement gemäß den neuen Anforderungen anzupassen und zertifizieren zu lassen. Doch die Dauer und der Aufwand des gesamten Change-Prozesses sind nicht zu unterschätzen. Wer auf Nummer sicher gehen möchte, setzt sich lieber früher als später mit den neuen Anforderungen und dem Übergang auf die neue Norm auseinander.

Gern be­ant­wor­ten wir Ihre Fragen

In­for­mie­ren Sie sich über ... ganz un­ver­bind­lich und kos­ten­frei.

Wir sind für Sie da. Kon­tak­tie­ren Sie uns.

Als Audit- und Zertifizierungsexperten mit knapp 40 Jahren Expertise unterstützen wir Sie gerne bei der Evaluierung Ihres Ist-Zustands, zum Beispiel im Rahmen eines Delta-Audits. Informieren Sie sich bei unseren Experten über die wichtigsten Änderungen und deren Relevanz für Ihre Organisation.

Vertrauen und Expertise

Unsere Texte werden ausschließlich von unseren hausinternen Experten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an den Autor haben, senden Sie uns gerne eine E-Mail an: [email protected].

 

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Hans-Jür­gen Fengler

Hans-Jürgen Fengler ist Experte und Pro­dukt­ma­na­ger für Business Con­ti­nui­ty Ma­nage­ment Systeme (ISO 22301), Spe­zia­list für die BSI-Kri­tis­ver­ord­nung (BSI-Kri­tisV) und Auditor für Re­gel­wer­ke im Bereich der In­for­ma­ti­ons­si­cher­heit.

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage
Loading...

Cloud-Si­cher­heit mit ISO 27001:2022

Blog
vda-isa-5-dqs-auto in einer wolke von elektronik
Loading...

Neuer ISA Katalog 6.0 gilt ab 1. April 2024

Blog
technical-measures-information-security-dqs-servers-cabinet-with-grid-door-and-lockable-door-handle
Loading...

Tech­ni­sche Maß­nah­men in der In­for­ma­ti­ons­si­cher­heit