Im Fokus von ISO 27001 stehen die schützenswerten In­for­ma­tio­nen eines Un­ter­neh­mens: ihr Schutz, ihre Ver­trau­lich­keit, ihre Integrität sowie ihre Verfügbarkeit. Bei ISO 27001 handelt es sich um eine in­ter­na­tio­na­le Norm für In­for­ma­ti­ons­si­cher­heit in pri­va­ten, öffentlichen oder gemeinnützigen Or­ga­ni­sa­tio­nen. Die Norm be­schreibt An­for­de­run­gen zur Ein­rich­tung, Um­set­zung, zum Be­trei­ben sowie zur Op­ti­mie­rung eines do­ku­men­tier­ten In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems (ISMS). Das Haupt­au­gen­merk des Ma­nage­ment­sys­tems liegt hierbei auf der Iden­ti­fi­zie­rung, dem Umgang sowie der Be­hand­lung von Ri­si­ken.

Welche Gefahren und Risiken gibt es für die Informationssicherheit?

Schwachstellenmanagement im Kontext von ISO 27001 bezieht sich auf technische Schwachstellen. Diese können zu Bedrohungen für die IT-Sicherheit von Unternehmen und Organisationen führen. Hierzu gehören:

  • Ransomware, eine Erpressungssoftware, die zur Verschlüsselung von Datenträgern und zur Erlangung kompromittierender Information führen kann.
  • Remote Access Trojaner (RAT), die einen Fernzugriff auf das Netzwerk erlauben können.
  • Phishing und SPAM, die zu einem Kontrollverlust per E-Mail führen können. Hier ist ein besonders beliebtes Einfallstor die Datenschutz-Grundverordnung (DS-GVO) und die Aufforderung in einer E-Mail, per Klick auf einen Link Kundendaten zu überprüfen. Oftmals scheinen die Absender Banken oder auch PayPal zu sein.
  • DDoS/Botnetze, die aufgrund riesiger Datenpakete zur Beeinträchtigung der Verfügbarkeit und Integrität der Systeme führen können.
  • Staatlich unterstützte Cyberterroristen, Aktivisten, Kriminelle sowie Innentäter, die vielfältigste Bedrohungen mit sich bringen.
  • Mangelhafte oder fehlende Prozesse

Um Schwachstellen und Sicherheitslücken zu identifizieren, die aus diesen Gefahren entstehen, bedarf es einer Schutzbedarfsfeststellung mit ISO 27001, weil so ein systematisches Schwachstellenmanagement zur Absicherung der IT-Infrastruktur bei kontinuierlicher Schwachstellenanalyse (Vulnerability Assessment) entsteht.

Überarbeitete ISO 27001

ISO 27001 wurde einer Revision un­ter­zo­gen und am 25.10.2022 in eng­li­scher Sprache neu veröffentlicht. Damit verliert die be­stehen­de DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) am 31. Oktober 2025 ihre Gültigkeit. Die neue deutsche Norm ist beim Beuth Verlag erhältlich:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cy­ber­si­cher­heit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

 

LE­SE­TIPP

Wel­che Änderungen und Fristen mit der Revision ein­her­ge­gan­gen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.

Mangelhafte Prozesse — Eine Gefahr für die Informationssicherheit?

Ohne einen Prozess der Analyse von Systemprotokollen und Logdaten, Kenntnisse der technischen Schwachstellen sowie eine tiefergehende Überprüfung der IT-Systeme ist eine realistische Risikobeurteilung nicht möglich. Ebenso wenig erlaubt ein mangelnder oder fehlerhafter Prozess eine Festlegung von Kriterien zur Risikoakzeptanz oder die Bestimmung des Risikoniveaus – wie in ISO 27001 gefordert.

Daraus folgt, dass das Risiko für die IT-Sicherheit und somit für die Informationssicherheit eines Unternehmens nicht bestimmbar ist und vom höchstmöglichen Risiko für dieses Unternehmen ausgegangen werden muss.

Schwachstellenmanagement im Kontext von ISO 27001: Infrastruktur optimal absichern

Eine mögliche angemessene Maßnahme zur Absicherung der IT-Infrastruktur ist das Management möglicher Schwachstellen und Sicherheitslücken. Dabei werden regelmäßig systematische, über das Netzwerk gesteuerte Überprüfungen (Scanning) und Penetrationstests aller Systeme auf technische Schwachstellen durchgeführt. Daraus ermittelte Schwachstellen werden im Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 festgehalten.

Cover sheet for german whitepaper iso 27001 new controls with pdf
Loading...

ISO 27001:2022 – Controls im neuen Anhang A

Kos­ten­frei­es White­pa­per

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist.

Pro­fi­tie­ren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Ebenfalls ist es wichtig, die Gefahren für die IT-Sicherheit sowie die übergreifende Informationssicherheit festzulegen. Die technischen Schwachstellen sind dabei nach Schweregrad (CVSS) zu priorisieren und letztendlich zu beheben. Eine Beurteilung des Restrisikos durch verbleibende technische Schwachstellen sowie letztendlich eine Risikoakzeptanz fallen gleichfalls unter das Schwachstellenmanagement nach ISO 27001.

„Um den Schwe­re­grad einer Schwach­stel­le zu be­wer­ten, wird der Industriestandard „CVSS – Common Vul­nerabi­li­ty Scoring System“ herangezogen. Ein Ge­samt­wert von 0 bis 10 wird aus den Base Score Metrics er­mit­telt, die sich u.a. mit diesen Fragen beschäftigen: Wie „nah“ muss der An­grei­fer dem ver­wund­ba­ren System kommen (Attack Vector)? Wie leicht kommt der An­grei­fer ans Ziel (Attack Com­ple­xi­ty)? Welche Zu­griffs­rech­te sind für die Aus­nut­zung der Schwach­stel­le Vor­aus­set­zung (Pri­vi­li­ges Re­qui­red)? Benötigt man Mit­hel­fer, zum Beispiel ein Be­nut­zer, der zunächst einem Link folgen muss (User In­ter­ac­tion)? Wird die Ver­trau­lich­keit beeinträchtigt (Con­fi­den­tia­li­ty Impact)?"

Einen CVSS-Rechner finden Sie auf den Seiten des US-amerikanischen Na­tio­nal In­sti­tu­te of Stan­dards and Tech­no­lo­gy (NIST)

 

Wie kann sich ein Unternehmen vor einer technischen Schwachstelle schützen?

Ein Unternehmen kann sich beispielsweise präventiv gegen Schadsoftware schützen, indem es Maßnahmen zur Erkennung, Vorbeugung und Datensicherung in Verbindung mit einer angemessenen Sensibilisierung der Nutzer einführt und umsetzt. Im Detail bedeutet dies: Um die Ausnutzung einer technischen Schwachstelle beim Schwachstellenmanagement im Kontext von ISO 27001 zu verhindern, ist es notwendig,

  • rechtzeitig Informationen über die technischen Schwachstellen der verwendeten Informationssysteme einzuholen,
  • deren Gefährlichkeit zu bewerten und
  • angemessene Maßnahmen zu ergreifen.

Dies kann durch die Installation von Sicherheitspatches (Patch Management), die Isolation gefährdeter IT-Systeme oder letztlich über Systemabschaltungen erfolgen. Weiterhin müssen Regeln für die Softwareinstallation durch Benutzer festgelegt und umgesetzt werden.

ISO 27001 Quality standards assurance business technology concept.; Shutterstock ID 1348453067; purc
Loading...

Ein­füh­rung eines In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems

In unserer Schu­lung machen Sie sich mit den Grund­la­gen der neuen ISO/IEC 27001:2022 vertraut. Sie erkennen die Bezüge zu Ihrem Ma­nage­ment­sys­tem und er­fah­ren, was für eine Im­ple­men­tie­rung nötig ist. Aus dem Inhalt: 

  • Grundlagen der In­for­ma­ti­ons­si­cher­heit
  • An­for­de­run­gen der Norm und des An­nex
  • Auf­bau, In­te­gra­ti­on und Zertifizierung 

Wichtige Fragen zum Schwachstellenmanagement und dem ISO 20071-Sicherheitskonzept 

Im Rahmen eines Audits könnten die folgenden Fragen gestellt werden, weshalb es sinnvoll ist, sich im Vorfeld mit ihrer Beantwortung zu befassen:

  • Haben Sie Rollen und Verantwortlichkeiten für den Umgang mit und die Überwachung von technischen Schwachstellen festgelegt?
  • Haben Sie Informationsquellen in Erfahrung gebracht, mit deren Hilfe technische Schwachstellen identifiziert werden können?
  • Gibt es eine Frist, innerhalb derer auf die Benachrichtigung und Aufdeckung einer Sicherheitslücke mit Maßnahmen reagiert wird?
  • Haben Sie eine Risikobewertung der Schwachstellen unter anderem mit Blick auf die Unternehmenswerte durchgeführt?
  • Kennen Sie Ihre technischen Schwachstellen?

Wenn Sie sich einen um­fas­sen­den und fun­dier­ten Überblick über die Be­dro­hun­gen Deutsch­lands im Cy­ber-Raum ver­schaf­fen möchten, finden Sie hier als In­for­ma­ti­ons­quel­le den „La­ge­be­richt zur IT-Si­cher­heit 2019“ des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) als PDF.

Fazit – ISO 27001 Schwachstellenmanagement

Das Schwachstellenmanagement im Kontext von ISO 27001 ist ein kontinuierlicher Prozess, der regelmäßig durchgeführt werden muss. Laut ISO 27001 müssen die Ergebnisse dabei gültig sein. Dies bedeutet, dass eine einmalige Schwachstellenprüfung und Bewertung von Risiken zur Einführung oder Zertifizierung zu einem späteren Zeitpunkt, beispielsweise bei einer Rezertifizierung, nicht mehr gültig ist.

Ein Schwachstellenscan ist nur genau im dem Moment gültig, in dem er durchgeführt wird. Aber werden später Softwareaktualisierungen durchgeführt oder Veränderungen in der Topologie vorgenommen, können diese zu neuen Schwachstellen führen.

Daher ist es für jede Organisation wichtig, die Prozesse des Schwachstellenmanagements kontinuierlich nachzuverfolgen, zu verifizieren, zu wiederholen und die entsprechenden Informationen in das Informationssicherheits-Managementsystem zu tragen.

questions-answers-dqs-question mark on wooden dice on table
Loading...

Sie haben Fragen?

Wir sind gerne für Sie da.

Mit welchem Aufwand müsen Sie bei einer Zertifiizierung nach ISO 27001 rechnen? In­for­mie­ren Sie sich. Ganz un­ver­bind­lich und kostenfrei. 

Wir freuen uns auf das Gespräch mit Ih­nen.

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fra­gen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Vertrauen und Expertise 

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Pro­dukt­ma­na­ger bei der DQS für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment. Als Norm­ex­per­te für den Bereich In­for­ma­ti­ons­si­cher­heit und IT-Si­cher­heits­ka­ta­log (Kri­ti­sche In­fra­struk­tu­ren) ver­ant­wor­tet André Säckel unter anderem folgende Normen und bran­chen­spe­zi­fi­sche Stan­dards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie). Zudem ist er Mitglied in der Ar­beits­grup­pe ISO/IEC JTC 1/SC 27/WG 1 als na­tio­na­ler De­le­gier­ter des DIN.

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit