Tech­ni­sche Maß­nah­men in der In­for­ma­ti­ons­si­cher­heit

Inhalt

• Unternehmensinformationen als begehrtes Angriffsziel
• 3 neue technische Maßnahmen für mehr Informationssicherheit
• Löschung von Informationen
• Datenmaskierung
• Verhinderung von Datenlecks
• Technische Maßnahmen in der Informationssicherheit – ein Fazit
• Was bedeutet das Update für Ihre Zertifizierung?
• DQS: Ihr kompetenter Ansprechpartner für zertifizierte Informationssicherheit

Unternehmensinformationen als begehrtes Angriffsziel

Die Studie „Wirtschaftsschutz 2022“ des Branchenverbandes Bitkom bestätigt, dass Hacker sehr wohl den wirtschaftlichen Wert von Informationen und Daten unserer heutigen Geschäftswelts im Blick haben: 36 Prozent der befragten Unternehmen waren bereits vom Diebstahl sensibler Daten und digitaler Informationen betroffen. Besonders beliebte Ziele sind Kommunikationsdaten mit 68 Prozent und Kundendaten mit 45 Prozent.

Die Schäden durch Erpressung, Patentverletzungen und Umsatzeinbußen, die unmittelbar auf den Datendiebstahl zurückgehen, liegen jährlich im Bereich mehrerer Milliarden Euro.

Unternehmen und Organisationen müssen den Schutz bei der Verarbeitung ihrer kritischen Daten weiter stärken. Zusätzliche Richtlinien helfen dabei, das gesamte Sicherheitskonzept weiter zu verbessern und die Angriffsfläche zu verringern.

3 neue technische Maßnahmen für mehr Informationssicherheit

Die 93 Informationssicherheitsmaßnahmen (Controls) im Anhang A der neuen ISO/IEC 27001:2022 liegen jetzt neu geordnet in vier Themenbereichen vor:

• Organisatorische Maßnahmen
• Personenbezogene Maßnahmen
• Physische Maßnahmen 
• Technische Maßnahmen

Die drei neuenControls für den Informationsschutz, die wir im Folgenden genauer betrachten wollen, sind aus dem Themenbereich „Technische Maßnahmen“:

• 8.10     Löschung von Informationen
• 8.11     Datenmaskierung
• 8.12     Verhinderung von Datenlecks

Löschung von Informationen

Das Control 8.10 in ISO 27001 adressiert die Risiken, die von nicht mehr benötigten Informationen ausgehen, die sich aber noch auf Informationssystemen, Geräten oder anderen Speichermedien befinden. Die Löschung dieser ohnehin unnötigen Daten verhindert deren Offenlegung – und gewährleistet so die Einhaltung gesetzlicher, satzungsmäßiger, behördlicher und vertraglicher Anforderungen an die Datenlöschung.

Dabei sollten Unternehmen und Organisationen folgende Punkte beachten:

• Wahl eines Löschverfahrens, das im Hinblick auf das geschäftliche und gesetzliche Umfeld geeignet ist, beispielsweise elektronisches Überschreiben oder kryptographische Löschung
• Dokumentation der Ergebnisse
• Nachweisführung bei der Inanspruchnahme von Dienstleistern für die Löschung von Informationen

Übernehmen Dritte die Datenspeicherung im Namen Ihres Unternehmens, sollten Anforderungen zur Löschung in der Vertragsvereinbarung festgehalten werden, um dies während und auch nach Beendigung dieser Dienste durchzusetzen.

Um die zuverlässige Entfernung sensibler Informationen zu gewährleisten – und dabei die Einhaltung der einschlägigen Richtlinien zur Datenaufbewahrung sowie der geltenden Gesetze und Vorschriften sicherzustellen –, sieht die neue Norm folgende Verfahren, Dienste und Technologien vor:

• Einrichtung dedizierter Systeme, die eine sichere Vernichtung der Informationen ermöglichen, zum Beispiel nach Aufbewahrungsrichtlinien oder auf Antrag betroffener Personen
• Löschung von veralteten Versionen, Kopien oder temporären Dateien auf allen Speichermedien
• Verwendung von ausschließlich zugelassener und sicherer Löschsoftware, um Informationen dauerhaft und endgültig zu entfernen
• Löschung über zugelassene und zertifizierte Anbieter von sicheren Entsorgungsdiensten
• Nutzung von Entsorgungsverfahren, die für das jeweils zu entsorgende Speichermedium geeignet sind, wie zum Beispiel die Entmagnetisierung von Festplatten

Bei der Nutzung von Cloud-Diensten gilt es, die Zulässigkeit der angebotenen Löschverfahren zu prüfen. Ist diese gegeben, sollte die Organisation das Löschverfahren nutzen oder den Cloud-Anbieter auffordern die Informationen zu löschen. Sofern möglich, sind diese Löschvorgänge im Rahmen der themenspezifischen Richtlinien zu automatisieren.

Um die unbeabsichtigte Preisgabe von sensiblen Informationen zu verhindern, sollten alle Gerätespeicher, die an Lieferanten retourniert werden, vor der Rückgabe entfernt werden. Auf einigen Geräten, beispielsweise Smartphones, ist die Datenentfernung nur durch Zerstörung oder interne Funktionen (zum Beispiel Wiederherstellung der Werkseinstellungen) möglich. Je nach der Klassifizierung der Informationen gilt es, ein geeignetes Verfahren zu wählen.

Löschvorgänge sollten je nach Sensibilität dokumentiert werden, um die Entfernung von Daten im Zweifelsfall nachweisen zu können.

Datenmaskierung

Bei einer Reihe von sensiblen Informationen wie bei der Verarbeitung personenbezogener Daten sehen unternehmens- und branchenspezifische beziehungsweise regulatorische Anforderungen eine Maskierung, Pseudonymisierung oder Anonymisierung der Informationen vor. Einen Leitfaden für diese Maßnahmen liefert das Control 8.11.

Pseudonymisierungs- oder Anonymisierungstechniken ermöglichen es, Personendaten zu verbergen, die wahren Daten zu verschleiern und Querverbindungen von Informationen zu verdecken. Um dies wirksam zu implementieren, gilt es, alle relevanten Elemente sensibler Informationen angemessen zu berücksichtigen.

Während die Anonymisierung die Daten unwiderruflich verändert, ist es bei der Pseudonymisierung durchaus möglich, über weitere Querinformationen Rückschlüsse auf eine wahre Identität abzuleiten. Daher sollten zusätzliche Querinformation beim Pseudonymisierungsvorgang getrennt und geschützt aufbewahrt werden.

Weitere Techniken für die Datenmaskierung sind:

• Verschlüsselung
• Nullen oder Löschen von Zeichen
• Unterschiedliche Zahlen und Daten
• Substitution – Austausch eines Wertes gegen einen anderen, um sensible Daten zu verbergen
• Ersetzen von Werten durch ihren Hash

Bei der Implementierung dieser Technischen Maßnahmen für Informationssicherheit ist es wichtig, eine Reihe von Aspekten zu beachten:

• Die Nutzer sollten nicht auf alle Daten Zugriff erhalten, sondern nur die wirklich benötigten Daten einsehen können.
• In einigen Fällen sollen nicht alle Daten eines Datensatzes für Benutzer sichtbar sein. In diesem Fall sind Verfahren zu Datenverschleierung zu gestalten und zu implementieren. Beispiel: Patientendaten in einer Krankenakte, die nicht für das gesamte Personal sichtbar sein sollen, sondern nur Angestellte mit bestimmten, behandlungsrelevanten Rollen.
• In manchen Fällen soll die Verschleierung der Daten für Zugreifende nicht ersichtlich sein (Verschleierung der Verschleierung), wenn zum Beispiel über die Datenkategorie Rückschlüsse auf das eigentliche Datum ableitbar sind (Schwangerschaft, Blutuntersuchung etc.).
• Gesetzliche oder regulatorische Anforderungen, zum Beispiel die Anforderung, die Daten von Zahlungskarten während der Verarbeitung oder Speicherung zu maskieren

Generell setzen die Datenmaskierung, Pseudonymisierung oder Anonymisierung einige allgemeine Punkte voraus:

• Die Stärke der Datenmaskierung, Pseudonymisierung oder Anonymisierung hängt maßgeblich von der Verwendung der verarbeiteten Daten ab.
• Der Zugang zu den verarbeiteten Daten sollte durch angemessene Schutzmechanismen gesichert sein.
• Berücksichtigung von Vereinbarungen oder Einschränkungen hinsichtlich der Verwendung der verarbeiteten Daten.
• Untersagung, dass verarbeitete Daten nicht mit anderen Informationen abgeglichen werden dürfen, um die betroffene Person zu identifizieren.
• Die Bereitstellung und der Eingang der verarbeiten Daten müssen sicher verfolgt und beherrscht werden.

Verhinderung von Datenlecks

Das Control 8.12 dient der Verhinderung von Datenlecks und formuliert konkrete Maßnahmen, die auf allen Systemen, in Netzwerken und anderen Geräten angewandt werden sollen, die sensible Informationen verarbeiten, speichern oder übertragen. Um den Abfluss sensibler Daten zu minimieren, sollten Unternehmen folgende Aspekte berücksichtigen:

• Identifizierung und Klassifizierung von Informationen, zum Beispiel personenbezogene Daten, Preismodelle und Produktdesigns
• Überwachung der Kanäle, über die Daten nach außen dringen können, wie E-Mails, Dateiübertragungen, Mobilgeräte und mobile Speichermedien
• Maßnahmen, die einen Datenabfluss verhindern, zum Beispiel Quarantäne von E-Mails mit sensiblen Informationen

Um Datenlecks in modernen, komplexen IT-Strukturen mit ihrer Vielzahl unterschiedlichster Daten zu verhindern, benötigen Organisationen zudem geeignete Werkzeuge, die

• sensible Informationen identifizieren und überwachen, bei denen die Gefahr einer unbefugten Offenlegung besteht, beispielsweise in unstrukturierten Daten auf dem System eines Benutzers
• die Offenlegung vertraulicher Daten erkennen, wenn zum Beispiel Daten auf nicht vertrauenswürdige Cloud-Dienste Dritter hochgeladen oder per E-Mail versendet werden
• die Benutzeraktionen oder Netzwerkübertragungen blockieren, die kritische Informationen preisgeben, wie das Verhindern des Kopierens von Datenbankeinträgen in eine Tabellenkalkulation

Unternehmen sollten die Notwendigkeit kritisch hinterfragen, die Berechtigungen von Benutzern einzuschränken, Daten zu kopieren, einzufügen oder sie auf Dienste, Geräte und Speichermedien außerhalb der Organisation hochzuladen. Gegebenenfalls gilt es auch hier, geeignete Tools zur Verhinderung von Datenlecks zu implementieren oder vorhandene Technologien passend zu konfigurieren.

So können Benutzer beispielsweise die Berechtigung erhalten, Daten aus der Ferne einzusehen und zu bearbeiten – aber nicht die Berechtigung, sie außerhalb der Kontrolle Ihres Unternehmens zu kopieren und einzufügen. Ist ein Datenexport dennoch erforderlich, kann der Dateneigentümer diesen als Einzelfall genehmigen und die Benutzer gegebenenfalls für unerwünschte Aktivitäten zur Rechenschaft ziehen.

Die Vermeidung von Datenlecks gilt explizit auch dem Schutz vertraulicher Informationen oder Geschäftsgeheimnissen, die für Spionagezwecke missbraucht oder für die Gemeinschaft von entscheidender Bedeutung sein können. In diesem Fall sollten die Maßnahmen auch darauf ausgerichtet sein, Angreifer zu verwirren – beispielsweise durch die Substitution mit falschen Informationen, durch Reverse Social Engineering oder die Verwendung von Honey Pots, um Angreifer anzulocken.

Datenlecks können durch Standard-Sicherheitskontrollen unterstützt werden, zum Beispiel über themenspezifische Richtlinien zur Zugangsteuerung und zur sicheren Dokumentverwaltung (siehe auch Maßnahmen/Controls 5.12 und 5.15).

Wichtig beim Einsatz von Überwachungswerkzeugen

Zum Schutze der eigenen Informationen überwachen viele Tools zwangsläufig auch die Kommunikation und Online-Aktivitäten von Mitarbeitern und Nachrichten von Dritten. Diese Überwachung wirft unterschiedliche rechtliche Fragestellungen auf, die vor dem Einsatz der entsprechenden Überwachungstools berücksichtigt werden müssen. Es gilt, das Maß der Überwachung mit einer Vielzahl von Rechtsvorschriften in den Bereichen Privatsphäre, Datenschutz, Beschäftigung, Überwachung von Daten und Telekommunikation in Einklang zu bringen.

Technische Maßnahmen in der Informationssicherheit – ein Fazit

Im Gesamtkontext der Schutzziele der Informationssicherheit – Vertraulichkeit Integrität und Verfügbarkeit – kommt den hier beschriebenen Verfahren bei der Datenverarbeitung eine Schlüsselrolle beim erweiterten Schutz sensibler Daten zu.

Mit der kontinuierlichen Überwachung des Daten- und Informationsstroms, der Maskierung von sensiblen Informationen und strikten Richtlinien zur Löschung von Daten können Unternehmen ihren Schutz vor Datenabflüssen und Datenverlusten nachhaltig verbessern – und der ungewollten Veröffentlichung kritischer Informationen entgegenwirken. Darüber hinaus tragen die Verfahren entscheidend zur unternehmensweiten Cybersecurity bei und minimieren die Angriffsfläche für Hacker und Industriespionage.

Für Unternehmen und Organisationen gilt es nun, die Verfahren und die benötigten Tools angemessen zu etablieren und in ihren Geschäftsprozessen zu integrieren, um die normkonforme Umsetzung der Anforderungen in zukünftigen Zertifizierungsaudits nachzuweisen.

Mit dem professionellen Blick unserer erfahrenen Auditoren und unserer Zertifizierungs-Expertise aus über 35 Jahren empfehlen wir uns als Ihr Ansprechpartner für die Themen Informationssicherheit und Zertifizierung nach ISO 27001.

Was bedeutet das Update für Ihre Zertifizierung?

ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Letzter Termin für Erst- und Rezertifizierungsaudits nach der „alten“ ISO 27001:2013

• nach dem 30. April 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm ISO/IEC 27001:2022 durchführen

Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022

• es gilt eine 3-jährige Übergangsfrist seit dem 31. Oktober 2022
• ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig oder müssen zu diesem Datum zurückgezogen werden.

DQS: Ihr kompetenter Ansprechpartner in Fragen zertifizierter Informationssicherheit

Unternehmen haben dank der Übergangsfristen ausreichend Zeit, um ihr Informationssicherheitsmanagement gemäß den neuen Anforderungen anzupassen und zertifizieren zu lassen. Doch die Dauer und der Aufwand des gesamten Change-Prozesses sind nicht zu unterschätzen – vor allem, wenn Sie nicht ausreichend über spezialisiertes Fachpersonal verfügen. Wer auf Nummer sicher gehen möchte, setzt sich lieber früher als später mit dem Thema auseinander und greift bei Bedarf auf erfahrene Spezialisten zurück.

Als Audit- und Zertifizierungsexperten mit über 35 Jahren Expertise unterstützen wir Sie gerne im Rahmen eines Delta-Audits. Informieren Sie sich bei unseren zahlreichen erfahrenen Auditoren über die wichtigsten Änderungen und deren Relevanz für Ihre Organisation. Wir freuen uns auf Ihre Kontaktaufnahme.

Vertrauen und Expertise

Unsere Texte werden ausschließlich von unseren hausinternen Experten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an den Autor haben, senden Sie uns gerne eine E-Mail an: [email protected].

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.