von Dominik Weyand
Einleitung
Durch die Revision der ISO 27001 sowie der ISO 27002 wurde die Norm auf den aktuellen Stand der Technik gebracht. Neben den Änderungen der Gliederung sowie kleiner inhaltlichen Anpassungen innerhalb der Norm liegt der Fokus auf den Controls im Anhang. Im Folgenden wird der Aufbau der Controls näher betrachtet und die neuen organisatorischen sowie physischen Controls kurz erläutert.
Aufbau der Controls
In der Version 2022 wurde jedes Control durch zwei neue Elemente erweitert. Diese hinzugefügten Elemente erleichtern es Informationen zu finden, das Control zu verstehen und die Anforderungen zu analysieren. Das erste Element ist eine Tabelle mit Attributen, welche ermöglicht die einzelnen Controls nach bestimmten Kriterien zu sortieren und zu filtern. Hierfür wurden fünf übergeordnete Merkmale festgelegt, welche jeweils durch Attribute spezifiziert werden:
| Merkmale | Attribute |
| Kontrolltypen | Präventiv, Korrigierend, Aufdeckend |
| Informationssicherheitsmerkmale | Vertraulichkeit, Integrität, Verfügbarkeit |
| Cybersecurity Konzepte | Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen |
| Operative Möglichkeiten | Unternehmensführung, Verwaltung der Vermögenswerte, Informationssicherheit, Personalsicherheit, sichere Konfigurierung, Identitäts- und Zugriffsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Sicherheit der Lieferantenbeziehungen, Compliance, Verwaltung von Informationssicherheitsereignissen, Sicherstellung der Informationssicherheit |
| Sicherheitsbereiche | Governance und Ökosystem, Schutz, Verteidigung, Widerstandsfähigkeit |
Das zweite hinzugefügte Element ist die Erläuterung des Zwecks, wodurch die Notwendigkeit der Umsetzung besser erklärt und die Angemessenheit zur Behandlung einfacher bewertet werden.
5.07 Bedrohungsintelligenz
In dem neuen Control der Bedrohungsintelligenz sollen Informationen über Bedrohungen der Informationssicherheit gesammelt und analysiert werden, um Schutzmaßnahmen zu bestimmen. Dabei können die gesammelten Informationen bestimmte Angriffe, Methoden und Technologien der Angreifer oder auch Angriffstrends beinhalten. Die Unternehmen sollen diese Informationen sowohl intern als auch extern durch beispielsweise Bekanntmachungen von Regierungsbehörden oder Herstellerberichten einholen.
Eine Richtlinie für Bedrohungsintelligenz ist laut der Norm optional und nicht verpflichtend. Allerdings muss das Unternehmen Prozesse festlegen, mit denen die Informationen über Bedrohungen gesammelt und verwendet werden, um präventive Kontrollen in den IT-Systemen der Organisation einzuführen, die Risikobewertung zu verbessern und neue Methoden für Sicherheitstests einzuführen.
5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
Das Control stellt an die Unternehmen die Anforderung, dass ein Prozess für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten festgelegt wird, welcher mit den eigenen Informationssicherheitsanforderungen übereinstimmt. Darüber hinaus soll der Prozess Kriterien sowie Sicherheitsanforderungen für die Auswahl und akzeptable Nutzung eines Cloud-Anbieters enthalten. Hierdurch soll ein besserer Schutz der Unternehmensdaten in der Cloud gewährleistet werden.
Ebenso wie im vorherigen Control wird eine Richtlinie für Cloud-Dienste empfohlen, ist allerdings nicht verpflichtend.
5.30 IKT[1]-Bereitschaft für Geschäftskontinuität
Dieses Control beinhaltet Anforderungen an Wiederherstellungsmaßnahmen, wobei der neue Fokus auf den technischen Maßnahmen liegt. Die IKT-Bereitschaft sollte auf der Grundlage von Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, implementiert, aufrechterhalten und geprüft werden. Unternehmen müssen also sicherstellen, dass die IKT auf potenzielle Störungen vorbereitet ist, damit die benötigten Vermögenswerte und Informationen bei Bedarf verfügbar sind. Ebenso wird gefordert, dass ein Wartungsprozess für die eingesetzte Technologie sowie ein Disaster Recovery Plan mit Maßnahmen und Anweisungen erstellt wird. Der Disaster Recovery Plan umfasst dabei verschiedene Szenarien wie beispielsweise Naturkatastrophen oder Cyber-Angriffe. Die Erstellung einer Richtlinie gemäß der IKT-Bereitschaft für die Geschäftskontinuität ist optional.
7.4 Überwachung der physischen Sicherheit
Dieses Control fordert Überwachungsmaßnahmen zur Abschreckung vor unbefugtem Zugriff sowie dem Schutz von sensiblen Bereichen. Zu diesen Bereichen können Büros, Produktionsanlagen, Läger oder auch andere Räumlichkeiten gehören. Wichtig ist hierbei, dass die sensiblen Bereiche kontinuierlich auf unbefugten physischen Zugang überwacht werden. Aus diesem Grund fordert die Norm auch ein Dokument, welches die physische Sicherheitspolitik des Unternehmens erläutert. Zudem soll ein Verfahren festgelegt werden, welches die Verantwortlichkeiten der Überwachung sowie die Kommunikation bei einem Vorfall regelt. Mögliche Überwachungsmaßnahmen bzw. -systeme sind beispielsweise Bewegungsmelder, Wachpersonal oder eine Videoüberwachung.
Zwischenfazit
Durch die Erweiterung des Aufbaus der jeweiligen Controls werden zum einen die Attribute stärker spezifiziert und zum anderen die Notwendigkeit stärker hervorgehoben. Darüber hinaus werden durch die Betrachtung der Bedrohungsintelligenz und die Nutzung von Cloud-Diensten aktuelle Themen in den organisatorischen Controls betrachtet. Für die Umsetzung der neuen Controls wird empfohlen, sich mit einem Experten für Informationssicherheit in Verbindung zu setzen, um die spezifischen Auswirkungen der ISO 27001:2022 auf ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen. Im zweiten Teil werden die neuen technologischen Controls näher betrachtet und die Auswirkungen der Änderungen in einem Fazit abschließend bewertet.
[1] Informations- und Kommunikationstechnologien