goSecurity BLOG

Cyberangriffe auf Unternehmen haben in den letzten Jahren stetig zugenommen. Der Wirtschaft entstehen hierdurch Schäden in Millionenhöhe. Im Jahr 2022 beispielsweise entstand der deutschen Wirtschaft ein Schaden in Höhe von 207 Milliarden Euro [1]. In der Schweiz, gemäss Swissmem (Verband der hiesigen Maschinen-, Elektro- und Metallindustrie), wird der Schaden der einzelnen Unternehmen auf bis zu 2 Millionen CHF geschätzt [2]. Da Informationen und Daten durch die Digitalisierung und Globalisierung das Gold des 21. Jahrhunderts sind, ist es für Unternehmen immer wichtiger geworden, hier entsprechende Massnahmen zu ergreifen, um das digitale Gold – die Daten – zu schützen. Gemäss dem Swissmem-Report kann als häufigste Angriffsform der “CEO-Fraud” genannt werden. Auch das Bundesamt für Cybersicherheit (BACS) erfasst in seinem Halbjahresbericht entsprechende „Rechnungsmanipulationsversuche“ [3]. Bei dem „CEO-Fraud“ geht es darum, dass hier Cyberkriminelle Social-Engineering-Angriffe in Form von Phishing-E-Mails anwenden, um Mitarbeitende, zum Beispiel in der Finanzabteilung, dazu zu bewegen, eine bestimmte Aktion (unrechtmässige Überweisung des CEOs) auszuführen. Um sich gegen solche Angriffe zu schützen, ist es wichtig, sich mit dem Thema Informationssicherheit auseinanderzusetzen und die Mitarbeitenden entsprechend zu schulen und zu sensibilisieren. Hier bietet es sich an, ein Informationssicherheitsmanagementsystem einzuführen. Wir kürzen es mit „ISMS“ ab. Warum ein ISMS einführen? Nicht nur Ihre Mitarbeitenden werden entsprechend für die Gefahren sensibilisiert, sondern auch Ihre IT bekommt durch entsprechende Massnahmen einen Frühjahrsputz verpasst.

In diesem Blogartikel soll es nicht um den Aufbau eines ISMS gehen, sondern um eine Entscheidungshilfe, welche Standards/Frameworks zum Aufbau eines ISMS verwendet werden können. Ich werde in einem Abschnitt auch noch meine Erfahrungen mit beiden Standards/Frameworks erläutern.

In der Praxis haben sich zwei bekannte Standards etabliert, die für den Aufbau eines ISMS angewendet werden können. Zum einen sprechen wir vom IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, zum Anderen von der ISO 27001 der International Organization for Standardization. Beide haben das Ziel, ein Informationssicherheitsmanagementsystem zu etablieren, aufrechtzuerhalten und kontinuierlich zu verbessern.

Als Unternehmen stellt man sich die berechtigte Frage, nach welchem Standard/Framework ich nun ein ISMS aufbauen soll, um meine Daten und Informationen entsprechend zu schützen.  Diese Frage ist nicht leicht zu beantworten, da hier unterschiedliche Einflussfaktoren und Strategieentscheidungen eine Rolle spielen und bekanntlich viele Wege nach Rom führen. Bevor wir hier eine mögliche Lösung oder etwaige Fragestellungen besprechen, schauen wir uns nun beide Standards etwas im Detail an.

Der Standard im internationalen Umfeld

Der ISO 27001 Standard oder besser: “ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements” ist in der IT-Welt wohl die bekannteste Norm, um ein ISMS aufzubauen. Die Geschichte der Norm liegt schon ein paar Jahre zurück. Begonnen hat alles mit dem britischen “Standard BS 7799-2:2002” . Diese Grundlage wurde genommen und weiterentwickelt. Am 15. Oktober 2005 wurde die “ISO/IEC 27001:2005” als Internationale Norm veröffentlicht. Über die Jahre wurde die Norm der sich rasant entwickelnden Informationstechnologie angepasst. Im Jahr 2013 kam eine neue Version hervor. Die aktuelle “ISO/IEC 27001:2022” wurde am 25. Oktober 2022 veröffentlicht [4].

Wirft man einen Blick in die Norm, fällt auf, dass diese „nur“ 26 Seiten hat. Ein Leichtgewicht gegenüber dem BSI-IT-Grundschutzkompendium mit 858 Seiten.  Ich könnte ja an dieser Stelle aufhören, meinen Blogartikel weiterzuschreiben. Aus wirtschaftlichen und finanziellen Gründen könnte man sich denken: „Wenn man nur 26 Seiten durcharbeiten muss, um eine Zertifizierung zu erlangen, dann ist das ja ein Klacks.“ Weit gefehlt, diese Seiten haben es in sich! Am Ende dieses Blogs werden Sie sich die Frage vielleicht noch einmal stellen und eine andere Sicht auf die Dinge haben.

Die 26 Seiten der Norm geben zentrale Anforderungen für die Umsetzung eines ISMS nach ISO 27001 und den Schutz Ihrer Daten vor. Nachfolgendes Schaubild zeigt die ISO 27001 Familie und ihre weiteren Standards, deren Anforderungen in das ISMS integriert werden bzw. das bestehende ISMS, um spezifische Anforderungen erweitert.

Interessant ist hier die ISO 27002, ein Leitfaden zur Umsetzung und zum Aufbau eines ISMS. Dieser Leitfaden beschreibt, was unter den Anforderungen der ISO 27001 zu verstehen ist, sodass diese als Unterstützung betrachtet werden können.

ISO 27000 Familie, Quelle: Eigene Darstellung

Darfs ein bisschen mehr sein? Der IT-Grundschutz

Der IT-Grundschutz wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals im Jahr 1996 veröffentlicht und kann kostenfrei bezogen werden [5]. Wie bei der ISO 27001 Norm wurde auch der IT-Grundschutz modernisiert und im Jahr 2017 veröffentlicht. Fortan spricht man vom “Modernisierten Grundschutz”. Hierbei wurde eine neue Methodik sowie ein modularer “Baukasten” gewählt, der sich auch in der Wahl der entsprechenden Vorgehensweise (Basis, Standard und Kernabsicherung) wiederfindet.

Das BSI hat im Zuge der Modernisierung auch seine Bezeichnungen entsprechend angepasst von:

• 100-1 → 200-1 beschreibt Allgemeine Anforderungen an ein ISMS

• 100-2 → 200-2 IT-Grundschutz Methodik

• 100-3 → 200-3 Risikomanagement

• 100-4 → 200-4 Business Continuity Management

Verschiedene Standards / Frameworks als Hilfsmittel / Ergänzung / Blaupause?

Ich und viele meiner Kolleg:innen sprechen gerne vom „kombinierten Ansatz”, wie wir diesen fortan in diesem Artikel nennen werden. Dieser Ansatz kann helfen, ein ISMS aufzubauen. Um was geht es hierbei? Beim „kombinierten Ansatz“ geht es darum, die Anforderungen der ISO-27001-Norm zu betrachten und zu schauen, welche IT-Grundschutz-Bausteine es zur jeweiligen Anforderung gibt.

Sollten Sie sich nun die berechtigte Frage stellen „Welche Anforderungen der Norm passen zu welchen Bausteinen im IT-Grundschutz?“ – dann schauen Sie sich gerne mal die Zuordnungstabelle an [6]. Beachten Sie aber, dass diese Zuordnungstabelle nicht mehr aktuell ist, sondern sich an den Anforderungen der ISO 27001:2013 Norm orientiert.

Die ISO 27001 fordert bspw. bei der Massnahme „A 7.7.2 Informationssicherheitsbewusstsein –ausbildung und –schulung”, dass die Mitarbeitenden der Organisation und die Auftragnehmenden (Lieferanten) ausreichend zu den Themen der Informationssicherheit geschult werden. Der genaue Wortlaut der Anforderung lautet: „Alle Beschäftigten der Organisation und, wenn relevant, Auftragnehmer, bekommen ein angemessenes Bewusstsein durch Ausbildung und Schulung sowie regelmässige Aktualisierungen zu den Richtlinien und Verfahren der Organisation, die für ihr berufliches Arbeitsgebiet relevant sind”.

Es ist offensichtlich, dass das Wort „angemessenes Bewusstsein” bedeutet, dass die Mitarbeitenden entsprechend ihrer Stärken, Schwächen und fachlichen Hintergründe in Zielgruppen eingeteilt werden müssen, und dass ihnen entsprechend ihrer Zielgruppe Wissen vermittelt werden muss.

Ganz schön viel? Ja, da haben Sie Recht, und Sie wissen vielleicht bisher nicht, wie Sie die Anforderung entsprechend umsetzen sollen? Jetzt wird es Zeit für eine mögliche Variante, mit den vom BSI bereitgestellten IT-Grundschutz Bausteinen zu arbeiten.

Grundlegende Arbeitsweisen und Verständnis

Wenn Sie sich entscheiden, eine ISO-Zertifizierung zu erlangen, möchten aber Hilfsmittel und Blaupausen nutzen (Orientierung an den BSI-Bausteinen), so achten Sie unbedingt darauf, die richtigen Massnahmen und Anforderungen umzusetzen. In diesem Fall sind Standard-Anforderungen, mit einem „S“ hinter dem Namen der Anforderung gekennzeichnet, umzusetzen. Wenn nachfolgend im Text von einer „Absicherung“ gesprochen wird, sind hiermit spezifische Massnahmen zur Umsetzung nach einer bestimmten Vorgehensweise gemeint.

Der IT-Grundschutz bietet hierfür einen entsprechenden Baustein (diesen können Sie sich einzeln oder im BSI-Kompendium anschauen), und zwar in unserem Fall den „OPR.3 Schulung und Sensibilisierung”.

Wenn man sich diesen Baustein anschaut, werden im ersten Teil allgemeine Gefährdungslagen oder auch „Erfahrungswerte vieler verschiedener Organisationen“ beschrieben, die aufzeigen, was passiert, wenn man diese Anforderungen nicht oder nur unzureichend umgesetzt hat. Diese „Stolpersteine” sind interessant, denn hier können weitere Anforderungen und Hilfsmittel zur Umsetzung identifiziert werden. Im Hauptteil des Dokuments werden dann die eigentlichen „Anforderungen“ des Bausteins beschrieben. Hier ist es wichtig, diejenigen Massnahmen umzusetzen, welche Ihrer Vorgehensweise (Absicherung) entsprechen. Wollen Sie sich ggfs. erst einmal nicht zertifizieren lassen, sondern ein elementares Sicherheitsniveau in Ihrer Organisation erreichen, dann können Sie auch die „Basisabsicherung“ als Vorgehensweise wählen und entsprechend die Anforderungen umsetzen.

Für Ihre geleistete Arbeit können Sie sich auch vom BSI ein Testat ausstellen lassen, wenn Sie das möchten [7]. Die Ressourcen und aufgewendete Zeit sind nicht verloren, sondern können als Grundlage für eine spätere ISO 27001 oder BSI IT-Grundschutz Zertifizierung dienen. Vielleicht fällt Ihnen hier auf, dass die ISO-Norm gar keine solche Möglichkeit bietet? Richtig, denn diese Norm und die damit verbundenen Anforderungen und Massnahmen haben das Ziel, eine Zertifizierung zu erlangen. Die einfache Lösung ist, hier zu entscheiden, die Anforderungen und Massnahmen umzusetzen, sich aber nicht zu zertifizieren. Ob es den Aufwand wert ist, muss das Unternehmen entscheiden. Bedenken Sie, es gibt hier keine Abstufung. Ein, wie ich finde, grosser Vorteil des IT-Grundschutzes.

Eigene praktische Erfahrungen

Ich hatte im Eingang des Blogartikels erwähnt, dass ich kurz über meine praktischen Erfahrungen in der Anwendung dieser Standards sprechen will. Ich hatte das Glück, schon mit beiden Standards arbeiten zu dürfen. Aufgefallen ist mir natürlich zuerst der vermeintlich geringe Umfang der ISO-Norm. Aber bei der Umsetzung und mit der Zeit habe ich dann schnell gemerkt, dass etwas mehr Information nicht schaden würde. Sozusagen eine Blaupause oder Schritt-für-Schritt Anleitung, wie man das umsetzen kann. Dann wurde ich beim BSI fündig.

Viele Anforderungen der ISO-Norm sind bei den BSI-Bausteinen nach meiner Erfahrung nochmals in einzelne Massnahmen aufgeteilt, sodass eine Schritt-für-Schritt-Anleitung entsteht. Lesen Sie jetzt gerne nochmal die Anforderung (A.6.3 Informationssicherheitsbewusstsein, -ausbildung und
-schulung) der ISO 27001-Norm und legen sich am besten den IT-Grundschutz-Baustein (ORP.3) nebendran. Würden Sie folgende Schritte in der Anforderung der ISO-27001-Norm identifizieren und herauslesen? (Sinngemäss):

1. Erstellen Sie ein Schulungs – und Sensibilisierungsprogramm, definieren Sie hierbei eine Ansprechperson für Sicherheitsfragen

2. Überlegen Sie, welche Zielgruppen Sie in Ihrer Organisation haben und welche Stärken und Schwächen diese haben.

3. Welches Wissen im Bereich der Informationssicherheit, z. B. zu Regeln im Umgang mit der IT bzw. zu gesetzlichen Bestimmungen, müssen diese Zielgruppen haben?

4. Planen Sie zielgruppengerechte Schulungen, führen Sie diese durch, dokumentieren Sie die Durchführung (Nachweis).

5. Überlegen Sie, wie Sie die Schulungen weiterentwickeln und kontinuierlich verbessern können, wie Sie den Erfolg messen und wie Sie die Ergebnisse umsetzen können.

Ich persönlich nutze gerne die BSI-Bausteine bei meiner täglichen Arbeit, da diese einige Normpunkte nochmal verständlicher und detaillierter beschreiben. Die Nachteile sind natürlich auch, wenn Sie sich nach “ISO 27001 auf Basis von IT-Grundschutz” zertifizieren lassen, dass Sie die Anforderungen umsetzen müssen, auch wenn Sie sich denken, die Anforderung macht doch jetzt so keinen Sinn. Spätestens dann wird klar, dass das “Was” auch manchmal ein Vorteil gegenüber dem “Wie” haben kann.

Die Entscheidungsfrage

Zur Beantwortung, welchen Standard man umsetzen kann, sollten Sie sich zu folgenden Aufzählungen Gedanken machen:

• Ist mein Unternehmen ein global agierendes? (1)

• Bin ich als Unternehmen eher ein KMU oder ein Konzern? (2)

• Welche Ressourcen stehen mir für den Aufbau eines ISMS zur Verfügung? Habe ich genügend Ressourcen (MA, Zeit, Geld) oder sind diese begrenzt? (3)

• Erfordern entsprechende externe Anforderungen eine schnelle Einführung und Zertifizierung im Bereich Informationssicherheit? (4)

• Agiert mein Unternehmen eher im deutschsprachigen Raum (DACH)? (5)

• Sind meine Kunden überwiegend der öffentlichen Verwaltung zuzuordnen? (6)

• Habe ich bereits andere Standards der ISO-Normfamilie in meinem Unternehmen eingeführt? (7)

Sollten Sie sich in den Fragen 1, 2, 3, 4 und 7 wiederfinden, so ist der ISO 27001 Standard zu empfehlen, da dieser in weiten Teilen der Welt einen Begriff darstellt. Sollten Sie hingegen vom BSI sprechen, so könnte es passieren, dass Sie erst erklären müssen, dass es sich hierbei auch um einen Standard handelt, der sich ebenfalls verwenden lässt, um ein ISMS aufzubauen.

Sollten Sie sich in den Fragen 2, 3, 5 oder 6 wiederfinden, so ist der BSI IT-Grundschutz die erste Wahl für Sie. Zum einen ist dieser Standard im deutschsprachigen Raum (DACH) ein Begriff, zum anderen ist dieser Standard sehr detailliert und kann an der einen oder anderen Stelle die Umsetzung etwas vereinfachen. Das kann natürlich auch zu weiteren zusätzlichen Kosten und Ressourceneinsatz führen. Achten Sie zudem darauf, was in Ihrem Land für gesetzliche und regulatorische Bestimmungen gelten und welche Anforderungen an Sie durch Ihr Umfeld gestellt werden.

Fazit

Zusammenfassend kann gesagt werden, dass es nicht den einen Standard gibt. Vielmehr kommt es auf Ihre Strategie und Ihr Umfeld an. Jeder Standard hat seinen Charme. Wenn Sie im internationalen Umfeld unterwegs sind, ist eine Zertifizierung nach der ISO-Norm anzuraten. Der Vorteil ist, dass die ISO-Normen weltweit ein Begriff sind und sich hierdurch für Ihr Unternehmen neue Wettbewerbschancen ergeben, gerade auf dem internationalen Parkett. Der IT-Grundschutz spielt seine Stärken in der Detailtiefe und den bereits vorhandenen Dokumenten und Hilfestellungen aus. Dadurch wird auch Unternehmen, die nicht über das notwendige Know-how verfügen, die Möglichkeit eröffnet, einen ersten Einstieg in den Aufbau derartiger Managementsysteme zu erhalten. Der Nachteil ist, dass Sie die durchaus umfangreichen Dokumente lesen und verstehen müssen. Die ISO-Norm umfasst zwar nur 26 Seiten, liefert aber keine ausführlichen Umsetzungshinweise. Das kann in gewisser Weise bspw. mit den BSI IT-Grundschutzbausteinen oder aber mit dem ISO 27002 Leitfaden kompensiert werden. Diese Kombination aus ISO und BSI ist ein mächtiges Werkzeug. Das Ziel ist es, den Gipfel zu besteigen und zu erreichen (Zertifizierung). Auf dem Weg dahin darf ein Schweizer Taschenmesser nicht fehlen. Wir wissen ja nicht was passiert. Sie als Anwender können das Beste aus zwei Welten nehmen. Sehen Sie es als Hilfe zur Selbsthilfe mit dem Ergebnis, den Gipfel erfolgreich bestiegen und ein zertifiziertes ISMS zu haben.

Ich wünsche Ihnen viel Freude bei der Umsetzung.

Quellen / Ressourcen

[1] Pressemitteilung BITKOM
https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022#_

[2] 70 Prozent der Schweizer Industriefirmen betroffen
https://www.luzernerzeitung.ch/wirtschaft/wirtschaft-mantel/swissmem-70-prozent-der-schweizer-industriefirmen-mindestens-einmal-betroffen-so-grossen-schaden-richten-cyberattacken-an-ld.2308271

[3] Informationssicherung, Lage in der Schweiz und international
https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/berichte/lageberichte/halbjahresbericht-2025-1.html

[4] ISO/IEC 27001
https://de.wikipedia.org/wiki/ISO/IEC_27001

[5] Geschichte und Entwicklung des IT-Grundschutzes
https://www.bsi.bund.de/DE/Das-BSI/Zeitstrahl/BSI-Zeitstrahl_node.html

[6] Zuordnungstabelle – Zuordnung ISO/IEC 27001 zum IT-Grundschutz
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium/Zuordnung_ISO_und_IT_Grundschutz_Edit_6.pdf?__blob=publicationFile&v=2

[7] Testat nach der Basisabsicherung
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/Testat-nach-der-Basisabsicherung/testat-nach-der-basisabsicherung_node.html