goSecurity BLOG

ISO 27001: der Sinn der Norm

In diesem Blog möchte ich nicht gross auf detaillierte Angaben und Inhalte der Norm ISO 27001 eingehen. Ich setze voraus, dass die lesende Person mit der Norm vertraut ist, und sie – zumindest in oberflächlicher Form – kennt.

Ganz frech möchte ich in diesem Artikel den Sinn der Norm bzw. der Zertifizierung eines Unternehmens gemäss dieser Norm hinterfragen. Warum ich das tue? Ich bin täglich als Information Security Consultant sowie als „CISO as a Service“ bei Kunden unterwegs und führe unzählige Diskussionen bezüglich Einführung, Umsetzung und Verbesserung eines ISMS (Information Security Management System), welches auf der Norm ISO 27001 beruht. Dabei stelle ich fest, dass ISO 27001-Zertifizierungen sowohl aus unterschiedlichen Beweggründen, als auch mit unterschiedlichen Erwartungshaltungen, absolviert werden. Dies hat einen direkten Einfluss darauf, welchen Nutzen eine Firma aus dieser Zertifizierung ziehen kann, und wie sie sich auf die Organisation auswirkt.

Wozu die Norm gedacht ist – und wozu nicht

Werfen wir einen kurzen Blick in die Norm ISO 27001, und zwar in die Einleitung. Die Norm liefert gleich zu Beginn des Dokuments einen interessanten Hinweis darauf, was eigentlich mit ihr bezweckt wird. Im Kapitel 0.1 steht, und ich zitiere: „Diese Internationale Norm wurde erarbeitet, um Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) festzulegen.“ Und dann gibt es noch einen zweiten, ebenfalls sehr interessanten Satz im selben Kapitel, wieder direkt zitiert: „Diese Internationale Norm kann von internen und externen Parteien dazu eingesetzt werden, die Fähigkeit einer Organisation zur Einhaltung ihrer eigenen Informationssicherheitsanforderungen zu beurteilen.“

Welches Wort fehlt in diesen beiden Sätzen? Richtig – es ist die Umsetzung! Die Norm ISO 27001 definiert recht exakt, was ein ISMS alles beinhalten muss, damit es seine volle Wirkung in einem Unternehmen entfalten kann, und sowohl „der Organisation angemessen“ als auch nachhaltig zur Aufrechterhaltung eines hohen Informationssicherheits-Levels beiträgt. Die Norm beschreibt aber nur ansatzweise, wie ein Unternehmen alle diese Punkte umsetzen muss, welche Konzepte, welche Mittel oder welche Tools dafür nötig sind.

Es existiert zwar die Norm ISO 27002, welche als Leitfaden für Informationssicherheits-Massnahmen begleitend zur ISO 27001 Norm entwickelt wurde. Darin sind unzählige Möglichkeiten aufgeführt, wie die Anforderungen aus ISO 27001 abgebildet werden können. Man könnte ISO 27002 auch als eine umfangreiche Sammlung von Tipps betrachten, auf was man bei der Umsetzung von ISO 27001 alles achten muss.

Diese Punkte führen mich zu einem Fazit, welches Firmen oft anders sehen: Die Norm ISO 27001 löst nicht die Probleme und Herausforderungen in Bezug auf mangelnde Informationssicherheit in einer Organisation. Im Gegenteil: durch die zahlreichen Anforderungen kann sich kurzfristig das Niveau sogar gefühlt „verschlechtern“ – denn u.U. erkennt man erst in Zusammenhang mit dem Studium der Norm, wie es um die eigene Informationssicherheit steht.

Herausforderungen auf dem Weg zur Zertifizierung

Die grösste Herausforderung besteht somit in der Umsetzung aller Anforderungen der Norm ISO 27001. Ich frage Sie direkt: schaffen Sie es, ein ISMS selbstständig einzuführen? Ja. Schaffen Sie es, sich selbstständig zertifizieren zu lassen? In den meisten Fällen Nein. Die Gründe für diese harte Aussage sind vielfältig.

Zuerst zum ISMS. Sie können ein ISMS, wenn Sie möchten, mit „Bordmitteln“ wie z.B. M365, Google Docs oder Web-basierten Wiki-Systemen einführen. Alle Richtlinien und Konzepte lassen sich so schreiben, und auch die Lenkung der Dokumente (also Freigabe, Revisionen, usw.) kann mittlerweile mit den genannten Tools sauber durchgeführt werden. Schwieriger wird es, wenn Sie Workflows abbilden möchten, wie z.B. ein 4-Augen-Prinzip bei der Freigabe von Dokumenten. Deshalb gibt es zwischenzeitlich mehr oder weniger „pfannenfertige“ Tools, welche extra für den Aufbau und Betrieb eines ISMS entwickelt wurden. Doch Achtung: wenn Sie ein ISMS nach eigenem Verständnis einführen und betreiben, dann fehlt Ihnen ein unabhängiger Prüfstein, der sicherstellt, ob Ihr ISMS denn auch tatsächlich wirksam ist. Deshalb meine obenstehende Aussage: auch wenn einige Gefahren lauern, ist es grundsätzlich nicht so schwierig, ein ISMS einzuführen und aufzubauen.

Ganz anders sieht es mit der Zertifizierung aus. Die Norm ISO 27001 enthält in den Kapiteln 4-10 satte 52 „MUSS-Ziele“ – alles Anforderungen, die Sie erfüllen müssen, sonst haben Sie keine Chance auf das Zertifikat! Ein Muster gefällig? Aus Kapitel 4.3: „Die Organisation muss die Grenzen und die Anwendbarkeit des Informationssicherheitsmanagementsystems bestimmen, um dessen Anwendungsbereich festzulegen.“ Wie sollen denn Grenzen und Anwendbarkeit eines ISMS definiert werden? Und was ist hier mit einem Anwendungsbereich gemeint? Solche Fragen werden praktisch bei jedem Kapitel und jedem einzelnen Ziel auftreten. Diese Punkte können nicht einfach auf die leichte Schulter genommen werden, im Sinne von „das werden wir dann schon irgendwie definieren“. Werden die MUSS-Ziele nicht erfüllt, wie das im Sinne der Norm gemeint ist, drohen beim Zertifizierungsaudit Hauptabweichungen und das Zertifikat wird im schlimmsten Fall verweigert.

Natürlich gibt es mittlerweile viel Literatur zu diesem Thema. Dennoch eine erste Empfehlung an dieser Stelle: holen Sie sich einen ISO 27001-Spezialisten an Bord, wenn Sie ein ISMS einführen und eine Zertifizierung in Betracht ziehen. So verhindern Sie, dass Sie viel Aufwand in ein System investieren, dass dann am Ende, wenn Sie die Zertifizierung in Angriff nehmen, den Anforderungen doch nicht genügt.

Die Vorteile einer Zertifizierung …

Vorteile gibt es viele zu nennen. Ich schreibe diese kurz in Listenform:

• Sie lernen Ihre Firma im Kontext der Informationssicherheit ganz neu und detailliert kennen.
• Sie durchleuchten alle Ihre Prozesse in Bezug auf Schwächen und können diese in der Folge ausmerzen.
• Im Zuge der Risikobetrachtung werden Sie sehen, wo Ihr Unternehmen am Verletzlichsten ist.
• Schulung und Awareness wird in Ihrer Firma ein ganz neues Ausmass annehmen, und Sie reduzieren das Risiko „Mensch“.
• Alle Mitarbeitenden werden im Bereich der Informationssicherheit die gleiche Sprache sprechen.
• Exakte und verständliche Richtlinien werden verhindern, dass Unklarheiten bei deren Verständnis auftreten.
• Durch gezielte Kontrollen und Bewertungen wissen Sie genau, wo Sie sich weiter verbessern können.
• Das Management weiss, wie es um die eigene Sicherheit des Unternehmens steht.
• Das Zertifikat kann Ihnen je nach Branche als Wettbewerbsvorteil gegenüber Ihren Mitbewerbern dienen.
• Das Zertifikat kann Ihren Partnern als Nachweis dienen, dass bei Ihnen das Thema Informationssicherheit höchste Wichtigkeit geniesst, und Ihnen somit Auftragschancen geben, die Sie sonst nicht hätten.

… und die Nachteile

Wo die Sonne scheint, gibt es auch Schatten. So auch bei einer ISO 27001-Zertifizierung. Auf folgende Nachteile sollten Sie sich gefasst machen:

• Die Betreuung des ISMS und die Aufrechterhaltung des Zertifikats verursachen Aufwand, den Sie nicht unterschätzen dürfen.
• Sie müssen ausreichend personelle und finanzielle Ressourcen für das Thema Informationssicherheit zur Verfügung stellen – je nach Grösse Ihrer Organisation eine Herausforderung.
• Der Know-how-Verlust durch Personalwechsel im Bereich der Informationssicherheit kann sich doppelt negativ auswirken. Denn eine neue Person muss zuerst die Firma kennenlernen, und wie das ISMS und dessen Prozesse aufgebaut sind. Das braucht Zeit – oft mindestens ein Jahr, bis die volle Leistungsfähigkeit dieser Rolle wiederhergestellt ist.
• Nicht alle im Unternehmen werden Freude haben, denn eine höhere Sicherheit kann punktuell durchaus zu Einschränkungen führen. Zum Beispiel, wenn der CEO plötzlich keine Admin-Rechte mehr haben darf.
• Die Anzahl Audits wird sich, je nach Branche, mehr oder weniger deutlich erhöhen. Denn nebst Ihren eigenen ISO-Audits haben Sie die Pflicht Ihre kritischen Lieferanten zu auditieren. Und dieses Recht nehmen im Umkehrschluss auch Ihre eigenen Kunden wahr.

Unsere Empfehlung

Sie sehen – eine ISO-Zertifizierung hilft Ihnen mit Sicherheit, Ihre Informationssicherheit auf den nächst höheren Level anzuheben und kann Ihnen sogar im Wettbewerb auf Ihrem Markt deutliche Vorteile liefern. Gleichzeitig muss man sich aber auch bewusst sein, dass eine ISO-Zertifizierung keinesfalls auf die leichte Schulter genommen werden kann, und die Komplexität fordert durchaus einen entsprechenden Aufwand in Ihrem Unternehmen.

Bedenken Sie eines: auch die Hacker rüsten täglich auf. Sie analysieren „Ihren“ Markt und prüfen, welche Firmen über eine gute, und welche über eine nachlässige (IT-) Sicherheit verfügen. Dies lässt sich mit technischen Hilfsmitteln relativ leicht herausfinden. Wenn Sie Ihrerseits mit einem wirksamen ISMS und gut geschulten Mitarbeitenden (auch hier nimmt Sie die ISO-Norm in die Pflicht) Ihrer Informationssicherheit die nötige Priorität zuordnen, werden Sie auf fast alle Angriffe gewappnet sein. Selbst wenn Sie ein ISMS, eine ISO-Zertifizierung und eine personelle Sicherheitsorganisation einiges an Geld kostet – es wird nichts sein im Vergleich zum Reputationsverlust sowie den Lösegeldforderungen, wenn Sie gehackt wurden. Und sollten Sie eines Tages trotzdem angegriffen werden, dann haben Sie mit Sicherheit ein gutes Backup-Konzept inkl. geprüften BCM-Plänen, welche Ihnen helfen werden, nicht in eine Schockstarre zu fallen, und evtl. sogar die Produktion Ihres Unternehmens einstellen zu müssen – mit unabsehbaren Folgen.

Wir empfehlen Ihnen eine Zertifizierung auf jeden Fall ins Auge zu fassen, auch wenn dies nicht zwingend zeitnah an eine ISMS-Einführung gebunden sein muss. Doch mit einer Zertifizierung stellen Sie sich freiwillig Prüfmechanismen, welche Ihnen – auch wenn Sie zuweilen etwas hart sind – auf jeden Fall helfen werden, sich in Sachen Informationssicherheit weiterhin zu verbessern.