Was Firmen aus dem Xplain Vorfall lernen können

Seit Wochen beschäftigt der Vorfall beim IT-Dienstleister Xplain die IT-Branche in der Schweiz und die Medien. Dieser Blog fasst das Wichtigste zusammen und zeigt auf, wie Sie sich schützen können, damit es bei Ihnen besser läuft und Sie nicht eines Tages in den Medien unter Beschuss kommen. Der Aufbau eines Informationssicherheits-Managementsystems – kurz ISMS genannt – sowie eine Zertifizierung nach ISO 27001 sind gute Möglichkeiten, eine Firma im Bereich Informationssicherheit umfassend zu schützen.

Es ist nicht der Zweck dieses Blogs, sämtliche Kapitel aus ISO 27001 und ISO 27002 aufzuführen. Dazu gibt es bereits genügend Literatur, so z.B.: ISO 27001 Blog

Der Blog soll viel mehr Checklisten-Charakter haben und für eine erste Analyse des IST-Zustands benutzt werden können. Die prominentesten Themen werden kurz erwähnt. Damit wird auch erkennbar, wie umfassend ISO 27001 wirkt, wenn die Norm korrekt umgesetzt wird. Etwas salopp ausgedrückt könnte man sagen, ein ISMS ist das Pendant zu dem Sprichwort „Nachhaltigkeit ist keine Eintagsfliege“. Es steht für einen durchdachten, umfassenden und langfristigen Ansatz im Umgang mit Informationssicherheit.

ISO 27001 – Kapitel 4 bis 10

Diese Kapitel behandeln die übergeordneten Management-Themen. Es sind dies:

  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

Aus gutem Grund stehen diese Themen zu Beginn. Deshalb zuerst die wichtigsten Grundsätze:

  • Die Geschäftsleitung muss sich ihrer Verantwortung bewusst sein! Sie trägt diese und kann bei Fehlern persönlich haftbar gemacht werden.
  • Selbstverständlich können Aufgaben delegiert / outgesourct werden, niemals aber die Verantwortung!
  • Die Themen Informationssicherheit und Datenschutz müssen der Geschäftsleitung ein echtes und zentrales Anliegen sein.
  • Die Geschäftsleitung muss die Themen Informationssicherheit und Datenschutz zur strategischen Angelegenheit machen. Optimalerweise lebt sie den Umgang damit selbst vor und integriert das in die Firmenkultur. Damit ist die Basis für eine gelungene Umsetzung gelegt.

Das hört sich relativ einfach an. Damit die Geschäftsleitung jedoch die Verantwortung übernehmen kann, ist es von essenzieller Bedeutung, dass sie nicht nur ihr Tätigkeitsfeld, sondern auch die Erfordernisse und Erwartungen ihrer Stakeholder genau kennt. Weiter ist es wichtig, dass sie auf ein gut eingespieltes Management-Team zurückgreifen kann, welches sie bei weiteren übergeordneten Themen unterstützt. So z.B.:

  • Sicherstellen, dass rechtliche und vertragliche Vorgaben und Pflichten jederzeit eingehalten werden.
  • Klare Regelung von Rollen und Verantwortlichkeiten innerhalb der Firma inkl. Bekanntgabe an alle Beteiligten. Als Beispiel kann das Kommunikationskonzept erwähnt werden. Darin ist geregelt, wer, wann, mit wem kommunizieren darf, und zwar sowohl intern wie auch extern. Bei Vorfällen kann auf dieses zurückgegriffen werden. Damit kann wertvolle Zeit gewonnen werden und die Firma hinterlässt so einen professionellen Eindruck auch gegen aussen.
  • Sicherstellen, dass genügend Ressourcen, sowohl personell wie auch finanziell, zur Verfügung stehen.
  • Das Thema Risiko-Management ist einer der Grundpfeiler des ISMS. Nur wer seine Risiken kennt, kann damit umgehen. Deshalb fordert das ISMS ein gut funktionierendes und gelebtes Risiko-Management. Das heisst, dass die Cyber- und IT-Risiken der Geschäftsleitung und dem Verwaltungsrat nicht nur bekannt sein müssen, sondern sie müssen auch von dort kontrolliert und überwacht werden.
  • Das Management ist für regelmässige Trainings und Schulungen für die Mitarbeitenden verantwortlich.
  • Dokumentierte Betriebsabläufe werden oft belächelt und vernachlässigt. Wie wichtig diese wirklich sind, zeigt sich oft erst im Krisenfall, und da ist es bereits zu spät. Dass diese stets aktuell sein müssen, versteht sich von selbst.
  • Das ISMS lebt von ständigen Verbesserungen. In diesem Zusammenhang werden sämtliche Prozesse und Tätigkeiten kontinuierlich überwacht, analysiert, gemessen und bewertet. Die gewonnenen Erkenntnisse fliessen in den nächsten Plan-Do-Check-Act (PDCA) Zyklus ein. Damit ist der Grundstein gelegt, dass der Reifegrad einer Firma stetig wächst und die Resilienz kontinuierlich verbessert wird.

Themenübersicht aus dem Anhang ISO 27002:2022

Diese Themen sind in 4 Gruppen zusammengefasst. Es sind dies:

A.5 „Organisatorische Massnahmen“: Beinhaltet insgesamt 37 Punkte. U.a.:

  • Jedes Unternehmen ist in der Pflicht, sich regelmässig über Cyber-Bedrohungen zu informieren und bei Bedarf frühzeitig Massnahmen zu ergreifen.
  • Nur wer seine Werte kennt, kann diese auch korrekt schützen. Aus diesem Grund ist ein aktuelles Inventar von:
    • Hardware (PCs, Netzwerkkomponenten, etc.)
    • Software (Anwendungen)
    • Lizenzen
    • Informationen (Daten digital wie auch auf Papierform und gesprochen)

die entscheidende Ausgangslage für alle weiteren Tätigkeiten. Damit ist sichergestellt, dass die Firma jederzeit weiss, wo welche Informationen abgelegt sind.

  • Mittels sorgfältig ausgearbeitetem Klassifizierungskonzept ist klar ersichtlich, welche Informationen wo gespeichert werden dürfen, bzw. in welchem konkreten Anwendungsfall welche Verfahren zur Anwendung kommen.
  • Themenspezifische Richtlinien und Weisungen sind erarbeitet und bekannt gemacht. So kennen z.B. die Mitarbeitenden allgemeingültige Regelungen für den Umgang mit dem Internet, E-Mail und Daten, insbesondere auch sensiblen Daten, und halten sich strikt an die Vorgaben.
  • Beim Thema Lieferanten ist die Firma in der Pflicht, diese nebst den allgemein üblichen vertraglichen Vereinbarungen zu kontrollieren und zu steuern. Dazu gehört u.a. die Durchführung von Lieferanten-Audits.
  • Berechtigungen sind ausschliesslich nach den Prinzipien „need-to-know“ und „least privilege“ zu vergeben. Ein etablierter Kontroll-Prozess stellt sicher, dass die aktuellen Berechtigungen regelmässig überprüft werden.
  • Kennwörter:
    • Vorgaben an Kennwörter können z.B. den Empfehlungen von Microsoft, aber auch von NIST entnommen werden.
    • Diese müssen immer verschlüsselt sein, sowohl bei der Übertragung wie auch bei der Speicherung.
    • Es muss definiert sein, ob und wo Kennwörter gespeichert werden dürfen.
    • Die Kennwörter müssen den aktuellen Sicherheitsanforderungen entsprechen. Optimalerweise wird das vom System erzwungen.
  • Ein Incident-Response-Prozess muss definiert und etabliert sein. Dieser sollte sowohl Informationssicherheits- wie auch Datenschutzvorfälle berücksichtigen. Allfällig gültige Meldefristen müssen beachtet werden.
  • Wie wichtig Business Continuity wirklich ist, zeigt sich oft erst zu spät. Deshalb fordert die Norm, dass sich Firmen mit diesem Thema auseinandersetzen und entsprechende Pläne für den Notfall definiert haben. Mit der heutigen Bedrohungslage sind Vorbereitungen auf einen Hackerangriff ein MUSS! Nur mittels gezielten Trainings kann sichergestellt werden, dass einerseits die Dokumente aktuell und auffindbar sind und dass andererseits alle betroffenen Personen ihre Aufgaben auch unter erhöhtem Stresslevel genau kennen.

A.6 „Personenbezogene Massnahmen“: Beinhaltet insgesamt 8 Punkte. U.a.:

  • Die Auswahl von geeigneten Mitarbeitenden beginnt bereits vor der eigentlichen Anstellung. Bei besonders kritischen Tätigkeiten, wie z.B. Systemadministration sind vorgängig zusätzliche Dokumente wie Leumundszeugnis, Betreibungsregisterauszug oder ähnliches einzufordern.
  • Ein- und Austrittsprozesse müssen klar definiert sein und werden im optimalen Fall mittels Checklisten durchgeführt. Vertraulichkeits- bzw. Geheimhaltungsvereinbarungen müssen unterschrieben werden und Mitarbeitende müssen auf Pflichten aufmerksam gemacht werden, welche allenfalls über die Beschäftigung hinausgehen.
  • Klare Regelung, wie Mitarbeitende mit Daten und Geräten umgehen, wenn dezentrale Modelle wie z.B. Home-Office im Einsatz sind. Dazu gehören auch Reisen – selbst wenn diese nur vom Arbeitsplatz nach Hause sind, müssen sie geregelt werden.

A.7 „Physische Massnahmen“: Beinhaltet insgesamt 14 Punkte. U.a.:

  • Die physischen Massnahmen, welche zu treffen sind, sind je nach Geschäftsmodell mehr oder weniger umfangreich. Betreibt die Firma z.B. ein eigenes Rechenzentrum, werden alle 14 Massnahmen berücksichtigt werden müssen. Firmen, welche hingegen mit ausgelagerten Cloud-Modellen arbeiten, müssen „nur“ die Büro-Räumlichkeiten angemessen schützen. Natürlich gehört auch hier die Absicherung der Versorgungseinrichtungen wie z.B. Strom, Internet, etc. dazu.

A.8 „Technische Massnahmen“: Beinhaltet insgesamt 34 Punkte. U.a:

  • Eine klare Regelung für den Umgang mit mobilen Geräten muss erstellt und bekanntgegeben sein. Dazu gehören heute nicht nur Laptops, sondern auch Smartphones und Tablets. Besonders kritisch hinterfragt werden muss der Umgang mit BYOD-Geräten. In welchem Rahmen sollen diese zugelassen werden – wenn überhaupt.
  • Es versteht sich von selbst, dass eine Firma Antiviren-Software einsetzt, diese aktuell hält und sie nach best practice Ansätzen betreibt.
  • Ein umfassendes Patch- und Schwachstellenmanagement muss im Einsatz sein. Informationen über verschiedene Kanäle sollen Sicherheitslücken frühzeitig melden. An dieser Stelle sind auch die Lieferanten in die Pflicht zu nehmen, damit diese ihnen bekannte Schwachstellen ebenfalls melden müssen.
  • Die korrekte Härtung aller Systeme und Anwendungen ist ein zentraler Bestandteil jeder sicheren IT-Basis Infrastruktur. Dazu sind die Guidelines und best practices von Herstellern, aber auch von z.B. BSI IT-Grundschutz anzuwenden.
  • Der Einsatz von Multi-Faktor-Authentifizierung (MFA) auf allen Systemen ist unerlässlich, für privilegierte Accounts sogar zwingend.
  • Netzwerke stellen die Basis für den Datenaustausch dar. Aus diesem Grund gibt es dazu eine separate Richtlinie. Heute stellt sich nicht mehr die Frage, ob mit Netzwerksegmentierung gearbeitet wird, sondern nach der geforderten Granularität. Ein starker Perimeterschutz schützt das interne Netzwerk vor dem öffentlichen Netz und ist somit ebenfalls von zentraler Bedeutung. In der Netzwerk-Richtlinie wird auch definiert, wie auf die Netzwerke zugegriffen wird, z.B. mit VPN-Verbindungen und wie die Daten verschlüsselt werden müssen bei „data-in-transit“. Der Umgang mit WLAN-Verbindungen muss ebenfalls definiert werden. Dürfen solche überhaupt genutzt werden, und falls ja, für welche Zwecke. So oder so sind WLAN-Verbindungen vom übrigen Netzwerk zu trennen.
  • Weiter verlangt die Norm eine zentrale Protokollierung sämtlicher Systeme und Anwendungen. Mit einem entsprechenden Prozess muss sichergestellt werden, dass die Protokoll-Dateien regelmässig ausgewertet werden. Die Protokolle müssen auch vor Administratoren geschützt werden, damit diese ihre Tätigkeiten nicht verschleiern können. Dieser Norm-Punkt stellt gerade Firmen im KMU-Bereich oft vor grosse Herausforderungen. Deshalb gilt es sorgfältig abzuwägen, welche Lösungen dazu angemessen sind und ob allenfalls auch noch gesetzliche Vorgaben erfüllt werden müssen.
  • Für weitere Kernthemen wie z.B. Datensicherung, Kapazitäts- und Verfügbarkeitsmanagement sind separate Konzepte mit entsprechenden Eckwerten zu definieren. Diese Konzepte sind auf der taktischen Ebene angesiedelt und sollten auf der operativen Ebene durch konkrete Arbeitsanweisungen und Prozessbeschreibungen ergänzt werden.
  • Mit der Version 2022 von ISO 27002 sind im Bereich Datenschutz zentrale Punkte neu aufgenommen worden:
    • Im Umgang mit Produktivdaten ist selbstverständlich grösste Sorgfalt gefordert. Verschlüsselung und Pseudonymisierung sind hier mögliche Lösungsansätze.
    • Für Testdaten müssen Löschverfahren implementiert werden. Damit soll sichergestellt werden, dass diese nach Gebrauch auch tatsächlich wieder gelöscht werden.
    • Nebst dem Prozess für das Löschen von Informationen werden auch die Punkte der Daten Maskierung und Data Leakage Vorbeugung behandelt.

Jedes für sich ist ein umfangreiches Thema. Auch wieder im KMU-Bereich muss evaluiert werden, wie das mit angemessenen Mitteln umgesetzt werden kann. Dazu bieten sich die sogenannten TOMs an. Dabei handelt es sich um die technischen und organisatorischen Massnahmen.

  • Nachhaltigkeit; die Norm verlangt, dass sowohl Systeme wie auch Anwendungen während ihres gesamten Lebenszyklus überwacht und begleitet werden müssen. Auch dazu empfiehlt sich ein separates Konzept.
  • Last but not least sollen kritische und exponierte Systeme und Anwendungen regelmässigen Überprüfungen durch externe Experten unterzogen werden.

Neugierig auf mehr geworden? goSecurity AG unterstützt Sie gerne in den folgenden Bereichen:

Awareness-Schulungen mit den Angeboten von goAware

Durchführen von Penetrationtests und technischen Audits

Begleitung beim Aufbau eines ISMS nach ISO 27001

Informationen zum Autor: Isabelle Berger

Seit Januar 2022 darf ich für goSecurity tätig sein. Hier kann ich mein Wissen sowie meine Erfahrung aus den letzten 20 Jahren meiner Tätigkeiten in unterschiedlichen Positionen in der operativen IT sowie in verschiedenen Branchen einbringen. Die IT-Sicherheit lag mir schon immer am Herzen, deshalb startete ich im Jahr 2020 meine Weiterbildung spezifisch in diesem Bereich. IT-Sicherheit ist so viel mehr als nur Technik. Nur wenn die Faktoren Technik, Organisation und Mensch wie ein Räderwerk ineinandergreifen, können optimale Ergebnisse erzielt werden. Es ist meine Motivation bei den Kunden dieses Räderwerk zum Laufen zu bringen, am Laufen zu erhalten und weiterzuentwickeln. Dabei sehe ich mich oft auch als Brückenbauerin zwischen den einzelnen Disziplinen. Wenn mir das gelingt und dabei optimale und auf den Kunden angepasste Lösungen gefunden werden können, erfüllt mich das mit Befriedigung.