ISO 27001: Standardisierte Norm zur Informationssicherheit in Unternehmen

Um in Zeiten der Digitalisierung erfolgreich und sicher arbeiten zu können, müssen Unternehmen hohe Standards der Informationssicherheit einhalten. Die Internationale Organisation für Standardisierung (ISO) hat für die Informationssicherheit in Unternehmen eine Norm entwickelt. Halten Unternehmen diese Norm ein, können sie sich dies zertifizieren lassen. Das Zertifikat wurde von renommierten, weltweit anerkannten Experten für Informationssicherheit entwickelt und beschreibt eine Methodologie, die Unternehmen umsetzen sollten, um einen hohen Standard an Informationssicherheit zu gewährleisten.

Mit der internationalen Norm ISO 27001 kann man in einem Unternehmen oder einer Organisation Standards für die Informationssicherheit schaffen. Die Norm ist so aufgebaut, dass Unternehmensgröße und Branche keinerlei Bedeutung für die Umsetzung haben. Hat man die Vorgaben umgesetzt, kann man zusätzlich eine ISO-27001-Zertifizierung erhalten. Mit solch einem Zertifikat kann ein Unternehmen Kunden und Geschäftspartnern gegenüber nachweisen, dass es eine vertrauenswürdige Organisation ist, die Informationssicherheit ernst nimmt.

Die Vorteile für Unternehmen betreffen vier verschiedene Bereiche. Zum einen bietet ein solches Zertifikat eine Grundlage für die Umsetzung von gesetzlichen Vorschriften. Ferner wird durch das Zertifikat ein Wettbewerbsvorteil erreicht, denn nicht alle Unternehmen sind ISO 27001 zertifiziert. Unternehmen, die das entsprechende Zertifikat erhalten haben, können ihren Kunden gegenüber belegen, das bei ihnen ein sicherer Umgang mit sensiblen Informationen herrscht. Da durch die Einhaltung der Norm das Risiko für Störfälle der Informationssicherheit abnimmt, trägt ISO 27001 auch zur Kostenersparnis bei, denn solche Zwischenfälle sind meist mit monetärem Aufwand verbunden.

Eine ISO-27001-Zertifizierung optimiert außerdem die Abläufe in einem Unternehmen. Leerlaufzeiten der Mitarbeiter werden durch die schriftliche Festlegung der Hauptunternehmensprozesse minimiert.

Weitere Vorteile sind:

• Senkung der Geschäftsrisiken
• Minimierung der Haftungsrisiken
• günstigere Versicherungsprämien
• zuverlässige Problem- und Bedrohungserkennung

Die ISO-27001-Norm besteht aus mehreren Teilen. Ihre Grundlage bildet die im Jahr 2005 erstellte Norm ISO/IEC 27001 selbst. Im Jahr 2015 wurde diese grundlegend überarbeitet und durch einen weiteren Katalog ergänzt, dem zweiten Teil. Dieser wird in der Norm als Anhang dargestellt und zeigt detailliert die aktualisierten Neuerungen. Die Norm lässt sich grob in drei Abschnitte unterteilen: Nach den einleitenden Kapiteln kommt der eigentliche Hauptteil. Den Abschluss bildet der bereits erwähnte Anhang.

Maßgebend für die Zertifizierung nach ISO 27001 ist der normative Hauptteil. Dort werden die Maßnahmenziele genau erläutert. Die damit verbundenen Maßnahmen stellen jedoch keine Anleitung zur Umsetzung der Standards dar – vielmehr handelt es sich hierbei um Ratschläge für die erfolgreiche Implementierung. Die Grundsätze dieser Ratschläge beruhen im Wesentlichen auf den Säulen Vertraulichkeit, Verfügbarkeit und Integrität.

Zur Vereinfachung der Abläufe und Umsetzung übernimmt ISO 27001 auch Prinzipien aus anderen Standards. Denn Parallelen zu anderen Normen (die sie vielleicht bereits kennen) helfen Organisationen erheblich bei der Implementierung und ermutigen sie zur Einführung von ISO-27001-Standards.

Die Anforderungen von ISO 27001 haben sich im Jahr 2013 im Vergleich zu der ersten Version aus dem Jahr 2005 beträchtlich verändert. So wurde die Grundstruktur der Norm nicht nur geändert, sondern auch wesentlich gestrafft.

Die ISO 27001 Norm verfolgt bei der Umsetzung eines Information Security Management System (ISMS) einen prozessorientierten Ansatz. Während in der früheren Version noch ein expliziter Verweis auf das PDCA-Modell bestand, ist dieses nun nicht mehr obligatorisch. Die Anforderungen gelten für alle Organisationsgrößen und Organisationsarten.

Die ISO 27001 enthält als Forderung, dass Unternehmen alle externen und internen Themen bestimmen und berücksichtigen, die sich auf ihre Fähigkeit zur erfolgreichen Umsetzung eines ISMS auswirken. Damit sind insbesondere die Unternehmenskultur, Umweltbedingungen, regulatorische Anforderungen, vertragliche und rechtliche Verpflichtungen, sowie offizielle Richtlinien in Bezug auf Governance gemeint. Von dem Top-Management der Organisation erwartet ISO 27001 eine Festlegung der Informationssicherheitspolitik sowie der Zuständigkeiten und Verantwortlichkeiten zur Umsetzung der Vorgaben. Außerdem muss sich die Organisation verpflichten, das Bewusstsein für Informationssicherheit im gesamten Unternehmen zu fördern.

Auch die Planung spielt bei der Zertifizierung nach ISO 27001 eine wichtige Rolle. So umfassen die Bestimmungen beispielsweise die Bewertung spezifischer Informationssicherheitsrisiken der Organisation sowie die Ausarbeitung eines Behandlungsplans. Die Verantwortung für die Festlegung der Risiken und deren Abwehr liegt allein bei der Organisation. Außerdem schreibt die Norm vor, dass das Unternehmen Ressourcen bereitstellen muss, um eine kontinuierliche Verbesserung sowie die Aufrechterhaltung und Verwirklichung des ISMS zu garantieren. ISMS-Informationen müssen zudem sorgfältig dokumentiert werden. In festgelegten Abständen müssen außerdem Leistungsbeurteilungen erstellt werden. Unternehmen müssen die Wirksamkeit ihres ISMS überprüfen, messen und analysieren. Dies geschieht ebenfalls in festgelegten Abständen.

Ein Katalog mit den wichtigsten Informationen sowie einen Anhang zu den relevanten Neuerungen seit 2013 finden Sie auf der Website der Dekra. Sobald das ISMS eingerichtet ist, geht es um die Klassifizierung der Unternehmenswerte. Dies geschieht ebenfalls wieder vor dem Hintergrund der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Diese Klassifizierung ist in drei Stufen untergliedert.

Stufe Eins umfasst beispielsweise öffentliche Dokumente, die bei einer Verfälschung einen für das Unternehmen eher unbedeutenden Schaden von bis zu 500 Euro verursachen. Dieser Stufe werden Dokumente zugeordnet, die selbst bei anhaltender Missachtung der ISO-Normen über eine Woche kaum zu einem erheblichen Schaden der Organisation führen können.

Die zweite Stufe umfasst unternehmensinterne Dokumente wie zum Beispiel Abrechnungen und Gehaltsdokumente. Kommt es hier zu Verstößen gegen die ISO-Norm zur Informationssicherheit, entstehen mäßige monetäre Schäden von bis zu 5000 Euro. Ein solcher Vorfall darf nicht länger als 24 Stunden anhalten.

Die Umsetzung der ISO/IEC 27001 Norm erfordert spezifische Schritte, die nicht in jedem Unternehmen analog anwendbar sind. Je nach Organisation bestehen individuelle Herausforderungen und jedes ISMS muss individuell auf die jeweilige Organisation angepasst werden. Im Folgenden haben wir daher solche Schritte erläutert, die sich auf die meisten Organisationen branchenunabhängig anwenden lassen.

Der erste Schritt im Ablauf der erfolgreichen Zertifizierung des Unternehmens ist die Sicherstellung der Unterstützung und Verpflichtung des Top-Managements. Das Management muss hierbei die erfolgreiche Umsetzung eines ISMS priorisieren und die angestrebten Ziele der Informationssicherheitspolitik für alle Mitarbeiter verständlich definieren.

Nachdem dies geschehen ist, werden spezifische Elemente der Informationssicherheitspolitik festgelegt. Hierfür bestimmt die Organisation die Ziele und gibt die strategische Ausrichtung für die Grundsätze der Informationssicherheit vor. Dies dient als Rahmenbedingung für die zukünftigen Entwicklungen.

Sobald die Informationssicherheitspolitik festgelegt ist, definiert die Organisation die Anwendungsbereiche des ISMS. Wichtig hierbei ist die spezifische Bestimmung aller Aspekte der Informationssicherheit, die im Rahmen des ISMS wirksam ansprechbar sind. Auch eine Risikoanalyse wird hinsichtlich der Informationssicherheitsmaßnahmen erstellt. Diese ermittelt, welche möglichen Gefahren berücksichtigt werden sollten. Zu diesem Zweck erfasst die Analyse insbesondere die Schwächen des derzeitigen Systems.

Um die bestehenden Risiken zu verringern, legt die Organisation dann passende Maßnahmen fest. Das Ergebnis der Analyse ist ein Maßnahmenkatalog, der ständig überwacht wird und gegebenenfalls angepasst werden muss. Nach der erfolgreichen Implementierung führt die Organisation nun ein Vor-Audit durch, das vor dem eigentlichen Audit zur Zertifizierung stattfindet. Dieses Vor-Audit soll potenzielle Schwachstellen und Probleme aufdecken, die sich auf den Ausgang des eigentlichen Zertifizierungsaudits negativ auswirken könnten. Nichtkonformitäten der ISO-27001-Norm werden ausgeschlossen.

Der letzte Schritt zur erfolgreichen Umsetzung der ISO-27001-Norm ist die Durchführung des eigentlichen Zertifizierungsaudits. Eine unabhängige Zertifizierungsstelle begutachtet nun das erstellte ISMS und beurteilt es. Erfüllt der Plan die Anforderungen der ISO 27001, gilt das Audit als erfolgreich abgeschlossen und es kommt zu einer Zertifizierung. Die Zertifizierungsstelle stellt dann das das Zertifikat aus. Wichtig ist es jedoch, dass in regelmäßigen Abständen sogenannte Überwachungsaudits stattfinden. Sie sollen gewährleisten, dass kontinuierlich überprüft wird, ob die Anforderungen der Norm noch erfüllt sind. Die Überwachungsaudits finden alle drei Jahre statt. Das Zertifikat wird ausschließlich bei erfolgreichen Überwachungsaudits durch die unabhängige Zertifizierungsstelle um weitere drei Jahre verlängert.

Die Kosten für eine erfolgreiche Zertifizierung hängen immer von der individuellen Situation der Organisation ab. Kostenfaktoren wie Schulungen und Fachliteratur, externe Unterstützung und Kosten für die Technologie spielen hierbei eine große Rolle. Zudem darf die Organisation nicht vergessen, dass die Einarbeitungszeit der Mitarbeiter ebenfalls Geld kostet. Zuletzt wären da natürlich auch die Kosten für die Zertifizierung selbst.

Die Zertifizierungskosten sind variabel und abhängig von der Organisationsgröße. Zudem hängen die Kosten auch maßgeblich von der Anzahl der benötigten Tage des letzten Audits ab. Bei KMU beläuft sich der Aufwand meist nur auf rund zehn Arbeitstage. Größere Unternehmen oder Konzerne benötigen entsprechend mehr Zeit und müssen daher ein größeres Budget einplanen.