Cybersecurity für den Mittelstand: Jeden Mittwoch, 16 Uhr

IT-Security wissen by enginsight

ISO 27001 – die weltweite Norm für Informationssicherheit

Inhalt

In Unternehmen und Institutionen werden täglich Datenmengen digital verarbeitet und kommuniziert, die noch vor wenigen Jahrzehnten völlig unvorstellbar gewesen wären. Mit dem Anstieg der Informationsdichte ist dementsprechend auch die Notwendigkeit für ein effizientes Informationssicherheitssystem immer größer geworden, denn der Verlust oder Diebstahl von Daten kann weitreichende Konsequenzen haben.

Die internationale Norm ISO 27001 definiert die Anforderungen an ein Information Security Management System (ISMS). Auf Basis international erprobter „Best Practices“ definiert die Norm mögliche Risikobereiche und legt fest, ab wann ein solches System ausreichende Informationssicherheit gewährleistet. Betriebe und Institutionen können sich gemäß dieser Norm zertifizieren lassen, um intern Risiken zu minimieren und extern Kundenvertrauen zu maximieren.

Definition und Einsatzbereich der Norm

Bei ISO 27001 handelt es sich um eine von der Internationalen Organisation für Normung (ISO) sowie der Internationalen Elektrotechnischen Kommission (IEC) herausgegebene Norm. Aus diesem Grund wird sie alternativ auch als IEC 27001 bezeichnet. Auf deutscher Ebene wurde die Norm vom Deutschen Institut für Normung als DIN ISO/IEC 27001 übernommen. Alle drei Normen sind inhaltlich identisch.

ISO 27001 definiert nicht nur Standards und nötige Maßnahmen auf IT-Ebene, sondern legt beispielsweise auch organisatorische Strukturen sowie physische Sicherheitsmaßnahmen dar, die erfüllt werden müssen, um Informationssicherheit zu gewährleisten.

Der Standard definiert die Anforderungen an ein vertrauenswürdiges ISMS, unabhängig von der tatsächlichen Art des Unternehmens, das ein solches System implementiert. Dabei werden von der Planung über die Etablierung bis zur Verwendung und weiterführenden Verbesserung des Systems alle „Lebensabschnitte“ eines ISMS beleuchtet und entsprechende Best Practices zu deren Optimierung dargelegt. Das bedeutet auch, dass ein ISMS, das gemäß ISO 27001 aufgebaut wurde, regelmäßig auf seine Konformität mit dem Standard geprüft werden muss.

Philosophie und Herangehensweise

ISO 27001 ist eine risikobasierte Norm. Das bedeutet, dass das Dokument eine Reihe von möglichen Problemen sowie die zur Behebung dieser Probleme geeigneten Maßnahmen aufzeigt. Dementsprechend geht der Überprüfung (Audit) und Zertifizierung eines ISMS immer die Identifizierung und Bewertung von Risiken voraus. Das ist wichtig, da nicht alle im Standard beschriebenen Risiken auf jede Art von Unternehmen zutreffen und dementsprechend einige Maßnahmen gegebenenfalls gar nicht getroffen werden müssen.

Gleichzeitig kann durch die vorgeschaltete Risikobewertung verhindert werden, dass getroffene Maßnahmen nur punktuell angewendet werden. Bei ISMS, die nicht nach der Norm aufgebaut und geprüft werden, kann es etwa vorkommen, dass beim Auftreten eines Problems eine neue Sicherheitsregelung entworfen wird, die das spezifische Problem angeht, anstatt zunächst das zugrundeliegende Risiko zu identifizieren und eine umfassende Maßnahme zur Minimierung dieses Risikos zu etablieren. Die Anwendung der Maßnahmen in ISO 27001 verhindern also eine Überfrachtung durch zu viele zu spezifische Einzelregelungen.

Welchen Nutzen haben ISO 27001 / IEC 27001 für Unternehmen?

Bei ISO 27001 handelt es sich „nur“ um einen Standard – er ist prinzipiell nicht rechtlich verpflichtend (außer für Netzbetreiber) oder gar Voraussetzung für die Etablierung eines ISMS. Die zertifizierte Konformität mit den von ISO 27001 dargelegten Standards und Prozessen bietet jedoch für Unternehmen (bzw. Institutionen etc.) enorme Vorteile.

Intern: Verlässliche Informationssicherheit

Die Sicherheit von Daten ist für Unternehmen und Institutionen von extremer Wichtigkeit. Die international zusammengetragenen und geprüften Best Practices der ISO 27001 stellen dementsprechend einen getesteten und für gut befundenen Leitfaden für das Etablieren und Anwenden eines ISMS im eigenen Betrieb dar. Das gewährleistet gleich mehrere Vorteile:

  • Gemäß ISO 27001 werden die internen Prozesse regelmäßig geprüft und erneuert. So wird das ISMS zwangsläufig regelmäßig an die aktuellen Erfordernisse im Bereich Informationssicherheit angepasst.
  • Durch die Verwendung etablierter und geprüfter Prozesse / Strategien sparen sich Unternehmen Zeit und Geld für Trial-and-Error-Herangehensweisen.
  • Der Standard setzt intern eindeutige Ziele, die dadurch leichter fokussiert und erreicht werden können.
  • Eine erfolgreiche Zertifizierung gibt im Risikomanagement ein klares Signal, dass alle nötigen Basis-Maßnahmen getroffen wurden.  

Extern: Kundenvertrauen

Gegenüber Kunden, Partnern und anderen Unternehmen signalisiert eine Zertifizierung gemäß ISO 27001, dass das zertifizierte Unternehmen alle nötigen Schritte zur Informationssicherheit durchgeführt hat und dies durch einen externen Spezialisten garantiert wurde. Das sorgt einerseits für Vertrauen bei Bestandskunden und kann andererseits wichtig für das Zustandekommen von Aufträgen und Kooperationen sein. Auch bei öffentliche Ausschreibungen kann eine entsprechende Zertifizierung als Teilnahmebedingung vorausgesetzt werden.

Wer kann Zertifikate ausstellen?

Die Zertifizierung eines ISMS gemäß ISO 27001 wird von einem unabhängigen Auditor übernommen. Das können beispielsweise Einzelpersonen sein, die ihrerseits beispielsweise durch Stellen wie das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind. Typischerweise geschieht die Zertifizierung jedoch durch geprüfte Zertifizierungsstellen wie dem TÜV. Die Standardisierungsorganisationen ISO, IEC und DIN führen selbst keine Zertifizierungen aus.

ISO 27001 – effiziente Risikominimierung und Optimierung der Informationssicherheit

Aufgrund der vielen merklichen Vorteile durch die Umsetzung der Maßnahmen aus der internationalen Norm verzichten heute nur wenige Unternehmen willentlich darauf. ISO 27001 enthält wichtige und praxistaugliche Best Practices, die das Risiko von Datenlecks und vielen anderen kostspieligen Super-GAUs des Informationszeitalters effektiv minimieren. Wer also im Betrieb ein ISMS etablieren möchte, ist gut beraten, dieses nach den Vorgaben der Norm aufzubauen, anzuwenden und weiterzuentwickeln, selbst wenn eine explizite Zertifizierung für das Unternehmen nicht notwendig ist.

« Zurück zur Glossar-Übersicht
Share on linkedin
Share on twitter
Share on facebook

Sie haben Fragen?

Gerne können Sie mir uns zum Thema IT-Sicherheit und Enginsight kontaktieren.

hello@enginsight.com
+49 (0)3641 2714966

Enginsight Logo