ISO/IEC 27001 und ISO/IEC 27002
Die Basisnormen des Informationssicherheitsmanagements waren in die Jahre gekommen. Seit 2013 haben sich die Cybergefahren vervielfacht, sind die Anforderungen an den Datenschutz gewachsen und technische Entwicklungen wie das Cloud-Computing haben neue Herausforderungen gebracht. Bruno Tenhagen, freiberuflicher Trainer und langjähriger Lead Auditor für Informationssicherheit, erläutert im Interview mit qm-aktuell, welchen Nutzen die neuen Standards bringen und welchen Aufwand ihre Umsetzung erfordern.
qm-aktuell.de: Herr Tenhagen, seit einigen Monaten haben wir eine neue ISO/IEC 27002 – nun ist Ende November die Managementsystemnorm ISO/IEC 27001 hinterhergekommen. Wie ist das zu erklären?
Bruno Tenhagen: Ich sitze nicht im Normungsgremium und kann die Gründe nicht mit Sicherheit sagen. Aber inhaltlich erscheint mir diese Reihenfolge plausibel. Natürlich ist es sinnvoll, zuerst die Anforderungen zu formulieren, bevor man diese dann prüft. Die ISO/IEC 27002 ist eigentlich die Norm, welche konkrete Vorgaben macht, wie ein Informationssicherheits-Managementsystem umgesetzt werden kann, und die ISO/IEC 27001 beschreibt die konkreten Anforderungen, also letztlich die Dinge, die sich überprüfen lassen, um diese Umsetzung bewerten zu können.
qm-aktuell.de: Das heißt also: Die Managementsystemnorm selbst hat sich gar nicht so sehr verändert, sondern im Anhang stehen die neuen Anforderungen?
Bruno Tenhagen: Genau, in der ISO/IEC 27001 gibt es einige Veränderungen, die aber im Wesentlichen darauf hinauslaufen, dass der Fokus auf bestimmte Themen gelenkt werden soll. Es geht nicht so sehr um die Maßnahmen, die in der Norm beschrieben sind. Wir finden einige neue Aspekte, die aber bei genauerem Hinsehen so neu auch nicht sind. Zum Beispiel haben wir es mit einer Klarstellung hinsichtlich der Risikoanalyse zu tun. Man sollte nicht einfach alle Maßnahmen aus dem Anhang A abarbeiten und glauben, wenn man das alles umgesetzt hat, sei die Welt in Ordnung. Die Betonung liegt darauf, die Risiken aus der jeweiligen Unternehmensperspektive zu analysieren und zu gewichten. Es geht also darum, nicht schematisch zu arbeiten, sondern sich zu fragen: Was sind denn die Risiken, die mich als Unternehmen jetzt am stärksten betreffen. Auf dieser Grundlage soll das Unternehmen sich Maßnahmen überlegen – aus beliebiger Quelle. Aber man sollte zusätzlich auch den Anhang A heranziehen, um dadurch abzugleichen, ob nicht etwas Wichtiges übersehen wurde. Das war in der ISO 27001:2013 zwar auch schon so, aber in der Neufassung ist das noch einmal verdeutlicht worden.
qm-aktuell.de: Es gibt ja eine Grundtendenz der Weiterentwicklung der Systemstandards – weg vom Schematismus und hin zu einer sorgfältigen Prüfung, was aus der Situation des Unternehmens heraus sinnvoll und wichtig ist …
Bruno Tenhagen: Ich halte das auch für höchst wichtig, denn man sieht bis heute, dass die Unternehmen in dieser Beziehung zum Teil sehr schematisch vorgehen. Der Auditor kann dagegen nicht viel sagen, aber im Stillen denkt er sich oft: So richtig sinnvoll ist das nicht. Die neue ISO/IEC 27001 fordert klarer, dass dem Blick in den Normentext der Blick auf die Situation und die Bedürfnisse des Unternehmens vorausgehen muss, um dann in der Norm die geeigneten und wichtigen Anregungen zu finden.
qm-aktuell.de: Inhaltlich finden wir demnach die spannenden Neuerungen in der ISO/IEC 27002: Schaut man auf die Gliederung, dann sind in dem neuen Standard aus 114 Maßnahmen in 14 Bereichen 93 Maßnahmen in vier Bereichen geworden. Abgesehen von einer vielleicht überzeugenderen Systematik, was bringt es an neuem Nutzen?
Bruno Tenhagen: Die Maßnahmen sind dadurch geschrumpft, dass man bestimme Dinge zusammengeführt hat, inhaltlich ist da nichts verloren gegangen. Man teilt sie nun in bestimmte Zusammenhänge ein, man unterscheidet danach, was der Zweck einer Maßnahme ist und in welchem Kontext sie zu sehen ist – ist das mehr die organisatorische Sicht oder die HR-Sicht oder die physische Sicht oder die IT-Sicht. Dann spielt noch eine Rolle, ob Vertraulichkeit, Integrität oder Verfügbarkeit betroffen sind, ob die Maßnahmen präventiv sind oder reaktiv. Es gibt elf neue Maßnahmen, die in dieser Form im Standard aus dem Jahre 2013 noch nicht existierten. Threat Intelligence etwa – salopp formuliert heißt das: Augen und Ohren aufsperren, was um einen herum passiert; man sollte sich, woher auch immer, möglichst viele Informationen über Entwicklungen der Bedrohungslage beschaffen, die sich ja ständig verändert. Wir sehen in jüngster Zeit, dass die Cyberrisiken auch durch das Auftauchen staatlicher Akteure ständig größer werden.
qm-aktuell.de: Das bedeutet: Der neue Standard fokussiert also stärker auf Themen, die seit 2013 an Brisanz gewonnen haben. Dazu müsste dann auch die Problematik Datenschutz gehören, den die DSGVO für die Unternehmen zu einem kostenträchtigen Risiko gemacht hat.
Bruno Tenhagen: Datenschutz ist ein Thema, das durch europäisches Recht an Bedeutung gewonnen hat. Da geht es beispielsweise darum, dass Daten gelöscht werden müssen, sobald sie nicht mehr benötigt werden. Solche Anforderungen waren in einem ISMS eigentlich auch immer schon enthalten, aber sie waren nicht so genau benannt worden. Informationslöschung wird in Unternehmen gerne mal vergessen, denn Speicherplatz ist billig und es könnte ja sein, dass man die Daten später noch einmal braucht. Aber die Vorgaben der DSGVO sind eindeutig – die Löschung ist zwingend, sobald der Zweck entfällt oder nach einer bestimmten Frist. Alles andere kann sehr teuer werden. Ein anderer Aspekt ist das data masking, die Anonymisierung von Daten. Wenn man z. B. Testdaten benötigt, sollen diese natürlich den späteren echten Daten entsprechen; aber dabei muss man halt aufpassen, dass keine Rückschlüsse auf persönliche Daten möglich sind. Dafür gibt es Anonymisierungstechniken, aber entscheidend ist, dass man diese nicht nur vorhält, sondern dass es auch Prozesse gibt, die zu ihrem Einsatz auffordern bzw. ihn sogar erzwingen. Schließlich geht der neue Standard auch stärker auf technische Entwicklungen ein, die 2013 noch keine so große Rolle gespielt haben – beispielsweise das Cloud Computing. Auch dazu gibt es ein neues Control. Ein Unternehmen, das Cloud Services verwendet, muss sich dazu auch Informationssicherheitsgedanken machen und Maßnahmen und Prozesse entwickeln, die den spezifischen Risiken entgegenwirken. Es ist schön, die Daten in der Cloud zu haben – aber wenn ich nicht mehr weiß, wo genau – wenn die Cloud vielleicht nicht mehr in der EU angesiedelt ist, sondern in einem Land, wo Datenschutz keine große Rolle spielt, habe ich womöglich ein Problem.
qm-aktuell.de: Was bedeutet das alles für ein Unternehmen, das sich in näherer Zukunft um seine Rezertifizierung kümmern muss oder gar sich erstmals um ein Zertifikat bemüht? Ist das schwieriger geworden? Ist der Aufwand dafür gewachsen?
Bruno Tenhagen: Es gibt vom International Accreditation Forum (IAF) eine Übergangsrichtline, die genau die Schritte beschreibt, sie ist frei im Internet verfügbar. Die Übergangsfrist beträgt 36 Monate – bis dahin kann noch nach dem bisherigen Standard zertifiziert werden, was wichtig ist für Unternehmen, die vor einer Rezertifizierung stehen. Wer ganz neu anfängt, tut natürlich gut daran, sich sofort an den neuen Standards zu orientieren. Die Fristen, die den Akkreditierungseinrichtungen und den Zertifizierungsunternehmen gesetzt werden, sind sehr knapp bemessen, sodass schon im Lauf des kommenden Jahres Zertifizierungsmöglichkeiten nach dem neuen Standard bestehen werden. Man kann also niemandem raten, bei einer Neuzertifizierung noch mit den alten Standards zu arbeiten. Lieber gleich die Änderungen vornehmen! So viel ist das nicht. Vielleicht noch interessant für die Umstellung: In der ISO/IEC 27002 gibt es im Anhang B noch eine Mapping-Tabelle, die sehr schön zeigt, wie man die alten Controls auf die neuen abbildet.
qm-aktuell.de: Wer sich auf die Rezertifizierung vorbereitet, sollte sich dann als erstes diese Überleitungshilfe vornehmen?
Bruno Tenhagen: Diese kann man als Vorlage nehmen. Vor allem aber muss man sich unbedingt anschauen: Habe ich meine Risikoanalyse so gemacht, wie das der Standard eigentlich fordert, nämlich von den wirklichen Unternehmensrisiken ausgehend – oder habe ich nur die Punkte des Anhang A abgehakt? Für manchen bedeutet das eine kleine Gewissenserforschung, denn schematisches Entlanghangeln am Normentext ist nicht der richtige Weg. Wenn die Risikoanalyse beim letzten Mal grenzwertig war, wird ein gewisser Arbeitsaufwand fällig. Dann muss man sich nochmal neu hinsetzen, wobei eine veränderte Risikobewertung Weiterungen haben kann, weil die Risikobehandlung komplett geändert werden muss. Das ist aber dann ein Aufwand, der ohnehin dringend notwendig war, mit dem man nicht hadern sollte.
qm-aktuell.de: Kann man sagen: Wer in der Vergangenheit gewissenhaft gearbeitet hat, wird nicht sehr viel Umstellungsaufwand haben?
Bruno Tenhagen: Das ist richtig! Was auf jeden Fall geändert werden muss, ist das für die Zertifizierung wichtige Statement of Applicability (SoA), in dem die Maßnahmen zur Behandlung von Risiken aufzulisten und zu beschreiben sind. In diesem Zusammenhang bleibt auch der Anhang A der ISO/IEC 27001 „normativ“, alle darin enthaltenden Anforderungen müssen ebenfalls zumindest betrachtet, ggf. auch bearbeitet werden. Wenn die darin genannten Anforderungen nicht zum Unternehmen passen, muss lediglich begründet werden, warum sie nicht behandelt werden. Wichtig ist auf jeden Fall, dass diejenigen Risiken, die aufgrund der eigenen Risikoanalyse gefunden wurden, mit wirksamen Maßnahmen zu verbinden sind. Das erfordert ein wenig Arbeit. In einem gut aufgestellten Unternehmen sollte das trotzdem in relativ kurzer Zeit erledigt sein.