Rüdiger Giebichenstein und Carsten Schirp in der aktuellen

108
BEITRÄGE COMPLIANCE MANAGEMENT
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und
praktische Umsetzung der ISO 27001 für Unternehmen
CB-BEITRAG
Dipl.-Wirtschaftsinformatiker Rüdiger Giebichenstein und Dipl.-Ing. Carsten Alexander Schirp
Step-by-step: Vorgehensweise und praktische
Umsetzung der ISO 27001 für Unternehmen
– IT-Sicherheitsgesetz (IT-SiG) und Sicherheitskatalog gem. § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) –
Der folgende Beitrag führt Schritt für Schritt aus, wie eine Umsetzung der ISO/IEC 27001 für das Management von Informationssicherheit geplant werden sollte. Er zeigt auf, welche Rand- und Rahmenbedingungen
dabei zu beachten sind und liefert praktische Hinweise für einen nachhaltigen und effizienten Projekterfolg.
Es werden Hintergründe zum IT-Sicherheitsgesetz (IT-SiG) und Energiewirtschaftsgesetz (EnWG) in den Fokus der Betrachtungen gerückt und eine allgemeingültige Vorgehensweise zur Implementierung eines ISMS
betrachtet. Dabei können auch spezifische Aspekte des IT-SiG oder EnWG und ergänzende Vorgaben aus
anderen rechtlich-regulatorischen Bereichen und Branchen miteinbezogen werden. Der Beitrag vertieft den
bereits im Artikel „Praktische Umsetzung der ISO 27001 im Rahmen von IT-SiG und Sicherheitskatalog gem.
§ 11 Abs. 1a EnWG“ (CB 3/2015) kurz vorgestellten Ansatz zur Umsetzung der ISO/IEC 27001.
Einführung
Für Unternehmen gibt es vielfältige Motive, sich mit einer Ausrichtung
oder sogar Zertifizierung nach der ISO/IEC 27001:2013 (Vollständiger Titel: ISO/IEC 27001:2013 – Information technology -- Security
techniques -- Information security management systems -- Requirements“) (im Folgenden ISO 27001) zu beschäftigen. Die Gesetzgebung sendet durch das IT-SiG und EnWG eindeutige Signale, welchen
Stellenwert derzeit das Thema IT-Sicherheit einnimmt. Zusätzlich
sind aus Sicht mit IT-nahen Dienstleistungen befasster Unternehmen
die Wettbewerbsfähigkeit und Kundenorientierung weitere Treiber. In
stark regulierten Branchen wie dem Finanzsektor stehen neben den
gesetzlichen auch aufsichtsbehördliche Aspekte im Vordergrund.
Die Industrie hingegen ist auf den Schutz ihres Know-hows angewiesen.
Die Bundesregierung hat sich daher deutlichen Handlungsbedarf im
Bereich der sog. Cybersicherheit in ihre digitale Agenda geschrieben
und will kritische Infrastrukturen besser vor Cyberangriffen schützen.
„Kritische Infrastrukturen sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Ausfall dramatische
Folgen haben könnte“ (vgl. Digitale Agenda – Bundesministerium des
Innern (BMI)). Die Bundesregierung geht mit diesen Plänen offensiv
auf die Wirtschaft zu. Sie verfolgt das Ziel, Deutschland als einen der
weltweit sichersten digitalen Standorte zu etablieren.
Die Ausgestaltung der Sicherheitsanforderungen, -audits, -prüfungen
und Zertifizierungen soll allerdings nicht im Detail gesetzlich vorgegeben werden. Weil der Gesetzgeber im IT-SiG bewusst nicht alle
technischen Gegebenheiten berücksichtigen kann, sollen branchenspezifische Mindeststandards (wie z. B. das EnWG) erhalten bleiben
oder weiterentwickelt werden.
Compliance-Berater | 4/2015 | 7.4.2015
Nicht nur die Dienstleister und Unternehmen aus den vom IT-SiG unmittelbar betroffenen Branchen müssen sich mit ihrer IT-Sicherheit
beschäftigen. Auch ein Schutz der gesamten Lieferkette ist notwendig. Daraus folgt, dass auch für Unternehmen, die nicht den kritischen Infrastrukturen zugeordnet sind, eine Verpflichtung zum Aufbau und Betrieb eines Informationssicherheitsmanagementsystems
(ISMS) erwachsen kann. Wenn bspw. ein externer IT-Dienstleister
Kunden besitzt, die dem IT-SiG unterliegen, kann er ebenfalls auf die
Einhaltung verpflichtet werden. Es empfiehlt sich daher, die Konkretisierung zum IT-SiG und EnWG aufmerksam zu verfolgen und bei sich
konkretisierenden Anforderungen frühzeitig die notwendigen Vorbereitungen für eine ISMS-Implementierung einzuleiten (vgl. Giebichenstein/Schirp, „Neues IT-SiG und EnWG“, CB 3/2015).
Grundlegende Vorüberlegungen zum Aufbau eines
ISMS
Für die ISMS-Implementierung ist es wichtig, im Vorfeld wesentliche Rand- und Rahmenbedingungen zu betrachten. Fehler in den
Vorbereitungen können am Ende des Projekts nur mit erheblichen
Zusatzaufwänden und Anstrengungen wieder behoben werden. Im
Folgenden werden wichtige Rand- und Rahmenbedingungen für eine
erfolgreiche Implementierung beschrieben.
Die Auswahl geeigneter Mitarbeiter
Die Qualität eines ISMS wird in hohem Maße durch die mitwirkenden Personen beeinflusst. Daher sollte auf die Auswahl geeigneter
Kandidaten, welche die Rollen und Verantwortlichkeiten bekleiden,
großen Wert gelegt werden. Das Management beschreibt die Rollen
BEITRÄGE COMPLIANCE MANAGEMENT
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und
praktische Umsetzung der ISO 27001 für Unternehmen
entsprechend ihrer Aufgaben und Befugnisse und etabliert sie innerhalb der Organisation. Optimalerweise werden bereits während der
Vorüberlegung geeignete Mitarbeiter mit entsprechender Qualifikation identifiziert. Diese sind sowohl in der Vorbereitung, als auch im
späteren Projektverlauf und im Regelbetrieb für das ISMS mitverantwortlich.
Der Mitarbeiter kann hierdurch sein Wissen mittels Training-on-theJob vertiefen und auf diese Weise im späteren Regelbetrieb eine größere operative Sicherheit erreichen.
Die Auswahl der geeigneten Mitarbeiter ist ein herausfordernder Prozess. Falls sich keine geeigneten Kandidaten in der eigenen Organisation identifizieren lassen, müssen ggf. externe Ressourcen hinzugezogen werden.
Die optimalen Qualifikationen umfassen dabei u. a. Kenntnisse des
Projektmanagements, Experten-Know-how in den relevanten Regelwerken und Standards, Kommunikationsstärke und Wissen um die
rechtlich-regulatorischen Kernanforderungen des Unternehmens.
Weitere wichtige Eigenschaften sind technisches Verständnis sowie
Erfahrung in der Gestaltung und Steuerung von Prozessen.
Rückhalt im Management
Ein offizielles und nachhaltiges Management Committment ist von
essentieller Bedeutung, damit die ISMS-Implementierung möglichst
reibungslos erfolgt (u. a. Qualität, Zeit, Budget).
Die Herausforderungen eines Projektantrags liegen neben einer Beschreibung der Ziele in einer ersten Abschätzung der Zeitplanung und
der personellen sowie monetären Ressourcen unter Berücksichtigung eines ersten groben Scopes, in dem das ISMS künftig betrieben
werden soll. Gegebenenfalls ist auch der Einsatz externer Experten
notwendig. Das Management muss weiterhin mit potentiell betroffenen Bereichen die Planungen abstimmen.
Self-Assessment durch Standardfragebogen und GAP-Analyse
Um Rahmenparameter valide einschätzen zu können, hat sich die
Ermittlung des Status Quo i. V. m. einer sog. „Gap-Analyse“ als
„Best-Practice“ bewährt. Innerhalb eines Vorprojektes wird dafür der
personelle, prozessuale und organisatorische „Reifegrad“ des Unternehmens möglichst objektiv erhoben und bewertet. Dies geschieht
mithilfe standardisierter Fragebögen, welche auf ISO-Standards,
Best-Practices, rechtlich-regulatorischen und technisch-organisatorischen Anforderungen basieren.
Abbildung 1: Vorgehensweise zur Gap-Analyse
109
Vorgehensmodell zur Implementierung eines ISMS
Auf Grundlage des ermittelten Status Quo (Ergebnis des Self-Assessments bzw. der GAP-Analyse) kann mit den Detailplanungen für das
ISMS-Projekt begonnen werden. Die erforderlichen Schritte werden
anhand des Phasenmodells zur ISMS-Implementierung beispielhaft
aufgezeigt. Es ist in fünf aufeinander aufbauende Phasen gegliedert.
Hieraus können Arbeitspakete und eine dedizierte Planung sowie
Steuerung abgeleitet werden (siehe Abbildung 2).
1
Phase 1 – Kontext der Organisation und Geltungsbereich des ISMS (Scope) festlegen
Im ersten Schritt wird der eigene Kontext der Organisation analysiert, in der das ISMS betrieben werden soll. Dies geschieht zielführend auch anhand einer Checkliste. Die Themen zur Checkliste
liefert Kap. 4 der ISO 27001, welches konkretisierend dann auf ISO
31000:2009, Kap. 5.3.1 verweist. Die zu untersuchenden Punkte
werden z. B. mittels Interviews oder Workshops zusammengetragen.
Dabei müssen insbesondere auch die rechtlichen und vertraglichen
Anforderungen beachtet werden. Auch die Schnittstellen zu externen beteiligten Parteien müssen berücksichtigt werden. Zu diesen
externen Parteien zählen u. a. Kunden, Dienstleister, Lieferanten und
Behörden.
Exkurs: Schnittstellen
Schnittstellen sind diejenigen Verbindungen, an denen ein Informationsaustausch stattfindet. Sie müssen „gemanaged“ werden.
Dies geschieht organisatorisch mittels SLA, OLA, LOI oder einer
sonstigen adäquaten verbindlichen Regelung. Das gilt für ALLE
Schnittstellen, egal ob diese unternehmensintern (z. B. zu HR)
oder extern (z. B. zu IT-Dienstleistern) ausgerichtet ist. Die ISO
27001 unterscheidet deren Behandlung formal gesehen nicht.
Die aus der Kontextbetrachtung gewonnenen Erkenntnisse bilden die
Grundlage für die nachfolgenden Überlegungen zur Ermittlung des
Geltungsbereichs (Scope). Damit dieser Norm-konform ist, erfordert
es eine umfassende Ermittlung und Beurteilung der äußeren und
inneren Rahmenbedingungen. Reine Einschätzungen des Unternehmens reichen nicht aus.
Es hat sich bewährt, anhand einer strukturierten Liste mit u. a. folgenden relevanten Punkten vorzugehen:
– Welche Organisationseinheiten im Unternehmen sollen vom
ISMS künftig abgedeckt werden und welche nicht (Grenzen)?
– Welches sind die (informationsverarbeitenden) Prozesse und die
dazu gehörigen Datenflüsse? Wo liegen diese?
– Welche externen Parteien („Dritte“) sind zu berücksichtigen (Kunden, Mitarbeiter, Dienstleister, Lieferanten, Behörden, …)?
– Welche expliziten und impliziten Anforderungen und Erwartungen
stellen diese „Dritten“ an die Organisation bzw. das ISMS?
– Welche externen Einflussfaktoren (u. a. rechtlich-regulatorische
Vorgaben, Wettbewerbssituation, Marktstellung, Branchenspezifika) sind zu berücksichtigen?
Ein integriertes und aufeinander abgestimmtes Dokumentationsrahmenwerk sollte schon frühzeitig geplant und erstellt werden. Die
Dokumentationsregeln müssen Anforderungen an die Prozesse zur
Erstellung, Veröffentlichung, Speicherung, Änderung, Versionierung
und Entsorgung erfüllen (Revisionssicherheit). Überwiegend werden
Compliance-Berater | 4/2015 | 7.4.2015
110
BEITRÄGE COMPLIANCE MANAGEMENT
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und
praktische Umsetzung der ISO 27001 für Unternehmen
Abbildung 2: Phasenmodell zur ISMS-Implementierung
dafür einfache Content Management Systeme wie WIKIs oder strukturierte Dateiablagen genutzt.
An der Spitze der Dokumentation steht die Leitlinie der Informationssicherheit. Diese ist ein Pflichtbestandteil des ISMS mit folgenden
Inhalten:
– Benennung der Sicherheitsziele bzw. einer Methodik, um diese
zu definieren
– Definition, Festschreibung, Messung und Planung von Sicherheitszielen
– die Selbstverpflichtung zur Herstellung von Informationssicherheit im Unternehmen
– die Selbstverpflichtung zur kontinuierlichen Verbesserung des
ISMS (KVP).
Ein Richtlinienrahmenwerk wird optimalerweise schon von Anfang an
mit aufgebaut. Im Rahmen der weiteren Phasen wird es kontinuierlich konkretisiert. Die hierfür relevanten und aufzunehmenden Inhalte
können in Form eines übergeordneten Rahmenwerks alle Richtlinien
abbilden. So können verschiedene aus der Norm geforderte Inhalte
strukturiert und in übergreifenden Dokumenten thematisch abgebildet werden. Ein Beispiel könnte wie folgt aussehen:
Abbildung 3: Struktur eines Rahmenwerks
vorzuhalten. Dies gilt insbesondere im Falle einer angestrebten Zertifizierung. Eine Auflistung aller zusätzlich für die Zertifizierung notwendigen Pflichtdokumente samt Erläuterungen lässt sich aus der
ISO ableiten.
Das neu aufgenommene Kapitel „Führung“ im Standard stellt die
Verantwortung des Managements im ISMS deutlich heraus. Dazu
werden die Verantwortlichkeiten mittels dedizierter Aufgaben konkretisiert. Praktisch ist zu beachten, dass das „zum ISMS passende Management“ mit ins Boot geholt werden muss (dies muss nicht
zwingend die Geschäftsleitung/der Vorstand sein). Die ergänzend
erforderlichen Festlegungen von Rollen und Verantwortlichen sowie
Ressourcen sind hier ebenfalls festgeschrieben.
2
Phase 2 – Schutzbedürftige Informationen und Assets
identifizieren
Im zweiten operativen Schritt werden die schutzbedürftigen Geschäftsinformationen (primäre Assets) und die zugehörigen sekundären Assets erfasst. Zu den sekundären Assets zählen die informationsverarbeitenden IT-Anwendungen, Server- und Speichersysteme,
Netzwerke und infrastrukturelle Einrichtungen sowie Arbeitsmittel
oder auch Mitarbeiterrollen. Mittels einfacher Anwendungen (z. B.
Exceltools) kann eine Wirkungskette für jedes Asset zusammengestellt und dokumentiert werden. Welche Geschäftsinformationen
im definiertem Scope der Organisation von Bedeutung sind, ergibt
sich durch Interviews mit den verantwortlichen Leitungsebenen.
Nachfolgend ist der Aufbau eines Assetregisters exemplarisch dargestellt.
Abbildung 4: Aufbau eines Assetregisters
Weiterhin sind das prägnante und kurz formulierte „Scope Statement“ sowie die nachvollziehbaren Informationen zu seiner Ermittlung
Compliance-Berater | 4/2015 | 7.4.2015
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und
praktische Umsetzung der ISO 27001 für Unternehmen
Als verbindendes Strukturelement erfolgt die Zuordnung der sekundären Assets zu den primären Assets. Die Zielsetzung ist hier eine
Identifizierung mit Bewertung der Risiken für die Assets im Rahmen
der Schutzbedarfs- und Risikoanalyse vorzubereiten.
Eine Inventarisierung in einem Assetregister fungiert dabei als dokumentarisches Bindeglied zwischen dem gewählten Scope, den Geschäftsprozessen mit den schutzbedürftigen Informationen und der
Anwendung entsprechender Schutzmaßnahmen aus dem Annex A im
Risikomanagement.
3
BEITRÄGE COMPLIANCE MANAGEMENT
111
Abbildung 5: Beispiel einer BIA Referenztabelle
Phase 3 – Schutzbedarfs- und Risikoanalyse
durchführen
Exkurs: Risiko, Risikoanalyse & -management
Unter einem Risiko versteht man den zu erwartenden Schaden bei
Eintritt eines bestimmten Ereignisses. Um diesen Wert zu ermitteln, muss dafür die Eintrittswahrscheinlichkeit mit der maximalen
Schadenshöhe multipliziert werden.
Die Risikoanalyse beinhaltet die Identifizierung von potentiell bedrohlichen Ereignissen sowie deren Bewertung hinsichtlich ihrer
Eintrittswahrscheinlichkeit und Schadenspotentiale.
Das Risikomanagement umfasst den planvollen Umgang mit Risiken. Es werden anhand der Bewertungen Abwägungen getroffen,
ob und in welchem Umfang Gegenmaßnahmen getroffen oder Risiken akzeptiert werden.
Um zu bestimmen, welches Schutzniveau für einen bestimmten Geschäftsprozess inklusive seiner zugehörigen IT-Services und sekundären Assets angemessen ist, müssen Prozesse und Assets zunächst
bewertet werden. Ein anerkanntes Instrument hierfür ist die Business
Impact Analyse (BIA) (vgl. BSI-Standard 100-4: Notfallmanagement).
Sie beinhaltet in der Praxis ein strukturiertes Interview auf Basis eines
standardisierten und strukturierten Fragenkataloges, welches mit
den vom Scope eingeschlossenen Fachbereichen geführt wird.
Die Zielsetzung der BIA ist, die maximale Schadenshöhe durch Verletzungen der Schutzziele der Informationssicherheit innerhalb der
einzelnen Geschäftsprozesse aus fachlicher Sicht zu identifizieren.
Gleichzeitig wird auch die allgemeine Risikotoleranz ermittelt. Daraus
können später die individuellen Schutzbedarfsanforderungen abgeleitet werden.
Als strukturelles Hilfsmittel zur Einstufung in der BIA können die folgenden Kategorien genutzt werden:
– Finanzielle Auswirkungen
– Compliance-Auswirkungen
– Operative Auswirkungen
– Außen- und Innenwirkung
Die Schadenspotentiale müssen für jedes der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) konkretisiert werden. Bei der Beantwortung des Fragebogens werden die Schadenspotentiale in Kategorien eingeteilt. Hierbei gilt es darauf zu achten, dass mit wenigen
unternehmensindividuellen Kategorien gearbeitet wird. Ein Beispiel
sieht folgendermaßen aus:
– A – kritisch
ab 1 Mio. Euro
– B – hoch
500 000 Euro bis 1 Mio. Euro
– C – mittel
100 000 Euro bis 500 000 Euro
– D – niedrig
bis 100 000 Euro
Gefährdungsanalyse
Eine strukturierte Gefährdungsanalyse ermöglicht eine umfassende
Sicht auf Bedrohungen und Schwachstellen (in Kombination als Gefährdungen bezeichnet) von Assets und deren Eintrittswahrscheinlichkeit. Ausgewählte Bedrohungen und Schwachstellen werden zu
Gefährdungen zusammengeführt, um eine vereinfachte Bewertungsmöglichkeit zu schaffen. Eine umfangreiche Gefährdungsliste liefert
bspw. das BSI (vgl. BSI-Gefährdungskataloge) oder die ISO 27005.
Bei der Beurteilung der Gefährdungen hinsichtlich ihrer Eintrittswahrscheinlichkeit sollen bereits vorhandene oder geplante Maßnahmen
berücksichtigt werden. Für eine fundierte Gefährdungsanalyse empfiehlt es sich, diese im Rahmen einer Expertenrunde durchzuführen,
um die Fragestellung durch auskunftsfähige Experten klären zu können.
Abbildung 6: Gefährdungskategorien
Die ermittelten und bewerteten Gefährdungen werden während eines Interviews am besten in einer Tabellenstruktur dokumentiert. Die
eigentliche Risikobeurteilung kommt hierbei derart zu Stande, dass
die durch die BIA ermittelten Schadensauswirkungen je Geschäftsprozess nun mit der ermittelten Eintrittswahrscheinlichkeit einer Gefährdung zusammengeführt werden, was dann ein bewertetes Risiko
als Ergebnis liefert. Damit ist die Risikobewertung erfolgt und der
Stand der Maßnahmen ermittelt. Fehlende, unvollständig oder unzureichend implementierte Maßnahmen können somit als Abweichungen bestimmt werden.
Compliance-Berater | 4/2015 | 7.4.2015
112
BEITRÄGE COMPLIANCE MANAGEMENT
Abbildung 7: Klassen-Eintrittswahrscheinlichkeit
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und
praktische Umsetzung der ISO 27001 für Unternehmen
Zeitgleich müssen die Monitoring- und Reportingprozesse etabliert
sowie entsprechende Kennzahlen (KPI) entwickelt werden. Messund Kontrollpunkte sind zu aktivieren, welche zur Überprüfung der
ISMS-Performance und Wirksamkeit herangezogen werden sollen.
Eventuelle Dienstleister (externe Parteien) sind hierbei ebenfalls mit
zu berücksichtigen.
5
Aus den ermittelten Werten für Ausmaß und Eintrittswahrscheinlichkeit ergibt sich eine Einordnung in Form einer Matrix, der sog. Risikomatrix. Wenn dies für jede relevante Gefährdung erfolgt ist, ist die Risikoanalyse abgeschlossen. Anhand der Liste können die bewerteten
Risiken priorisiert werden und ein Risiko-Owner festgelegt werden,
der sich u. a. um die Behandlung kümmert.
4
Phase 4 – Maßnahmen zur Risikobehandlung
ermitteln und etablieren
Exkurs: Annex A
Im Anhang A der ISO 27001 befindet sich eine umfangreiche, aber
nicht erschöpfende Auflistung möglicher Maßnahmenziele und zugehöriger Maßnahmen. Die ISO 27002 enthält konkrete Ratschläge zur Anwendung und Implementierung.
Im Anschluss an die Risikoanalyse wird festgelegt, wie diese Risiken
behandelt werden sollen. Es erfolgt die Zuordnung der Maßnahmen
aus dem Annex A oder aus weiteren Maßnahmenkatalogen für jede
Gefährdung (1:n Beziehung von Gefährdungen zu Maßnahmen).
Es entsteht somit ein Risikobehandlungsplan. Dieser umfasst die
noch zu erledigenden Maßnahmen, um das ISMS zu etablieren.
Jede Maßnahme wird dann i. S. e. Projektierung priorisiert, ausgearbeitet und einem Verantwortlichen zur Umsetzung (z. B. RisikoOwner) übertragen. Dieser steuert und überwacht die Durchführung
bis zur Fertigstellung.
Bei den Maßnahmen ist aus praktischer Sicht zu berücksichtigen,
dass neben der inhaltlichen Planung einer Maßnahme auch Randbedingungen wie Wirtschaftlichkeit, Unternehmenskultur usw. zu
beachten sind. Weiterhin sollten die die Maßnahme umsetzenden
Personen sich den entsprechenden Rückhalt und die Mittel beim Management zusichern lassen. Überdies sollten auch diejenigen Mitarbeiter in die Planung einbezogen werden, die später im Regelbetrieb
z. B. Kontrollhandlungen im Rahmen der Maßnahmen durchführen
müssen.
Mit der Umsetzung der Maßnahmen aus der Schutzbedarfs- und Risikoanalyse kann auch das für eine Zertifizierung erforderliche Statement of Applicability (SOA) fertiggestellt werden.
Spätestens während der Überführung in den Regelbetrieb sollten
ebenfalls die abschließend erforderlichen Kommunikations-, Trainings- und Awareness-Maßnahmen geplant und sukzessive umgesetzt werden. Alle im ISMS agierenden Mitarbeiter können so ihre
Aufgaben besser verstehen und i. S. d. Vorgaben ausführen.
Compliance-Berater | 4/2015 | 7.4.2015
Phase 5 – ISMS messen, steuern und
Verbesserungen durchführen
In der letzten Phase wird davon ausgegangen, dass die Umsetzung
der Maßnahmen und die steuernden ISMS-Prozesse weitgehend
eingeführt sind und sich bereits in der Stabilisierungsphase befinden.
Weiterhin sind nun regelmäßig Auditaktivitäten durchzuführen,
die sowohl interne präventive Überprüfungen, als auch Audits von
Dienstleistern und Lieferanten umfassen. Ggf. müssen dafür die
Dienstleister- und Lieferantenverträge angepasst werden.
Es werden nun auch Sicherheitsvorfälle gemeldet und analysiert sowie Service-Level-Reports, Berichte der Revision oder anderer Externer Prüfer erstellt und ausgewertet.
Allen diesen Aktivitäten ist aus dem ISMS heraus gemein, dass diese
Anhaltspunkte für potentielle Abweichungen im ISMS zu identifizieren
helfen. Diese sind sodann aus Risikosicht zu bewerten und mit Maßnahmen zur Verbesserung zu hinterlegen, die geeignet sind, Abweichungen zu korrigieren. Dies ist eine unmittelbare Voraussetzung für
den kontinuierlichen Verbesserungsprozesses (KVP). Ein für den KVP
auch im Kontext des ISMS anerkannter und bewährter Prozess ist der
Deming-Cyle (mit den Phasen: Plan, Do Check, Act, kurz auch PDCAZyklus), der seitens der ISO hier methodisch herangezogen wird. Aus
der Praxiserfahrung sei angemerkt, dass ein Zertifizierer i. d. R. nicht
erwartet, dass alle initial ermittelten Maßnahmen zu einer Erstzertifizierung bereits zu 100 Prozent umgesetzt worden sind. Jedoch sind
ausstehende Arbeiten nachvollziehbar zu steuern, und es sollten sich
darunter keine signifikanten Maßnahmen befinden, die Zweifel an der
systemischen Funktionsfähigkeit des ISMS aufkommen lassen (z. B.
fehlender/nicht angewendeter Prozess zum Risikomanagement).
Die Dokumentationslage (z. B. Richtlinien, Verfahrensanweisungen,
Nachweise durchgeführter Kontrollhandlungen, etc.) wird im Rahmen
der Nachvollziehbarkeit das Mittel sein, welches gegenüber dem
Zertifizierer oder anderen Parteien die Basis für die Bewertung der
Funktionsfähigkeit eines ISMS bildet – weshalb es sich empfiehlt,
auch bei den Dokumentationsprozessen hohe Qualitätsansprüche zu
formulieren und umzusetzen.
Projektdauer bis zur Zertifizierung
Eine häufig gestellte praktische Frage ist die nach der Dauer eines
ISMS-Einführungsprojektes. Diese Frage ist naturgemäß nicht eindeutig zu beantworten und hängt von einer Reihe zumeist unternehmensspezifischer Rahmenparametern ab. Diese umfassen typischerweise
Aspekte wie den aktuellen Reifegrad von Prozessen und Dokumentationen im Unternehmen bis zur allgemeinen Unternehmenskultur
in Sachen Sicherheitsbewusstsein, Compliance-konformen Verhalten
oder dem sog. „Tone at the Top“. Auch die Branche und das damit
verbundene rechtlich-regulatorische Umfeld haben Einfluss, da z. B.
Banken (in einer hoch regulierten Branche) in der Compliance-Kultur
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und
praktische Umsetzung der ISO 27001 für Unternehmen
weit fortgeschritten sind im Vergleich zu anderen Branchen. Abschließend hat sich in der Praxis gezeigt, dass mit Beginn eines ISMSProjektes mindestens zwölf Monate, je nach Größe und Komplexität
der Organisation aber auch 18–24 Monate, zu Grunde zu legen sind.
Eine praktische Stabilisierungsphase, in der der Regelbetrieb läuft,
Nachweise generiert und Feinjustierungen am Ablauf erfolgen, sollte
dabei ggf. zusätzlich berücksichtigt werden. Dies ist vor dem Hintergrund wichtig, dass es Maßnahmen bzw. Kontrollen aus dem Annex A
gibt, deren Frequenz z. B. eine jährliche Durchführung vorsieht (u. a.
Testing von Notfallplänen nach A.17.1.3, sowie Überprüfung, Überarbeitung und Auswertung der Kontinuität der Informationssicherheit).
Diese sind häufig in einer Stabilisierungsphase von z. B. drei Monaten
nicht durchführbar.
BEITRÄGE COMPLIANCE MANAGEMENT
113
Um ein ISMS erfolgreich und effektiv zu implementieren, müssen
verschiedene Herausforderungen gemeistert werden. Der Artikel
soll einen Leitfaden vorgeben, anhand dessen sich Umsetzungsverantwortliche orientieren können, um diesen Herausforderungen
zu begegnen. Das Element der vorgeschalteten Gap-Analyse hat
sich nachhaltig bewährt, um auf Basis des Status Quo eine Standortbestimmung durchzuführen und die Projektfeinplanung auf eine
valide Basis zu stellen. Für die Umsetzung empfiehlt sich die Vorgehensweise gemäß dem vorgestellten Phasenmodell, aus dem sich
Arbeitsschritte und Arbeitspakete ableiten lassen. Die Zielsetzungen
und wesentlichen Aufgaben innerhalb der Arbeitspakete sind in den
einzelnen Phasen zusammengestellt. In jedem Falle ist es für die Projektverantwortlichen sehr wichtig, sich mit den genannten Standards
eingehend zu beschäftigen, um den komplexen Sachverhalt zu strukturieren und zu vertiefen.
Berücksichtigung von Branchenspezifika am Beispiel
des Energiesektors
AUTOREN
Da die ISO 27001 für Organisationen jeder Art und Größe anwendbar
ist (vgl. ISO/IEC 27001:2013 Kap. 1), sind branchenspezifische Vorgaben daher prinzipiell höher zu priorisieren, da sie individuelle Gegebenheiten und Voraussetzungen betrachten. Zudem unterscheiden
sich bspw. die Sicherheitsanforderungen des Energiesektors fundamental von denen anderer Branchen. Speziell bei den Steuerungsnetzen steht die Verfügbarkeit der IT-Service an oberster Stelle, um die
Stromversorgung zu gewährleisten.
In der ISO 27001 ist explizit vorgesehen, dass erforderliche Schutzmaßnahmen neben dem mitgelieferten Annex A auch explizit aus
anderen Quellen verwendet werden dürfen. Dieses eröffnet die Möglichkeit, die erforderlichen branchenspezifischen Standards und Regelungen im Kontext des ISMS entsprechend mitzuberücksichtigen.
Auch bei einer Zertifizierung (siehe ISO 27001, Kap. 6.1.3 b) können
Maßnahmen nach Bedarf gestaltet oder vorgefertigte Maßnahmen
aus anderen Quellen gewählt werden.
Folglich können in der Praxis über diesen Weg die vorgeschlagenen
Empfehlungen und Maßnahmen aus der DIN SPEC 27019 (DIN SPEC
27019 – Informationstechnik – Sicherheitsverfahren – Leitfaden für
das Informationssicherheitsmanagement von Steuerungssystemen
der Energieversorgung) im ISMS ergänzend berücksichtigt werden,
sollten aber im Rahmen des Risikobehandlungsplans dann mit einer
Quellenangabe gekennzeichnet werden, um die Nachvollziehbarkeit
zu gewährleisten.
Fazit
IT-SiG und der Sicherheitskatalog gem. § 11 Abs. 1a EnWG erfordern
kurzfristigen Handlungsbedarf in den betroffenen Unternehmen. Die
praktische Antwort auf die rechtlich-regulatorischen Vorgaben und
Anforderungen ist die Einführung eines ISMS.
Rüdiger Giebichenstein, Dipl.-Wirtschaftsinformatiker, ist Partner bei der
WTS Consulting GmbH und Steuerberatungsgesellschaft mbH mit den Beratungsschwerpunkten (IT-) Compliance und
(IT-) Governance, Informationssicherheit,
Risikomanagement, Datenschutz und Datensicherheit, Business Continuity Management und Qualitätsmanagement. Rüdiger
Giebichenstein ist u. a. zertifizierter ISO/
IEC 27001 Lead Auditor sowie zertifizierter
Datenschutzbeauftragter und hat sehr viele
Beratungsprojekte bei nationalen und internationalen Unternehmen durchgeführt.
Carsten Alexander Schirp, Dipl. Ing., ist
als Senior Manager und Prokurist bei der
WTS Consulting GmbH und Steuerberatungsgesellschaft mbH mit den Schwerpunkten
Informationssicherheit, Risikomanagement,
Datenschutz und (IT-) Compliance tätig. Er
studierte Ingenieurwissenschaften an der
BUGH Wuppertal und ist u. a. ISO/IEC 27001
Lead Auditor, lizenzierter Audit Teamleiter
auf der Basis von IT-Grundschutz, IT Service
Manager (ITIL), zertifizierter Datenschutzbeauftragter sowie Certified Information
Systems Auditor (CISA). Carsten Schirp hat
sehr viele Beratungsprojekte bei nationalen
und internationalen Unternehmen durchgeführt.
Compliance-Berater | 4/2015 | 7.4.2015