Die Bedeutung der ISO 27001

Immer häufiger werden Konzerne Ziel von Cyber-Attacken. Umso mehr gewinnen daher internationale Sicherheitsstandards an Bedeutung.
Autor Ralf Buchsein
Datum 07.12.2017
Lesezeit 7 Minuten
ISO27001-Cyber security
Logo der «Handelszeitung», Quelle: Ringier Axel Springer Schweiz AG

Im Zusammenhang mit der Erpresser-Software «Petya» berichtete unter dieser Überschrift die Handelszeitung, dass die neuerliche Cyberattacke bei vielen Konzernen Schaden angerichtet hat. Unter den Opfern ist die Toblerone-Besitzerin, die weltgrösste Reederei – und mindestens sieben Schweizer Unternehmen.

Nach dem zweiten massiven Angriff mit Erpressungssoftware innerhalb von zwei Monaten kämpfen Firmen rund um den Globus mit den Folgen der Cyber-Attacke. Die Angreifer wollten laut Experten wohl vor allem ein Chaos anrichten und waren weniger auf Profit aus. Zu den betroffenen Unternehmen zählen der grösste russische Ölproduzent Rosneft, der Pharmakonzern MSD/Merck, die französische Bahn SNCF und der Lebensmittel-Riese Mondelez («Toblerone», «Milka», «Oreo»).

Die weltgrösste Reederei Moeller Maersk kämpft immer noch mit den Folgen des Angriffs: Bestellungen könnten keine entgegengenommen werden und es sei nicht absehbar, wann sich die Abläufe wieder normalisierten, sagte ein Maersk-Manager am Mittwoch der Nachrichtenagentur Reuters.

Matthias Bossardt Leiter Cyber Security der KPMG Schweiz führt hierzu aus: «Früher hatten wir eine ungezielte Bedrohung. Heute ist es ein Business-Modell, mit dem Hacker Geld verdienen.» Dieses Jahr gaben 88 Prozent der Befragten an, Opfer von Cyber-Attacken gewesen zu sein. Zum Vergleich: 2016 waren es 54 Prozent. Da die Firmen immer stärker vernetzt sind, kann eine gelungene Cyber-Attacke eine Lieferkette entlang wandern, «und unter Umständen auch die Allgemeinheit» betreffen, sagt der Experte.

Informationssicherheit ist mehr als IT-Sicherheit

Auch wenn im Zusammenhang mit den Cyberattacken vorrangig über die Gefährdung von IT-Systemen berichtet wird, darf nicht ausser Acht gelassen werden, dass die Informationen ungeachtet des Mediums zu schützen sind. So hat beispielsweise eine privatärztliche Verrechnungsstelle Rechnungen an falsche Adressen verschickt. So erhielt ein Patient nicht nur seine eigene Laborabrechnung, sondern noch zwei weitere Rechnungen an völlig fremde Personen. In diesem Fall handelte es sich weder um einen Hackerangriff noch um eine Computerpanne, sondern schlicht und einfach um menschliches Versagen.

Die ISO/IEC 27001 als weltweit anerkannter Standard für die Informationssicherheit

Dieses ganzheitliche Managementsystem für die Informationssicherheit wird in der ISO/IEC 27001 bzw. ISO/IEC 27000 definiert als «Ein Informationssicherheitsmanagementsystem (ISMS) umfasst Politik, Verfahren, Richtlinien und damit verbundene Ressourcen und Tätigkeiten, die alle von einer Organisation gesteuert werden, um ihre Informationswerte zu schützen. Ein ISMS ist ein systematisches Modell für die Einführung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Pflege und die Verbesserung der Informationssicherheit einer Organisation, um Geschäftsziele zu erreichen. Es basiert auf einer Risikobeurteilung und dem Risikoakzeptanzniveau der Organisation und dient dazu, die Risiken wirksam zu behandeln und zu handhaben.» Damit wird auch der Ansatz einer kontinuierlichen Verbesserung der Informationssicherheit deutlich.

Die ISO/IEC 27001 wird mehr praxisorientierte Leitlinien für spezielle Bereiche zweckmässig ergänzt

Auch wenn alle Normen der ISO/IEC 27000 wichtig sind, so treten zwei Normen in den Vordergrund. Hierbei handelt es sich um

  • die ISO/IEC 27001: Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen
  • die ISO/IEC 27002: Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management

Die ISO/IEC 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem. Möchte eine Organisation sich auf Basis der ISO/IEC 27001 zertifizieren lassen, so müssen die Anforderungen dieser Norm im Rahmen eines Zertifizierungsaudits nachgewiesen werden. Vereinfacht betrachtet besteht die ISO/IEC 27001 aus einem allgemeinem Teil mit den Anforderungen an das ISMS und dem Anhang A der Norm mit Massnahmenziele und Massnahmen um identifizierte Risiken zu reduzieren bzw. zu eliminieren.

Während die ISO/IEC 27001 im Anhang A die Massnahmenziele und Massnahmen zur Risikoreduzierung fordert, liefert die ISO/IEC 27002 Leitlinien, wie diese Anforderungen umgesetzt werden können:

ISO27001-Cyber security
Abbildung: KESS IT Consulting & Training, 2017 «Das Zusammenwirken zwischen der ISO/IEC 27001 und der ISO/IEC 27002»

Beispielsweise fordert die ISO/IEC 27001 als Massnahme «Regelungen zum Zugriff auf Netze und Netzwerkdienste». Die ISO/IEC 27002 empfiehlt hierzu einzelne Punkte, die in einer Richtlinie enthalten sein sollten.

Die ISO/IEC 27001 und ISO 27002 werden um weitere Leitlinien ergänzt. Hier eine Aufstellung der Leitlinien, auf die wir in unserer Zertifizierung zum ISO/IEC 27001 Information Security Officer eingehen:

  • ISO/IEC 27000: Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie
  • ISO/IEC 27003: Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anleitung
  • ISO/IEC 27004: Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Management – Überwachung, Messung, Analyse und Evaluation
  • ISO/IEC 27005: Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Risikomanagement

Unsere Zertifizierungsprüfungen werden von der APMG durchgeführt, der weltweiten Zertifizierungsorganisation für Personenqualifikationen.

ISO27001-Cyber security
Abbildung: Logo der APMG für ISO/IEC 27001 akkreditierte Trainingsorganisationen

Das ISO/IEC-27001-Kursangebot der Digicomp

Die Digicomp baut aufgrund der stetig steigenden Nachfrage zum Information Security Management die folgenden Schulungen an:

  • Kurs ISO/IEC 27001 Foundation («FIS»)
    In dieser Schulung lernen Sie das Informationssicherheits-Managementsystem (ISMS) kennen sowie die Mindestanforderungen, die bei der Zertifizierung an eine Organisation gestellt werden. Abgeschlossen wird die Schulung mit der Zertifizierungsprüfung zum ISO/IEC 27001 Foundation.
  • ISO/IEC 27001 Information Security Officer («AIS») 
    Aufbauend auf der ISO/IEC 27001 Foundation Zertifizierung erlernen Sie in dieser Schulung die Planung, Implementierung, Aufrechterhaltung und Verbesserung eines ISMS kennen. Sie erlangen die Zertifizierung zum ISO/IEC 27001 Information Security Officer.

Die Digicomp baut aufgrund der stetig steigenden Nachfrage zum Information Security Management die folgenden Schulungen an:

  • Kurs ISO/IEC 27001 Foundation («FIS»)
    In dieser Schulung lernen Sie das Informationssicherheits-Managementsystem (ISMS) kennen sowie die Mindestanforderungen, die bei der Zertifizierung an eine Organisation gestellt werden. Abgeschlossen wird die Schulung mit der Zertifizierungsprüfung zum ISO/IEC 27001 Foundation.
  • ISO/IEC 27001 Information Security Officer («AIS») 
    Aufbauend auf der ISO/IEC 27001 Foundation Zertifizierung erlernen Sie in dieser Schulung die Planung, Implementierung, Aufrechterhaltung und Verbesserung eines ISMS kennen. Sie erlangen die Zertifizierung zum ISO/IEC 27001 Information Security Officer.

 

Über den Autor

Ralf Buchsein