Datensicherheit. Der neue Standard „ISO/IEC 27002“ soll Unternehmen in Sachen Cybersecurity und Informationssicherheit fitter machen, so Austrian Standards: Die Bandbreite der geforderten Tools reicht von der Analyse von Cyber-Angreifern bis zu obligatorischen Exit-Plänen aus Cloud-Speichern.
Die ISO/IEC 27002 „Information security, cybersecurity and privacy protection – Information security controls“ wurde nach längerer Wartezeit im Februar veröffentlicht und ist nach der ISO/IEC 27001 die zweitwichtigste Norm, wenn es darum geht, ein Information Security Management System in einem Unternehmen einzuführen, so Austrian Standards.
Laut Edward Humphreys, Leiter des ISO-Komitees, wird die neue Ausgabe „Organisationen und Unternehmen maßgeblich dabei unterstützen, ihre Informationen und die ihrer Klienten und Kunden vor einer Vielzahl von Bedrohungen zu schützen“. Gerade vor dem Hintergrund der jüngsten Entwicklungen in der Weltpolitik sei dies eine sinnvolle Weiterentwicklung.
Neben diversen Weiterentwicklungen passt sich der Standard inhaltlich an die aktuellen und zukünftigen Herausforderungen im Bereich Informationssicherheit und Cybersecurity an. Nomen ist dabei omen: Statt „Security Techniques“ werden nun „cyber security, privacy protection und informationsecurity“ explizit im Titel angesprochen, heißt es.
Was den Österreichern auffällt
Der österreichische Leiter der CEN/Cenelec-Arbeitsgruppe im zuständigen Joint Technical Committee, Ralph Eckmaier, entdeckt im neuen Standard neben strukturellen Änderungen auch die Berücksichtigung von „Themen, die in den letzten Jahren aufgekommen sind oder an Bedeutung gewonnen haben“. Zu diesen Themen zählen demnach:
- IT-Cloud Services,
- Secure Coding,
- der sensiblere Umgang mit persönlichen Daten
- der Einsatz von evidenzbasierten Informationen zu Cyberangriffen (‚Threat Intelligence‘)
Auswirkungen auf zertifizierte Unternehmen
Erreicht werde dieser inhaltliche Schwenk auch durch die neue Strukturierung der sogenannten „Controls“. Maßnahmen, die in der Welt der ISO/IEC 27002 dazu dienen, technische und organisatorische Schritte zu definieren, mit deren Hilfe bestehende IT- und Informationssicherheitsrisiken von Unternehmen behandelt werden können.
Diese neuen Controls werden voraussichtlich einen großen Einfluss haben, zwar nicht sofort, aber in den kommenden Jahren, heißt es weiter. Denn die in den Controls beschriebenen Maßnahmen werden sich langfristig auch auf die Zertifizierungen nach dem Schwesternstandard ISO/IEC 27001 auswirken – und das ist ein Standard, der laut Eckmaier „in etwa 1.000 Unternehmen in Österreich“ verwendet wird.
Wer wieviel arbeiten muss
Für Organisationen, die bereits die Anforderungen von ISO/IEC 27001 erfüllen, werde der Aufwand der Umstellung auf die neue ISO/IEC 27002 gering sein. Organisationen, bei denen die bisherige ISO/IEC 27002 beispielsweise für interne und externe Service-Level-Vereinbarungen oder zur Dokumentation von technisch-organisatorischen Maßnahmen gedient hat, werden mehr tun müssen.
Ein Blick auf den Anhang
Thomas Bleier, der in der Arbeitsgruppe AG 001 27 „Information security, cybersecurity and privacy protection“ bei Austrian Standards mitwirkt, ergänzt: „Die aktualisierte Version der Sicherheitsmaßnahmen stellt auch die Grundlage für den ,Anhang A‘ der zukünftigen ISO/IEC 27001 dar. Obwohl es im Standard nicht explizit gefordert wird, übernehmen viele Organisationen in der Praxis ihre Controls aus dem Anhang A. Da die neue Version der ISO 27001 möglicherweise noch in diesem Jahr erscheint und dann Übergangsfristen für zertifizierte Unternehmen für den Umstieg vorgesehen sind, ist man gut beraten, sich bereits jetzt mit den Änderungen auseinanderzusetzen.“
Die „Controls“ unter der Lupe
Insgesamt weist der neue Standard 93 solcher Controls auf – unterteilt in organisatorische, personelle, physische und technologische. Behandelt werden dabei beispielsweise die „Vermeidung bzw. Entdeckung von Cyberangriffen“ und die Reaktion darauf sowie der Schutz von Daten. Konkret kommen 11 ganz neue Maßnahmen hinzu, die von „Information security for use of cloud services“ (also: die ganzheitliche Betrachtung von Cloud-Diensten von der Einführung bis zur Exit-Strategie) bis zu „Data masking“ (Maskierungstechniken wie Anonymisierung und Pseudonymisierung, die den Schutz von Daten erhöhen) reichen.
Verstehe deinen Angreifer
Die Maßnahmen können Organisationen auch zu einer neuen Betrachtungsweise verschiedener Problemstellungen führen: Die Organisation muss sich nun etwa aktiv darum kümmern, Angreifer und ihre Methoden zu verstehen und vor dem Hintergrund der eigenen IT-Landschaft zu analysieren, oder ihre Cloud-Aktivitäten von der Einführung über den Betrieb bis hin zur Exit-Strategie zu betrachten.
Neue Attribute – flexiblere Sortierung
Rein strukturell werden die Maßnahmen in der ISO/IEC 27002 flexibler gestaltet, indem sie neu beschlagwortet und kategorisiert werden. Das System: Jede Steuerungsmaßahme wird mit sogenannten Attributen versehen, die in 5 Kategorien unterteilt werden, so Austrian Standards:
- Control type
- Information security properties
- Cybersecurity concepts
- Operational capabilities
- Security domains
Das Attribut „Kontrolltypen“ zeige dabei etwa, inwieweit das „Wann und Wie“ einer Kontrolle das Risiko eines Vorfalls verändern kann, während bei „Operational capabilities“ genau umrissen wird, was man braucht, um den Prozess umzusetzen (personelle Unterstützung, Governance-Lösungen, …). Dadurch werde eine bessere und flexiblere Möglichkeit geboten, die Sicherheitsmaßnahmen zu sortieren.
