Informationssicherheit und die Norm ISO/IEC 27001 – ein Blick auf die Normentwicklung und branchenspezifische Standards
Ein Blick zurück auf die Entwicklung der Informationssicherheit zeigt: Das Thema „Sicherheit“ im Sinne des Schutzes von Informationen oder Daten ist grundsätzlich nicht neu. Es ist jedoch traditionell stark mit dem Vorhandensein physischer Informationsträger – also technischer Geräte, Patente, Prototypen, Pläne, Aktenordner, Verträge – verbunden. Mit der Digitalisierung hat die Herausforderung dann eine neue Dimension erreicht. Im Fokus stehen damals wie heute die zentralen Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität.
Bereits im vordigitalen Zeitalter bestand die Frage, was auf Basis der Schutzwürdigkeit (Abwägung des schutzwürdigen Werts gegenüber Sicherheitsrisiken) letztlich wie zu schützen ist. Vergitterte Türen, ein Schloss an einer Tür, massive Wände, abschließbare Aktenschränke, Zutrittskontrollen bis hin zu begehbaren Tresoren im Keller von Banken mit Schließfächern für Dokumente etc. waren die Folge des Schutzbedarfes.
Mit dem Aufkommen der Informationstechnik und dem Vorhandensein portabler Speichermedien boten sich für Kriminelle völlig neue Optionen, wichtige Informationen stehlen zu können. Nun konnten Wechselfestplatten, Floppy Disks etc. mit einem – im Vergleich zu papiergebundenen Ordnern – Vielfachen an Daten beschrieben sein und dennoch problemlos physisch aus den Unternehmen herausgetragen werden. Die nachfolgende Vernetzung ermöglichte Datenübertragungen und eröffnete wiederum neuen Spielraum. Noch kritischer wurde die Sicherheitslage im Zeitalter des Internets mit dessen weltweiten Verfügbarkeit, in dem alles mit allem vernetzt sein kann. Auch hier ergibt sich die Möglichkeit des „Einbruchs“ und Viren, Trojaner oder Ransomware finden Zugang über E-Mails. Zudem gibt es Smartphones, die per Mobilfunk Fotos und Filme in Sekundenschnelle ablichten und verteilen können. Tragbare kleine USB-Speicher mit Terabytes von Daten auf der Größe einer Streichholzschachtel ergänzen die Vielfalt an Optionen.
Von der Informationssicherheit zur Cybersicherheit
Natürlich wurde die Sicherheit in der Informationstechnik schon länger in der Forschung thematisiert, von Herstellern gefördert, an Hochschulen gelehrt und hat sich entsprechend weiterentwickelt. Gleichwohl ist die Entwicklung der Technologie so dynamisch, dass man den Eindruck hat, dass die Sicherheit immer ein bisschen hinterherläuft. Das gilt insbesondere, wenn bei neuen Features die Frage der Priorität gestellt wird: Was ist wichtiger, Funktion oder Sicherheit?
Wir dürfen nicht vergessen, dass das Internet sich von militärischen Wurzeln in den 1960er Jahren hin zu einer akademischen Welt mit Forschergeist und freiem Wissenstransfer bewegt hat. Die heutige Qualitäts- und Kommerzialisierungsstufe stellt einen Quantensprung gegenüber den Anfängen dar. Für manchen Regierungsvertreter war das Ganze dennoch im Jahr 2013 noch „Neuland“. Auch in den nationalen und internationalen Regulierungsstellen tat man sich angesichts der Dynamik schwer – oder versäumte es gar, für mehr Sicherheit zu sorgen.
Der Informationssicherheit in Form der klassischen „Sicherheit“ von physikalischen Aspekten gesellte sich die Cybersicherheit hinzu, die sich um den Schutz von digitalisierter Information kümmert und somit den Begriff erweitert hat. Allerdings sind die zentralen Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität nach wie vor unverändert, unabhängig davon, ob es sich um papiergebundene Verträge, Daten auf einem Firmenserver im Rechenzentrum oder in der externen Cloud handelt. Der Zugriff auf diese sollte beschränkt und kontrolliert sein. Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen, die Prinzipien des „need to know“ sind überall anzuwenden. Denn die Bedrohung kommt nicht nur von außen, auch der Schutz vor einem möglicherweise internen, kriminellen Kollegen ist zu bedenken.
Normentwicklung in der Informationssicherheit
Betrachtet man die Entwicklung gesamtheitlich anhand der Kondratieff-Zyklen, die einen wellenförmigen Verlauf der Wirtschaft beschreiben, befinden wir uns seit den 1950er Jahren im „fünften Kondratieff“. Seine Antriebsenergie kam aus der computerbasierten Informationstechnik. Mit ständig zunehmender Geschwindigkeit durchdrang die Informationstechnik sowohl Produkte als auch alle Bereiche der Gesellschaft und verwandelte die Welt in eine Informationsgesellschaft. Diese Technologie und deren Anwendung entwickelt sich weiter, wodurch auch eine Weiterentwicklung der Informationssicherheitsnorm ISO/IEC 27001 notwendig wurde.
Doch blicken wir erst einmal zurück: Der Vorläufer des Standards, in dem die heutigen Anforderungen an Informationssicherheitsmanagementsysteme geregelt sind, erschien Ende der 1980er Jahre in Großbritannien als Veröffentlichung des Departement of Trade and Industry. Er enthielt Bewertungsrahmen für Sicherheitsprodukte und ein darauf basierendes Evaluierungs- und Zertifizierungsschema, zudem eine „Code of good security practice“. Diese Publikation wurde weiterentwickelt und 1995 vom „British Standard Institute“ als nationale Norm BS 7799 veröffentlicht. Später ging diese in der internationalen ISO/IEC 17799:2000 auf, die einen Leitfaden für die Implementierung eines Informationssicherheitsmanagementsystems darstellt. Über weitere Verbesserungen, Harmonisierungen und Aktualisierungen gelangte die Norm schließlich in den Kanon der ISO/IEC 27000er Familie und ist heute als ISO/IEC 27001:2022 die wichtigste internationale, anerkannte und zertifizierbare Norm für Informationssicherheit. Im weitgehenden Konsens der Fachleute ist die ISO/IEC 27001 ein angemessener und umfassender Ansatz, um die Ziele der Sicherheit zu unterstützen und greifbarer zu machen.
Branchenspezifische Normen in der Informationssicherheit
Im Bereich der Informationssicherheit gibt es neben der ISO/IEC-27000er-Reihe auch branchenspezifische Normen, auf die im Rahmen einer Auswahl hier näher eingegangen werden soll. Hervorzuheben sei hier zudem die Verbindung zwischen Informationssicherheit und Cybersicherheit. Cybersicherheit dient konkret dem Schutz von digitalen Systemen, Netzwerken und Daten vor böswilligen Angriffen oder anderen Risiken. Informationssicherheit ist der Oberbegriff, da sowohl physische Informationen und Infrastruktur als auch digitalisierte Informationen betrachtet werden. Die Ziele der Cybersicherheit sind identisch mit denen in der Informationssicherheit (Verfügbarkeit, Vertraulichkeit, Integrität) und unabhängig davon, ob Daten auf privaten Devices wie Smartphone oder Laptop gespeichert oder in einer Cloud bzw. bei einem genutzten Service hinterlegt sind.
Automotive
Für die Automotive-Branche kann der „TISAX®“-Standard herangezogen werden. Er baut auf der ISO/IEC 27001 auf und ergänzt die Norm mit Branchenspezifika wie zum Beispiel den Aspekten Lieferketten und Prototypensicherheit.
Nicht unerwähnt bleiben sollte zudem die ISO/IEC/SAE 21434 „Road vehicles – Cybersecurity engineering“. Die Norm behandelt das Thema Cyber-Security in Kraftfahrzeugen und gilt für Komponenten (elektronische Bauteile und Software), sie umfasst die Phasen der Entwicklung, Produktion, Betrieb, Wartung und Recycling im Lebenszyklus eines Fahrzeuges. Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge soll die Norm Maßnahmen für die Entwicklung vorschlagen. Das wird unter anderem deshalb immer wichtiger, weil die digitale Infrastruktur im Hinblick auf Online-Updates von Fahrzeugen (OTA), das Flottenmanagement und die Kommunikation zwischen Fahrzeugen (Car2x/V2X) neue Angriffsflächen bietet. Die Anwendung der Norm ist wichtig im Rahmen der umfangreichen Zulassungsverfahren für Typgenehmigungen.
Medizin
Mit Blick auf die Medizin ist unter anderem die ISO 27799 relevant. Sie adressiert die Medizinische Informatik und spezifiziert die Anforderungen an ein Informationssicherheits-Managementsystem im Gesundheitswesen unter Anwendung der ISO/IEC 27002.
Kritische Infrastrukturen (Energieversorgung, Telekommunikation)
Für die Sicherheit Kritischer Infrastrukturen (KRITIS) wie Energie- und Wasserversorgung oder auch Telekommunikation kommen gesetzliche Rahmenwerke (z. B. IT-SiG 2.0, BSIG, BSI-KritisV) zum Einsatz. Sie definieren Anlagen, Betriebsstätten und weitere ortsfeste Einrichtungen sowie Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen, außerdem Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind. In Deutschland existiert mit dem IT-Sicherheitsgesetz bereits seit Juli 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen, um die Cyber-Sicherheit bei den Kritischen Infrastrukturen zu erhöhen. Dieser schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem “Stand der Technik” umzusetzen. Weitere Dynamik bekommt das Thema aus der europäischen Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), die im August 2016 in Kraft getreten ist. Diese definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union.
Über dieses Ziel hinaus geht die neue EU-Richtlinie vom November 2022 mit der Bezeichnung „NIS 2“. Diese wird die derzeit geltende NIS-Richtlinie ersetzen und legt für Unternehmen ab einer definierten Größenordnung Berichtspflichten und Standards fest, beispielsweise zu getroffenen Cybersicherheitsmaßnahmen. Vor allem erweitert sie die zuvor engere Definition (z. B. Energie, Wasser) auf weitere Sektoren. So sind nunmehr 18 Zielbranchen genannt: Die Lebensmittelbranche, IT-Unternehmen, Hersteller von Chemikalien, Maschinen und Fahrzeugen sind dann ebenfalls betroffen. In Branchenkreisen wird das neue Gesetz auch als Quantensprung gesehen, da von bis zu 40.000 Unternehmen ausgegangen wird, die Cybersecurity-Maßnahmen ergreifen müssen, was als echter Fortschritt auf breiter Front zu sehen ist. Auch der Rahmen für Strafzahlungen wurde signifikant angehoben – auf das Niveau der europäischen Datenschutz-Regulierung EU-DSGVO. Bußgelder belaufen sich auf bis zu 10 Millionen Euro beziehungsweise 2 Prozent des globalen Jahresumsatzes.
Finanz- und Bankwesen
Als weiterer Branchenstandard können die im Finanzbereich üblichen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT, analog VAIT, die versicherungsaufsichtlichen Anforderungen an die IT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gelten, die sich primär an die Finanzbranche richten. Sie sollen die Erwartungshaltung der Aufsicht in Bezug auf die IT-Sicherheit transparent machen. Speziell die große Finanzbranche mit Banken, Versicherungen, Maklern, Fondsgesellschaften usw. hat darüber hinaus noch eine weitere Neuerung umzusetzen: Die neue Verordnung der EU, der „Digital Operational Resilience Act“ (DORA), ist ein Gesetzesvorschlag, der darauf zielt, die Widerstandsfähigkeit im Finanzsektor gegen betriebliche Störungen auf der IT-Ebene zu verbessern. Dabei geht es sowohl um gezielte Angriffe als auch um eine Reihe anderer, nicht böswillig verursachter, schwerwiegender IT-Probleme. So müssen Unternehmen in Zukunft beispielsweise auch Risiken durch Leistungen von Drittanbietern in ihren Analysen berücksichtigen, etwa solche von Cloud-Dienstleistern.
In unserer Blogreihe befassen wir uns mit verschiedenen Aspekten der Informationssicherheit sowie der Zertifizierung nach der Norm ISO/IEC 27001. Verstehen Sie die Notwendigkeit der Normanpassung und den Weg hin zur Zertifizierung. Zur Blogreihe »
Über den Autor:
Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt er über breite Branchenkenntnisse, über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor bis hin zur Wirtschaftsprüfung.
