ISO 27001: Anforderungen und Vorbereitung der Zertifizierung
Die internationale Norm ISO 27001 zählt zu den bekanntesten und gebräuchlichsten Standards für Informationssicherheit. Durch Aufbau und Zertifizierung eines ISO-konformen Informationssicherheits-Managementsystems (ISMS) können Unternehmen gegenüber Partnern und Kunden nachweisen, dass ihre IT-Sicherheit auf dem neuesten Stand ist. In unserem Ratgeber erfahren Sie, welche Anforderungen ISO 27001 an Firmen und Behörden stellt, was es bei der Vorbereitung auf die Zertifizierung zu beachten gilt und welche Ansprüche die Norm an das Berechtigungsmanagement einer Organisation setzt.
ISO 27001 – Was ist das?
ISO 27001, offizieller Name ISO/IEC 27001, ist eine Norm für IT-Sicherheitsverfahren, die gemeinsam von der Internationalen Organisation für Standardisierung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt wird. ISO 27001 definiert Vorgaben an den Aufbau, Betrieb und die laufende Verbesserung eines sogenannten Informations-Sicherheits-Management-Systems bzw. ISMS.
Ein ISMS hat die Aufgabe, Prozesse und Verantwortungen rund um die Informationssicherheit klar zu regeln und fest in einer Organisation zu etablieren. Es handelt sich also um eine Reihe verbindlicher und klar dokumentierter Richtlinien, die bestimmen, welche Sicherheitsmaßnahmen eingehalten werden müssen und wer verantwortlich für Umsetzung und Kontrolle ist.
Der Standard ISO 27001 definiert die Anforderungen, nach denen Unternehmen ihr ISMS zertifizieren lassen können. Darüber hinaus enthält die Reihe ISO 27000 bzw. 2700x jedoch noch viele weitere Dokumente, die unterschiedliche Aufgaben- und Teilbereiche abdecken:
ISO 27000: Überblick über das Thema und Definition wesentlicher Begriffe
ISO 27001: Anforderungen an ein ISMS, Grundlage für ISO-Zertifizierung und -Audits
ISO 27002: Details zu notwendigen Sicherheitsmaßnahmen
ISO 27003: Leitfaden zur Umsetzung eines ISMS
ISO 27004: Richtlinien für die Messung und Verbesserung eines ISMS
ISO 27005: Richtlinien für das Risikomanagement
ISO 27006, 27007 & 27008: Vorgaben an Prüfstellen und ISO-Audits
Die insgesamt über 20 Dokumente der ISO/IEC 27000er Reihe befassen sich darüber hinaus mit speziellen Themenbereichen wie der Sicherheit von Cloud-Diensten (27017), Datenschutz (27701) oder Sicherheitsmanagement im Gesundheitswesen (27799).
Ist ISO 27001 verpflichtend?
Bei ISO 27001 handelt es sich grundsätzlich um eine freiwillige Zertifizierung. Unternehmen können mithilfe von ISO 27001 gegenüber Kunden und Partnern den Nachweis erbringen, dass sie angemessene IT-Sicherheitsmaßnahmen verwenden, diese durch interne Audits kontrollieren und laufend verbessern.
Der Kern von ISO 27001, das Informationssicherheits-Managementsystem, ist inzwischen jedoch auch Teil anderer Sicherheitsstandards geworden, die entweder analoge Forderungen stellen oder direkt auf die ISO-Norm referenzieren. Für Organisationen, die einen solches Regelwerk einhalten müssen, kann die Einführung eines ISO-konformen ISMS also dennoch zur Pflicht werden.
Beispielsweise ist die Implementierung eines ISMS Bestandteil der branchenspezifischen Sicherheitsstandards (B3S) rund um die KRITIS-Verordnung und das IT-Sicherheitsgesetz 2.0. Ebenso sind Behörden durch das Online-Zugangsgesetz (OGZ) dazu verpflichtet, ein Sicherheitskonzept umzusetzen, das mindestens ISO 27001 bzw. dem IT-Grundschutz entspricht.
ISO 27001: Updates & Lebenszyklus
Um sicherzugehen, dass ISO-Standards stets dem neuesten Stand der Technik entsprechen, werden diese spätestens alle fünf Jahre einer umfassenden Kontrolle unterzogen. Je nach Ergebnis der Experten-Kommission kann ein Standard weiterverwendet, angepasst oder aus dem Umlauf genommen und vollständig überarbeitet werden.
Die jeweils aktuellste Version einer Norm kann über die ISO-Website oder Mitglieder und Landesorganisationen wie das Deutsche Institut für Normierung (DIN) abgerufen werden.
Hinweis: Mit ISO 27001:2022 ist Ende Oktober 2022 offiziell eine neue Version des Standards erschienen, welche die bislang gültige Norm ersetzt (ISO 27001:2013). Die Änderungen betreffen hauptsächlich die in Anhang A gelisteten Kontrollen, welche in Einklang ISO 27002 gebracht wurden. Eine deutsche Übersetzung liegt bislang nur für ISO 27001 vor.
ISO 27001: Relevante Bereiche
Die ISO-Norm 27001 definiert Anforderungen an die Implementierung, Weiterentwicklung und laufende Kontrolle eines ISMS. Das Informationssicherheits-Managementsystem dient dazu, die übergeordneten Schutzziele der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen zu gewährleisten.
Informationssicherheit wird fälschlicherweise oft als reines IT-Thema betrachtet, betrifft in Wahrheit aber sämtliche Ebenen einer Organisation. Neben technischen Aspekten deckt ISO/IEC 27001 daher auch organisatorische Fragen ab, etwa die Rolle der Geschäftsführung, die u.a. Verantwortliche benennen, die notwendigen Ressourcen bereitstellen und für laufende Kontrollen sorgen muss.
Zu den für ISO 27001 relevanten Bereichen gehören Themen wie:
Verantwortung des Managements
Leitlinie zur Informationssicherheit
Aufgaben und Verantwortlichkeiten
Risikobewertung und Risikomanagement
Bewusstseinsbildung
Dokumentation von Informationen
Laufende Evaluierung
Interne Audits
ISO 27001: Anforderungen
ISO 27001 besteht im Wesentlichen aus zwei Teilen: Der Hauptteil, welcher der ISO High Level Structure in 10 Kapiteln folgt, definiert die Anforderungen, die Organisationen für eine erfolgreiche Zertifizierung erfüllen müssen. Die Vorgaben der Norm sind hier sehr allgemein gehalten, um eine breite Anwendung von ISO 27001 in Betrieben unterschiedlicher Größe und verschiedenen Industriezweigen zu ermöglichen.
Beispiel: Kapitel 8.1 der Norm, Betriebliche Planung und Steuerung, definiert folgende Anforderung: “Die Organisation muss sicherstellen, dass ausgelagerte Prozesse bestimmt und überwacht werden.” Dieser Abschnitt legt also ein Ziel fest, führt jedoch nicht aus, welche konkreten Schritte zur Umsetzung dieser Anforderung notwendig sind.
Dahingegen liefert der Anhang mit Tabelle A.1 spezifische Maßnahmen für den Umgang mit Informationssicherheitsrisiken. Tabelle A.1 verweist dabei direkt auf ISO 27002, wo die Schritte zur Umsetzung dieser Maßnahmen noch detaillierter, nämlich auf über 150 Seiten, ausgeführt sind.
Laut Abschnitt 6.1.3. müssen Unternehmen die von ihnen geplanten Sicherheitsvorkehrungen mit Tabelle A.1 abgleichen, um sicherzustellen, dass keine notwendigen Schutzmaßnahmen in ihrem ISMS fehlen.
Organisationen müssen nicht zwangsläufig alle Kontrollen umsetzen, die im Anhang dokumentiert sind. Sie müssen aber sämtliche Maßnahmen durchgehen und in einer Erklärung zur Anwendbarkeit (Statement of Applicability) festhalten, welche davon für sie relevant sind, wie die Implementierung erfolgt ist bzw. mit welcher Begründung eine Maßnahme übersprungen wird.
Achtung: ISO 27002:2022 überarbeitet und konsolidiert viele der bestehenden Sicherheitsmaßnahmen. Die in ISO 27001:2013 enthaltene Tabelle ist deshalb nicht mehr aktuell. Die jeweiligen Entsprechungen sind in 27002:2022 in eigenen Tabellen dokumentiert.
ISO 27001: Vorbereitung & Checkliste
Eine Zertifizierung nach ISO 27001 ist mit viel Aufwand verbunden und muss von langer Hand geplant werden. Für die Vorbereitung von ISO 27001 können Organisationen dabei auf die verfügbaren Orientierungshilfen zurückgreifen.
Da die offiziellen Dokumente des Standards nicht leicht zu erfassen sind und Firmen hinsichtlich der eigenen Prozesse oft eine gewisse Betriebsblindheit entwickeln, ist es darüber hinaus auch sinnvoll auf die Services eines externen Compliance-Beraters zurückzugreifen.
Welche Schritte nötig sind, um ein ISO-konformes Informationssicherheits-Managementsystem in der Praxis umzusetzen, hängt wesentlich vom Ausgangszustand und dem individuellen Kontext einer Organisation ab. Als Hilfestellung finden Sie hier einige wesentliche Punkte, die bei der Vorbereitung keinesfalls vergessen werden dürfen.
ISO 27001 Checkliste
Scope des Informationssicherheitsmanagementsystems (ISMS) definiert
Relevante Sicherheitsstandards und gesetzliche Vorgaben zusammengefasst
Risikobewertung durchgeführt und dokumentiert
Informationssicherheitsrichtlinie erstellt
Erklärung zur Anwendbarkeit der Schutzmaßnahmen (Anhang A) verfasst
Relevante Sicherheitsmaßnahmen implementiert
Verantwortlichkeiten in Management und Fachbereichen geregelt
Interne Kommunikation und Schulungen geplant
Ziele und Ergebnisse zur Verbesserung des ISMS festgelegt
Offizielle Teststelle kontaktiert
ISO 27001: Ablauf der Zertifizierung
Die ISO 27001 Zertifizierung ist nur mit einer akkreditierten Teststelle möglich. Bis eine Organisation sich dazu entschließt, externe Auditoren zu beauftragen, sollten natürlich sämtliche Vorbereitungen abgeschlossen sein, damit die Prüfung zeitnah und erfolgreich abgeschlossen werden kann.
Abhängig von der gemeinsamen Terminfindung und der Komplexität des zu prüfenden Unternehmens kann die ISO 27001 Zertifizierung einige Wochen bis hin zu mehreren Monaten in Anspruch nehmen, zuzüglich des Aufwands im Vorfeld für die Umsetzung der Schutzmaßnahmen.
Der eigentliche Audit besteht aus zwei Teilen bzw. Stufen: Im ersten Schritt überprüft das Audit-Team die rund um das ISMS erstellten Dokumente, wie die Scope-Definition, Sicherheitsleitlinie, Risikobewertung und Beschreibung interner Kontrollen. Die Auswertung der Unterlagen kann remote erfolgen, zusätzlich ist aber eine Begehung des Firmengeländes vorgesehen, um standort-spezifische Faktoren und Risiken beurteilen zu können.
Falls die Erstkontrolle erfolgversprechend ausfällt, geht es weiter mit Stufe 2: einem ausführlichen Vor-Ort-Audit, bei dem überprüft wird, ob das ISMS tatsächlich wirksam und konsequent eingesetzt wird oder nur “auf dem Papier” existiert. Auditoren führen dazu Interviews mit Verantwortlichen ebenso wie mit normalen Mitarbeitern durch und machen sich direkt im laufenden Betrieb ein Bild von der praktischen Umsetzung der Schutzziele.
ISO 27001 Zeitrahmen
| Ablauf | Details | Dauer |
|---|---|---|
| Vorbereitung | Planung und Implementierung der notwendigen Sicherheitsmaßnahmen und organisatorischen Prozesse | 3-9 Monate |
| Beauftragung | Erstgespräche mit akkreditierter Prüfstelle, Planung der weiteren Termine | 1-2 Wochen |
| Audit Stufe 1 | Auditoren prüfen eingereichte ISMS-Dokumente und standortspezifische Faktoren (teilweise vor Ort) | 1-2 Tage |
| Audit Stufe 2 | Auditoren prüfen Wirksamkeit des ISMS und ob dieses im laufenden Betrieb eingehalten wird (vollständig vor Ort) | 1-2 Wochen |
| Zertifizierung | Organisation erhält Auditbericht mit empfohlenen Verbesserungen und ISO 27001 Zertifikat (bei erfolgreicher Prüfung) | nach Abschluss |
| Überwachungsaudit | Kontrolle der Wirksamkeit und Weiterentwicklung des ISMS | jährlich nach Abschluss |
| Rezertifizierung | Erneuter Audit in reduziertem Umfang (Stichproben) | innerhalb von 3 Jahren |
ISO 27001: Abweichungen und Nachbesserungen
Mängel oder Abweichungen im ISMS einer Organisation feststellt. Solche Probleme bedeuten jedoch nicht zwangsläufig, dass ein Audit nicht bestanden und das Unternehmen durchgefallen ist. Wie sich Fehler und etwaige Korrekturen auf die ISO 27001 Zertifizierung auswirken, hängt vor allem von deren Schweregrad ab.
Stellt das Audit-Team geringfügige Abweichungen fest, kann eine Zertifizierung dennoch erfolgreich verlaufen, so lange die Grundvoraussetzungen der IT-Sicherheit abgedeckt sind. Das gilt ebenso für vorgeschlagene Verbesserungen, wobei nachvollziehbar sein sollte, weshalb diese nicht umgesetzt wurden. Bei scherwiegenden Abweichungen kann ein ISO-Zertifikat allerdings erst ausgestellt werden, sobald der Prüfling diese ausbessert. Zertifizierungsstellen geben dazu in der Regel einen bestimmten Zeitrahmen vor.
Grundsätzlich gilt, dass Abweichungen und Korrekturen ein normaler Teil des Zertifizierungsprozesses sind und Ihre Firma nicht in Panik versetzen sollten. Informationssicherheit ist kein statischer Zustand, sondern ein Prozess, der stetige Verbesserungen und das Beheben von Fehlern voraussetzt. Aus diesem Grund sieht ISO/IEC 27001 ja selbst interne Audits und Kontrollprozesse vor.
Solange Sie sich bei der Behebung von Fehlern kooperativ und engagiert zeigen, spricht meist nichts gegen einen erfolgreichen Abschluss. Ein negatives Ergebnis bzw. abgebrochener Audit setzt neben gravierenden Mängeln meist auch Probleme bei der Fehlerbehebung voraus.
ISO 27001 – Notwendige Maßnahmen
Unternehmen und Behörden die den ISO 27001 Standard anstreben, müssen sich auf allen Ebenen mit dem Thema Informationssicherheit befassen, von der Schulung des Personals bis hin zur Verantwortung der Geschäftsführung, die Grundlage und Ressourcen für einen sicheren IT-Betrieb zu schaffen. Trotz dieser organisatorischen Rahmenbedingungen geht es im Kern eines IT-Sicherheitsstandards natürlich um Schutzmaßnahmen, also spezifische Schritte, die den Zugang zum Firmennetzwerk und allen digitalen Ressourcen absichern.
Da Organisationen den Rahmen (Scope) ihres Informations-Sicherheits-Management-Systems selbst festlegen können, gibt ihnen ISO 27001 einigen Freiraum um selbst zu entscheiden, welche Schutzmaßnahmen angemessen und sinnvoll zur Erreichung der drei Schutzziele Integrität, Verfügbarkeit und Vertraulichkeit sind. Dennoch müssen sie sich dabei an einen gewissen Mindeststandard halten, nämlich die Maßnahmen-Tabelle im Anhang des Dokuments bzw. in ISO 27002.
Betriebe, die sich zertifizieren lassen möchten, sind nicht verpflichtet, alle im Anhang aufgelisteten Schutzmaßnahmen in die Tat zu setzen. Denn nicht jede Anforderung passt zu jedem Unternehmen: Für Firmen, die keine eigenen Anwendungen entwickeln, machen Vorgaben zur sicheren Software-Entwicklung z.B. keinen Sinn.
Aber: Für die ISO 27001 Zertifizierung müssen Organisationen sämtliche Kontrollen in Tabelle A.1 bzw. ISO 27002 Schritt für Schritt durchgehen und in einer Erklärung zur Anwendbarkeit (Statement of Applicability bzw. SOA) festhalten, wie diese implementiert wurden oder ob es einen triftigen Grund gibt, warum eine Kontrolle übersprungen wird.
Ebenso wie das Unternehmen selbst entwickeln sich auch die IT-Infrastruktur und somit die Anforderungen an das ISMS laufend weiter. Die Erklärung zur Anwendbarkeit muss daher regelmäßig aktualisiert werden, da nicht benötigte Schutzmaßnahmen im späteren Verlauf relevant werden können.
Der neueste Stand: ISO 27002:2022
Da Tabelle A.1 direkt auf die Norm 27002 verweist, besteht ein enger Zusammenhang zwischen beiden Dokumenten. Die zuvor gültige Version ISO 27002:2013 (deutsche Übersetzung: 2018) war noch in 14 Bereiche aufgeteilt, die für 2022 aktualisierte Version legt diese jedoch in vier große Kapitel zusammen: organisatorische, personelle, physische und technische Sicherheitsmaßnahmen.
Durch die Aktualisierung von ISO 27002 sinkt die Zahl von Schutzmaßnahmen zudem von 114 auf lediglich 93, da viele der bestehenden Vorgaben zusammengelegt und überarbeitet wurden.
Organisatorische Maßnahmen
Mit insgesamt 37 Abschnitten bildet das Kapitel Organizational Controls den größten Teil von ISO 27002. Einfach ausgedrückt beschreibt dieses Kapitel alle Aspekte der Informationssicherheit, die durch Policy, Richtlinien und Management-Entscheidungen zu steuern sind. Dazu zählt etwa das Erstellen einer Sicherheitsleitlinie, das Festlegen von Verantwortlichen und die Inventur aller Informations-Assets (inkl. Data bzw. Risk Owner).
Ebenso Teil der organisatorischen Pflichten ist der Kontakt mit relevanten Behörden, die Einhaltung etwaiger anderer gesetzlicher Standards sowie der angemessene Umgang mit persönlichen Daten, urheberrechtlich geschützten Informationen und wichtigen Aufzeichnungen. Die Behandlung von Risiken sieht zudem vor, dass sich Organisationen aktiv über neue Bedrohungen wie Zero Day Exploits informieren.
Ein wichtiger Teilbereich der organisatorischen Sicherheitsmaßnahmen ist die Steuerung des Zugriffs auf digitale Ressourcen bzw. Access Control. Dazu muss eine Organisation Regeln definieren, welche Mitarbeiter Zugriff auf welche Daten benötigen und wie der Zugriff gewährt wird. Ebenso muss die Rückgabe von Assets und der Widerruf des Zugangs geregelt sein.
Personelle Maßnahmen
Um die Sicherheit des Firmennetzwerks zu gewährleisten, müssen alle Anwender ihren Teil beitragen. Firmen stehen jedoch in der Verantwortung, ihre Angestellten mit dem dafür nötigen Wissen auszustatten. Unter anderem besteht ISO 27002 deshalb auf die klare Kommunikation der Schutzziele und Leitlinien und ausreichende Schulungen zur Vorbereitung der Mitarbeiter.
Ebenso muss die Nichteinhaltung der Sicherheitsvorkehrungen geahndet werden. Dazu braucht es auch einen klaren Prozess, über den Angestellte Vorfälle und mögliche Sicherheitslücken und Schwachstellen melden können.
Falls Angestellte auf die Option von Home Office bzw. Remote Work zurückgreifen können, muss der Zugriff auf das Unternehmensnetz über kontrollierte Endgeräte erfolgen und durch entsprechende Sicherheitsmaßnahmen abgesichert werden.
Physische Maßnahmen
Die ISO-Vorgaben zur physischen Absicherung besagen im Wesentlichen, dass Bereiche mit sensiblen Daten gegen unerlaubtes Betreten abgesichert und angemessen überwacht werden müssen. PCs, Geräte und Speichermedien müssen gegen unerlaubte Verwendung geschützt werden, beispielsweise durch Clean-Desk-Policies und die automatische Bildschirmsperre bei Inaktivität.
Da auch die Verfügbarkeit von Daten zu den ISO-Schutzzielen zählt, ist es Pflicht für Unternehmen ihre IT gegen Katastrophen und physische Bedrohungen wie Feuer, Überflutung oder Überspannung abzusichern.
Technische Maßnahmen
Die Implementierung technischer Sicherheitsmaßnahmen nimmt neben organisatorischen Anforderungen den größten Teil von ISO 27002 ein. Das zugehörige Kapitel der Norm befasst sich mit insgesamt 34 Bereichen wie der Absicherung von Endgeräten oder der Verschlüsselung von Daten, wobei jeder Abschnitt ein grundlegendes Ziel definiert und anschließend Empfehlungen für die Umsetzung ausspricht.
Beispiel: Kapitel 8.7 widmet sich dem Schutz vor Malware und setzt die Ziel-Vorgabe, dass Daten und Informationswerte vor Schadsoftware geschützt werden müssen. Der Leitfaden zur Implementierung stellt jedoch klar, dass der Einsatz eines Antivirus-Programms im Normalfall nicht ausreicht, um dieses Ziel zu erfüllen.
Weitere Schritte, die Organisationen in Betracht ziehen sollten sind u.a. das Sperren verdächtiger Websites und Anhänge, Application Whitelisting bzw. die Blockierung unbekannter Programme, die Isolierung kritischer Systeme und ein aktives Bedrohungsmanagement inklusive der Recherche neuer Gefahren. Welche dieser Maßnahmen im konkreten Fall notwendig bzw. angemessen sind, hängt von der Risikoanalyse und dem Einsatzbereich des ISMS ab.
Weitere relevante Aspekte der technischen Absicherung sind etwa Multi-Faktor-Authentifizierung für User, der Umgang mit privilegierten Konten, die Härtung von Systemen, die Überwachung von User-Aktivitäten, das Backup von Informationen, die sichere Entsorgung von Speichermedien uvm.
ISO 27001 – Anforderungen an das Berechtigungsmanagement
Bei der Einführung eines ISO-konformen Informationssicherheitsmanagementsystems geht es primär darum, ein Fundament für die Absicherung von IT-Systemen und den sicheren Umgang mit Daten zu schaffen. Dazu müssen Organisationen grundlegende Fragen beantworten: Welche Schutzmaßnahmen sind erforderlich und wer trägt die Verantwortung für ihre Umsetzung? Aber auch: Welche Ressourcen gibt es im Unternehmensnetzwerk und welche Mitarbeiter brauchen Zugriff auf welche Daten?
Um Informationssicherheit zu schaffen, braucht es Klarheit über die vorhandenen Informationswerte und die Nutzer, die mit diesen Daten arbeiten. Nicht ohne Grund bildet Identity und Access Management, also die Verwaltung von Benutzerkonten und IT-Berechtigungen, einen entscheidenden Teil von ISO 27001. Im Folgenden gehen wir daher im Detail auf die ISO-Anforderungen an das Berechtigungsmanagement ein und erklären, wie diese in tenfold Access Management abgebildet werden.
ISO Kapitel im Überblick
Ziel: Regeln für den Zugang zu IT-Ressourcen zu definieren, die den Geschäfts- und Sicherheitsanforderungen entsprechen und Best Practices wie Funktionstrennung, Least Privilege Zugang und die Rezertifizierung von Berechtigungen berücksichtigen.
Lösung in tenfold: Role-based Access Control sorgt in tenfold für die automatische Vergabe von Privilegien anhand zuvor definierter Standard-Rechte. Die Software unterstützt Sie beim Erstellen eines Rollenmodells indem anhand der existierenden Rechte und Organisationseinheiten (Role Mining).
Individuell vergebene Rechte werden in tenfold regelmäßig durch den jeweiligen Datenverantwortlichen rezertifiziert, also auf Aktualität geprüft.
Ziel: Den gesamten Lebenszyklus von Benutzerkonten aktiv zu steuern um IT-Zugriffsrechte zu jeder Zeit aktuell zu halten und Benutzer eindeutig zu identifizieren.
Lösung in tenfold: Durch die Automatisierung des User Lifecycle in tenfold verfügen Anwender vom Firmeneintritt bis zum Firmenaustritt über genau die Zugriffsrechte, die sie für ihre Arbeit brauchen.
Die Provisionierung von Nutzern ebenso wie der Entzug von Rechten und die Deaktivierung von Konten werden durch tenfold zentral gesteuert und die nötigen Anpassungen automatisch in das Zielsystem übertragen.
Ziel: Die sichere Verwahrung und Übermittlung von Zugangsdaten, um unerlaubte Anmeldungen zu verhindern.
Lösung in tenfold: Die Vergabe initialer Zugangsdaten erfolgt in tenfold über sichere Einmalpasswörter (One-Time-Secret bzw. OTS), die der Benutzer nach der Anmeldung durch ein eigenes, komplexes Passwort austauschen muss.
tenfold‘s Self-Service-Oberfläche erlaubt es Nutzern (nach bestandenem Sicherheits-Check), Passwörter für ihre Konten in allen verknüpften Diensten selbstständig zurückzusetzen, was Admins im Alltag deutlich entlastet.
Ziel: Die Vergabe, Kontrolle und Löschung von Zugriffsrechten nach den Anforderungen der Sicherheitsleitlinie zu gestalten und angemessen zu dokumentieren.
Lösung in tenfold: Durch das Festlegen von Data Ownern können Organisationen selbst bestimmen, wer über den Zugang zu Daten entscheiden soll. Vergebene Rechte werden regelmäßig durch Access Reviews auf Aktualität geprüft.
tenfold bietet zudem die Möglichkeit, temporäre Rechte zu vergeben, die nach dem festgelegten Zeitraum automatisch erlöschen. Sämtliche Prozesse, vom Antrag über die Freigabe bis zur Bestätigung, werden von tenfold vollständig dokumentiert.
Ziel: Die Vergabe und Nutzung privilegierter Konten zu beschränken.
Lösung in tenfold: Die transparente Verwaltung in tenfold trägt dazu bei, Konten und Privilegien auf ein notwendiges Minimum zu reduzieren und sicherzustellen, dass nur jene Mitarbeiter mit Berechtigungen ausgestattet werden, die diese tatsächlich benötigen.
Erweiterte Sicherheitsanforderungen für Admin-Konten, wie das Aufzeichnen sämtlicher Aktivitäten, sind in tenfold nicht abgedeckt und erfordern eine eigene Lösung aus dem Bereich des Privileged Access Management (PAM). Diese können in Kombination mit tenfold verwendet werden.
Ziel: Den Zugang zu Informationen zu beschränken und zu kontrollieren, welche Identitäten Zugang zu welchen Daten haben.
Lösung in tenfold: Das Rollenmodell von tenfold schafft Transparenz darüber, welche Benutzergruppen Zugang zu welchen Informationen haben. Individuelle Freigaben hebt tenfold gesondert hervor, da diese leicht vergessen werden.
Über das tenfold Reporting lässt sich jederzeit auf Gruppen-, User- und Dateiebene nachvollziehen, wer Zugang zu welchen Daten hat und hatte. Sämtliche Änderungen an Zugriffsrechten werden manipulationssicher aufgezeichnet.
Ziel: Lese- und Schreibzugriff auf Quellcode, Entwicklungstools und Software-Bibliotheken gezielt zu steuern.
Lösung in tenfold: Der Zugang zu Ressourcen für die Software-Entwicklung lässt sich über tenfold ebenso leicht steuern, wie es für jede andere Ressource im Firmennetzwerk möglich ist.
Die nötigen Zugriffsrechte können durch Berechtigungsgruppen und Self-Service-Anfragen gesteuert werden. Dank der übersichtlichen Zusammenfassung in tenfold ist es dabei in wenigen Sekunden möglich nachzuvollziehen, wer mit sensiblen Daten wie dem Quellcode arbeitet.
Ziel: Sichere Authentifizierungstechniken zu implementieren, um User verlässlich identifizieren zu können.
Lösung in tenfold: Die Anmeldung in tenfold kann mittels Multi-Faktor-Authentifizierung (MFA) über Smartphone Token abgesichert werden.
tenfold unterstützt die in verknüpften Diensten enthaltenen Anmeldeverfahren (wie etwa MFA für Windows über die Authenticator App), stellt aber keine eigenen Möglichkeiten zur Authentifizierung in externen Anwendungen bereit.
Lösung in tenfold: Role-based Access Control sorgt in tenfold für die automatische Vergabe von Privilegien anhand zuvor definierter Standard-Rechte. Die Software unterstützt Sie beim Erstellen eines Rollenmodells indem anhand der existierenden Rechte und Organisationseinheiten (Role Mining).
Individuell vergebene Rechte werden in tenfold regelmäßig durch den jeweiligen Datenverantwortlichen rezertifiziert, also auf Aktualität geprüft.
Die hier ausgewählten Kapitel decken jene Bereiche von ISO 27002 ab, die sich explizit dem Thema Identity & Access Management widmen. Da Benutzerkonten und Zugriffsrechte die Grundlage von IT-Systemen bilden, spielt ihre Verwaltung natürlich auch in vielen anderen Abschnitten eine Rolle. Dazu zählt die Einhaltung gesetzlicher Standards (5.31), der Schutz persönlicher Daten (5.34) und die Aufzeichnung von Ereignissen (8.15)
tenfold: Informationssicherheit & effiziente Verwaltung
Für die Zertifizierung nach ISO 27001 müssen Organisationen nachweisen, dass ihre IT auf einem soliden und sicheren Fundament ruht. Neben der Implementierung bestimmter Sicherheitsmaßnahmen, braucht es dazu Klarheit über die eigenen Informationswerte und jene User, die tagtäglich mit diesen Daten arbeiten.
In Betrieben mit mehreren hundert Mitarbeiterinnen lässt sich der Zugang zu IT-Systemen nur mit einer Identity und Access Management Lösung ressourcenschonend steuern. IAM-Systeme wie tenfold verbessern die Sicherheit von Daten, die Produktivität von Admins und die Compliance Ihres Unternehmens!
Durch seine einfache Inbetriebnahme, hohen Funktionsumfang und flexible Schnittstellen ist tenfold Access Management perfekt an die Bedürfnisse mittelständischer Organisationen angepasst. Überzeugen Sie sich selbst von den Vorteilen von tenfold, sehen Sie sich unsere Produkt-Demo an oder melden Sie sich für einen kostenlosen Test an.
Zugriffsrechte Compliance-gerecht verwalten?