ISO 27001: Anforderungen und Vorbereitung der Zertifizierung

Die internationaleย Norm ISO 27001ย zรคhlt zu den bekanntesten und gebrรคuchlichsten Standards fรผr Informationssicherheit. Durch Aufbau und Zertifizierung eines ISO-konformen Informationssicherheits-Managementsystems (ISMS) kรถnnen Unternehmen gegenรผber Partnern und Kunden nachweisen, dass ihre IT-Sicherheit auf dem neuesten Stand ist. In unserem Ratgeber erfahren Sie, welcheย Anforderungenย ISO 27001 an Firmen und Behรถrden stellt, was es bei derย Vorbereitungย auf die Zertifizierung zu beachten gilt und welche Ansprรผche die Norm an das Berechtigungsmanagement einer Organisation setzt.

ISO 27001 – Was ist das?

ISO 27001, offizieller Name ISO/IEC 27001, ist eine Norm fรผr IT-Sicherheitsverfahren, die gemeinsam von der Internationalen Organisation fรผr Standardisierung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt wird. ISO 27001 definiert Vorgaben an den Aufbau, Betrieb und die laufende Verbesserung eines sogenannten Informations-Sicherheits-Management-Systems bzw. ISMS.

Ein ISMS hat die Aufgabe, Prozesse und Verantwortungen rund um die Informationssicherheit klar zu regeln und fest in einer Organisation zu etablieren. Es handelt sich also um eine Reihe verbindlicher und klar dokumentierter Richtlinien, die bestimmen, welche SicherheitsmaรŸnahmen eingehalten werden mรผssen und wer verantwortlich fรผr Umsetzung und Kontrolle ist.

Der Standard ISO 27001 definiert die Anforderungen, nach denen Unternehmen ihr ISMS zertifizieren lassen kรถnnen. Darรผber hinaus enthรคlt die Reihe ISO 27000 bzw. 2700x jedoch noch viele weitere Dokumente, die unterschiedliche Aufgaben- und Teilbereiche abdecken:

  • ISO 27000:ย รœberblick รผber das Thema und Definition wesentlicher Begriffe

  • ISO 27001:ย Anforderungen an ein ISMS, Grundlage fรผr ISO-Zertifizierung und -Audits

  • ISO 27002:ย Details zu notwendigen SicherheitsmaรŸnahmen

  • ISO 27003:ย Leitfaden zur Umsetzung eines ISMS

  • ISO 27004:ย Richtlinien fรผr die Messung und Verbesserung eines ISMS

  • ISO 27005:ย Richtlinien fรผr das Risikomanagement

  • ISO 27006, 27007 & 27008:ย Vorgaben an Prรผfstellen und ISO-Audits

Die insgesamt รผber 20 Dokumente der ISO/IEC 27000er Reihe befassen sich darรผber hinaus mit speziellen Themenbereichen wie der Sicherheit von Cloud-Diensten (27017), Datenschutz (27701) oder Sicherheitsmanagement im Gesundheitswesen (27799).

Ist ISO 27001 verpflichtend?

Bei ISO 27001 handelt es sich grundsรคtzlich um eine freiwillige Zertifizierung. Unternehmen kรถnnen mithilfe von ISO 27001 gegenรผber Kunden und Partnern den Nachweis erbringen, dass sie angemessene IT-SicherheitsmaรŸnahmen verwenden, diese durch interne Audits kontrollieren und laufend verbessern.

Der Kern von ISO 27001, das Informationssicherheits-Managementsystem, ist inzwischen jedoch auch Teil anderer Sicherheitsstandards geworden, die entweder analoge Forderungen stellen oder direkt auf die ISO-Norm referenzieren. Fรผr Organisationen, die einen solches Regelwerk einhalten mรผssen, kann die Einfรผhrung eines ISO-konformen ISMS also dennoch zur Pflicht werden.

Beispielsweise ist die Implementierung eines ISMS Bestandteil der branchenspezifischen Sicherheitsstandards (B3S) rund um die KRITIS-Verordnung und das IT-Sicherheitsgesetz 2.0. Ebenso sind Behรถrden durch das Online-Zugangsgesetz (OGZ) dazu verpflichtet, ein Sicherheitskonzept umzusetzen, das mindestens ISO 27001 bzw. dem IT-Grundschutz entspricht.

Ein Computer mit Schloss auf der Tastatur, Symbol fรผr Sicherheit
ISO 27001 ist freiwillig, doch ein ISMS ist immer รถfter Vorschrift. Adobe Stock, (c) thodonal

ISO 27001: Updates & Lebenszyklus

Um sicherzugehen, dass ISO-Standards stets dem neuesten Stand der Technik entsprechen, werden diese spรคtestens alle fรผnf Jahre einer umfassenden Kontrolle unterzogen. Je nach Ergebnis der Experten-Kommission kann ein Standard weiterverwendet, angepasst oder aus dem Umlauf genommen und vollstรคndig รผberarbeitet werden.

Die jeweils aktuellste Version einer Norm kann รผber die ISO-Website oder Mitglieder und Landesorganisationen wie das Deutsche Institut fรผr Normierung (DIN) abgerufen werden.

Hinweis: Mit ISO 27001:2022 ist Ende Oktober 2022 offiziell eine neue Version des Standards erschienen, welche die bislang gรผltige Norm ersetzt (ISO 27001:2013). Die ร„nderungen betreffen hauptsรคchlich die in Anhang A gelisteten Kontrollen, welche in Einklang ISO 27002 gebracht wurden. Eine deutsche รœbersetzung liegt bislang nur fรผr ISO 27001 vor.

ISO 27001: Relevante Bereiche

Die ISO-Norm 27001 definiert Anforderungen an die Implementierung, Weiterentwicklung und laufende Kontrolle eines ISMS. Das Informationssicherheits-Managementsystem dient dazu, die รผbergeordneten Schutzziele der Verfรผgbarkeit, Vertraulichkeit und Integritรคt von Informationen zu gewรคhrleisten.

Informationssicherheit wird fรคlschlicherweise oft als reines IT-Thema betrachtet, betrifft in Wahrheit aber sรคmtliche Ebenen einer Organisation. Neben technischen Aspekten deckt ISO/IEC 27001 daher auch organisatorische Fragen ab, etwa die Rolle der Geschรคftsfรผhrung, die u.a. Verantwortliche benennen, die notwendigen Ressourcen bereitstellen und fรผr laufende Kontrollen sorgen muss.

Zu den fรผr ISO 27001 relevanten Bereichen gehรถren Themen wie:

  • Verantwortung des Managements

  • Leitlinie zur Informationssicherheit

  • Aufgaben und Verantwortlichkeiten

  • Risikobewertung und Risikomanagement

  • Bewusstseinsbildung

  • Dokumentation von Informationen

  • Laufende Evaluierung

  • Interne Audits

ISO 27001: Anforderungen

ISO 27001 besteht im Wesentlichen aus zwei Teilen: Der Hauptteil, welcher der ISO High Level Structure in 10 Kapiteln folgt, definiert die Anforderungen, die Organisationen fรผr eine erfolgreiche Zertifizierung erfรผllen mรผssen. Die Vorgaben der Norm sind hier sehr allgemein gehalten, um eine breite Anwendung von ISO 27001 in Betrieben unterschiedlicher GrรถรŸe und verschiedenen Industriezweigen zu ermรถglichen.

Beispiel: Kapitel 8.1 der Norm, Betriebliche Planung und Steuerung, definiert folgende Anforderung: โ€œDie Organisation muss sicherstellen, dass ausgelagerte Prozesse bestimmt und รผberwacht werden.โ€ Dieser Abschnitt legt also ein Ziel fest, fรผhrt jedoch nicht aus, welche konkreten Schritte zur Umsetzung dieser Anforderung notwendig sind.

Security Fachkraft in der IT Abteilung eines groรŸen Konzerns.
Details zu SicherheitsmaรŸnahmen finden sich im Anhang von ISO 27001. Adobe Stock, (c) Gorodenkoff

Dahingegen liefert der Anhang mit Tabelle A.1 spezifische MaรŸnahmen fรผr den Umgang mit Informationssicherheitsrisiken. Tabelle A.1 verweist dabei direkt auf ISO 27002, wo die Schritte zur Umsetzung dieser MaรŸnahmen noch detaillierter, nรคmlich auf รผber 150 Seiten, ausgefรผhrt sind.

Laut Abschnitt 6.1.3. mรผssen Unternehmen die von ihnen geplanten Sicherheitsvorkehrungen mit Tabelle A.1 abgleichen, um sicherzustellen, dass keine notwendigen SchutzmaรŸnahmen in ihrem ISMS fehlen.

Organisationen mรผssen nicht zwangslรคufig alle Kontrollen umsetzen, die im Anhang dokumentiert sind. Sie mรผssen aber sรคmtliche MaรŸnahmen durchgehen und in einer Erklรคrung zur Anwendbarkeit (Statement of Applicability) festhalten, welche davon fรผr sie relevant sind, wie die Implementierung erfolgt ist bzw. mit welcher Begrรผndung eine MaรŸnahme รผbersprungen wird.

Achtung: ISO 27002:2022 รผberarbeitet und konsolidiert viele der bestehenden SicherheitsmaรŸnahmen. Die in ISO 27001:2013 enthaltene Tabelle ist deshalb nicht mehr aktuell. Die jeweiligen Entsprechungen sind in 27002:2022 in eigenen Tabellen dokumentiert.

ISO 27001: Vorbereitung & Checkliste

Eine Zertifizierung nach ISO 27001 ist mit viel Aufwand verbunden und muss von langer Hand geplant werden. Fรผr die Vorbereitung von ISO 27001 kรถnnen Organisationen dabei auf die verfรผgbaren Orientierungshilfen zurรผckgreifen.

Da die offiziellen Dokumente des Standards nicht leicht zu erfassen sind und Firmen hinsichtlich der eigenen Prozesse oft eine gewisse Betriebsblindheit entwickeln, ist es darรผber hinaus auch sinnvoll auf die Services eines externen Compliance-Beraters zurรผckzugreifen.

Welche Schritte nรถtig sind, um ein ISO-konformes Informationssicherheits-Managementsystem in der Praxis umzusetzen, hรคngt wesentlich vom Ausgangszustand und dem individuellen Kontext einer Organisation ab. Als Hilfestellung finden Sie hier einige wesentliche Punkte, die bei der Vorbereitung keinesfalls vergessen werden dรผrfen.

ISO 27001 Checkliste

  • Scope des Informationssicherheitsmanagementsystems (ISMS) definiert

  • Relevante Sicherheitsstandards und gesetzliche Vorgaben zusammengefasst

  • Risikobewertung durchgefรผhrt und dokumentiert

  • Informationssicherheitsrichtlinie erstellt

  • Erklรคrung zur Anwendbarkeit der SchutzmaรŸnahmen (Anhang A) verfasst

  • Relevante SicherheitsmaรŸnahmen implementiert

  • Verantwortlichkeiten in Management und Fachbereichen geregelt

  • Interne Kommunikation und Schulungen geplant

  • Ziele und Ergebnisse zur Verbesserung des ISMS festgelegt

  • Offizielle Teststelle kontaktiert

ISO 27001: Ablauf der Zertifizierung

Die ISO 27001 Zertifizierung ist nur mit einer akkreditierten Teststelle mรถglich. Bis eine Organisation sich dazu entschlieรŸt, externe Auditoren zu beauftragen, sollten natรผrlich sรคmtliche Vorbereitungen abgeschlossen sein, damit die Prรผfung zeitnah und erfolgreich abgeschlossen werden kann.

Abhรคngig von der gemeinsamen Terminfindung und der Komplexitรคt des zu prรผfenden Unternehmens kann die ISO 27001 Zertifizierung einige Wochen bis hin zu mehreren Monaten in Anspruch nehmen, zuzรผglich des Aufwands im Vorfeld fรผr die Umsetzung der SchutzmaรŸnahmen.

Auditor bei der Analyse einer Scope-Definition.
In Phase 1 des Audits nehmen Prรผfer die ISMS-Dokumente unter die Lupe. Adobe Stock, (c) AndreyPopov

Der eigentliche Audit besteht aus zwei Teilen bzw. Stufen: Im ersten Schritt รผberprรผft das Audit-Team die rund um das ISMS erstellten Dokumente, wie die Scope-Definition, Sicherheitsleitlinie, Risikobewertung und Beschreibung interner Kontrollen. Die Auswertung der Unterlagen kann remote erfolgen, zusรคtzlich ist aber eine Begehung des Firmengelรคndes vorgesehen, um standort-spezifische Faktoren und Risiken beurteilen zu kรถnnen.

Falls die Erstkontrolle erfolgversprechend ausfรคllt, geht es weiter mit Stufe 2: einem ausfรผhrlichen Vor-Ort-Audit, bei dem รผberprรผft wird, ob das ISMS tatsรคchlich wirksam und konsequent eingesetzt wird oder nur โ€œauf dem Papierโ€ existiert. Auditoren fรผhren dazu Interviews mit Verantwortlichen ebenso wie mit normalen Mitarbeitern durch und machen sich direkt im laufenden Betrieb ein Bild von der praktischen Umsetzung der Schutzziele.

ISO 27001 Zeitrahmen

AblaufDetailsDauer
VorbereitungPlanung und Implementierung der notwendigen SicherheitsmaรŸnahmen und organisatorischen Prozesse3-9 Monate
BeauftragungErstgesprรคche mit akkreditierter Prรผfstelle, Planung der weiteren Termine1-2 Wochen
Audit Stufe 1Auditoren prรผfen eingereichte ISMS-Dokumente und standortspezifische Faktoren (teilweise vor Ort)1-2 Tage
Audit Stufe 2Auditoren prรผfen Wirksamkeit des ISMS und ob dieses im laufenden Betrieb eingehalten wird (vollstรคndig vor Ort)1-2 Wochen
ZertifizierungOrganisation erhรคlt Auditbericht mit empfohlenen Verbesserungen und ISO 27001 Zertifikat (bei erfolgreicher Prรผfung)nach Abschluss
รœberwachungsauditKontrolle der Wirksamkeit und Weiterentwicklung des ISMSjรคhrlich nach Abschluss
RezertifizierungErneuter Audit in reduziertem Umfang (Stichproben)innerhalb von 3 Jahren

ISO 27001: Abweichungen und Nachbesserungen

Mรคngel oder Abweichungen im ISMS einer Organisation feststellt. Solche Probleme bedeuten jedoch nicht zwangslรคufig, dass ein Audit nicht bestanden und das Unternehmen durchgefallen ist. Wie sich Fehler und etwaige Korrekturen auf die ISO 27001 Zertifizierung auswirken, hรคngt vor allem von deren Schweregrad ab.

Stellt das Audit-Team geringfรผgige Abweichungen fest, kann eine Zertifizierung dennoch erfolgreich verlaufen, so lange die Grundvoraussetzungen der IT-Sicherheit abgedeckt sind. Das gilt ebenso fรผr vorgeschlagene Verbesserungen, wobei nachvollziehbar sein sollte, weshalb diese nicht umgesetzt wurden. Bei scherwiegenden Abweichungen kann ein ISO-Zertifikat allerdings erst ausgestellt werden, sobald der Prรผfling diese ausbessert. Zertifizierungsstellen geben dazu in der Regel einen bestimmten Zeitrahmen vor.

Grundsรคtzlich gilt, dass Abweichungen und Korrekturen ein normaler Teil des Zertifizierungsprozesses sind und Ihre Firma nicht in Panik versetzen sollten. Informationssicherheit ist kein statischer Zustand, sondern ein Prozess, der stetige Verbesserungen und das Beheben von Fehlern voraussetzt. Aus diesem Grund sieht ISO/IEC 27001 ja selbst interne Audits und Kontrollprozesse vor.

Solange Sie sich bei der Behebung von Fehlern kooperativ und engagiert zeigen, spricht meist nichts gegen einen erfolgreichen Abschluss. Ein negatives Ergebnis bzw. abgebrochener Audit setzt neben gravierenden Mรคngeln meist auch Probleme bei der Fehlerbehebung voraus.

Mitarbeiter ruft ISO-Zertifikat auf Laptop auf.
Welche SchutzmaรŸnahmen sind Teil von ISO 27001? Alle Infos! Adobe Stock, (c) Looker_Studio

ISO 27001 โ€“ Notwendige MaรŸnahmen

Unternehmen und Behรถrden die den ISO 27001 Standard anstreben, mรผssen sich auf allen Ebenen mit dem Thema Informationssicherheit befassen, von der Schulung des Personals bis hin zur Verantwortung der Geschรคftsfรผhrung, die Grundlage und Ressourcen fรผr einen sicheren IT-Betrieb zu schaffen. Trotz dieser organisatorischen Rahmenbedingungen geht es im Kern eines IT-Sicherheitsstandards natรผrlich um SchutzmaรŸnahmen, also spezifische Schritte, die den Zugang zum Firmennetzwerk und allen digitalen Ressourcen absichern.

Da Organisationen den Rahmen (Scope) ihres Informations-Sicherheits-Management-Systems selbst festlegen kรถnnen, gibt ihnen ISO 27001 einigen Freiraum um selbst zu entscheiden, welche SchutzmaรŸnahmen angemessen und sinnvoll zur Erreichung der drei Schutzziele Integritรคt, Verfรผgbarkeit und Vertraulichkeit sind. Dennoch mรผssen sie sich dabei an einen gewissen Mindeststandard halten, nรคmlich die MaรŸnahmen-Tabelle im Anhang des Dokuments bzw. in ISO 27002.

Betriebe, die sich zertifizieren lassen mรถchten, sind nicht verpflichtet, alle im Anhang aufgelisteten SchutzmaรŸnahmen in die Tat zu setzen. Denn nicht jede Anforderung passt zu jedem Unternehmen: Fรผr Firmen, die keine eigenen Anwendungen entwickeln, machen Vorgaben zur sicheren Software-Entwicklung z.B. keinen Sinn.

Aber: Fรผr die ISO 27001 Zertifizierung mรผssen Organisationen sรคmtliche Kontrollen in Tabelle A.1 bzw. ISO 27002 Schritt fรผr Schritt durchgehen und in einer Erklรคrung zur Anwendbarkeit (Statement of Applicability bzw. SOA) festhalten, wie diese implementiert wurden oder ob es einen triftigen Grund gibt, warum eine Kontrolle รผbersprungen wird.

Ebenso wie das Unternehmen selbst entwickeln sich auch die IT-Infrastruktur und somit die Anforderungen an das ISMS laufend weiter. Die Erklรคrung zur Anwendbarkeit muss daher regelmรครŸig aktualisiert werden, da nicht benรถtigte SchutzmaรŸnahmen im spรคteren Verlauf relevant werden kรถnnen.

Der neueste Stand: ISO 27002:2022

Da Tabelle A.1 direkt auf die Norm 27002 verweist, besteht ein enger Zusammenhang zwischen beiden Dokumenten. Die zuvor gรผltige Version ISO 27002:2013 (deutsche รœbersetzung: 2018) war noch in 14 Bereiche aufgeteilt, die fรผr 2022 aktualisierte Version legt diese jedoch in vier groรŸe Kapitel zusammen: organisatorische, personelle, physische und technische SicherheitsmaรŸnahmen.

Durch die Aktualisierung von ISO 27002 sinkt die Zahl von SchutzmaรŸnahmen zudem von 114 auf lediglich 93, da viele der bestehenden Vorgaben zusammengelegt und รผberarbeitet wurden.

Organisatorische MaรŸnahmen

Mit insgesamt 37 Abschnitten bildet das Kapitel Organizational Controls den grรถรŸten Teil von ISO 27002. Einfach ausgedrรผckt beschreibt dieses Kapitel alle Aspekte der Informationssicherheit, die durch Policy, Richtlinien und Management-Entscheidungen zu steuern sind. Dazu zรคhlt etwa das Erstellen einer Sicherheitsleitlinie, das Festlegen von Verantwortlichen und die Inventur aller Informations-Assets (inkl. Data bzw. Risk Owner).

Ebenso Teil der organisatorischen Pflichten ist der Kontakt mit relevanten Behรถrden, die Einhaltung etwaiger anderer gesetzlicher Standards sowie der angemessene Umgang mit persรถnlichen Daten, urheberrechtlich geschรผtzten Informationen und wichtigen Aufzeichnungen. Die Behandlung von Risiken sieht zudem vor, dass sich Organisationen aktiv รผber neue Bedrohungen wie Zero Day Exploits informieren.

Ein wichtiger Teilbereich der organisatorischen SicherheitsmaรŸnahmen ist die Steuerung des Zugriffs auf digitale Ressourcen bzw. Access Control. Dazu muss eine Organisation Regeln definieren, welche Mitarbeiter Zugriff auf welche Daten benรถtigen und wie der Zugriff gewรคhrt wird. Ebenso muss die Rรผckgabe von Assets und der Widerruf des Zugangs geregelt sein.

Personelle MaรŸnahmen

Um die Sicherheit des Firmennetzwerks zu gewรคhrleisten, mรผssen alle Anwender ihren Teil beitragen. Firmen stehen jedoch in der Verantwortung, ihre Angestellten mit dem dafรผr nรถtigen Wissen auszustatten. Unter anderem besteht ISO 27002 deshalb auf die klare Kommunikation der Schutzziele und Leitlinien und ausreichende Schulungen zur Vorbereitung der Mitarbeiter.

Ebenso muss die Nichteinhaltung der Sicherheitsvorkehrungen geahndet werden. Dazu braucht es auch einen klaren Prozess, รผber den Angestellte Vorfรคlle und mรถgliche Sicherheitslรผcken und Schwachstellen melden kรถnnen.

Falls Angestellte auf die Option von Home Office bzw. Remote Work zurรผckgreifen kรถnnen, muss der Zugriff auf das Unternehmensnetz รผber kontrollierte Endgerรคte erfolgen und durch entsprechende SicherheitsmaรŸnahmen abgesichert werden.

Verzweifelter Experte bei Betrachtung des unsicheren Server-Raums einer Firma.
Auch die physische Absicherung der IT-Infrastruktur ist Teil von ISO 27001. Adobe Stock, (c) .shock

Physische MaรŸnahmen

Die ISO-Vorgaben zur physischen Absicherung besagen im Wesentlichen, dass Bereiche mit sensiblen Daten gegen unerlaubtes Betreten abgesichert und angemessen รผberwacht werden mรผssen. PCs, Gerรคte und Speichermedien mรผssen gegen unerlaubte Verwendung geschรผtzt werden, beispielsweise durch Clean-Desk-Policies und die automatische Bildschirmsperre bei Inaktivitรคt.

Da auch die Verfรผgbarkeit von Daten zu den ISO-Schutzzielen zรคhlt, ist es Pflicht fรผr Unternehmen ihre IT gegen Katastrophen und physische Bedrohungen wie Feuer, รœberflutung oder รœberspannung abzusichern.

Technische MaรŸnahmen

Die Implementierung technischer SicherheitsmaรŸnahmen nimmt neben organisatorischen Anforderungen den grรถรŸten Teil von ISO 27002 ein. Das zugehรถrige Kapitel der Norm befasst sich mit insgesamt 34 Bereichen wie der Absicherung von Endgerรคten oder der Verschlรผsselung von Daten, wobei jeder Abschnitt ein grundlegendes Ziel definiert und anschlieรŸend Empfehlungen fรผr die Umsetzung ausspricht.

Beispiel: Kapitel 8.7 widmet sich dem Schutz vor Malware und setzt die Ziel-Vorgabe, dass Daten und Informationswerte vor Schadsoftware geschรผtzt werden mรผssen. Der Leitfaden zur Implementierung stellt jedoch klar, dass der Einsatz eines Antivirus-Programms im Normalfall nicht ausreicht, um dieses Ziel zu erfรผllen.

Weitere Schritte, die Organisationen in Betracht ziehen sollten sind u.a. das Sperren verdรคchtiger Websites und Anhรคnge, Application Whitelisting bzw. die Blockierung unbekannter Programme, die Isolierung kritischer Systeme und ein aktives Bedrohungsmanagement inklusive der Recherche neuer Gefahren. Welche dieser MaรŸnahmen im konkreten Fall notwendig bzw. angemessen sind, hรคngt von der Risikoanalyse und dem Einsatzbereich des ISMS ab.

Weitere relevante Aspekte der technischen Absicherung sind etwa Multi-Faktor-Authentifizierung fรผr User, der Umgang mit privilegierten Konten, die Hรคrtung von Systemen, die รœberwachung von User-Aktivitรคten, das Backup von Informationen, die sichere Entsorgung von Speichermedien uvm.

Auflistung von Berechtigungen auf einen Klick.
Zugriffsrechte ISO-konform verwalten? Kein Problem mit tenfold Access Management! Adobe Stock, (c) jirsak

ISO 27001 โ€“ Anforderungen an das Berechtigungsmanagement

Bei der Einfรผhrung eines ISO-konformen Informationssicherheitsmanagementsystems geht es primรคr darum, ein Fundament fรผr die Absicherung von IT-Systemen und den sicheren Umgang mit Daten zu schaffen. Dazu mรผssen Organisationen grundlegende Fragen beantworten: Welche SchutzmaรŸnahmen sind erforderlich und wer trรคgt die Verantwortung fรผr ihre Umsetzung? Aber auch: Welche Ressourcen gibt es im Unternehmensnetzwerk und welche Mitarbeiter brauchen Zugriff auf welche Daten?

Um Informationssicherheit zu schaffen, braucht es Klarheit รผber die vorhandenen Informationswerte und die Nutzer, die mit diesen Daten arbeiten. Nicht ohne Grund bildet Identity und Access Management, also die Verwaltung von Benutzerkonten und IT-Berechtigungen, einen entscheidenden Teil von ISO 27001. Im Folgenden gehen wir daher im Detail auf die ISO-Anforderungen an das Berechtigungsmanagement ein und erklรคren, wie diese in tenfold Access Management abgebildet werden.

ISO Kapitel im รœberblick

5.15 Access Control

Ziel:ย Regeln fรผr den Zugang zu IT-Ressourcen zu definieren, die den Geschรคfts- und Sicherheitsanforderungen entsprechen und Best Practices wie Funktionstrennung,ย Least Privilege Zugangย und dieย Rezertifizierung von Berechtigungenย berรผcksichtigen.

Lรถsung inย tenfold:ย Role-based Access Controlย sorgt inย tenfoldย fรผr die automatische Vergabe von Privilegien anhand zuvor definierter Standard-Rechte. Die Software unterstรผtzt Sie beim Erstellen eines Rollenmodells indem anhand der existierenden Rechte und Organisationseinheiten (Role Mining).

Individuell vergebene Rechte werden inย tenfoldย regelmรครŸig durch den jeweiligen Datenverantwortlichenย rezertifiziert, also auf Aktualitรคt geprรผft.

5.16 Identity Management

Ziel:ย Den gesamten Lebenszyklus von Benutzerkonten aktiv zu steuern um IT-Zugriffsrechte zu jeder Zeit aktuell zu halten und Benutzer eindeutig zu identifizieren.

Lรถsung inย tenfold:ย Durch die Automatisierung desย User Lifecycleย inย tenfoldย verfรผgen Anwender vom Firmeneintritt bis zum Firmenaustritt รผber genau die Zugriffsrechte, die sie fรผr ihre Arbeit brauchen.

Die Provisionierung von Nutzern ebenso wie der Entzug von Rechten und die Deaktivierung von Konten werden durchย tenfoldย zentral gesteuert und die nรถtigen Anpassungen automatisch in das Zielsystem รผbertragen.

5.17 Credentials

Ziel:ย Die sichere Verwahrung und รœbermittlung von Zugangsdaten, um unerlaubte Anmeldungen zu verhindern.

Lรถsung inย tenfold:ย Die Vergabe initialer Zugangsdaten erfolgt inย tenfoldย รผberย sichere Einmalpasswรถrterย (One-Time-Secret bzw. OTS), die der Benutzer nach der Anmeldung durch ein eigenes, komplexes Passwort austauschen muss.

tenfoldโ€˜sย Self-Service-Oberflรคcheย erlaubt es Nutzern (nach bestandenem Sicherheits-Check), Passwรถrter fรผr ihre Konten in allen verknรผpften Diensten selbststรคndig zurรผckzusetzen, was Admins im Alltag deutlich entlastet.

5.18 Access Rights

Ziel:ย Die Vergabe, Kontrolle und Lรถschung von Zugriffsrechten nach den Anforderungen der Sicherheitsleitlinie zu gestalten und angemessen zu dokumentieren.

Lรถsung inย tenfold:ย Durch das Festlegen vonย Data Ownernย kรถnnen Organisationen selbst bestimmen, wer รผber den Zugang zu Daten entscheiden soll. Vergebene Rechte werden regelmรครŸig durch Access Reviews auf Aktualitรคt geprรผft.

tenfoldย bietet zudem die Mรถglichkeit, temporรคre Rechte zu vergeben, die nach dem festgelegten Zeitraum automatisch erlรถschen. Sรคmtliche Prozesse, vom Antrag รผber die Freigabe bis zur Bestรคtigung, werden vonย tenfoldย vollstรคndig dokumentiert.

8.2 PAM

Ziel:ย Die Vergabe und Nutzung privilegierter Konten zu beschrรคnken.

Lรถsung inย tenfold: Die transparente Verwaltung inย tenfoldย trรคgt dazu bei, Konten und Privilegien auf ein notwendiges Minimum zu reduzieren und sicherzustellen, dass nur jene Mitarbeiter mit Berechtigungen ausgestattet werden, die diese tatsรคchlich benรถtigen.

Erweiterte Sicherheitsanforderungen fรผr Admin-Konten, wie das Aufzeichnen sรคmtlicher Aktivitรคten, sind inย tenfoldย nicht abgedeckt und erfordern eine eigene Lรถsung aus dem Bereich desย Privileged Access Management (PAM). Diese kรถnnen in Kombination mitย tenfoldย verwendet werden.

8.3 Information Access

Ziel:ย Den Zugang zu Informationen zu beschrรคnken und zu kontrollieren, welche Identitรคten Zugang zu welchen Daten haben.

Lรถsung inย tenfold:ย Das Rollenmodell vonย tenfoldย schafft Transparenz darรผber, welche Benutzergruppen Zugang zu welchen Informationen haben. Individuelle Freigaben hebtย tenfoldย gesondert hervor, da diese leicht vergessen werden.

รœber dasย tenfoldย Reportingย lรคsst sich jederzeit auf Gruppen-, User- und Dateiebene nachvollziehen, wer Zugang zu welchen Daten hat und hatte. Sรคmtliche ร„nderungen an Zugriffsrechten werden manipulationssicher aufgezeichnet.

8.4 Access to Source Code

Ziel:ย Lese- und Schreibzugriff auf Quellcode, Entwicklungstools und Software-Bibliotheken gezielt zu steuern.

Lรถsung inย tenfold:ย Der Zugang zu Ressourcen fรผr die Software-Entwicklung lรคsst sich รผberย tenfoldย ebenso leicht steuern, wie es fรผr jede andere Ressource im Firmennetzwerk mรถglich ist.

Die nรถtigen Zugriffsrechte kรถnnen durch Berechtigungsgruppen und Self-Service-Anfragen gesteuert werden. Dank der รผbersichtlichen Zusammenfassung inย tenfoldย ist es dabei in wenigen Sekunden mรถglich nachzuvollziehen, wer mit sensiblen Daten wie dem Quellcode arbeitet.

8.5 Secure Authentication

Ziel:ย Sichere Authentifizierungstechniken zu implementieren, um User verlรคsslich identifizieren zu kรถnnen.

Lรถsung inย tenfold:ย Die Anmeldung inย tenfoldย kann mittels Multi-Faktor-Authentifizierung (MFA) รผber Smartphone Token abgesichert werden.

tenfoldย unterstรผtzt die in verknรผpften Diensten enthaltenen Anmeldeverfahren (wie etwa MFA fรผr Windows รผber die Authenticator App), stellt aber keine eigenen Mรถglichkeiten zur Authentifizierung in externen Anwendungen bereit.

Ziel:ย Regeln fรผr den Zugang zu IT-Ressourcen zu definieren, die den Geschรคfts- und Sicherheitsanforderungen entsprechen und Best Practices wie Funktionstrennung,ย Least Privilege Zugangย und dieย Rezertifizierung von Berechtigungenย berรผcksichtigen.

Lรถsung inย tenfold:ย Role-based Access Controlย sorgt inย tenfoldย fรผr die automatische Vergabe von Privilegien anhand zuvor definierter Standard-Rechte. Die Software unterstรผtzt Sie beim Erstellen eines Rollenmodells indem anhand der existierenden Rechte und Organisationseinheiten (Role Mining).

Individuell vergebene Rechte werden inย tenfoldย regelmรครŸig durch den jeweiligen Datenverantwortlichenย rezertifiziert, also auf Aktualitรคt geprรผft.

Die hier ausgewรคhlten Kapitel decken jene Bereiche von ISO 27002 ab, die sich explizit dem Thema Identity & Access Management widmen. Da Benutzerkonten und Zugriffsrechte die Grundlage von IT-Systemen bilden, spielt ihre Verwaltung natรผrlich auch in vielen anderen Abschnitten eine Rolle. Dazu zรคhlt die Einhaltung gesetzlicher Standards (5.31), der Schutz persรถnlicher Daten (5.34) und die Aufzeichnung von Ereignissen (8.15)

tenfold: Informationssicherheit & effiziente Verwaltung

Fรผr die Zertifizierung nach ISO 27001 mรผssen Organisationen nachweisen, dass ihre IT auf einem soliden und sicheren Fundament ruht. Neben der Implementierung bestimmter SicherheitsmaรŸnahmen, braucht es dazu Klarheit รผber die eigenen Informationswerte und jene User, die tagtรคglich mit diesen Daten arbeiten.

In Betrieben mit mehreren hundert Mitarbeiterinnen lรคsst sich der Zugang zu IT-Systemen nur mit einer Identity und Access Management Lรถsung ressourcenschonend steuern. IAM-Systeme wie tenfold verbessern die Sicherheit von Daten, die Produktivitรคt von Admins und die Compliance Ihres Unternehmens!

Durch seine einfache Inbetriebnahme, hohen Funktionsumfang und flexible Schnittstellen ist tenfold Access Management perfekt an die Bedรผrfnisse mittelstรคndischer Organisationen angepasst. รœberzeugen Sie sich selbst von den Vorteilen von tenfold, sehen Sie sich unsere Produkt-Demo an oder melden Sie sich fรผr einen kostenlosen Test an.

tenfold Demo Video

Zugriffsrechte Compliance-gerecht verwalten?

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.