Zertifizierung nach ISO/IEC 27001 für Dummies E-Book

Zertifizierung nach ISO/IEC 27001 für Dummies

Schummelseite

Zertifizierung nach ISO/IEC 27001 für Dummies

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

1. Auflage 2025

© 2025 Wiley-VCH GmbH, Boschstraße 12, 69469 Weinheim, Germany

Die vollständige DIN EN ISO/IEC 27001:2024-01 ist wiedergegeben mit Erlaubnis von, aber ohne Prüfung durch DIN Deutsches Institut für Normung e. V. Maßgebend für das Anwenden der DIN-Norm ist deren Fassung mit dem neuesten Ausgabedatum, zu beziehen über die DIN Media GmbH, www.dinmedia.de.

Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries. Used by permission.

Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc., USA, Deutschland und in anderen Ländern.

Alle Rechte bezüglich Text und Data Mining sowie Training von künstlicher Intelligenz oder ähnlichen Technologien bleiben vorbehalten. Kein Teil dieses Buches darf ohne die schriftliche Genehmigung des Verlages in irgendeiner Form – durch Photokopie, Mikroverfilmung oder irgendein anderes Verfahren –in eine von Maschinen, insbesondere von Datenverarbeitungsmaschinen, verwendbare Sprache übertragen oder übersetzt werden.

Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler keine Haftung.

Coverfoto: putilov_denis - stock.adobe.comKorrektur: Claudia Lötschert

Print ISBN: 978-3-527-72185-6ePub ISBN: 978-3-527-84727-3

Über die Autoren

Martin Weigert arbeitet seit über zehn Jahren in den Bereichen IT Management und Informationssicherheit und hat viel praktische Erfahrung mit Schulungen und Zertifizierungen in diesen Bereichen (Schwerpunkte Informationssicherheit, Service Management und Projektmanagement). Er berät und auditiert Kunden bei der Einführung von ISO/IEC 27001 und hält Vorlesungen und Vorträge zum Thema.

Nach seinem Studium der Medieninformatik an der Ludwig-Maximilians-Universität München war Martin Weigert bis 2024 Geschäftsführer bei mITSM, einem führenden Anbieter von Schulungen rund um IT Management (Service Management, Cybersecurity und vieles mehr). Heute ist er Geschäftsführer der expertree academy, einem Schulungsanbieter im Bereich IT-Sicherheit. Zudem ist er seit 2019 als Lehrbeauftragter für Themen wie IT Management und IT-Controlling oder Informationssicherheit an verschiedenen Hochschulen tätig, unter anderem an der LMU München, der Hochschule Landshut oder der BVS.

Als Berater und Auditor verfügt er über zahlreiche Zertifikate in vielen Normen und Frameworks wie ISO/IEC 27001, ISO/IEC 20000-1, ITIL oder Scrum.

Christian Heutger ist seit über zwanzig Jahren in der IT- und Informationssicherheit tätig. Neben seinem Studium an der Hochschule Fulda zum Master of Science in E-Business sammelte er seine praktischen Erfahrungen bei der Help! GmbH, der heutigen TÜV Rheinland i-sec GmbH. Im Jahr 2000 gründete er seine eigene Firma, die PSW GROUP GmbH im Bereich digitaler Zertifikate (SSL/TLS, S/MIME und Code Signing). Seit 2015 ist er in der Beratung, Schulung und Auditierung von ISO/IEC 27001, TISAX® und Datenschutz tätig.

Neben seiner zeitweiligen Tätigkeit als Lehrbeauftragter an der Hochschule Fulda für Wirtschaftsinformatik und Digitale Wirtschaft ist Christian Heutger seit 2002 als Auditor für ISO/IEC 27001 beziehungsweise TISAX® für diverse Zertifizierungsstellen tätig.

Christian Heutger ist unter anderem zertifiziert als CISSP, CISA, CISM, CEH, ISO/IEC 27001 Lead Auditor und Lead Implementer sowie ITIL Master.

Inhaltsverzeichnis

Cover

Titelblatt

Impressum

Über die Autoren

Inhaltsverzeichnis

Einleitung

Über dieses Buch

Törichte Annahmen über die Leser

Was Sie nicht lesen müssen

Wie dieses Buch aufgebaut ist

Konventionen in diesem Buch

Symbole, die in diesem Buch verwendet werden

Wie es weitergeht

Teil I: Informationssicherheit mit System

Kapitel 1: Verständnis von Informationssicherheit – Basiswissen

Motivation

Informationen

Informationswerte (Assets)

Informationssicherheit

Hauptaspekte der Informationssicherheit

Organisationen und Managementsysteme

Management

Deming-Kreislauf (PDCA)

Richtlinien, Prozesse und Verfahren

Systeme und Systemtheorie

Teil II: Informationssicherheit und Management nach Norm

Kapitel 2: Die Geschichte der ISO 27001

Von BS 7799 zu ISO/IEC 27001: Die Anfänge

Die Evolution der ISO 27001

Die Rolle der ISO 27001 in der heutigen Zeit

Kapitel 3: Struktur der ISO 27001

Kapitel 4: Die Normfamilie ISO 27000

ISO/IEC 27000: Überblick und Terminologie

ISO/IEC 27001: Anforderungen an ein ISMS

ISO/IEC 27002: Informationssicherheitsmaßnahmen

ISO/IEC 27003: Anleitung und Umsetzungsempfehlungen

ISO/IEC 27004: Überwachung und Messung

ISO/IEC 27005: Risikomanagement

Weitere Normen der ISO 27000-Familie

Anforderungen, und wie man sie erfüllt

Kapitel 5: Vorteile der ISO 27001-Zertifizierung

Teil III: Implementierung der ISO 27001 im Unternehmen

Kapitel 6: Die Einführung eines ISMS

Projektinitiierung

Kontextanalyse

Risikobewertung

ISMS-Entwurf

Implementierung

Überwachung und Überprüfung

Kontinuierliche Verbesserung

Mögliche Hindernisse

Teil IV: Normanforderungen in der Praxis

Kapitel 7: Anwendungsbereich, normative Verweisungen und Begriffe

Einleitung

Anwendungsbereich der Norm

Normative Verweisungen und Begriffe

Kapitel 8: Kontext und Stakeholder

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man den Kontext der Organisation um?

Was möchte der Auditor sehen?

Kapitel 9: Führung und Verpflichtung der obersten Leitung

Die Bedeutung des Top-Managements

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man Führung und Verpflichtung der obersten Leitung um?

Was möchte der Auditor sehen?

Kapitel 10: Die Leitlinie

Warum ist die Leitlinie wichtig?

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man eine Leitlinie um?

Was möchte die Auditorin sehen?

Kapitel 11: Rollen und Verantwortlichkeiten

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man Rollen um?

Die RACI-Matrix

Was möchte der Auditor sehen?

Kapitel 12: Risikomanagement

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man Risikomanagement um?

Was möchte die Auditorin sehen?

Kapitel 13: Ziele und Zielerreichung

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man Ziele um?

Was möchte der Auditor sehen?

Kapitel 14: Planung von Änderungen

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man Change Management um?

Was möchte der Auditor sehen?

Kapitel 15: Unterstützung und Ressourcen

Ressourcen

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man die Ressourcenplanung um?

Was möchte die Auditorin sehen?

Kapitel 16: Kompetenz und Bewusstsein

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man Kompetenzen und Bewusstsein um?

Was möchte der Auditor sehen?

Kapitel 17: Kommunikation

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man einen Kommunikationsplan um?

Was möchte die Auditorin sehen?

Kapitel 18: Dokumentation

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man die Dokumentation um?

Vertraulichkeitsstufen

Was möchte der Auditor sehen?

Kapitel 19: Umsetzung und Betrieb des ISMS

Was verlangt die ISO 27001?

Die Praxis: Was setzt man im Betrieb um?

Was möchte die Auditorin sehen?

Kapitel 20: Kennzahlen und KPIs

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man Kennzahlen und deren Messungen um?

Was möchte der Auditor sehen?

Kapitel 21: Interne Audits

Konformität, Effektivität und Effizienz

Verschiedene Arten von Audits

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man ein Audit-Programm und Audits um?

Was möchte die Auditorin sehen?

Kapitel 22: Die Management Review

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man die Management Reviews um?

Was möchte der Auditor sehen?

Kapitel 23: Der kontinuierliche Verbesserungsprozess

Was verlangt die ISO 27001?

Die Praxis: Wie setzt man kontinuierliche Verbesserung um?

Was möchte die Auditorin sehen?

Teil V: Maßgeschneiderte Maßnahmen, der Anhang A der Norm

Kapitel 24: Maßnahmen zur Informationssicherheit

ISO 27002 und der Anhang A

Attribute von Maßnahmen

Anwendung der Maßnahmen

Kapitel 25: Organisatorische Maßnahmen

Informationssicherheitsrichtlinien (5.1)

Informationssicherheitsrollen und -verantwortlichkeiten (5.2)

Aufgabentrennung (5.3)

Verantwortlichkeiten der Leitung (5.4)

Kontakt mit Behörden (5.5)

Kontakt mit speziellen Interessengruppen (5.6)

Erkenntnisse über Bedrohungen (5.7)

Informationssicherheit im Projektmanagement (5.8)

Inventar der Informationen und anderer damit verbundenen Werte

Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten (5.10)

Rückgabe von Werten (5.11)

Klassifizierung von Information (5.12)

Kennzeichnung von Information (5.13)

Informationsübertragung (5.14)

Zugangssteuerung (5.15)

Identitätsmanagement (5.16)

Informationen zur Authentifizierung (5.17)

Zugangsrechte (5.18)

Supplier Management (5.19–5.22)

Informationssicherheit für die Nutzung von Cloud-Diensten (5.23)

Information Security Incident Management (5.24–5.28)

Informationssicherheit bei Störungen (5.29)

IKT-Bereitschaft für Business Continuity (5.30)

Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen (5.31)

Geistige Eigentumsrechte (5.32)

Schutz von Aufzeichnungen (5.33)

Privatsphäre und Schutz von personenbezogenen Daten (5.34)

Unabhängige Überprüfung der Informationssicherheit (5.35)

Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit (5.36)

Dokumentierte Bedienabläufe (5.37)

Kapitel 26: Personenbezogene Maßnahmen

Sicherheitsüberprüfung (6.1)

Beschäftigungs- und Vertragsbedingungen (6.2)

Informationssicherheitsbewusstsein, -ausbildung und -schulung (6.3)

Maßregelungsprozess (6.4)

Verantwortlichkeiten nach Beendigung oder Änderung der Beschäftigung (6.5)

Vertraulichkeits- oder Geheimhaltungsvereinbarungen (6.6)

Telearbeit (6.7)

Meldung von Informationssicherheitsereignissen (6.8)

Kapitel 27: Physische Maßnahmen

Physische Sicherheitsperimeter (7.1)

Physischer Zutritt (7.2)

Sichern von Büros, Räumen und Einrichtungen (7.3)

Physische Sicherheitsüberwachung (7.4)

Schutz vor physischen und umweltbedingten Bedrohungen (7.5)

Arbeiten in Sicherheitsbereichen (7.6)

Aufgeräumte Arbeitsumgebung und Bildschirmsperren (7.7)

Platzierung und Schutz von Geräten und Betriebsmitteln (7.8)

Sicherheit von Werten außerhalb der Räumlichkeiten (7.9)

Speichermedien (7.10)

Versorgungseinrichtungen (7.11)

Sicherheit der Verkabelung (7.12)

Instandhalten von Geräten und Betriebsmitteln (7.13)

Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln (7.14)

Kapitel 28: Technologische Maßnahmen

Endpunktgeräte des Benutzers (8.1)

Privilegierte Zugangsrechte (8.2)

Informationszugangsbeschränkung (8.3)

Zugriff auf den Quellcode (8.4)

Sichere Authentifizierung (8.5)

Kapazitätssteuerung (8.6)

Schutz gegen Schadsoftware (8.7)

Handhabung von technischen Schwachstellen (8.8)

Konfigurationsmanagement (8.9)

Löschung von Informationen (8.10)

Datenmaskierung (8.11)

Verhinderung von Datenlecks (8.12)

Sicherung von Information (8.13)

Redundanz von informationsverarbeitenden Einrichtungen (8.14)

Protokollierung (8.15)

Überwachung von Aktivitäten (8.16)

Uhrensynchronisation (8.17)

Gebrauch von Hilfsprogrammen mit privilegierten Rechten (8.18)

Installation von Software auf Systemen im Betrieb (8.19)

Netzwerksicherheit (8.20)

Sicherheit von Netzwerkdiensten (8.21)

Trennung von Netzwerken (8.22)

Webfilterung (8.23)

Verwendung von Kryptografie (8.24)

Sichere Entwicklung

Teil VI: Die Zertifizierung

Kapitel 29: Die Zertifizierung nach ISO 27001

Vorbereitung und Planung

Auswahl der Zertifizierungsstelle

Optionales Voraudit

Stufe-1-Audit: Dokumentenprüfung

Stufe-2-Audit: Vor-Ort-Audit

Zertifizierung und Ausstellung des Zertifikats

Überwachungsaudits

Kapitel 30: Best Practices für Audits

Vorbereitung auf das Audit

Durchführung des Audits

Nach dem Audit

Kapitel 31: Wichtige Standards im Kontext von Audits und Zertifizierung

ISO 19011: Ein Leitfaden für Audits

ISO 27006, ISO 27007 und ISO 27008

ISO 17021

Teil VII: ISO 27001, und jetzt?

Kapitel 32: Weitere Standards und Normen für Informationssicherheit

IT-Grundschutz

CISIS12

®

BSI-Standards

VDA ISA und TISAX

®

Weitere Rahmenwerke und Standards

Managementsystemansatz

Kapitel 33: Integrierte Managementsysteme

ISO 9001

ISO 20000-1

Weitere Managementsysteme

Kapitel 34: Andere Standards in der IT

ITIL

®

FitSM

Teil VIII: Der Top-Ten-Teil

Kapitel 35: Zehn Schritte zur ISO 27001-Zertifizierung

Warum wollen Sie zertifiziert werden?

Dokumentation des Geltungsbereichs

Gap-Analyse: Abgleich der Anforderungen mit dem Ist-Zustand

Dokumentation der Prozesse

Umsetzung der Prozesse

Internes Audit

Management Review

Zertifizierungsstelle auswählen

Zertifizierungsaudit

Zertifizierung aufrecht erhalten

Kapitel 36: Zehn Dinge, die sie tun sollten, bevor Sie ein ISMS einführen

Unterstützung des Managements sichern

Ziele festlegen

Mitarbeiter sensibilisieren

Ressourcen bereitstellen

Risiken identifizieren

Bestandsaufnahme der Assets

Rechtliche und regulatorische Anforderungen klären

Externe Berater einbeziehen

Kommunikation vorbereiten

Langfristige Planung

Kapitel 37: Zehn Maßnahmen zur Organisation der Informationssicherheit

Erstellen einer Informationssicherheitsrichtlinie

Festlegung von ISMS-Zielen

Pflege eines Asset-Registers

Durchführung regelmäßiger Risikoanalysen

Sensibilisierung und Schulung der Mitarbeiter

Implementierung eines Berechtigungsmanagements

Erstellen eines Incident-Response-Plans

Regelmäßige interne Audits

Erstellen eines Notfallwiederherstellungsplans

Implementierung technischer Schutzmaßnahmen

Kapitel 38: Zehn Basismaßnahmen für Informationssicherheit

Starke Passwortrichtlinien einführen

Sicherheitsupdates und Patches regelmäßig installieren

Sicherheitsbewusstsein schulen

Regelmäßige Backups durchführen

Zugriffsrechte einschränken

Firewalls und Antivirensoftware verwenden

Mitarbeiterzugänge überwachen und protokollieren

Sichere Remote-Arbeitslösungen anbieten

Mobile Geräte absichern

Notfallplan für Sicherheitsvorfälle entwickeln

Kapitel 39: Zehn Rollen, die Sie in Ihrem ISMS brauchen können

Top-Management

Chief Information Officer (CIO)

Informationssicherheitsbeauftragter (ISB/CISO)

ISMS-Team

IT-Leitung

IT-Sicherheitsbeauftragter

Security-Incident-Response-Team

Auditoren

Risikomanager

Compliance-Beauftragter/Datenschutzbeauftragter (DSB)

Anhang

Anhang A: Eine exemplarische ISMS-Leitlinie

Leitlinie zur Informationssicherheit

Anhang B: Übersicht über die Mindest-Dokumente

Mindestdokumente aus Kapitel 4–10

Mindestdokumente aus Anhang A

Anhang C: Typische interne Stakeholder

Geschäftsführung

IT-Abteilung

Rechtsabteilung (Legal)

Personalabteilung (HR)

Einkauf

Facility Management

Finanzabteilung und Buchhaltung

Marketingabteilung

Entwicklungsabteilung

Qualitätsmanagement und Qualitätsmanagementbeauftragte

Interne Revision

Geschäftsbereichsleiter

Compliance-Beauftragter

IT-Sicherheitsbeauftragter

Risikomanagement

Schulungsabteilung

Innovationsabteilung

Datenanalysten

Kundenbetreuung

IT-Support

Arbeitssicherheit

Datenschutzbeauftragter

Betriebsrat

Anhang D: Typische externe Stakeholder

Kunden

Lieferanten und Dienstleister

Gesetzgeber und Behörden

Regulierungsbehörden und Wettbewerbsbehörden

Aktionäre, Anleger und Investoren

Finanzinstitute

Versicherer

Wirtschaftsprüfer

Verbände und Interessengruppen

Konkurrenten

Medien

Anwaltskanzleien

Beratungsunternehmen

Technologiepartner

Ethikkommissionen

Wissenschaftliche Institutionen

Nachbarn

Öffentlichkeit

Anhang E: Abdruck der DIN EN ISO/IEC 27001:2024-01

Abbildungsverzeichnis

Stichwortverzeichnis

End User License Agreement

Illustrationsverzeichnis

Kapitel 1

Abbildung 1.1: Zahlreiche Informationen lassen sich in allen Organisationen find...

Abbildung 1.2: Informationssicherheit ist ein breites Feld und lässt sich in vie...

Abbildung 1.3: Die deutsche Bundeswehr bewirbt offene Stellen für IT-Sicherheits...

Abbildung 1.4: Zwischen den »TOMs« im Datenschutz und den Maßnahmen der Informat...

Abbildung 1.5: Diese Tabelle stellt die Gemeinsamkeiten und Unterschiede von Dat...

Abbildung 1.6: Schematische Darstellung der Vertraulichkeit

Abbildung 1.7: Schematische Darstellung der Integrität

Abbildung 1.8: Schematische Darstellung der Verfügbarkeit

Abbildung 1.9: Der Deming-Kreislauf, oder kurz PDCA

Abbildung 1.10: Richtlinien, Prozesse und Verfahren

Abbildung 1.11: Die drei Kernprozesse des ISMS drehen sich rund ums Risikomanage...

Abbildung 1.12: Ein System befindet sich immer in seinem Kontext. Teile des Kont...

Abbildung 1.13: Kleine ISMS-Übersicht

Kapitel 2

Abbildung 2.1: Hinter der endgültigen deutschen Fassung der Norm stecken einige ...

Abbildung 2.2: Das Deckblatt der aktuellen DIN EN ISO/IEC 27001 von 2024

Kapitel 3

Abbildung 3.1: Die übergeordnete Struktur ist bei allen Managementsystem-Normen ...

Kapitel 4

Abbildung 4.1: Unter

https://www.iso.org/standard/27001

wird der Lifecycle der I...

Abbildung 4.2: Die gesamte Normenfamilie rund um ISO 27001 ist sehr umfangreich....

Abbildung 4.3: In diese Normen sollten Sie einmal hinsehen, wenn Sie für ein ISM...

Kapitel 6

Abbildung 6.1: Dieser exemplarische Projektstrukturplan beschreibt die wichtigst...

Kapitel 8

Abbildung 8.1: In eine solche, einfache Stakeholder-Matrix können Sie Ihre Stake...

Abbildung 8.2: So könnte beispielhaft eine anfänglich befüllte Stakeholder-Matri...

Abbildung 8.3: In der fertig befüllten Stakeholder-Matrix lassen sich oft Cluste...

Kapitel 11

Abbildung 11.1: Der ISB als Stabsstelle wird von einzelnen Ansprechpartnern in d...

Kapitel 12

Abbildung 12.1: Wichtige Fragen im Risikomanagement: Welche Bedrohungen gibt es?...

Abbildung 12.2: Die einzelnen Phasen und Begriffe des Risikomanagements werden i...

Abbildung 12.3: Der Risikoappetit muss individuell bestimmt werden.

Abbildung 12.4: Der Schutzbedarf des primären Assets vererbt sich kaskadierend d...

Abbildung 12.5: Bewerten Sie den Schutzbedarf Ihrer Assets hinsichtlich CIA. Auf...

Abbildung 12.6: Ein Risiko ergibt sich, wenn eine Bedrohung auf die Schwachstell...

Abbildung 12.7: Auf einer solch einfachen Risikomatrix können Sie Ihre Risiken e...

Abbildung 12.8: Eine einfache Risikoakzeptanzgrenze. Risiken unterhalb dürfen ak...

Abbildung 12.9: Zur Behandlung von Risiken gibt es vier Optionen.

Kapitel 15

Abbildung 15.1: Diese Themen beschreibt ISO/IEC 27001 als unterstützende Themen ...

Kapitel 20

Abbildung 20.1: ISO 27004 beschreibt Messungen als einen Prozess, der an die PDC...

Abbildung 20.2: ISO/IEC 27004 behandelt das Thema ISMS-Messungen detailliert.

Kapitel 21

Abbildung 21.1: Audits verfolgen einen klaren Prozess.

Abbildung 21.2: Konformität, Effektivität und Effizienz

Abbildung 21.3: Audits lassen sich in verschiedene Typen unterscheiden. ISO 1901...

Abbildung 21.4: In diesem vereinfachten Audit-Programm finden in einem Zeithoriz...

Kapitel 22

Abbildung 22.1: Die Management Review wird vom Top-Management durchgeführt. Die ...

Kapitel 24

Abbildung 24.1: Die Maßnahmen des Anhang A sind in vier Kategorien aufgeteilt.

Kapitel 25

Abbildung 25.1: Das Management von Security Incidents ist unter anderem eine Fol...

Kapitel 26

Abbildung 26.1: Der Maßregelungsprozess kann einfach aufgebaut sein. Das in dies...

Kapitel 27

Abbildung 27.1: DIN EN 50600-2-1 legt verschiedene Schutzklassen für unterschied...

Kapitel 29

Abbildung 29.1: Der Ablauf der Zertifizierung im Überblick

Kapitel 31

Abbildung 31.1: Rund um Akkreditierung, Zertifizierung und Auditierung beschreib...

Kapitel 33

Abbildung 33.1: Ein SMS nach ISO 20000-1 ist im Systemaufbau identisch. Die ITSM...

Orientierungspunkte

Cover

Titelblatt

Impressum

Über die Autoren

Inhaltsverzeichnis

Einleitung

Fangen Sie an zu lesen

Abbildungsverzeichnis

Stichwortverzeichnis

End User License Agreement

Seitenliste

1

2

5

6

7

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

109

110

111

112

113

115

116

117

118

119

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

161

162

163

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

197

198

199

200

201

203

204

205

206

207

208

209

210

211

212

213

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

349

350

351

353

354

355

357

358

359

360

361

362

363

364

365

367

368

369

370

371

372

373

375

376

377

378

379

380

381

383

384

385

387

388

389

391

392

393

395

396

397

399

400

401

402

403

405

406

407

408

409

410

411

412

413

414

415

416

417

418

419

421

422

423

424

425

426

427

428

429

430

431

432

433

434

435

436

437

438

439

440

441

442

443

444

445

446

447

448

449

450

451

453

454

457

458

459

460

Einleitung

Willkommen im Buch »Zertifizierung nach ISO/IEC 27001 für Dummies«, einem Buch, das Ihnen auf verständliche Weise zeigt, warum Informationssicherheit heute nicht nur ein »Nice-to-have«, sondern ein absolutes »Must-have« ist, und was das mit der Norm ISO 27001 zu tun hat. Sie fragen sich vielleicht, warum Sie sich durch ISO-Normen arbeiten sollen und wieso gerade ISO 27001 so wichtig ist. Die Antwort ist einfach: In einer Welt, in der Daten das neue Öl sind, ist Informationssicherheit der Schlüssel, um Ihr Unternehmen zu schützen und es gegen die vielen Bedrohungen da draußen zu wappnen. Und ISO 27001 ist der internationale Standard, der Ihnen dabei hilft, das auf strukturierte Weise zu tun.

Aber warum ein ganzes Buch dazu? Ganz ehrlich: Informationssicherheit kann ziemlich kompliziert und trocken sein – aber sie muss es nicht sein. ISO 27001 mag auf den ersten Blick wie ein Wust aus Paragraphen und Anforderungen wirken, aber wenn man es richtig angeht, kann diese Norm Ihr Unternehmen dabei unterstützen, nicht nur sicherer, sondern auch effizienter zu werden. Und genau hier kommt dieses Buch ins Spiel. Es erklärt Ihnen den Standard ISO 27001 auf verständliche und praktische Weise, damit Sie nicht nur die Norm verstehen, sondern auch umsetzen können – und das ohne überflüssigen Fachjargon oder endlose Theorie.

In einer Zeit, in der Datenschutzverletzungen und Cyberangriffe beinahe zur Tagesordnung gehören, kann ein gut implementiertes Informationssicherheits-Managementsystem (ISMS) der entscheidende Vorteil sein, der Ihr Unternehmen schützt. Dieses Buch wurde geschrieben, um Ihnen den Weg dorthin zu erleichtern. Es begleitet Sie Schritt für Schritt durch die Anforderungen der ISO 27001 und zeigt Ihnen, wie Sie diese in die Praxis umsetzen können – ohne dabei den Überblick zu verlieren.

Kurz gesagt: Dieses Buch ist wichtig, weil Informationssicherheit wichtig ist. Es zeigt Ihnen, wie Sie Ihre Daten und Systeme sichern, Risiken minimieren und gleichzeitig Vertrauen bei Ihren Kunden und Partnern schaffen. Egal, ob Sie sich gerade erst mit dem Thema beschäftigen oder schon mitten in der Implementierung stecken – dieses Buch hilft Ihnen dabei, den Weg zu einem erfolgreichen ISMS zu finden.

Über dieses Buch

Wir möchten in diesem Buch unser Wissen rund um den internationalen Standard ISO/IEC 27001 weitergeben und Sie damit bei der Implementierung unterstützen. Deshalb geht es in erster Linie um die Frage, welche Dinge zu tun sind, um ein normkonformes Informationssicherheits-Managementsystem (ISMS) in einer Organisation einzuführen, sodass dieses auch erfolgreich zertifiziert werden kann.

Dazu beschreiben wir konkrete Maßnahmen für die pragmatische Umsetzung der Norm, die die Informationssicherheit in Ihrer Organisation gewährleisten. Mithilfe von Checklisten, Vorlagen und Leitfäden werden Sie die komplexen Anforderungen von ISO/IEC 27001 besser verstehen und das Vorgehen bei der ISMS-Einführung sinnvoll planen können. Für typische Herausforderungen finden Sie praxisnahe Tipps und Tricks, zur besseren Verständlichkeit finden Sie einige Beispiele und Anekdoten.

Törichte Annahmen über die Leser

Sie haben in Ihrer Organisation oder Ihrem Unternehmen die Aufgabe bekommen, ein ISMS nach der ISO-Norm ISO/IEC 27001 einzuführen, das in naher Zukunft zertifiziert werden soll. Dann sind Sie in diesem Buch genau richtig.

Sie übernehmen die Verantwortung für ein bestehendes ISMS oder arbeiten in Ihrer Organisation in einem Bereich, der Schnittstellen zu einem ISMS hat, und möchten deshalb mehr dazu erfahren, worum es eigentlich geht. Dann sind Sie hier ebenfalls richtig.

Auch wenn Sie kein Vorwissen haben oder nur aus reinem Interesse mehr über Informationssicherheit lernen möchten, können Sie dieses Buch lesen. Die Inhalte werden so dargestellt, dass sie im Wesentlichen ohne Vorwissen verständlich sind.

Sie müssen noch nicht einmal die Norm selbst kennen, denn sie ist in diesem Buch vollständig enthalten. Zum einen in den einzelnen Kapiteln, in denen auf die Inhalte detailliert eingegangen wird, zum anderen als vollständiger Abdruck im Anhang.

Was Sie nicht lesen müssen

Es gibt Teile dieses Buchs, die Sie möglicherweise getrost überspringen können, ohne dass Ihre ISO 27001-Reise darunter leidet. Seien Sie beruhigt, nicht alles hier ist für jeden Leser gleichermaßen relevant. Sicherlich haben Sie, abhängig von Ausbildung, Schulung und Erfahrung, in dem einen oder anderen Bereich der Informationssicherheit bereits Vorkenntnisse.

Wenn Sie beginnen, ein Kapitel zu lesen, und Sie den Inhalt bereits kennen, können Sie dieses Kapitel einfach überspringen. Das Buch enthält viele Verweise, sodass Sie ohnehin auch querlesen können.

Fallstudien, Praxisbeispiele und Anekdoten sind zwar interessant und bieten wertvolle Einblicke, aber sie sind nicht zwingend notwendig, um die Kernprinzipien von ISO 27001 zu verstehen. Wenn Sie wenig Zeit haben oder sich direkt auf die Implementierung konzentrieren möchten, heben Sie sich diese Abschnitte für später auf.

Ein paar Kapitel ergänzen das Thema ISO 27001. Zum Beispiel die Geschichte der Norm, Details zu anderen Managementsystem-Normen wie ISO 9001 oder ISO 14001 oder Informationen zu anderen Veröffentlichungen aus dem IT Management wie ITIL®. Wenn Sie sich ausschließlich auf Informationssicherheit konzentrieren wollen und keinen tieferen Einblick in andere ISO-Normen und Frameworks benötigen, können Sie diese Teile ebenfalls überspringen. Natürlich helfen diese Normen, ein umfassenderes Verständnis von Managementsystemen zu entwickeln, aber für ISO 27001 alleine sind sie nicht zwingend erforderlich.

Im Bereich der Informationssicherheits-Maßnahmen stolpern Sie vielleicht über ein paar tiefergehende, technischen Details. Wenn Sie kein IT-Sicherheitsprofi sind und sich mehr für das »Was« und weniger für das »Wie« interessieren, können Sie die Abschnitte, die sich intensiv mit der technischen Umsetzung von Sicherheitsmaßnahmen befassen, getrost überspringen.

Kurz gesagt: Wenn Sie es eilig haben oder sich ausschließlich auf die Implementierung von ISO 27001 konzentrieren, können Sie technische Details, spezifische Fallstudien und ausführliche Ausflüge in andere Managementsysteme überspringen. Dieses Buch soll Ihnen helfen, sich genau das Wissen anzueignen, das Sie brauchen – und nichts darüber hinaus, es sei denn, Sie möchten es!

Wie dieses Buch aufgebaut ist

Wie jedes Buch der »… für Dummies«-Reihe besteht auch dieses Buch aus einigen großen Teilen, die wiederum in viele kleinere Kapitel unterteilt sind. In Teil I werden Grundlagen und Fachbegriffe erklärt. Hier geht es vor allem um die Frage, was eigentlich Informationssicherheit ist. Teil II erläutert die Hintergründe der Norm ISO 27001 und warum es sie überhaupt gibt. Teil III beschreibt kurz ein Einführungsprojekt und welche Faktoren bei der initialen Einführung von ISO 27001 entscheidend sind. Die praktische Umsetzung der Normanforderungen wird in den Teilen IV und V behandelt, einmal mit Blick auf die eigentlichen Normkapitel 4 bis 10 und einmal mit Blick auf die Maßnahmen in Anhang A der Norm. Teil VI beschreibt den Zertifizierungsprozess, also die Schritte, die Sie nach der Einführung eines ISMS gehen müssen, um Ihre Organisation nach ISO 27001 zertifizieren zu lassen. Der abschließende Teil VII ergänzt Ihr nun aufgebautes Wissen zu Informationssicherheit und der Norm um weitere Standards und Rahmenwerke, von denen Sie in diesem Kontext einmal gehört haben sollten.

Teil I: Informationssicherheit mit System

In diesem Teil werden die grundlegenden Konzepte der Informationssicherheit erklärt. Sie erfahren, was Informationssicherheit bedeutet und warum sie in unserer zunehmend digitalisierten Welt so entscheidend ist. Die Hauptthemen wie Vertraulichkeit, Integrität und Verfügbarkeit werden behandelt, ebenso wie der Unterschied zwischen Informationssicherheit, IT-Sicherheit, Cybersecurity und Datenschutz. Dieser Teil legt den Grundstein für ein tieferes Verständnis des gesamten Themas.

Teil II: Informationssicherheit und Management nach Norm

Hier geht es um die Hintergründe und die Geschichte der ISO 27001. Der Teil erklärt, wie die Norm entstanden ist, wer sie entwickelt hat und warum sie für Unternehmen auf der ganzen Welt so relevant ist. Darüber hinaus wird der Aufbau der Norm beleuchtet und gezeigt, warum es Sinn ergibt, eine solche Norm zu implementieren und sich zertifizieren zu lassen. Dieser Teil gibt Ihnen ein solides Verständnis dafür, wie Managementsysteme strukturiert sind und welche Rolle ISO 27001 in diesem Rahmen spielt.

Teil III: Implementierung der ISO 27001 im Unternehmen

Der dritte Teil ist praktisch orientiert und befasst sich mit der tatsächlichen Implementierung eines ISMS (Informationssicherheits-Managementsystems) nach ISO 27001. Es werden alle notwendigen Schritte erklärt, die für die Einführung eines ISMS erforderlich sind, von der Projektplanung bis hin zur erfolgreichen Implementierung. Besonders nützlich ist hier der Fokus auf das, was Auditoren bei einer Zertifizierung sehen wollen, sodass Unternehmen sich gezielt auf Audits vorbereiten können.

Teil IV: Normanforderungen in der Praxis

Dieser Teil behandelt die konkreten Anforderungen der ISO 27001, insbesondere die Normkapitel 4 bis 10, die sich auf die Struktur und den Betrieb eines ISMS beziehen. Es wird erläutert, wie diese Anforderungen in der Praxis umgesetzt werden können und worauf besonders geachtet werden muss. Dieser Teil ist besonders wertvoll für Leser, die sich mit der praktischen Anwendung und Umsetzung der ISO 27001-Norm im Arbeitsalltag befassen.

Teil V: Maßgeschneiderte Maßnahmen, der Anhang A der Norm

In diesem Teil geht es um die Sicherheitsmaßnahmen, die in Anhang A der ISO 27001 definiert sind. Diese Maßnahmen sind eine zentrale Komponente der Norm und helfen Unternehmen dabei, die Informationssicherheit auf eine konkrete, umsetzbare Art und Weise zu verbessern. Der Abschnitt erläutert den Zusammenhang zwischen ISO 27001 und ISO 27002 und geht auf häufige Herausforderungen bei der Umsetzung dieser Maßnahmen ein.

Teil VI: Die Zertifizierung

Im sechsten Teil erfahren Sie alles über den Prozess der Zertifizierung nach ISO 27001. Es wird detailliert beschrieben, welche Schritte notwendig sind, um die Zertifizierung zu erlangen, was in den verschiedenen Phasen eines Audits passiert und wie Unternehmen die Zertifizierung erfolgreich aufrechterhalten können. Der Abschnitt bietet auch wertvolle Best Practices für die Durchführung des Audits.

Teil VII: ISO 27001, und jetzt?

Dieser Teil erweitert das Wissen aus den vorherigen Kapiteln um zusätzliche Standards und Rahmenwerke, die im Zusammenhang mit Informationssicherheit stehen. Es werden weitere relevante Standards wie der BSI IT-Grundschutz, TISAX® oder ISO 9001 eingeführt und erklärt, warum es sinnvoll ist, sich mit diesen ergänzenden Standards zu beschäftigen, um ein umfassendes Sicherheits- und Managementsystem im Unternehmen zu etablieren.

Teil VIII: Der Top-Ten-Teil

Der Top-Ten-Teil fasst noch einmal in aller Kürze die wichtigsten Begriffe und Themen zusammen.

Anhang

Im Anhang dieses Buchs finden Sie nützliche Beispiele und Übersichten sowie den vollständigen Abdruck der DIN EN ISO/IEC 27001.

Konventionen in diesem Buch

Wir versuchen, dieses Buch so einfach lesbar wie möglich zu gestalten. Deshalb verwenden wir häufig gängige Abkürzungen wie ISMS für Informationssicherheits-Managementsystem oder schreiben »ISO 27001«, obwohl die korrekte Bezeichnung dieser Norm offensichtlich ISO/IEC 27001 oder in Bezug auf die deutsche Version sogar DIN EN ISO/IEC 27001 ist.

Alle in diesem Buch genannten Rollen werden natürlich von weiblichen oder männlichen Personen besetzt oder von Personen, die sich mit keinem dieser beiden Geschlechter identifizieren können. Wir verwenden deshalb in den vorkommenden Fällen (zum Beispiel bei den Informationssicherheitsbeauftragten oder den Datenschutzbeauftragten) abwechselnd männliche und weibliche Bezeichnungen. Wenn wir in einem Kapitel einen Auditor als Beispiel verwenden, ist es im nächsten Kapitel eine Auditorin.

Die Norm ISO 27001 ist absichtlich allgemein gehalten und richtet sich an alle Arten von Organisationen, unabhängig von ihrer Art und Größe. Für die Einführung eines ISMS ist es völlig unerheblich, ob es sich um ein Unternehmen beliebiger Rechtsform, einen Verein oder eine Behörde handelt. Wir verwenden neben dem Begriff »Organisation« auch regelmäßig den Begriff »Unternehmen«, da hier die meisten Beispiele gängig sind.

Symbole, die in diesem Buch verwendet werden

Wie es weitergeht

Wahrscheinlich möchten Sie endlich anfangen, zu lesen. Los geht’s! Und dann?

Wenn Sie in Ihrem Unternehmen ein ISMS einführen und betreiben möchten, beschaffen Sie sich nach der Lektüre dieses Buchs die sechs Normen ISO 27000 bis ISO 27005. Weshalb diese Dokumente so wichtig sind und weshalb Sie sie letztendlich einmal gelesen haben sollten, erfahren Sie in diesem Buch. Eine Norm, nämlich die ISO 27001, haben Sie bereits mit diesem Buch erworben.

Die Welt der Informationssicherheit dreht sich immer weiter, besonders im technischen Bereich. Täglich werden neue Schwachstellen und Angriffe veröffentlicht, die Anforderungen ändern sich ständig – Sie müssen reagieren und Ihre Systeme anpassen. Hören Sie deshalb nicht auf, am Ball zu bleiben. Sehen Sie es positiv – Sie brauchen sich nicht zu sorgen, dass das Thema in einigen Jahren nicht mehr relevant sein könnte.

Machen Sie nicht den Fehler, ein ISMS nur einzuführen und dann nicht mehr weiter zu betreiben. Das Erlangen einer Zertifizierung und das Zertifikat an der Wand sind nicht das Ziel eines einmaligen Projekts, sondern der Anfang einer immer fortwährenden Reise.

Teil I

Informationssicherheit mit System

Kapitel 1

Verständnis von Informationssicherheit – Basiswissen

Motivation

Wir alle leben in einer Welt, die von raschen technologischen Fortschritten und globalen Vernetzungen geprägt ist. Deshalb stellt Informationssicherheit eine entscheidende Komponente unseres täglichen Lebens und unserer Arbeitswelt dar. Die Gründe, sich mit Informationssicherheit zu beschäftigen, sind zahlreich und in der aktuellen Sicherheitslage wichtiger denn je. Sicher können Sie zu diesen allgemeinen Gründen ein paar individuelle ergänzen.

Schutz vor Bedrohungen in einer vernetzten Welt: In einer Ära, in der praktisch alles online ist, sind wir einem breiten Spektrum von Cyberbedrohungen ausgesetzt. Hacker, Malware und Phishing-Angriffe sind an der Tagesordnung. Ohne angemessene Informationssicherheitsmaßnahmen könnten unsere persönlichen Daten, Finanzen und sogar unser Ruf gefährdet sein.

Datenschutz und Compliance: Gesetze und Vorschriften zur Privatsphäre, wie die Datenschutzgrundverordnung (DSGVO) in Europa, verlangen von Organisationen, die persönliche Daten verarbeiten, strenge Sicherheitsvorkehrungen. Nichteinhaltung kann zu erheblichen Geldstrafen führen. Mit Sicherheitsstandards wie ISO 27001 können Unternehmen dazu beitragen, dass sie die gesetzlichen Anforderungen einhalten.

Vertrauen unserer Kunden und Partner: In einer Zeit, in der Vertrauen ein kostbares Gut ist, ist Informationssicherheit der Schlüssel. Kunden und Geschäftspartner verlassen sich darauf, dass ihre Daten in sicheren Händen sind. Eine robuste Informationssicherheitsstrategie stärkt das Vertrauen und fördert die langfristigen Beziehungen.

Kontinuierliche Verbesserung und Anpassung: Die Welt der Informationssicherheit ist ständigen Veränderungen unterworfen. Hacker entwickeln kontinuierlich neue Taktiken, um Sicherheitsmaßnahmen zu umgehen. Eine proaktive Einstellung zur Informationssicherheit ermöglicht es Unternehmen, sich anzupassen und innovative Lösungen zu entwickeln, um mit den neuesten Bedrohungen Schritt zu halten.

Geschäftskontinuität: Sicherheitsvorfälle und Datenverluste können verheerend sein. Eine gut durchdachte Informationssicherheitsstrategie, einschließlich Notfall- und Wiederherstellungsplänen, trägt dazu bei, die Geschäftskontinuität sicherzustellen und Ausfallzeiten zu minimieren.

Schutz geistigen Eigentums: Unternehmen investieren erhebliche Ressourcen in Forschung und Entwicklung. Informationssicherheit schützt nicht nur sensible Daten, sondern auch geistiges Eigentum vor Diebstahl oder Spionage.

Schutz der nationalen Sicherheit: Die Auswirkungen von Sicherheitsverletzungen können weitreichender sein als nur wirtschaftliche Verluste. Nationale Sicherheit und kritische Infrastrukturen sind von Informationssicherheit abhängig, um potenzielle Bedrohungen abzuwehren. In Bereichen sogenannter »kritischer Infrastrukturen« ist Informationssicherheits-Management daher sogar gesetzlich vorgeschrieben.

In einer Zeit, in der unsere Abhängigkeit von digitalen Technologien immer größer wird, ist die Motivation, sich mit Informationssicherheit zu beschäftigen, klar und zwingend. Es geht nicht nur darum, sich vor Bedrohungen zu schützen, sondern auch darum, Vertrauen aufzubauen, die Einhaltung von Gesetzen sicherzustellen und eine widerstandsfähige Zukunft zu gestalten. Informationssicherheit ist kein Luxus, sondern eine Notwendigkeit, die unser tägliches Leben und unsere digitale Zukunft gestaltet.

Dabei sollte klar sein, dass es hundertprozentige Sicherheit nicht gibt und diese auch nicht Ziel sein sollte. Die Welt der IT ist dafür viel zu schnelllebig, und es gibt viel zu viele Facetten, die gar nicht bis ins Detail adressiert werden können. So sind beispielsweise Sicherheitslücken in eingesetzter Software oder sogar in Sicherheitsprodukten nicht unüblich, und es können jeden Tag neue entdeckt werden.

Außerdem wäre hundertprozentige Sicherheit quasi »unbezahlbar« und sicherlich unwirtschaftlich. Aber es geht genau darum, systematisch beispielsweise auf solche Sicherheitslücken zu reagieren und über mehrere Stufen von Sicherheitsmaßnahmen es umso schwerer zu machen, dass ein potenzieller Angreifer ans Ziel kommt.

Dabei geht es ganz besonders auch um den Faktor Mensch, der mitunter eines der größten Einfallstore darstellt, sodass sich der ganzheitliche Ansatz auch mit viel Managementthemen befasst. Es geht also um organisatorische Vorgaben wie Leitlinien und Richtlinien, Prozessabläufe und Verfahrensanweisungen, Schulung und Sensibilisierung neben natürlich auch physischen und technischen Maßnahmen zur Sicherstellung der Informationssicherheit.

Das Ausnutzen von Menschen oder dem »Faktor Mensch« wird als »Social Engineering« bezeichnet. Social Engineering ist eine Form der Manipulation, bei der Angreifer psychologische Tricks anwenden, um Menschen dazu zu bringen, sicherheitsrelevante Informationen preiszugeben oder entsprechende Handlungen vorzunehmen. Durch das Schaffen von mehr Verständnis und durch die Anwendung geeigneter Schutzmaßnahmen können Sie Einzelpersonen und Organisationen besser gegen diese Art von Angriffen schützen.

Entsprechend ist die Norm ISO 27001 zunächst ein Managementwerkzeug und beinhaltet vor allem dazu passende Bausteine, mit denen Sie diese Managementthemen adressieren können. Daneben gibt es einen Katalog an Sicherheitsmaßnahmen (Anhang A), die quasi wie eine Art Grundsicherung zu verstehen sind. Es ist essenziell, dass das Management, also die Geschäftsführung, hinter der Einführung einer ISO 27001 beziehungsweise einem ISO 27001-Projekt steht. Das kann die Geschäftsführung natürlich auch tun, indem sie nur dem designierten Informationssicherheitsteam freie Hand lässt und sonst operativ nicht stark in Erscheinung tritt. Allerdings wird erwartet, dass das Management den Rahmen vorgibt, Informationssicherheit vorlebt und die Mitarbeiter motiviert, sich dem Thema anzunehmen, und nachvollziehbar erklärt, warum das Thema für das Unternehmen und für die Kunden so wichtig ist. Dabei ist es hilfreich, wenn Mitarbeitervertretungen oder Mitarbeiter, die positiv auf das Team einwirken, mit an Bord sind und die Umsetzung mit ausgestalten.

Informationen

Offenbar geht es bei Informationssicherheit um die Sicherheit von Informationen. Doch was sind eigentlich Informationen? Dieser Begriff umfasst alle Arten von Informationen oder Daten, die in einem bestimmten Kontext Bedeutung haben und für uns deshalb irgendeinen Wert darstellen. Zum Beispiel weil wir sie zur Entscheidungsfindung verwenden müssen.

Sie können Informationen in vielen verschiedenen Formen speichern, als Texte, Zahlen, Bilder, Töne, Videos oder andere Darstellungen, aber auch ganz immateriell in Form von Wissen oder Erkenntnissen in unseren Köpfen.

In Organisationen und Unternehmen liegen Informationen in drei verschiedenen Ausführungen vor:

Digital: Digitale Informationen sind alle Informationen, die durch elektronische Geräte (IT) gespeichert, verarbeitet und übertragen werden. In der Regel werden die meisten Informationen in Unternehmen IT-unterstützt verarbeitet. Beispiele sind Dateien auf Festplatten oder die Dokumentation in einer Webanwendung.

Analog: Analoge Informationen repräsentieren Daten in physischer Form. Die meisten analogen Informationen liegen in Form von Papier vor. Beispiele sind gefüllte Aktenordner oder handschriftliche Notizen.

Immateriell: Immaterielle Informationen sind nicht physisch greifbar und existieren als Fachwissen, Konzepte oder Ideen in unseren Köpfen. Sie können sowohl digital als auch analog dargestellt werden, haben aber keinen eigenen materiellen Zustand. Beispiele können neben reinem Wissen auch Patente, Urheberrechte und Geschäftsstrategien sein.

Diese Unterscheidung gilt auch für die Übermittlung von Informationen. Sie können Informationen digital, per E-Mail oder über das Internet austauschen, analog per Post verschicken oder mündlich im Gespräch mitteilen. Denken Sie bei Informationen nicht nur an Text, sondern auch an Grafiken, Bilder und Audio-/Video-Aufzeichnungen. Die »Wordcloud« in Abbildung 1.1 stellt einige Arten von Informationen grafisch aufbereitet dar.

Informationswerte (Assets)

Informationen sind für uns wertvoll und müssen deshalb angemessen geschützt werden. Man spricht deshalb auch von Informationswerten, im englischen »information assets«.

Alle Informationen sind einer Reihe von Gefahren ausgesetzt, sei es durch externe, physische Einflüsse wie Feuer oder Überschwemmungen, Diebstahl durch Hacker oder weil sie ganz einfach verloren gehen könnten. Unser Ziel ist es, unsere Informationen dementsprechend zu schützen.

Und da nicht nur die Informationen selbst, sondern auch die verarbeitenden Medien und Systeme wie Laptops, Server, Schränke und Mitarbeitende geschützt werden müssen, ist oft allgemein von »Assets«, also Werten, die Rede. Alles, was für Sie irgendeinen Wert hat, steht auch in Zusammenhang mit Informationen und ist daher vom Thema Informationssicherheit betroffen. Dazu gehören auch die klassischen Vermögenswerte von Unternehmen, wie Anlagen oder Maschinen. Später werden Sie diese Assets einer Bewertung unterziehen, um den Wert aus Sicht der Informationssicherheit zu ermitteln.

Wenn Sie Ihre Assets in Kategorien einteilen, stellen Sie häufig eine Kaskade fest. Informationen werden von Software verarbeitet, Software läuft auf Hardware, Hardware befindet sich in einem Raum, der Raum befindet sich in einem Gebäude und dieses Gebäude befindet sich auf Ihrem Firmengelände. Wenn Sie nun betrachten, welche dieser Kategorien den höchsten Schutzbedarf hat, stellen Sie vielleicht fest, dass es sich dabei um so etwas wie Ihr Rechenzentrum handelt. Das ergibt Sinn, da dort die größte Menge an Informationen zusammenläuft. Man spricht in diesem Fall auch von der Vererbung des Schutzbedarfs vom eigentlichen Information Asset zu den unterstützenden Assets.

Informationssicherheit

Informationssicherheit umfasst viele Themenfelder und ist gar nicht so einfach zu fassen. Umso wichtiger ist es, den Begriff und die zugehörigen Details zu definieren. Viele Begriffe klingen ähnlich oder werden – oft fälschlicherweise – synonym verwendet. Gemeinsamkeiten und Unterschiede hängen auch vom Kontext ab und können sich von Organisation zu Organisation unterscheiden. Die Begriffsdefinitionen der ISO-Norm decken sich weitestgehend mit anderen Definitionen aus der entsprechenden Fachliteratur. Daneben gibt es auch weitere Definitionen aus der Gesetzgebung.

Informationssicherheit ist also ein Überbegriff und lässt sich in weitere Teilbereiche unterteilen. Abbildung 1.2 bietet hierfür einen Überblick. So handelt es sich beispielsweise bei IT-Sicherheit um einen solchen Teilbereich und keinesfalls um dasselbe.

IT-Sicherheit

Informationstechnologie, kurz IT, umfasst alle technischen Systeme, die irgendwie Informationen verarbeiten. Im deutschen Sprachgebrauch findet sich noch gelegentlich die Abkürzung EDV für elektronische Datenverarbeitung. Dieser leicht angestaubte Begriff wird synonym verwendet, in der Fachliteratur aber häufig auch nur für den Softwareteil der IT verwendet, während IT als gesamter, umfassenderer Überbegriff auch Hardware miteinschließt.

Beispiele für typische IT-Systeme sind Endanwendergeräte wie Laptops, Smartphones oder Tablets und Geräte zur Steuerung von IT wie Server, Router oder Switches.

IT-Sicherheit betrifft ausschließlich den Schutz dieser Systeme und Geräte, ist also eine eher technische Disziplin – und damit ein Teilbereich der Informationssicherheit. Da die meisten Informationen, die in Unternehmen und Organisationen verarbeitet werden, IT-unterstützt verarbeitet werden, handelt es sich in der Regel um den größten Teilbereich der Informationssicherheit. Oft auch um den wichtigsten. Dennoch ist es falsch, die beiden Begriffe gleichzusetzen. Genauso falsch und zu klein gedacht wäre es, das Thema Informationssicherheit im Unternehmen in die Verantwortung der IT zu geben.

Viele Unternehmen denken fälschlicherweise, dass es sich bei Informationssicherheit um IT-Sicherheit handelt, und gehen davon aus, dass sich das Thema technisch lösen lässt, zum Beispiel mit dem Kauf einer Software oder mit dem Einsatz neuester Technologie.

Da die gesetzlichen Anforderungen an Informationssicherheit in Unternehmen weiter zunehmen (zuletzt mit der NIS-2 Richtlinie), hört man häufiger Stimmen wie »Wir brauchen hier nichts zu tun, alle unsere Daten sind verschlüsselt« oder »Unsere Daten liegen doch in einem zertifizierten Rechenzentrum«. Die Verschlüsselung von Daten und die Zertifizierung von Rechenzentren sind sicher wichtige Bausteine oder Maßnahmen innerhalb der IT-Sicherheit und damit auch für die Informationssicherheit von bedeutendem Wert. Aber es ist damit nicht getan.

Blickt man in die Norm ISO 27001, so stellt man schnell fest, dass dort auch von physischen Sicherheitsthemen (zum Beispiel die Zutrittskontrolle) oder organisatorischen Themen (zum Beispiel der HR-Einstellungsprozess) die Rede ist. Und alle Maßnahmen müssen kontrolliert und gesteuert, also gemanagt, werden. Durch den Kauf einer neuen Firewall können Sie nicht nachweisen, dass Sie die Informationssicherheit in Ihrem Unternehmen im Griff haben.

Der deutsche Gesetzgeber hat in der Vergangenheit zu diesen falschen Annahmen leider beigetragen, indem die Notwendigkeit von Informationssicherheit in manchen Unternehmen im Rahmen des »IT-Sicherheitsgesetzes« 2021 eingeführt wurde. Aktuell wird allerdings angestrebt, den Begriff IT-Sicherheit in deutschen Gesetzen und Normen durch Informationssicherheit zu ersetzen.

Datensicherheit

Ein Begriff, der ähnlich angestaubt klingt wie die Abkürzung EDV, ist Datensicherheit. Hier gibt es sowohl Verwechslungsgefahr zur Informationssicherheit als auch zum Datenschutz. Datenschutz wird in diesem Kapitel noch gesondert erläutert. Im Rahmen der Informationssicherheit wollen wir alle Arten von Informationen in jeglicher Form schützen. Daten bezeichnen häufig nur elektronisch verarbeitete Informationen und damit nur einen Teil der zu schützenden Informationen. Auch dieser Begriff geht daher nicht weit genug. Datensicherheit kann synonym zu IT-Sicherheit verwendet werden.

Backups werden auch als Datensicherungen bezeichnet.

Cybersecurity

Begriffe mit dem Bestandteil »Cyber« sind in Mode, in der Presse ist nicht nur von Cybersecurity zu lesen, sondern auch von Cyberangriffen oder Cybercrime. Länder führen ganze Cyberkriege gegeneinander. Unternehmen bieten Produkte zur Cyberabwehr an, um sich gegen Cyberbedrohungen zu schützen. Auch in EU-Gesetzestexten werden die Begriffe »Cybersicherheit« und »Cyberbedrohung« verwendet.

»Cyber« ist ein Begriff, der oft in Verbindung mit Computern, Netzwerken und der digitalen Welt verwendet wird. Ursprünglich abgeleitet von »Cybernetics«, das sich mit der Steuerung und Kommunikation von Maschinen und Lebewesen beschäftigt, hat sich der Begriff in den letzten Jahrzehnten weiterentwickelt und umfasst nun ein breites Spektrum an Konzepten und Technologien, die mit der digitalen und vernetzten Welt verbunden sind.

Cyber bezieht sich allgemein auf die virtuelle, digitale Welt und alles, was mit Computern, Netzwerken und dem Internet zu tun hat. Es wird auch als Abkürzung für Cyberspace verwendet, den Raum, der durch vernetzte Computer und Kommunikationssysteme geschaffen wird. Wenn Sie also Cyber hören, denken Sie an alles, was mit der Onlinewelt und der digitalen Technologie zu tun hat. Ein Cyberangriff ist ein Angriff, der aus dem Internet heraus stattfindet. Für solche Angriffen möchte sich auch die Bundeswehr wappnen, wie man an der Stellenanzeige in Abbildung 1.3 sehen kann.

Auch international gewinnt der Begriff Cybersecurity immer mehr an Bedeutung. Häufig wird er aber synonym zu IT-Sicherheit verwendet und umfasst auch damit nur den technisch-technologischen Teil der Informationssicherheit.

Eine Mitarbeiterin der Buchhaltung, die wichtige Papiere und Aktenordner mit streng vertraulichen Geschäftszahlen nicht korrekt entsorgt und damit einsehbar für externe Personen macht, begeht einen Verstoß gegen die Informationssicherheit. In diesem Fall würde man aber kaum von »Cyber« sprechen.

Datenschutz

Datenschutz klingt vom Begriff zwar sehr ähnlich zu den bisher genannten, ist aber tatsächlich gänzlich verschieden – und steht manchmal sogar in Widerspruch zur Informationssicherheit. Meistens lassen sich beide Bereiche aber sehr gut miteinander verknüpfen.

Worin liegt aber der große Unterschied? In der Informationssicherheit geht es immer darum, Informationen zu schützen, weil diese per se als Wert für das Unternehmen oder die Organisation betrachtet werden. Datenschutz dagegen bezieht sich auf den Schutz persönlicher Daten und auf die Privatsphäre von Individuen. Er stellt sicher, dass personenbezogene Informationen, wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum und andere identifizierende Daten, vor Missbrauch, unbefugtem Zugriff und unrechtmäßiger Verarbeitung geschützt sind.

Der Hintergrund ist hierzulande nicht weniger als ein Grundrecht, nämlich das »Recht auf informationelle Selbstbestimmung«, also das Recht jeder Person, selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen (Allgemeines Persönlichkeitsrecht im Grundgesetz).

Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist eines der wichtigsten Regelwerke, das den Datenschutz innerhalb der EU regelt. Sie legt fest, wie persönliche Daten verarbeitet und geschützt werden müssen und welche Rechte betroffene Personen haben. Dazu gehören unter anderem das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung (auch bekannt als »Recht auf Vergessenwerden«) und das Recht auf Datenübertragbarkeit.

Datenschutz ist also spezifisch auf den Schutz personenbezogener Daten und die Rechte der Individuen ausgerichtet. Informationssicherheit ist dagegen ein breiteres Konzept, das den Schutz aller Informationen, unabhängig von ihrer Art, umfasst. Trotz dieser unterschiedlichen Zielsetzungen gibt es viele Überschneidungen (siehe Abbildung 1.4), insbesondere wenn es um die technischen und organisatorischen Maßnahmen (»TOMs«) geht. Diese werden von der DSGVO zum Schutz personenbezogener Daten gefordert und lassen sich häufig genauso zum Schutz aller Informationen anwenden.

Beispiele für solche gemeinsamen TOMs sind:

Zugangskontrollen: Sowohl im Datenschutz als auch in der Informationssicherheit ist es entscheidend, dass nur autorisierte Personen Zugriff auf sensible Daten und Informationen haben. Dies kann durch physische Zutrittskontrollen (zum Beispiel Schlüsselkarten) und digitale Zugriffskontrollen (zum Beispiel Passwörter, Zwei-Faktor-Authentifizierung) erreicht werden.

Verschlüsselung: Verschlüsselungstechniken werden verwendet, um Daten sowohl bei der Übertragung als auch bei der Speicherung zu schützen. Dies ist eine grundlegende Maßnahme, um die Vertraulichkeit und Integrität von personenbezogenen Daten (im Sinne des Datenschutzes) und anderen sensiblen Informationen (im Sinne der Informationssicherheit) zu gewährleisten.

Sicherheitsupdates und Patching: Regelmäßige Aktualisierungen und Patches für Software und Systeme sind notwendig, um bekannte Sicherheitslücken zu schließen und das Risiko von Cyberangriffen zu minimieren. Diese Praxis schützt personenbezogene Daten und alle anderen kritischen Informationen innerhalb eines Unternehmens.

Sicherheitsrichtlinien und -schulungen: Die Implementierung klarer Sicherheitsrichtlinien und regelmäßige Schulungen der Mitarbeiter sind entscheidend, um ein Bewusstsein für Sicherheitspraktiken zu schaffen und die Einhaltung von Datenschutz- und Informationssicherheitsvorgaben sicherzustellen. Gut informierte Mitarbeiter können besser dazu beitragen, Sicherheitsverletzungen zu vermeiden.

Überwachung und Protokollierung: Die kontinuierliche Überwachung und Protokollierung von Systemaktivitäten helfen dabei, unbefugte Zugriffe und Anomalien frühzeitig zu erkennen. Diese Maßnahmen unterstützen sowohl den Datenschutz, indem sie den unbefugten Zugriff auf personenbezogene Daten verhindern, als auch die Informationssicherheit, indem sie das gesamte Netzwerk und die IT-Infrastruktur schützen.

Durch die Implementierung dieser gemeinsamen technischen und organisatorischen Maßnahmen (TOMs) können Sie sowohl die Anforderungen des Datenschutzes als auch der Informationssicherheit erfüllen. Wenn Sie sicherstellen, dass personenbezogene Daten und andere wichtige Informationen geschützt sind, tragen alle Maßnahmen zu einem umfassenden Sicherheitsansatz bei, der die Erfüllung der Schutzziele aller Daten und Informationen gewährleistet. Abbildung 1.5 stellt dies tabellarisch dar.

Hauptaspekte der Informationssicherheit

Das große Spektrum der Informationssicherheit wird in der Norm ganz bewusst recht knapp definiert: Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Information (siehe ISO/IEC 27000, 3.28).

Ergänzend wird angemerkt: Zusätzlich können auch andere Eigenschaften wie Authentizität, Zurechenbarkeit, Nichtabstreitbarkeit und Zuverlässlichkeit einbezogen werden.

Informationssicherheit entsteht also durch eine Vielzahl von Eigenschaften, die für alle Arten von Informationen gelten sollen. Die zuerst genannten Eigenschaften Vertraulichkeit, Integrität und Verfügbarkeit werden häufig auch als Hauptaspekte der Informationssicherheit oder als Schutzziele bezeichnet. Diese drei Hauptaspekte müssen ineinandergreifen, um ein umfassendes Sicherheitskonzept zu schaffen. Jeder Aspekt ist wichtig und voneinander abhängig, da ein Versagen in einem Bereich die anderen gefährden kann. Ein effektives Informationssicherheits-Managementsystem (ISMS) berücksichtigt alle drei Aspekte und implementiert geeignete Maßnahmen, um sicherzustellen, dass die enthaltenen Informationen angemessen geschützt sind.

Die meisten Informationen haben unterschiedlichen Schutzbedarf an die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Produktinformationen und Preise auf Ihrer öffentlichen Webseite müssen korrekt und abrufbar sein, wenn Sie mit einem Onlineshop Geld verdienen möchten. Die Vertraulichkeit der Daten spielt hier aber keine Rolle, da sie ja öffentlich sind.

Genau anders verhält es sich mit geheimen Forschungsergebnissen, die streng vertraulich behandelt werden müssen. Wenn Sie diese analog in Ihrem Bankschließfach aufbewahren, um die Vertraulichkeit sicherzustellen, geht dies zulasten der Verfügbarkeit, da Sie nicht immer und überall auf diese Informationen zugreifen können, sondern für den Zugriff erheblichen Aufwand betreiben müssen.

Die drei Hauptaspekte Vertraulichkeit, Integrität und Verfügbarkeit werden, den englischen Begriffen Confidentiality, Integrity und Availability entsprechend, im allgemeinen Sprachgebrauch gerne mit »CIA« abgekürzt. Wenn Sie im ISMS-Kontext also von CIA hören, ist damit eher selten der amerikanische Geheimdienst gemeint.

Vertraulichkeit (Confidentiality)

Definition nach ISO/IEC 27000, 3.10:

Vertraulichkeit: Eigenschaft, dass Information unbefugten Personen, Entitäten oder Prozessen nicht verfügbar gemacht oder offengelegt wird.

Vertraulichkeit bedeutet, dass nur die richtigen Leute bestimmte Informationen sehen oder benutzen dürfen (siehe Abbildung 1.6). Oder anders gesagt, dass Informationen nur für autorisierte Personen zugänglich sind und vor unbefugtem Zugriff geschützt werden. Und das gilt letztlich auch für Systeme. Der Schutz der Vertraulichkeit stellt sicher, dass sensible Daten wie persönliche Informationen, Geschäftsgeheimnisse oder Finanzdaten nicht in die falschen Hände geraten. In einem Unternehmen bedeutet Vertraulichkeit, dass nur autorisierte Mitarbeiter Zugang zu sensiblen Informationen wie Kundenlisten oder Forschungsergebnissen haben. Zum Beispiel werden Mitarbeiter in der Personalabteilung Zugang zu Gehaltsinformationen haben, aber nicht jeder im Unternehmen sollte diese Informationen sehen können.

Vielleicht kommt Ihnen beim Thema Vertraulichkeit sofort Verschlüsselung als Schutzmaßnahme in den Sinn. Das ergibt als technische Maßnahme durchaus Sinn. Denken Sie aber auch wieder daran, dass es sich bei Informationen nicht nur um digitale Daten auf Computersystemen handelt, sondern genauso um ausgedruckte Unterlagen auf Papier und um das Wissen in den Köpfen der Mitarbeiter. Aktenschränke und Büroräume abzuschließen und Mitarbeiter zur Geheimhaltung zu verpflichten, sind daher ebenso sinnvolle Maßnahmen.