:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/15/ff15bff08f3786c0748546eeaa5f39af/0115423531.jpeg ""Alles was Sie zu Data Security Posture Management wissen sollten", ein Interview von Oliver Schonschek, Insider Research, mit Sebastian Mehle von Varonis. (Bild: Vogel IT-Medien / Varonis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ein Zertifizierungsprozess, der sich lohnt 5 Tipps zur Implementierung von ISO 27001
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Unternehmen weltweit sind der Gefahr von Cyberangriffen ausgesetzt. Viele gewährleisten den Schutz ihrer IT-Systeme durch das ISO/IEC 27001 Zertifikat, ein internationaler Standard für IT-Sicherheit. Die Zertifizierung wurde letztes Jahr aktualisiert. Warum aber ist die ISO 27001 so wichtig? Was müssen Unternehmen bei der Erstzertifizierung beachten?
Mit der zunehmenden Digitalisierung der Wirtschaft werden die Cybersicherheit und der Schutz sensibler Daten zu einem entscheidenden Thema, insbesondere im Zusammenhang mit Online-Geschäftsvorgängen, Remote-Arbeitsplätzen, Open-Banking und einer steigenden Anzahl elektronischer Geräte. Das Weltwirtschaftsforum meldete, dass die Zahl der Cyberangriffe im Jahr 2021 global 125 Prozent im Vergleich zum Vorjahr gestiegen ist. Tendenz steigend für das Jahr 2022. Und wie Deloitte berichtet, wurden 35 Prozent der Angriffe während der Covid-19-Pandemie mit bisher unbekannter Malware und Methoden durchgeführt.
Der Schutz von Informationssystemen und Netzwerken ist daher von entscheidender Bedeutung – vornehmlich in postpandemischen Zeiten für Finanztransaktionen, Betriebsabläufe und den Datenaustausch.
Höchster Schutz
Um diesen Schutz zu gewährleisten, gibt es das ISO/IEC 27001-Zertifikat. Es ist eine von fast 25.000 internationalen Normen, die von der Internationalen Organisation für Normung vergeben wird. Die Norm weist nach, dass ein Unternehmen ein Informationssicherheits-Managementsystem (ISMS) eingerichtet hat, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch Anwendung eines überprüften Risikomanagementprozesses zu gewährleisten.
Einfach ausgedrückt: Es handelt sich um den höchsten heute existierenden globalen Standard, den ein Unternehmen einhalten kann, um sicherzustellen, dass es mit Daten auf die sicherste Art und Weise umgeht. Mit einer ISO/IEC 27001-Zertifizierung stärken Unternehmen ihren Schutz vor Cyberangriffen und beugen dem Verlust sensibler Informationen vor. Über 58.000 Organisationen weltweit setzen bereits auf den ISO/IEC 27001 Standard.
Aktualisierung der Norm 2022
Zur Bewältigung der globalen Herausforderungen im Bereich der Cybersicherheit und zur Verbesserung des digitalen Vertrauens hat die Internationale Organisation für Normung im Oktober letzten Jahres eine neue Version der ISO/IEC 27001 veröffentlicht: ISO/IEC 27001:2022, die damit die Version aus dem Jahr 2013 ablöst. Die neue ISO-Version formuliert klare Anforderungen und Maßnahmen an ein ISMS, sowie den notwendigen Handlungsbedarf für Unternehmen.
Bereits zertifizierte Unternehmen haben bis Herbst 2025 Zeit, die neuen Maßnahmen des ISO/IEC 27001:2022 umzusetzen. Alle Erstzertifizierungen nach der neuen Norm müssen ab dem 31. Oktober 2023 durchgeführt werden.
Keine Verpflichtung, aber…
Wie andere ISO-Normen für Managementsysteme ist eine Zertifizierung nach ISO/IEC 27001 nicht obligatorisch. Einige Organisationen entscheiden sich trotzdem für die Umsetzung der Norm, um von den darin enthaltenen bewährten Verfahren zu profitieren, während andere sich auch zertifizieren lassen wollen, um Vertrauen gegenüber ihren Kunden, Auftraggebern und Geschäftspartnern zu schaffen.
Jedes Unternehmen, das eine Zertifizierung durchführt, sollte die entsprechenden Ressourcen frühzeitig einplanen, denn der Prozess nimmt viel Zeit in Anspruch. Bei Silvr haben wir sechs Monate gemeinsam mit unserem Compliance-Dienstleister Vanta und der von der britischen Regierung geförderten ISO-Zertifizierungsstelle British Assessment Bureau an der Sicherung der IT-Infrastruktur gearbeitet. Bis zum Ende des Zertifizierungsprozesses wurden alle existierenden Sicherheiten, Systeme und Strukturen intensiv und bis ins kleinste Detail geprüft.
Warum ist ISO/IEC 27001 so schwer zu erreichen?
Das Verfahren erfordert die Zertifizierung des Schutzes von Daten in allen Formen. Und dazu muss Folgendes gewährleistet werden:
- Informationen in allen Formen, digital und analog, sind geschützt.
- Die Widerstandsfähigkeit gegen Cyberangriffe wird fortlaufend ausgebaut.
- Die Zentralisierung von Informationen ist gewährleistet.
- Ein unternehmensweiter Schutz (sowohl digital als auch physisch) ist gewährleistet.
- Bedrohungen werden erkannt und unter Kontrolle gebracht.
- Datenintegrität, Datenschutz und Verfügbarkeit sind sichergestellt.
Wie läuft der Zertifizierungsprozess ab?
Wer sich zum ersten Mal nach ISO/IEC 27001 zertifizieren lassen möchte, muss einige Vorgaben erfüllen, zum Beispiel in Bezug auf:
- Verantwortung: Es ist unerlässlich, dass eine Führungskraft die kollektive Verantwortung für das ISMS übernimmt, zum Beispiel der CTO des Unternehmens.
- Prozesse und Budgets: Diese müssen zeigen, dass Sicherheit nichts ist, das ausschließlich mit der IT-Abteilung zu tun hat. Das gesamte Unternehmen mit jeder einzelnen Abteilung ist daran beteiligt. Deshalb sollten alle Führungskräfte jeder Abteilung darüber informiert werden.
- Bestandsaufnahme: Es muss eine gründliche Prüfung durchgeführt werden, um das aktuelle Datenschutzniveau zu ermitteln und den Ist-Zustand festzustellen.
- Aktionsplan: Nach der Bestandsaufnahme legt das Unternehmen einen Plan fest, um langfristig ein geeignetes Informationsschutzniveau zu erreichen.
- Betriebsmanagement: Es muss ein angemessenes und wirksames Management der ISMS-bezogenen Aktivitäten sichergestellt werden. Für uns bedeutete dies, 15 zusätzliche Richtlinien zu verfassen, die das gesamte Unternehmen ab sofort zu befolgen hat. Das entspricht mehr als 110 Kontrollpunkte.
Für die Fertigstellung des Stufe-1-Berichts haben wir etwa vier Monate intensiver Zusammenarbeit benötigt. In Stufe 2 bestätigte dann das britische Assessment Bureau, dass wir für jede der Anforderungen der ISO/IEC 27001-Norm einen Kontrollmechanismus definiert haben, und prüfte stichprobenartig die Anwendung dieser Kontrollen.
Ihr Unternehmen denkt auch über eine ISO-Zertifizierung nach?
Trotz eines langwierigen Prozesses sind wir uns sicher, dass er sich auszahlt. Das notwendige und sorgfältige Hinterfragen aller Prozesse, sorgt für eine neue Perspektive auf die IT-Infrastruktur. Nachdem wir den Prozess durchlaufen haben, empfehlen wir Unternehmen, die noch vor dieser Aufgabe stehen, die folgenden Punkte rechtzeitig zu beachten:
- 1. Fangen Sie so früh wie möglich an – mindestens sechs Monate im Voraus. Größere Unternehmen sollten acht bis neun Monate einplanen, da eine Prüfung durch die komplexeren Strukturen länger dauert.
- 2. Involvieren Sie alle Führungskräfte. Wir empfehlen, dass die Führungskräfte aller Abteilungen von Anfang an gebrieft sind und in den Zertifizierungsprozess mit eingebunden werden, da er abteilungsübergreifend stattfindet.
- 3. Eine Lizenz für eine Compliance-Plattform lohnt sich. Wir empfehlen, mit einem externen Compliance-Dienstleister zusammenzuarbeiten und eine Lizenz zu erwerben.
- 4. Setzen Sie sich mit der ISO 27001 Norm im Detail auseinander. Es ist wichtig die ISO 27001 Norm zu verstehen und sich mit den Einzelheiten der Norm vertraut zu machen, schon bevor der Zertifizierungsprozess beginnt. Details sind verfügbar über das ISO Institut.
- 5. Machen Sie sich die Praktikabilität bewusst: ISO 27001 ist für Unternehmen jeder Größe gedacht. Die besten Prozesse sind die, die der Norm und Ihren individuellen Unternehmensabläufen entsprechen. Egal welche Größe Ihr Unternehmen hat, Sie profitieren von den bestmöglichen Standards. Das ist die Mühe wert.
Auch wenn der Prozess der Zertifizierung aufwändig war, ist die ISO 27001 Norm ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. Das Zertifikat sorgt für die Einrichtung und Aufrechterhaltung eines effektiven Informationssicherheitsmanagementsystems. Es hilft Organisationen bei der Bewältigung von Sicherheitsrisiken und der Einhaltung gesetzlicher Vorschriften und schafft in Folge Vertrauen gegenüber Mitarbeitenden, Geschäftspartnern und Kunden. Die Zertifizierung nach ISO 27001 kann außerdem einen Wettbewerbsvorteil darstellen und Organisationen dabei helfen, ihre Verfahren zur Verwaltung der Informationssicherheit kontinuierlich zu verbessern.
Über den Autor: Gregory Tappero ist Mitgründer und CTO bei Silvr, Europas erstem Neolender und Marktführer für datenbasierte Finanzierungen. Die Plattform ermöglicht digitalen Wachstumsunternehmen, ihren Cashflow durch on-demand Finanzierungen flexibel zu optimieren. Vor seiner Gründung von Silvr war Herr Tappero als CTO und Gründer für mehrere Startups in den USA, Australien und Europa tätig.
(ID:49502991)
:quality(80)/p7i.vogel.de/wcms/a8/05/a80509053aff785e878adeb2e6e4da1a/0112115041.jpeg "Die ISO 27000 ist eine Normenreihe und einführender Standard für Informationssicherheitsmanagementsysteme. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e2/fa/e2fa3fb6dfcce8649ea43d1b85663d75/0113555225.jpeg "Zur erfolgreichen ISO 27001-Zertifizierung gelangt man in sechs Schritten. (Bild: WrightStudio - stock.adobe.com)")