ISO 27001:2005 – Security-Standards auf der Basis von IT-Compliance

Das Information Security Management System nach deutschem Recht aufbauen

26.09.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

IT-Compliance nach ISO 27001:2005 umfasst Mitarbeiter-Verträge und IT-Gesetze.
IT-Compliance nach ISO 27001:2005 umfasst Mitarbeiter-Verträge und IT-Gesetze.

Ein Managementsystem für Informationssicherheit (ISMS) nach ISO 27001:2005 bietet umfassende Überwachungsmöglichkeiten für Soft- und Hardware, aber auch für Personen und deren Handlungen. Zum Schutz von Arbeitnehmern und zur Wahrung von Persönlichkeitsrechten sind weltweit verschiedene Auslegungen gesetzlich gültig. Die ISO ist sich dessen bewusst. Dieser Artikel beschreibt den Überwachungsbereich Compliance und gibt Hinweise, wie eine Anwendung nach deutschem Recht aussehen könnte.

Der englische Begriff „Compliance“ hat Einzug in die IT-Begriffswelt gehalten. Deutsche Synonyme dafür lauten beispielsweise „Befolgung“, „Einhaltung“ oder „Regelbefolgung“. Folglich handelt Compliance in der Informationstechnologie von der Einhaltung von rechtlichen Erwägungen. Darunter fallen vertragliche Regelungen mit Mitarbeitern (Beamte, Angestellte, Freiberufler, usw.) oder die allgemeinen gesetzlichen Bestimmungen.

Ziel und die eigentliche „Kunst“ ist es, die Arbeitsverträge und Sicherheitsbestimmungen gesetzeskonform zu halten. Die Rechtsprechung an sich basiert auf einer Gesetzesgrundlage, die allerdings immer im Zusammenhang mit einer „derzeit gültigen Rechtssprechung“ aufzufassen ist.

Kontrollziele im Überblick

Die IT-Compliance ist der elfte und letzte Überwachungsbereich (§15) aus dem Annex A. Dieser Bereich besteht aus drei Kategorien und insgesamt zehn Kontrollzielen, den eigentlichen Aufgaben oder Maßnahmen. Wie bei den anderen Überwachungsbereichen übernimmt die Norm die Vorgaben aus ISO 17799:2005 (Best Practices).

Besonders in diesem Überwachungsbereich kann und darf die internationale ISO-Norm lediglich Ratschläge bezüglich der Anwendung eines ISMS geben. Daher sind folgende drei Kategorien benannt:

  • Einhaltung der gesetzlichen Bestimmungen
  • Einhaltung von Sicherheitsrichtlinien und Standards
  • Prüfungsbetrachtungen für Informationssysteme

Einhaltung der gesetzlichen Bestimmungen

Um den gesetzlichen Bestimmungen zu genügen, müssen Organisationen neben der Rechtsgrundlage auch die aktuelle Rechtssprechung im Auge behalten. Dies formuliert die ISO-Norm als „anwendbare Gesetzgebung“. Wie sieht das in Deutschland aus? Je nach Organisationsausrichtung ist es unerlässlich, Arbeitnehmervertreter in die IT-Sicherheitsorganisationsstruktur einzubinden. Wichtige Bestimmungen, die die Informationstechnologie betreffen, sind

  • das Telekommunikationsgesetz (Telefon, Fax, E-Mail, usw.),
  • das Bundesdatenschutzgesetz (Schutz der Privatsphäre, usw.),
  • Basel II (Analyse der Kreditwürdigkeit) und die
  • digitale Steuerprüfung (GDPdU, Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen).

Für deutsche Unternehmen, die an US-Börsen notiert sind oder mit börsennotierten US-Firmen in Geschäftsbeziehungen stehen, gilt auch der Sarbanes-Oxley Act (SOX), der eine Reihe von Anforderungen an das Finanz-Reporting von Unternehmen beinhaltet. Das Hauptaugenmerk liegt beim SOX allerdings auf dem Risikomanagement des Unternehmens.

Die im ISO gemachten Vorschläge sind demnach immer mit den gesetzlichen Bestimmungen abzugleichen. Darunter fallen die Kontrollziele „geistige Eigentumsrechte“, der Schutz von Organisations-Unterlagen, die Wahrung der Privatsphäre, die Vermeidung von Datenmissbrauch und die Verwendung von kryptografischen Methoden.

Einhaltung von Sicherheitsrichtlinien und Standards

Die im ersten Überwachungsbereich Informationssicherheitsrichtlinien (Annex A, §5) dokumentierten Sicherheitsrichtlinien müssen überwacht werden. Dies geschieht laut ISO-Norm und Deutscher Gesetzgebung von „höchster Stelle“ aus. Die Unternehmensleitung ist für geeignete Kontrollmaßnahmen verantwortlich, da sie persönlich zum Ersatz des Schadens verpflichtet ist, welcher der Gesellschaft aufgrund schuldhafter Pflichtverletzung ihrer Organmitglieder entsteht.

Inwieweit eine schuldhafte Pflichtverletzung vorliegt, muss selbstverständlich immer im Einzelfall geprüft werden. Ganz sicher ist, dass bei Nichtstun oder gänzlicher Unwissenheit schon eine gewisse Fahrlässigkeit unterstellt werden kann.

Um Missverständnisse vorzubeugen: der Geschäftsführer muss sich nicht persönlich mit allen Details beschäftigen. Es reicht durchaus aus, geeignete Maßnahmen zu delegieren und sich Ergebnisse von internen Mitarbeitern oder IT-Sicherheitsdienstleistern berichten zu lassen.

Die gesetzliche Haftung für die IT-Sicherheitsverantwortlichen dürfte diesen durchaus einige Schweißperlen auf die Stirn treiben. Diese Arbeitnehmergruppe kann gegenüber ihrem Arbeitgeber schadensersatzpflichtig sein, wenn sie schuldhaft (!) ihre Arbeitsleistung schlecht erbracht hat und dadurch den Arbeitgeber geschädigt hat. Eine Verletzung der IT-Sicherheitsrichtlinien kann auch einem Administrator theoretisch sehr schnell vorgeworfen werden, wenn er umfassende administrative Berechtigungen auf IT-Systeme besitzt.

Ein Administrator sollte sich seiner verantwortungsvollen Tätigkeit bewusst sein und sehr umsichtig mit Daten und Zugriffsberechtigungen umgehen. Fachliche und rechtliche Unterstützung sollte er auf jeden Fall von der IT-Sicherheitsorganisation erhalten, um den Tatbestand einer Fahrlässigkeit zu vermeiden.

Prüfungsbetrachtungen für Informationssysteme

IT-Sicherheit und IT-Systeme sollen die Geschäftsprozesse immer unterstützen und nie behindern. Eine Kontrolle gemäß den IT-Sicherheitsrichtlinien, die je nach Schutzbedarf der Organisation variieren können, erfolgt angemessen und nach den Beschreibungen des Überwachungsbereichs Zugriffskontrolle (Annex A, §11). Um hier ein Beispiel zu nennen: Eine Überwachung aller Dateizugriffe ist nicht sinnvoll, wohl aber die bei geheimen oder bei schreibgeschützten Dateien.

Die ISO-Norm weist in einem anderen Kontrollziel explizit auf den Schutz von Überwachungsprogrammen hin. Potentielle Angreifer oder schädlicher Code wird in der Regel zuerst versuchen, die Überwachungsmechanismen lahm zu legen, um sich dann ungehindert auszubreiten.

Fazit

IT-Compliance umfasst rechtliche Bestimmungen zur Einhaltung von IT-Sicherheit. Die Auslegung dieser Bestimmungen ist international sehr verschieden und muss in den jeweiligen Ländern immer gesondert betrachtet werden.

Weltweit operierende Unternehmen müssen sich daher in jedem Land um einen Maßnahmenkatalog zur Durchsetzung von IT-Sicherheit kümmern. Eine Umsetzung sollte zwischen Organisations- oder Firmenleitung, den IT-Sicherheitsbeauftragten, der Rechtsabteilung und ggf. externen Beratern abgestimmt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007910 / Compliance und Datenschutz )