Security Compliance

ISO 27001 richtig umsetzen und verstehen

| Autor / Redakteur: Markus Westphal / Peter Schmitz

Durch ihre bessere Etablierung und gesammelte Erfahrung ist die ISO-Norm 27001 oft näher an den Businessprozessen und spricht eine klarere Sprache als andere Vorgaben.
Durch ihre bessere Etablierung und gesammelte Erfahrung ist die ISO-Norm 27001 oft näher an den Businessprozessen und spricht eine klarere Sprache als andere Vorgaben. (© wladimir1804 - stock.adobe.com)

Viele IT-Entscheider stehen unter Zeitdruck, denn ab Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem überarbeiten viele Organisationen ihre Sicherheitsstandards und durch das IT-Sicherheitsgesetz gelten für Betreiber Kritischer Infrastruktur (KRITIS) ebenfalls neue Vorgaben. Das größte Problem ist die Umsetzung in der Praxis, wirklich brauchbare Leitfäden sind aber schwierig zu finden. Daher lohnt ein genauer Blick auf bestehende Normen wie die ISO 27001.

Im Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz ) stellt die Bundesregierung ebenfalls fest, dass juristische Paragrafen nicht immer ausreichend präzise sein können, um auf die verschiedenen Bedingungen in den unterschiedlichen Branchen einzugehen. Stattdessen sollen sich Organisationen an Industrie- und Branchenstandards orientieren. Auch für andere Anforderungen wie bei der DSGVO gibt es noch keinen Königsweg, um für ausreichenden Schutz von persönlichen Daten zu sorgen, allerdings lohnt ein genauer Blick auf bestehende Normen.

Orientierungshilfe ISO 27001

Sektor übergreifend ist dabei die ISO 27001 der International Standard Organisation (ISO) eine der wichtigsten Vorgaben in Europa. Die Compliance-Richtlinie stellt die Rahmenbedingungen für Information Security Management Systeme (ISMS) und ist auch beim Thema IT-Sicherheit eine gute Grundlage für Maßnahmen. Deshalb sollten IT-Fachkräfte diese im Auge behalten.

Grundsätzlich ist die Erfüllung von ISO 27001 nicht gesetzlich vorgeschrieben, allerdings bietet das das BSI bietet entsprechende Audits und Prüfungsnachweise an. Die Norm schafft aber wichtige Grundlagen.

Speziell in Bezug auf die DSGVO ist der Absatz A.18.1.5 „Privacy and Protection of Personal Identifiable Information“ der ISO-Norm zu beachten. Dort spricht man von der Etablierung von Policies zum Datenschutz und Datensicherheit. Zur verbesserten Information und internen Kommunikation soll die Rolle eines Privacy Officer eingeführt werden. Die Norm ähnelt hier stark dem Anspruch der DSGVO nach einem Data Protection Officer (DPO), der für Unternehmen mit mehr als 250 Angestellten verpflichtend wird.

Durch ihre bessere Etablierung und gesammelte Erfahrung ist die ISO-Norm häufig näher an den Businessprozessen und spricht eine klarere Sprache als andere Vorgaben. Neben der DSGVO trifft das in der Regel auch auf branchenspezifische Regulierungen wie HIPAA, PCI-DSS oder KRITIS-Vorgaben zu.

Praktisches Beispiel: ISO 27001-Compliance durch Privileged Access Management

Es gibt zahlreiche Technologien, die einzelne Teilbereiche mit ihren Schutzfunktionen abdecken oder bestimmte Schadsoftware abwehren können. Allerdings ist es in der Praxis zielführender in Arbeitsprozessen zu denken. Dabei stehen die Interaktionen der Nutzer im Mittelpunkt. Während sich einfache User relativ leicht reglementieren lassen, muss auf Konten mit erhöhten Sicherheitsfreigaben ein besonderes Augenmerk geworfen werden.

Durch Cloudcomputing, die wachsende Anzahl an Endpunkten durch IoT und smarten Geräten steigt auch der Bedarf an Administrations-Accounts. Dies spielt bei der Umsetzung von ISO 27001 daher eine wichtige Rolle. Im Alltag von IT-Verantwortlichen stellen sich vier grundlegende Aufgaben:

  • Das Prinzip der schlanken Zugriffsverwaltung: Kein User sollte mehr Privilegien besitzen als für seine Rolle unbedingt benötigt. Dies gilt besonders für Benutzerkonten mit kritischen Sicherheitsfreigaben und Zugriff auf wichtige Assets.
  • Das Management von Konten muss den ganzen Lebenszyklus geplant sein. Zugriffsrechte sollten nur im benötigten Zeitraum gewährt und wieder entzogen werden können.
  • Unternehmen dürfen keine unsicheren Passwörter zulassen oder deren Weitergabe durch geteilte Accounts fördern. Stattdessen sollten Policies für starke Kennwörter und deren regelmäßige Änderung durchgesetzt werden.
  • Erstellung von Audits und Reports für jede Session und Operation von einem Account mit erweiterten Zugriffsrechten.

Besonders geeignet, um die wichtigsten Vorgaben von ISO 27001 ohne aufwendige Neuimplementierungen umzusetzen, sind Lösungen für das Management von privilegierten Zugängen, da sie IT-Abteilungen bei den wichtigsten Aufgaben entlasten. Privileged Access Management (PAM) hilft bei der granularen Verwaltung von Accounts und funktioniert als sicheres Gateway zwischen Nutzern und kritischen Daten. Dabei verwalten sie alle privilegierten Konten für eigene Mitarbeiter oder externe Dienstleister in einer Lösung agentenlos.

ISO 27001 Anforderungen nach A.6.1.1 „Information Security Roles and Responsiblities“ werden umgesetzt, und erlauben zu jedem Zeitpunkt die volle Visibilität aller Benutzerkonten und deren Aktivitäten. Außerdem können die Freigaben und Zugriffsrechte jederzeit angepasst werden. Im Kapital A.9 der Norm wird genau dies für privilegierte Nutzerkonten gefordert.

Durch die Digitalisierung werden auch physische Zugangsberechtigungen an Nutzeraccounts gekoppelt. Dieser Bereich ist in der Norm im Kapitel A.11 geregelt. Außerdem gibt es mit A.15 ein Kapitel zum Umgang mit Zulieferern und deren Zugriffsrechen. Beides lässt sich durch PAM managen und geeignet sichern.

Aus Sicht der User sollte man auf Unterstützung von Single Sign On achten, da dies den Zugang für die Anwender deutlich erleichtert. Darüber hinaus kann PAM die Workflows der Nutzer einzeln prüfen und sehen, ob ihre Aktionen legitim sind.

Fazit

Ein strategisches Konzept muss das richtige Schutzniveau mit einer nutzerfreundlichen Anwendung kombinieren. Gleichzeitig muss es in die Alltagsroutine von IT-Verantwortlichen passen und die Erfüllung von Normen und Vorschriften gewährleisten. Es sollte Mitarbeitern die effizienteste Technik für ihre Aufgaben bieten und gleichzeitig die Gefahr von Datenlecks, Cyberangriffen und Compliance-Verstößen verringern.

Die richtige Absicherung von privilegierten Zugängen hilft Unternehmen bei der richtigen Sicherung ihrer digitalen Assets. Zurzeit sind einige wenige PAM-Lösungen erhältlich, die für den europäischen Markt entwickelt wurden und an künftige Richtlinien angepasst werden können. Allgemeine Standards, wie ISO 27001 oder der BSI-Grundschutz, sind aktuelle Beispiele, aber sie sind nur eine Orientierung und höchstwahrscheinlich werden neue Vorschriften folgen.

Über den Autor: Markus Westphal ist Director Central Eastern Europe bei Wallix.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45107947 / Standards)