:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISO 27001:2005 – Kommunikations- und Betriebsmanagement Kernbereiche ausführbarer Managementprozesse im ISMS
Das Kommunikations- und Betriebsmanagement (operatives Controlling) ist einer der wichtigsten Überwachungsbereiche des ISO/IEC 27001:2005. Es beschäftigt sich mit konkreten Maßnahmen zur Netzwerk- und Betriebssystemsicherheit in dem ISMS (Managementsystem für Informationssicherheit). Darunter fallen betriebliche Abläufe, Systemplanung oder der elektronische Handel.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
ISO/IEC 27001:2005 richtet sich bei den Kontrollzielen nach den „Best Practicies“ von ISO/IEC 17799:2005. Kontrollziele sind die „Aufgaben“ in einem Überwachungsbereich. Auf 23 Seiten werden Vorschläge zu Themen, wie Betriebsvorgänge bis hin zur Überwachung gegeben.
Dieser Artikel gibt einen Überblick über die Inhalte. Viele davon haben Überschneidungen mit anderen Kontrollzielen der Norm, aber auch mit weiteren standardisierten Managementsystemen, wie dem IT-Service-Management ITIL (IT Infrastructure Library) und Grundschutz nach BSI (Bundesamts für Sicherheit in der Informationstechnik).
Folgende Kontrollziele sind laut ISO-Norm zu beachten:
- Betriebliche Abläufe und Verantwortlichkeiten
- Verwaltung der Dienstleister
- Systemplanung und Abnahme
- Schutz gegen bösartigen Programmcode
- Backup
- Netzwerksicherheitsmanagement
- Datenträgermedien-Behandlung
- Austausch von Informationen
- Elektronischer Handel (E-Commerce)
- Überwachung von System- und Netzwerkzugriffen
(1) Betriebliche Abläufe und Verantwortlichkeiten
Unter den betrieblichen Abläufen fallen Kontrollziele, wie die Dokumentation von Arbeitsabläufen, das Veränderungsmanagement (Change Management), die Abtrennung von Verantwortlichkeiten und die Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen.
Im Veränderungsmanagement werden alle Aufgaben und Maßnahmen zusammengefasst, die eine Umstrukturierung von Prozessen und Systemen bewirken. Hier bezieht sich die ISO-Norm auf weitreichende Kontrollen von Betriebssystemen und Anwendungen, wie das Planen und Testen von Veränderungen. Da das Veränderungsmanagement sich nicht mit der Änderung bzw. Verbesserung von Produkten beschäftigt, darf man es nicht mit dem Änderungswesen verwechseln. Weitere Informationen zum Thema Organisation sind im Überwachungsbereich „Organisation der Informationssicherheit“ zu finden (Annex A, § 6).
(2) Verwaltung der Dienstleister
Im Falle von Outsourcing ist der Schutz der Informationen, die den Auftraggeber in Richtung Dienstleister verlassen, essentiell. Wie beim internen Sicherheitsmanagement, ist der Dienstleister zu überwachen und zu überprüfen. Zur Anwendung kommt auch der Kontrollbereich „Organisation der Informationssicherheit“ (§ 6, Annex A).
Der Auftraggeber sollte sich bewusst sein, dass ein Outsourcing ihn nicht aus der Haftung entlässt, sollte eine Verletzung des Datenschutzes bzw. gültiger Gesetze stattfinden. Daher ist es empfehlenswert, die letztendliche Entscheidungsgewalt nicht in fremde Hände zu geben.
(3) Systemplanung und Abnahme
Systemplanung und Abnahme minimieren das Risiko des Systemausfalls. In der Praxis hat sich gezeigt, dass ein zu knappes Kalkulieren von Ressourcen ein höheres Ausfall- oder Teilausfallrisiko nach sich zieht. Läuft ein Servergerät erst einmal, und hunderte von Benutzern arbeiten produktiv auf diesem Gerät, ist ein Upgrade aufwändiger, als eine sinnvolle Planung im Vorfeld.
Bei der Planung ist daher auf Skalierbarkeit und Ausfallsicherheit (redundante Hardware- und Softwarekomponenten) unbedingt zu achten. Des Weitern sind Notfallpläne und Prozeduren bei der Abnahme zu testen und dokumentieren.
(4) Schutz gegen bösartigen Programmcode
Vorsorgemaßnahmen gegen bösartigen Programmcode gehören mittlerweile zum Standard, wenn es um IT-Sicherheit geht. Diverse Hersteller bieten Softwarepakete zum Schutz vor Viren, Trojanern und Netzwerkwürmern an. Die Software wird meistens zentral verwaltet und auf Server und Clients zeitgesteuert aufgespielt.
Damit der Schutz immer Up-to-date ist, sind Aktualisierungsraten (über das Internet) von einer Stunde Standard. Sinnvoll kann allerdings auch das Entfernen oder Blockieren von Disketten, CD/DVD-Rom, PCMCIA-Schächten (bei Notebooks), USB-Schnittstellen oder anderen Daten-Schnittstellen sein. Sollte ein Schadensfall eintreten, ist ein geprüfter Notfallplan auszuführen.
(5) Backup
Backups sind bei versehentlich gelöschten Daten und zum Widerherstellen von Betriebssystemen nach Befall von bösartigem Code notwendig. Die Norm ebenfalls vor, dass eine Prüfung der Sicherung vorzunehmen ist. Für die Verwaltung der Datenmenge und Datenträger sind Informationen über Standort, Anzahl der Sicherheitskopien, Datum und Größe notwendig.
Sinnvollerweise liegt ein Backup-Standort etwas abseits vom Serverraum oder Rechenzentrum. Je nach Sicherheitsbedürfnis („Schutzbedarfskategorie“, laut BSI) ist auch ein zweites, vollständiges physikalisch geschütztes Backup-Rechenzentrum an einem anderen Standort notwendig. Sind Backups von Datenträgern erforderlich, sollte die Dauer des Backups und die Down-Zeit bei Widerherstellung beachtet werden.
(6) Netzwerksicherheitsmanagement
ISO 27001:2005 schreibt vor, dass Netzwerke angemessen verwaltet und kontrolliert werden. Aber auch auf die Sicherheit der Netzwerkdienste ist zu achten. Die Norm schreibt unter Anderen vor, dass verantwortliche Personen für die Netzwerksicherheit abzustellen sind. LAN und WAN-Strecken sollten genauso überwacht werden, wie die leider oft vernachlässigten funkbasierenden Netze.
Für die Überwachung können Kontrolldateien (Log-Files) ausgelesen und spezielle Intrusion-Detection-Software eingesetzt werden. Falls dennoch ein unerlaubter Zugriff vorkommt, können verschlüsselte Datenübertragungen ein Lesen der Informationen verhindern. Technologien zum Verschlüsseln (z. B. IPSec) sind heute Bestandteil von modernen Betriebssystemen und müssen lediglich eingerichtet werden. Durch Smartcards und andere Authentifizierungsgeräte kann in der Praxis sichergestellt werden, dass nur befugte Personen sich am Netzwerk anmelden. Aber auch einfache Maßnahmen, wie das „schlichte“ Abtrennen vom Internet, können sehr sinnvoll sein. Mehr zu diesem Thema ist auch im Überwachungsbereich „Zugriffskontrolle“ zu finden (Annex A, § 11).
(7) Datenträgermedien-Behandlung
Die Verwaltung von Medien (Diskette, Festplatte, USB-Sticks, CDs, DVDs, Papier, usw.) dient zum Schutz gegen Diebstahl oder unerlaubter Verwendung. Medien können physikalisch oder per Softwareverschlüsselung geschützt werden. Auch die sichere Entsorgung der Medien, wie zum Beispiel durch Shreddern, ist zu beachten.
Auch IT-Abwicklungsverfahren helfen, einen Missbrauch oder falsche Handhabung der Datenträger zu verhindern. Diese Maßnahmen umfassen beispielsweise ein Etikettieren, Inventarisieren oder Löschen nicht benötigter Kopien. Mehr zu diesem Thema ist im Überwachungsbereich „physische Sicherheit“ zu finden (Annex A, § 9).
(8) Austausch von Informationen
Bei diesem Kontrollziel soll der Austausch von Informationen innerhalb der Organisation und zu externen Parteien sicher gestaltet werden. Die Norm benennt 15 Betriebsabläufe, die einen sicheren Datenaustausch ermöglichen. Sie betreffen das Kopieren, Modifizieren, Löschen oder Öffnen von Informationen bzw. Daten. Aber auch der Einsatz kryptographischer Methoden oder der Umgang mit technischen Geräten ist zu beachten.
Manche Geräte haben unter Umständen Funktionen, die eine Zwischenspeicherung oder Widerherstellung von Daten ermöglichen. Darunter fallen Wahlwiederholungen (Faxe, Telefone), Fernabfragen (Fax, Faxkarten, Telefonanlagen, Router, Firewalls, …) oder das Cachen von Daten (Kopierer, Drucker, Faxgeräte, Proxy-Server,…). Ebenfalls zu schützen ist die Kommunikation via Sprache oder Fax. Telefongespräche werden bei den Telekommunikationsdiensten digitalisiert und über Satellit oder Internet (Voice over IP) gesendet. Es bedarf also nicht zwangsläufig eines Richtmikrofons, um Gespräche zu belauschen.
(9) Elektronischer Handel (E-Commerce)
Für Organisationen, die einen elektronischen Handel über das Internet betreiben, ist der Schutz und Vertraulichkeit der Daten laut ISO 27001:2005 vorgesehen. Da in diesem Fall schnell das deutsche Gesetz greift, sind die Vorgaben der Norm mit Vorsicht zu genießen.
Insgesamt zu beachten sind folgende gesetzliche Regelungen, für:
- den Vertragsabschluss über das Internet
- die Zugangs- und Beweisregelungen
- die elektronische Signatur
- die Anforderungen an den elektronischen Geschäftsverkehr
- die Unternehmensangaben auf den geschäftlichen E-Mails
- die elektronische Rechnungsstellung
Die Speicherung und Weitergabe von Informationen an Dritte sind ohne Zustimmung des Kunden untersagt. (Aus Kundensicht empfiehlt es sich daher, die AGBs eines Online-Shops durchzulesen!) Aber auch neben der Daten-Integrität ist die Verfügbarkeit der Dienste vorgeschrieben. Bei Online-Transaktionen muss die vollständige Transaktion durch eine Datenverschlüsselung gesichert sein.
Derzeitig ist der SSL-Standard üblich. Für die Vergabe von Sicherheitszertifikaten zur Verschlüsselung ist auf vertrauenswürdige Zertifikatsherausgeber bzw. Stammzertifizierungsstellen (siehe Abbildung 1) zurückzugreifen.
(10) Überwachung von System- und Netzwerkzugriffen
Eine Überwachung von System- und Netzwerkzugriffen ermöglicht eine Erkennung von Eindringlingen. Hier werden zwangsläufig persönliche Benutzerdaten (Zugriffszeiten, usw.) gespeichert.
Vermutlich werden die in der Norm vorgeschlagenen Ziele - wie Speichern von Log-Dateien und Überwachung von Datenzugriffen oder E-Mails - an dem Veto des Betriebsrats bzw. der Gerichte (falls es zu einer Klage kommt) scheitern. Dennoch ist eine Überwachung durchaus möglich und auch durchsetzbar – vorausgesetzt, eine vernünftige Koordination der IT-Sicherheitsrichtlinien wurde etabliert. Weitere Informationen zu diesem Thema liefert auch der Überwachungsbereich „IT-Compliance“ (Annex A, § 15).
Fazit
Der Überwachungsbereich „Kommunikations- und Betriebsmanagement“ ist eines der umfangreichsten der ISO-Norm. In insgesamt 10 Kapiteln werden Maßnahmen zur Sicherung von Netzwerken und Betriebssystemen geliefert. Der Rundumschlag betrifft nicht nur organisatorische Aspekte, sondern auch konkrete technische Hinweise, wie beispielsweise das Zwischenspeichern von Informationen in Kopierern oder Faxgeräten.
Artikelfiles und Artikellinks
(ID:2006891)
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/05/a80509053aff785e878adeb2e6e4da1a/0112115041.jpeg "Die ISO 27000 ist eine Normenreihe und einführender Standard für Informationssicherheitsmanagementsysteme. (Bild: gemeinfrei)")