Mit chaRMe Sicherheit nach ISO/IEC 27001 auch für KMUs Sichere Prozesse nach ISO 27001 mit Open Source Software

Autor / Redakteur: Marko Rogge / Peter Schmitz

Die ISO-Norm 27001 soll Unternehmen helfen strukturiert mehr Sicherheit in der IT zu schaffen. Kleine Unternehmen schrecken aber meist noch vor den Kosten und dem Aufwand zurück. Die Open Source Software „chaRMe“ soll jetzt auch kleineren Unternehmen dabei helfen, sichere Prozesse nach ISO 27001 zu realisieren und im Blick zu behalten.

Firma zum Thema

Die Open Source Software chaRMe soll KMUs dabei helfen, sichere Prozesse nach ISO 27001 zu realisieren.
Die Open Source Software chaRMe soll KMUs dabei helfen, sichere Prozesse nach ISO 27001 zu realisieren.
( Archiv: Vogel Business Media )

Bei vielen großen Unternehmen ist die ISO 27001 bereits eingeführt oder befindet sich in der Planung. Kleine und mittlere Unternehmen (KMU) scheuen aktuell oft noch davor zurück die ISO-Norm einzuführen, auch wenn 27001 längst ein wichtiger Schritt zur Einführung prozessorientierter Sicherheit in der EDV geworden ist.

Sicherlich ist häufig ein Grund, dass Unternehmen zunächst einmal in die Prozesse und in die Einführung der ISO 27001 investieren müssen. Kleinere Unternehmen scheuen sich oftmals vor den Kosten, die zunächst aufgebracht werden müssen.

Bildergalerie

Dennoch, die ISO 27001 ist leichter in ein Unternehmen zu integrieren, als häufig gedacht wird. Hierzu hat die Firma Leonberger Secopan eigens eine Software auf Basis von Open Source entwickelt.

Open Source Software hilft bei der Gestaltung sicherer Prozesse

Die Software mit dem Namen „chaRMe“ ermöglicht es auch kleineren Unternehmen, für sichere Prozesse nach der ISO 27001 zu sorgen und diese ständig im Blick zu haben.

Denn Sicherheitsprozesse sollten aktiv genau so gelebt werden, wie bereits bekannte und lange eingeführte Prozesse wie z.B. ISO 9001. chaRMe bietet jedem Unternehmer die Möglichkeit, im ersten Schritt kostenaufwendig Beraterstunden zu sparen, diese können in Eigenleistung erbracht werden. chaRMe gibt dem durchführenden Personal die Möglichkeit und ein Tool zur Hand, zahlreiche Elemente bei der Einführung der ISO 27001 selbständig auszuarbeiten und zu pflegen.

chaRMe bietet darüber hinaus weitere Vorteile, die nicht von der Hand zu weisen sind. Zunächst einmal handelt es sich um eine Open Source Software, die frei im Internet verfügbar und unter der AGPL Lizenz veröffentlicht ist (AGPL - GNU Affero General Public License, V 3.0).

„Für uns stand schon vor Beginn der Entwicklung fest, dass chaRMe freie Software sein wird, da dies auch den Kunden Sicherheit bei der Entscheidung für eine bestimmte Software gibt. Über den Source Code zu selbst verfügen können, erleichtert häufig die Entscheidung und gibt Vertrauen“ sagt Dr. Jörg Kümmerlen, Geschäftsführer der Firma Secopan.

Seite 2: Web-basierte Steuerung macht chaRMe Betriebssystemneutral

Web-basierte Steuerung macht chaRMe Betriebssystemneutral

Weiterhin ist es nicht unbedeutend, dass chaRMe webbasiert arbeitet und direkt im Internet Browser bedient werden kann. Damit kann die Software in jedem Betriebssystem angewendet werden. Die Software der Firma Secopan ist mehrsprachig ausgerichtet und wurde in Perl geschrieben. Auch eine Benutzer- und Gruppenverwaltung wird mitgeliefert, so dass mehr Unabhängigkeit bei der Bearbeitung von Prozessen gewährleistet ist. chaRMe ist somit auch für größere Unternehmen geeignet.

Die Gefährdungen und die dazu gehörigen Maßnahmen sind in der Software übersichtlich abrufbar. Dort können diese dann dem Firmenprofil und den Prozessen entsprechend angepasst werden. Die Bedienung ist einfach gehalten und ermöglicht es dem Ausführenden, sich schnell in die Software einzuarbeiten und die ISO 27001 mit chaRMe ständig zu pflegen.

„chaRMe ist als Risk Management Framework gedacht, das nur geringe Expertenkenntnisse voraussetzt. Die Benutzeroberfläche wurde bewusst sehr einfach und übersichtlich gehalten“, so Dr. Kümmerlen.

PCI-DSS-Integration wichtig für Dienstleister

Als ein sehr interessantes Feature hat Secopan den Bereich von PCI DSS mit in chaRMe integriert und deckt damit auch den Bereich von Bezahlsystemen ab. PCI DSS ist der Payment Card Industry Data Security Standard, der eine enorme Bedeutung für Kreditinstitutionen und Banken hat.

PCI DSS ist aber auch für alle Dienstleister wichtig, die Kreditkarten abwickeln oder anderen Zahlungsverkehr ausführen. Entsprechende Assessments sind in chaRMe integriert worden und machen somit eine Umsetzung deutlich einfacher als angenommen. Eine Auditierung kann erleichtert werden, da chaRMe auch die Erstellung von Checklisten unterstützt.

chaRMe wird bald auf der renommierten Projektplattform sourceforge.net zur Verfügung stehen. Aber auch als VM-Ware Image kann man sich chaRMe herunter laden und sich in Ruhe damit beschäftigen. Diese virtualisierte Lösung erspart es den Interessenten, das Softwarepaket selbst installieren zu müssen und ist somit sofort einsetzbar.

Seite 3: Erweiterbar um Handlungsempfehlungen aus ISO 27002

Erweiterbar um Handlungsempfehlungen aus ISO 27002

chaRMe enthält in der Open Source Version bereits die Sicherheitsmaßnahmen (Controls) aus ISO 27001 und kann auf Wunsch um die Handlungsempfehlungen aus ISO 27002 ergänzt werden. Dieser Teil ist jedoch lizenzpflichtig und muss käuflich erworben werden. Hierfür steht auch Secopan bereit und wickelt dies für seine Kunden zuverlässig ab.

Grundsätzlich ist das Framework chaRMe für die Einführung und Umsetzung der ISO/IEC 27001 ausgelegt. Wichtig ist es zu wissen und zu verstehen, dass chaRMe zwar eine Software ist, aber nicht automatisiert die ISO 27001 umsetzen kann. chaRMe ist eine große Hilfe und bietet Unterstützung bei der Umsetzung von ISMS – dem Information Security Management System, ergo die ISO 27001.

Wichtig ist es, bei der Umsetzung, auch mit Unterstützung von chaRMe, die Eckpunkte eines ISMS zu beachten, die im wesentlichen darauf basieren:

  • Auswahl der zu schützenden Prozesse
  • Risikoanalyse
  • Risikomanagement und der
  • Risikobehandlung

Daraus resultieren dann etwaige Maßnahmen, die getroffen werden müssen, um erfolgreich ISMS umzusetzen. Die Vorteile eines ISMS liegen auf der Hand und werden durch den Einsatz des Framework chaRMe begünstigt:

  • Kosten-effiziente Planung neuer Sicherheitsmaßnahmen
  • kontinuierliche Kontrolle der Wirksamkeit von Sicherheitsmaßnahmen
  • kontinuierliche Verringerung der operativen Risiken
  • höhere Mitarbeiterzufriedenheit
  • gestärktes Vertrauen der Kunden und Partner
  • dadurch Wettbewerbsvorteile

Nach der Zukunft von chaRMe befragt, antwortete Dr. Kümmerlen: „chaRMe wird kontinuierlich weiter entwickelt werden. Momentan sind wir dabei die Version 0.6 vorzubereiten, hier wird sich einiges tun was den Bereich „Risikobehandlungsplan“ angeht. Der aktuelle Entwicklungsplan wird uns sicher bis Ende des Jahres beschäftigt halten, daher sind wir ab jetzt natürlich auch auf der Suche nach Interessenten, die sich mit an dem Projekt beteiligen wollen.“

Artikelfiles und Artikellinks

Link: Secopan

(ID:2021954)