ISO 27001

Hier lesen Sie alle Blog-Beiträge zum Thema ISO 27001 bzw. Informationssicherheits-Managementsysteme (ISMS).

Schlagwortarchiv für: ISO27001

Wie läuft eine Zertifizierung nach ISO 27001 ab?

SAVISCON GmbH lässt ihr ISMS zertifizieren

Von Daniel Straßberger, Informationssicherheitsbeauftragter der SAVISCON GmbH

In unserer Reihe GRC@SAVISCON nehmen wir Sie mit auf unsere interne Reise zum strukturierten, konsistenten GRC-Management-System. Frei nach dem Motto „Practice what you preach“, entwickeln wir Schritt für Schritt unser Compliance-, Risiko-, Datenschutz- und Informationssicherheits-Management weiter.

Im heutigen Blog-Beitrag geht es um das Aufsetzen und Zertifizieren eines Informationssicherheits-Management-Systems (ISMS).

Hintergrund

Als Informationssicherheitsbeauftragter arbeite ich seit April 2021 für die SAVISCON GmbH. Eine meiner Aufgaben ist die Umsetzung eines ISMS nach der ISO27001. Gerade zu Beginn war das meine Hauptaufgabe und ich habe sehr viel daran gearbeitet. Durchaus eine große Herausforderung, gerade weil ich zu dem Zeitpunkt frisch dabei war. Doch dann passierte das, was wohl vielen in meiner Position passiert: Es kommen neue Aufgaben, neue Projekte und neue Themenfelder dazu. Mit dem Ergebnis, dass unser internes ISMS immer mehr in den Hintergrund getreten ist. Allerdings ist uns eine Entwicklung im Gespräch mit unseren Kunden aufgefallen: Immer mehr Unternehmen erkennen den Wert von Informationssicherheit und stellen auch entsprechende Forderungen an Geschäftspartner und Dienstleister. Deswegen haben wir unser ISMS und die Zertifizierung unseres Systems nach ISO 27001 priorisiert.

Anfang Juni 2022 hatten wir den Kickoff-Termin mit dem Auditor und bis zum Ende des Jahres soll die Zertifizierung abgeschlossen sein. Dazu werde ich sicherlich noch den einen oder anderen Blog-Beitrag schreiben. An dieser Stelle möchte ich Sie schonmal mitnehmen, den Stand der Dinge vorstellen und einen Ausblick geben, auf das, was die nächsten Wochen auf mich zukommen wird.

Warum eine Zertifizierung nach ISO27001?

Wir bei der SAVISCON GmbH sind davon überzeugt, dass Informationssicherheit ein wichtiger Bestandteil in der heutigen Geschäftswelt ist. Offenlegung von Betriebsgeheimnissen, personenbezogene Daten oder der Ausfall von geschäftskritischen IT-Geräten; ohne vernünftige Überlegungen und ausgearbeitete Prozesse für den Ernstfall kann dies zu existentiellen Schäden führen. Von daher war uns schon letztes Jahr klar, dass wir ein ISMS umsetzen und letztendlich zertifizieren lassen wollen.

Aber es gibt noch mehr Vorteile, so sind wir zurzeit dabei unsere Software, das GRC-COCKPIT, bei unserem Partner d.velop im Store zu platzieren. Dazu hatten wir vor ein paar Wochen ein Security Review. Mehr als die Hälfte der Anforderungen konnten mit Hinweis auf die laufende ISO-Zertifizierung abgehakt werden. Es zeigt sich also schon hier: Mit einer Zertifizierung nach ISO27001 ist es möglich die Wirksamkeit des ISMS glaubwürdig nachzuweisen.

Der Kickoff-Termin und der Stand der Dinge

Unser Zertifizierungsprozess startete Anfang Juni 2022 mit einem Kickoff-Termin gemeinsam mit unserem Geschäftsführer Ingo Simon, dem Auditor und mir selbst in unserem alten Büro in Hamburg. Wir sind nämlich Ende Juni in neue Räumlichkeiten am Heegbarg 16 umgezogen – aber das nur am Rande. In einer sehr entspannten Runde haben wir den Stand des ISMS der SAVISCON GmbH präsentiert. Davon ausgehend wurde eine GAP-Analyse erstellt. Ich habe anschließend mehrere Dokumente erhalten, vor allem Richtlinien und Prozessbeschreibungen, die von uns anzupassen sind. Dies wird nachher die Basis für unser ISMS sein.

Besonders im operativen Teil sind noch viele Lücken zu schließen, das Durchführen Interner Audits, die Überprüfung von Maßnahmen und das aktive Monitoring von Anwendungen und IT-Geräten stehen da ganz oben auf der Liste. All dies ist in den kommenden Monaten von mir auszuarbeiten und muss anschließend durch die Geschäftsleitung legitimiert werden.
Ebenso sind die Dokumentenlenkung und die Zugriffssteuerung bei uns bisher eher mit niedriger Priorität betrachtet worden und dementsprechend nicht vollständig definiert und umgesetzt. Dies haben wir bis jetzt damit rechtfertigen können, dass wir ein sehr kleines Unternehmen mit familiärer Stimmung sind, wo jeder den Kollegen vertraut. Dieses Vertrauen wird hoffentlich auch in Zukunft untereinander bestehen, die Prozesse werde ich trotzdem ausarbeiten und gemeinsam mit den Kollegen umsetzen.

Zertifizierung mit dem GRC-COCKPIT

Als Entwickler einer SaaS-Lösung zum Bearbeiten von Compliance-Themen und Management-Systemen ist es natürlich unser Ziel das ISMS in unserem GRC-COCKPIT abzubilden und wir wollen auf der Basis auch die Zertifizierung abschließen. Unser Assessor schien von dem GRC-COCKPIT auch sehr angetan und bezeichnete die Zertifizierung mit dem GRC-COCKPIT als „spannendes Projekt“.

Als erstes habe ich ihm einen Lese-Account erstellt, dazu habe ich ihn als externen Mitarbeiter bei uns hinzugefügt (und natürlich auch gleich die Firma unter Partner eingetragen) und dem Account eine Read-Only Rolle gegeben. So kann er jederzeit die Arbeit, die wir im ISMS geleistet haben, einsehen und kann zum Beispiel die Asset-Liste überprüfen, ohne dass wir uns vorher auf einen Termin einigen müssen.

Screenshot Auditor-Account im GRC-COCKPIT

Screenshot aus dem GRC-COCKPIT vom Auditor-Account mit der „Only-Read“-Funktion.

Wir wollen das ISMS bei uns so umsetzen, dass sich nahezu alles im GRC-COCKPIT abspielt. Die internen Audits zum Beispiel werden wir als Maßnahmen anlegen und mit Überwachungshandlungen dafür sorgen, dass wir keine Audit-Termine verpassen. Die Ergebnisse der Audits können auch gleich im GRC-COCKPIT festgehalten werden. Dies wiederum kann dann über den Zertifizierer-Account eingesehen werden, sodass wir schnell unseren Compliance-Status nachweisen können oder eben Nichtkonformitäten sofort auffallen.
Das wird natürlich vorerst mehr Arbeitsaufwand mit sich bringen, da ich nicht nur den Anforderungen aus der Norm gerecht werden muss, sondern auch ein System entwickeln muss, um die Ergebnisse entsprechend im GRC-COCKPIT abzubilden, wobei hier schon in den letzten Monaten einige gute Überlegungen entstanden sind. Ich denke aber es wird sich lohnen, zum einen wird der Aufwand für die Aufrechterhaltung und Überprüfung (Lebenszyklus!) des ISMS sinken und zum anderen können wir unsere gewonnenen Erfahrungen aus der Praxis (Arbeit mit dem GRC-COCKPIT) an unsere Kunden weitergeben.

Fazit

Es werden spannende und zwischenzeitlich sicherlich anstrengende Wochen für mich werden. Auch für meine Kollegen wird es interessant, da es im Zuge der ISMS-Umsetzung definitiv Veränderungen bei uns geben wird. Doch ich bin motiviert und hoffe, in meinen nächsten Blog-Einträgen von ersten Erfolgen berichten zu können.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheits-Management-Systems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

 

ISO 27001 Statement of Applicability (SoA) / Erklärung zur Anwendbarkeit

Checkliste für ISO 27001 Statement of Applicability

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH
Die Erklärung zur Anwendbarkeit (Englisch: Statement of Applicability) ist ein Schlüsseldokument, welches im Rahmen des Aufbaus und der ständigen Weiterentwicklung Ihres Informationssicherheitsmanagementsystems (ISMS) erstellt und gepflegt wird. Nachdem ich mich in meinen letzten Blog-Beiträgen mit dem IT-Grundschutz beschäftigt habe (BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung und BSI IT-Grundschutz: Kern- und Standard-Absicherung), kehren wir diesmal zurück in die Welt der ISO27001. Diese Norm enthält den Anhang A mit insgesamt 114 Sicherheitsanforderungen (Controls), welche allesamt zu bearbeiten sind. Die Dokumentation als Nachweis der Bearbeitung dieser Anforderungen wird „Statement of Applicability“ (SoA) genannt und ist ein zentraler Bestandteil Ihres ISMS, sowie eine der wichtigsten Voraussetzungen für eine erfolgreiche Zertifizierung nach ISO27001.

Statement of Applicability (SoA)

Der Anhang A der ISO27001 ist „normativ“. Das heißt, Sie müssen alle darin enthaltenden Anforderungen bearbeiten. Bearbeiten heißt aber nicht gleich umsetzen: Wenn Anforderungen nicht zu Ihrer Organisation passen oder Ihr Geltungsbereich bestimmte Aspekte nicht einschließt, dann müssen Sie diese auch nicht umzusetzen. Stattdessen begründen Sie in diesem Fall, warum eine Anforderung nicht bearbeitet wurde. Für Dritte muss an dieser Stelle transparent werden, wieso Controls aus dem Anhang A nicht angewendet werden. Hierbei ist eine nachvollziehbare Argumentation besonders wichtig. Wenn Sie zum Beispiel anfangs einen kleinen Geltungsbereich wählen, um Ihr ISMS erstmals zu initiieren, ist es gut möglich, dass einige Anforderungen für Sie nicht relevant sind. Bedenken Sie aber, dass sich mit einer wachsenden Organisation, oder einem größer gefassten Geltungsbereich, auch die Anforderungen an Ihr ISMS ändern werden und Sie dann Ihre SoA aktualisieren müssen. Die SoA ist ein Teil Ihres ISMS und, genau wie das ISMS an sich, unterliegt auch die SoA einem Lebenszyklus und muss somit fortlaufend verbessert werden.

Alle Anforderungen, die für Sie relevant sind, werden Sie umsetzen müssen. Das bedeutet Sie werden zu jeder, der für Sie relevanten Anforderungen, Maßnahmen planen und umsetzen, um diesen Anforderungen zu genügen und das Sicherheitsniveau Ihrer Organisation zu steigern. Für die SoA ist der Umsetzungsgrad dieser Maßnahmen nur bedingt relevant, gerade am Anfang können Sie auch geplante oder noch in der Umsetzung befindliche Maßnahmen in Ihre SoA eintragen.

Bearbeitung Statement of Applicability

Die schiere Menge der Anforderungen mag auf den ersten Blick überwältigend wirken und es ist tatsächlich eine Menge Arbeit. Aber lassen Sie sich nicht entmutigen, trotz des hohen Arbeitsaufwands ist die SoA meiner Meinung nach ein guter Einstieg, bei der Umsetzung Ihres ISMS. Einige Anforderungen werden Sie vielleicht sogar „nebenbei“ abhaken können, zum Beispiel die Herausgabe der IS-Leitlinie. Auch die Rollenverteilung ist eine Anforderung im Anhang A. Schauen Sie auch, ob es in Ihrer Organisation schon Material gibt, welches Sie für Ihr ISMS nutzen können. Vielleicht wurde schonmal eine Asset-Inventur gemacht, damit hätten Sie ein weiteres Control bearbeitet.

Viele Maßnahmen werden zudem aus Ihrer Risikobetrachtung kommen. Auch hier wurde möglicherweise schon Vorarbeit geleistet, wenn Ihre IT-Abteilung beispielsweise schon Maßnahmen und Arbeitsanweisungen zu kryptographischen Verfahren oder Verschlüsselungen erstellt hat.

Weitere Hilfestellung gibt die ISO27002 „Leitfaden für Informationssicherheitsmaßnahmen“. Hier erhalten Sie Anleitungen und Vorschläge zur Umsetzung für jedes einzelne Control. Die Anschaffung dieser Norm sollten Sie dringend in Betrachtung ziehen, wenn Sie allein nicht weiterkommen. Bedenken Sie aber, dass Sie diesen Leitfaden auf Ihre Organisation und Ihr ISMS anpassen müssen.

Dokumentation der Statement of Applicability

Die SoA muss als Dokument vorliegen. Darin müssen sämtliche Anforderungen aufgelistet werden und zu jeder Anforderung entweder alle getroffenen Maßnahmen oder eine stichhaltige Begründung warum diese Anforderung als nicht relevant betrachtet wird. Es steht Ihnen zudem frei die SoA um Anforderungen und Maßnahmen zu ergänzen, sofern dies sich zum Beispiel aus Ihrer Risikobetrachtung ergibt.

Außerdem müssen Sie die Controls eigentlich für jedes Asset bearbeiten. Dies ist in der Praxis jedoch meist nicht notwendig. Hier können Sie mit Prozessen arbeiten, in denen mehrere Assets enthalten sind. Ebenso können Sie Assets gruppieren und die Anforderungen des Anhang A für jedes Gruppierungselement abarbeiten. In einem solchen Fall müssen Sie dann auf die weiterführende Dokumentation in Ihrer SoA verweisen.

Die Informationssicherheits Leitlinie ist im GRC-COCKPIT mit dem Tag „SoA“ versehen.

Software erleichtert SoA

Eine Excelliste für die Anforderungen aus dem BSI IT-Grundschutz, eine Excelliste für die Anforderungen aus der ISO27001, eine Liste für die SoA – da kann man schonmal den Überblick verlieren. Deshalb ist es ratsam, das ISMS mit einer Software von beginn an digital aufzusetzen. So haben Sie alle Anforderungen an einem Ort und können auf einen Blick sehen, welche noch nicht erfüllt sind. Wenn Sie Maßnahmen ergreifen, können Sie diese in der Software mit allen passenden Anforderungen verknüpfen und sparen Zeit. Auch das Gruppieren von Assets ist in einer Software schnell und übersichtlich umgesetzt. Wir nutzen dazu intern unsere Software, das SAVISCON GRC-COCKPIT  (siehe Screenshots). Durch den Tag „SoA“ ist es möglich alle verknüpften Maßnahmen zu filtern und per Knopfdruck einen Bericht zu erstellen.

Screenshot aus dem GRC-COCKPIT

Die Schnellansicht im GRC-COCKPIT.

Fazit

Dieser Blog-Beitrag soll Ihnen den Einstieg in die Umsetzung Ihres Statements of Applicability erleichtern. Wenn Sie Detailfragen haben, dann können Sie mich auch gerne persönlich kontaktieren: daniel.strassberger@saviscon.de. Wie bereits erwähnt: Die SoA ist ein guter Einstieg in die ISO27001, nachdem Sie ihr ISMS initiiert haben.

Ein Tipp zum Schluss: Falls Sie mal nicht weiterkommen und das Gefühl haben festzustecken, werfen Sie einen Blick in den Anhang A und suchen Sie sich eine Anforderung aus, die Sie noch nicht bearbeitet haben. Ein Fortschritt in der SoA ist ein guter Motivationsschub und die Erkenntnisse bei der Umsetzung eines neuen Controls hilft Ihnen vielleicht an anderer Stelle weiterzumachen.

Checkliste Statement of Applicability

Für meine Arbeit als Informationssicherheitsbeauftragter bei der SAVISCON GmbH habe ich mir eine Checkliste angelegt, um meinen Fortschritt beim Bearbeiten der SoA zu dokumentieren. Die Checkliste können Sie sich als Excel-Arbeitshilfe hier herunterladen:

 

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des ISMS der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:

daniel.strassberger@saviscon.de

BSI IT-Grundschutz: Kern- und Standard-Absicherung

Gemeinsamkeiten, Unterschiede und Umsetzung

Von Daniel Straßberger, Informationssicherheits-Consultant und ISB bei der SAVISCON GmbH

In meinem letzten Blog-Beitrag habe ich die Basis-Absicherung nach IT-Grundschutz vorgestellt. Darauf aufbauend möchte ich dieses Mal die Standard- und Kern-Absicherung näher betrachten. Der wesentliche Unterschied besteht darin, dass Sie in diesem Fall nicht um eine Risikoanalyse herumkommen werden. Die Managementsysteme der ISO-Normen haben alle die Risikobetrachtung als zentrales Element und das BSI reduziert den Aufwand zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) dadurch, dass dieser Aspekt bei der Basis-Absicherung komplett wegfällt und bei der Kern- bzw. Standard-Absicherung nur in bestimmten Fällen zum Tragen kommt.

Die Standard-Absicherung ist die vom BSI bevorzugte Methode zur Informationssicherheit nach BSI IT-Grundschutz, da sie als einzige Methode eine Organisation als Ganzes betrachtet und in das ISMS integriert. Die Basis- und Kern-Absicherung sind eher als Einstieg gedacht und reduzieren den Aufwand indem entweder nur einen Teilbereich der Organisation betrachtet wird oder einige Schritte des IT-Grundschutz Vorgehens vorläufig entfallen. Die Standard-Absicherung ist demnach deutlich umfangreicher und ist am Ende äquivalent zu einem ISMS nach der ISO 27001.

Standard-Absicherung vorbereiten

Als Grundlage für die Standard-Absicherung kann bereits eine Basis-Absicherung durchgeführt worden sein. Alternativ können Sie natürlich direkt mit der Standardabsicherung loslegen. Wichtig ist nur, dass der Sicherheitsprozess initiiert wird: IS-Leitlinie, Rollenverteilung, Abbilden des Informationsverbunds und der Geltungsbereich. Ich verweise an dieser Stelle noch einmal auf meinen letzten Blog-Beitrag „In 4 Schritten zur Basis-Absicherung“. Den Geltungsbereich können Sie selbst festlegen und es schadet auch hier nicht erstmal klein anzufangen. Typischerweise erstreckt sich der Geltungsbereich auf das gesamte Unternehmen, Sie können sich aber erstmal auf einige Geschäftstätigkeiten konzentrieren. Wichtig ist nur, dass Sie diese Geschäftsbereiche oder Organisationseinheiten komplett betrachten. Anschließend kommen wir zur ersten Änderung gegenüber der Basis-Absicherung: Die Schutzbedarfsfeststellung.

Schutzbedarfsfeststellung

Screenshot aus dem GRC-COCKPIT zur Schutzbedarfsanalyse.

Die Schutzbedarfsfeststellung im GRC-COCKPIT. Es können auch eigene Kategorien erstellt werden.

Die Schutzbedarfsfeststellung bezieht sich immer auf ein Asset und stellt dar, wie groß die Auswirkung wäre, wenn eines oder mehrere Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität, etc.) dieses Assets beeinträchtigt werden. Diese Auswirkungen müssen nicht, und können oft auch nicht, quantifiziert werden, weshalb hier mit mehreren groben Kategorien gearbeitet wird. Das BSI schlägt hier explizit die Kategorien „normal“, „hoch“ und „sehr hoch“ vor, Sie können aber weitere hinzufügen. In jedem Fall müssen Sie aber definieren, was diese Kategorien aussagen und Sie müssen zusätzlich die Art der eintreffenden Auswirkungen betrachten. Neben finanziellen Schäden kann es auch zu Verstößen gegen Gesetze, Personenschäden oder Reputationsschäden, zum Beispiel aufgrund einer Datenschutzpanne, kommen. Mit der traditionellen CIA-Triade und den drei Schutzbedarfskategorien des BSI sind das neun Tabellen, in denen Sie aufschlüsseln, was der Ausfall eines Sicherheitsziels für Auswirkungen in jeder Kategorie hat. Anschließend müssen Sie die Schutzbedarfsfeststellung unter Berücksichtigung dieser Tabellen für jedes Asset in Ihrem Informationsverbund vornehmen. Im Normalfall geschieht die eigentliche Schutzbedarfsfeststellung nicht durch den Informationssicherheitsbeauftragten(ISB), sondern obliegt dem jeweiligen Asset-Eigentümer. Das BSI rät Ihnen zunächst die Geschäftsprozesse und Anwendungen zu bewerten, Assets haben nämlich die Möglichkeit ihren Schutzbedarf zu vererben. Dabei gibt es diese drei Optionen, die ich anhand eines IT-Systems kurz erläutern werde:

  • Maximumprinzip: Hier bekommt das IT-System den höchsten Schutzbedarf der darauf laufenden Anwendungen. Dieses Prinzip wird oft bei der Vertraulichkeit zum Tragen kommen, gerade personenbezogene Daten sind nach der DSGVO besonders schützenswert. Wenn Sie zum Beispiel in einer Datenbank Adress- oder Gesundheitsdaten speichern, ist der Server in jedem Fall besonders zu schützen, auch wenn die anderen Informationen einen geringen Schutzbedarf haben.
  • Verteilungseffekt: Das IT-System bekommt einen niedrigeren Schutzbedarf als alle darauf laufenden Anwendungen. Dieser Fall kann auftreten, wenn Sie zum Beispiel mehrere IT-Systeme mit den gleichen Anwendungen aus Redundanzgründen betreiben.
  • Kumulationseffekt: Das IT-System bekommt einen höheren Schutzbedarf als die darauf befindlichen Anwendungen. Dies wird oft bei Verfügbarkeit auftreten. So ist der Ausfall einer Anwendung vielleicht zu verkraften, wenn das IT-System aber mehrere kritische Anwendungen enthält, kann der komplette Ausfall schwere Konsequenzen nach sich ziehen.

Die Auswahl der Schutzbedarfskategorie für jedes Asset bezogen auf die unterschiedlichen Sicherheitsziele sind begründet festzuhalten.

IT-Grundschutz-Check und Risikoanalyse

Wenn Sie die Schutzbedarfsfeststellung abgeschlossen haben, folgt die Modellierung mit den Bausteinen aus dem IT-Grundschutzkompendium. Das Verfahren ist dabei dasselbe wie bei der Basis-Absicherung: Sie prüfen zu jedem Asset in Ihrem Informationsverbund mit welchen Bausteinen sich dieses Asset abbilden lassen kann. Anschließend führen Sie wie bei der Basisabsicherung einen Grundschutzcheck durch, bei dem der oder die ISB mit der entsprechenden Fachkraft einen Soll-Ist-Vergleich vornimmt und den Umsetzungsgrad bestimmt. Dabei schlägt Ihnen das BSI wieder eine Priorisierung vor, wichtig ist aber nur, dass Sie alle relevanten Anforderungen betrachten. Zusätzlich zu den Basisanforderungen müssen Sie diesmal auch die Standardanforderungen, gekennzeichnet mit einem (S), berücksichtigen.
Interessant wird es, wenn Sie ein Asset mit einer Schutzbedarfskategorie „hoch“ oder „sehr hoch“ betrachten oder das Asset sich nicht mit den vorhandenen Bausteinen modellieren lässt. Dann müssen Sie eine Risikobetrachtung vornehmen. Das BSI stellt Ihnen dazu mit dem BSI-Standard 200-3 ein eigenes Verfahren bereit, Sie können aber auch andere Ansätze wie zum Beispiel die ISO 27005 nehmen. Ich werde an dieser Stelle nicht näher auf das Risiko-Management eingehen, Sie werden aber anhand Ihrer Risikobeurteilungen und den von der obersten Leitung vorgegeben Akzeptanzkriterien Rückschlüsse auf die Gefährdung Ihrer Assets bekommen und müssen dann Maßnahmen zum Schutz derer ausarbeiten. Optional können Sie nach der Risikoanalyse einen zweiten Grundschutzcheck durchführen um den Gefährdungsgrad erneut zu betrachten und Maßnahmen zu konsolidieren. Je nach Auswertung der Risikoanalyse müssen Sie sich zusätzlich mit den Anforderungen für erhöhtem Schutzbedarf (H) beschäftigen.

Die Kernabsicherung

Screenshot aus dem GRC-COCKPIT zur Kern-Absicherung

Das GRC-COCKPIT verbindet IT-Grundschutz und Risiko-Management.

Die Kernabsicherung ist ein Zwischenmodell, das zwischen Basis- und Standard-Absicherung liegt. Sie ist als Vorstufe zur Standard-Absicherung gedacht oder als Absicherung für Unternehmen, die aus finanziellen oder personellen Gründen keine umfassendes ISMS nach IT-Grundschutz etablieren können. Dies ist oft bei kleinen und mittleren Unternehmen der Fall und das BSI bietet für solche Fälle, anders als bei der Basisabsicherung, auch die Möglichkeit zur Zertifizierung an.
Die Idee ist, dass Sie eine komplette Basis-Absicherung für Ihren Geltungsbereich machen und sich zusätzlich Ihre wichtigsten Geschäftstätigkeiten und -werte raussuchen: Dies sind Ihre sogenannten „Kronjuwelen“. Für diese Kronjuwelen führen Sie dann eine Standard-Absicherung wie oben beschrieben durch. Ihre Kronjuwelen erhalten dabei normalerweise den Schutzbedarf „hoch“ oder „sehr hoch“ und sind dementsprechend zu behandeln.
Wenn sie die Kern-Absicherung etabliert haben, sieht das BSI eigentlich eine Erweiterung zur Standardabsicherung vor. Ob Sie diesen Schritt gehen möchten, ist natürlich Ihnen überlassen. Wägen Sie dazu den Nutzen und vielleicht auch Anforderungen ihrer externen Parteien gegenüber dem, nochmals erheblichen, Aufwand ab.

Prozess der kontinuierlichen Verbesserung

Für welche Form des IT-Grundschutzes Sie sich letztendlich auch entscheiden: Denken Sie daran, dass Ihr ISMS einem Lebenszyklus unterliegt und sich aufgrund von verändernden Technologien und den Änderungen in Ihrer Organisation ständig weiterentwickeln muss. Sie sollten einmal im Jahr Ihr ISMS genau untersuchen und den IT-Grundschutzprozess nochmals da durchlaufen, wo es erforderlich ist. Ebenso müssen Sie prüfen, ob die umgesetzten Maßnahmen effektiv sind und ob die Ergebnisse der Risikoanalyse sich als zutreffend herausgestellt haben. Dies betrifft insbesondere die Standard-Absicherung, wo „Aufrechterhaltung und kontinuierliche Verbesserung“ explizite Anforderungen sind.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH.

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des ISMS der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung

So starten Sie mit Ihrem ISMS

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im heutigen Blogeintrag zum Thema Informationssicherheit wollen wir uns den BSI IT-Grundschutz etwas näher anschauen, spezifisch die Basis-Absicherung. Die Basis-Absicherung ist als Einstieg in den IT-Grundschutz gedacht oder für Unternehmen, die aus finanziellen oder personellen Gründen kein vollständiges Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001 etablieren können oder wollen. Dennoch kann die Basis-Absicherung, abhängig von der Größe und Art der Organisation, ein sehr umfangreiches Unterfangen sein. Lohnenswert ist dieser Aufwand aber auf jeden Fall, auch für kleinere Unternehmen, denn es gilt: Selbst ein bisschen Informationssicherheit ist besser als gar keine und die IT-Grundschutz Basis-Absicherung ist, meiner Meinung nach, ein guter Ansatz. Das Verfahren des IT-Grundschutzes wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entworfen, um deutschen Organisationen ein Verfahren zur Etablierung eines Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001-Norm bereitzustellen. Der Nachteil der ISO-Norm ist, dass sie sehr vage formuliert ist, um ein Rahmenwerk für internationale Organisationen aller Art zu schaffen. Der IT-Grundschutz dagegen bietet einen klar definierten Handlungsfaden und entschlackt den Prozess mit dem IT-Grundschutz-Check bei dem einer der aufwendigsten Bereiche zunächst entfällt: das Risiko-Management. Außerdem bietet das BSI mit den Bausteinen des IT-Grundschutz-Kompendiums und dem Gefährdungskatalog eine tolle Einstiegshilfe in ein ISMS.

Schritt 1: Die Vorbereitung

Screenshot aus dem GRC-COCKPIT zum Informationsverbund

Ein Informationsverbund, hier am Beispiel der RECPLAST GmbH im SAVISCON GRC-COCKPIT.

Bevor die eigentliche Basis-Absicherung beginnt, muss sich die Unternehmensleitung zur Informationssicherheit bekennen und den Sicherheitsprozess initiieren: Dies geschieht mit dem Verfassen und Bekanntgeben einer IS-Leitlinie. Dazu empfehle ich Ihnen meinem Blogeintrag „3 Tipps für Ihre Informationssicherheits-Leitlinie“.
Vorrausgehend dazu müssen Sie sich Ihren Geltungsbereich abstecken. Um den Aufwand gering zu halten, sollten Sie sich zunächst auf ihre wichtigsten Geschäftsbereiche konzentrieren („Kronjuwelen“). Anschließend müssen Sie die Assets in dem Geltungsbereich identifizieren und auflisten, dies nennt das BSI den „Informationsverbund“. Dazu gehören Geschäftszweige und -prozesse, IT-Geräte und -Anwendungen, sowie die Räume und Standorte. Wenn Sie bereits im Zuge eines Compliance– oder Risiko-Managements eine ähnliche Auflistung gemacht haben, ist dies eine gute Basis. Denken Sie auch an den Kontext Ihrer Organisation und inwiefern externe Parteien wie Zulieferer und Kunden von ihrem ISMS betroffen sein könnten. Außerdem müssen Sie Rollen festlegen und einen Informationssicherheitsbeauftragten (ISB) bestimmen, der ihr ISMS leitet und verwaltet. Vergessen Sie auch die Sicherheitsziele nicht, für eine Basis-Absicherung wird die CIA-Triade aus Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) erstmal ausreichen.

Schritt 2: Die Modellierung

Screenshot der Basisanforderung im GRC-COCKPIT

Die Basisanforderungen des Bausteins SYS.2.1. Im GRC-COCKPIT kann direkt eine Anforderung abgeleitet werden.

Nach den Vorbereitungen geht es an die eigentliche Basis-Absicherung nach IT-Grundschutz. Zunächst müssen Sie Ihren Informationsverbund mit den Bausteinen aus dem Grundschutzkompendium modellieren. Dazu gehen Sie alle Bausteine durch und wählen die aus, die zu Ihrem Informationsverbund passen. Dabei müssen Sie natürlich nur die auswählen, die Sie auch wirklich brauchen. Wenn ihre Organisation beispielsweise keine Maschinen mit SPS betreibt, können Sie den Baustein IND ignorieren, haben Sie keinen Windows2012-Server brauchen Sie den Abschnitt SYS.1.2.2 nicht bearbeiten. Das BSI stellt Ihnen in dem Kompendium zudem eine Tabelle mit einer Priorisierung absteigend von R1 bis R3 bereit. Dies ist allerdings nur eine Empfehlung, Sie können die Bausteine in beliebiger Reihenfolge zuordnen. Achtung: Die Priorisierung bezieht sich nur auf die Reihenfolge der Umsetzung. Sie müssen alle Bausteine anwenden, die zu Ihrem Informationsverbund passen. Dies ist, abhängig von Ihrer Organisation und dem Geltungsbereich, eine Menge Arbeit und Sie sollten gewissenhaft arbeiten: Die Modellierung ist das Grundgerüst Ihrer Informationssicherheit, denn was Sie hier nicht abbilden, werden Sie später im Rahmen des IT-Grundschutz-Checks auch nicht untersuchen und somit wahrscheinlich auch nicht absichern.

Laut dem Grundschutz sollen Sie dann eine Tabelle verfassen in denen:

  • der Baustein
  • das zugehörige Asset
  • eine verantwortliche Person
  • die Reihenfolge (R1, R2, R3)
  • und zusätzliche Informationen oder Kommentare zur Modellierung

für Ihren gesamten Informationsverbund aufgelistet sind.

Wie Sie die Modellierung dokumentieren, bleibt aber Ihnen überlassen, solange die geforderten Informationen enthalten sind. Ich bilde die Bausteine mit unserem GRC-COCKPIT ab, sodass ich jederzeit darauf zugreifen kann. Gerade während der Arbeit im Home-Office erleichtert es auch den Austausch mit Kollegen.

Schritt 3: Der IT-Grundschutz-Check

Screenshot abgeleitete Maßnahme im GRC-COCKPIT

Eine Maßnahme zu Virenprogrammen, abgeleitet aus der Anforderung SYS.2.1.A6 im GRC-COCKPIT.

Anschließend findet der IT-Grundschutz-Check statt, dabei handelt es sich um einen Soll-Ist-Vergleich zwischen den Anforderungen aus den Bausteinen und dem tatsächlichen Zustand in Ihrer Organisation. Diesen Vergleich müssen Sie als ISB nicht allein vornehmen, stattdessen vereinbaren Sie einen Termin mit der für das Asset verantwortlichen Person (Asset-Eigentümer), beachten Sie, dass es sich auch um externe Personen handeln kann. Bereiten Sie Ihren Gesprächspartner vor, erläutern Sie im Vorfeld die Vorgehensweise und veranlassen Sie, dass Dokumente oder ähnliches zur Überprüfung zum Termin mitgebracht werden.

Beim Termin gehen Sie dann systematisch alle Anforderungen aus dem Baustein durch. Für die Basis-Absicherung müssen Sie nur die Anforderungen die mit einem (B) und dem Schlagwort MÜSSEN gekennzeichnet sind bearbeiten. Dokumentieren Sie den Umsetzungsgrad, zum Beispiel mit „ja“, „nein“ oder „teilweise“. Sollten Anforderungen nicht auf das Asset zutreffen, weil zum Beispiel eine Anwendung oder Konfigurationsart bei Ihnen nicht genutzt wird, können Sie die Anforderung mit „entbehrlich“ abhaken. Wichtig ist, dass die Dokumentation gewissenhaft und vollständig ist, außerdem müssen Sie die Dokumente aufbewahren. Wenn Sie beispielsweise eine Anforderung mit „teilweise“ bewerten, schreiben Sie auf inwiefern die Umsetzung erfolgt ist und was genau noch zu erledigen ist. Halten Sie am Ende auch nochmal Rücksprache mit Ihrem Interviewpartner, um Missverständnisse oder Fehler zu vermeiden.
Anschließend müssen Sie die Ergebnisse Ihres IT-Grundschutz-Checks auswerten und Maßnahmen ausarbeiten, um die Defizite zu beheben. Die Auswahl und Umsetzung der Maßnahmen erfolgen meistens durch die Verantwortlichen Mitarbeiter. Der ISB leitet die Ergebnisse der Auswertung an die entsprechenden Stellen weiter und koordiniert unter Umständen mit den Fachbereichsverantwortlichen die Umsetzung. Außerdem liegt es nahe, eine Priorisierung vorzunehmen. Diese kann auf Basis von Dringlichkeit, Kosten oder Umsetzungsaufwand erfolgen. Wichtig: Schmeißen Sie nicht einfach Geld auf ein Problem! Oftmals ist es effektiver organisatorische Maßnahmen einzuleiten, diese sind oftmals auch deutlich günstiger. Denken Sie auch an die Verhältnismäßigkeit Ihrer Maßnahmen, Sie wollen Ihre Mitarbeiter nicht überlasten und selbstverständlich auch nicht Ihr Budget sprengen. Recherchieren Sie in der Fachliteratur oder tauschen Sie sich mit anderen ISBs oder IT-Security Fachleuten aus, um Anreize und Ideen zu erhalten.

Schritt 4: Dran bleiben

Nach der ganzen Arbeit haben Sie ein ISMS nach der Basis-Absicherung des BSI IT-Grundschutz geschaffen. Leider können Sie sich nicht auf Ihrer Arbeit ausruhen, denn die Welt steht nicht still. Nicht nur die IT entwickelt sich ständig weiter und stellt Sie vor neue Herausforderungen und Angriffe, auch Ihre Organisation entwickelt sich ständig weiter, wird wachsen und möglicherweise neue Mitarbeiter und Aufgabenfelder bekommen. Sie müssen Ihr ISMS somit als gelebten Prozess verstehen, der ständig überprüft und angepasst werden muss. Neue Mitarbeiter müssen geschult werden, alte Schulungen aufgefrischt oder ergänzt werden. Neue Technologien am Markt werden neue Umsetzungsmöglichkeiten oder Gefährdungen mit sich bringen. Denken Sie auch daran Ihren Informationsverbund aktuell zu halten und gegebenenfalls die Modellierung mit neuen oder veränderten Bausteinen zu überarbeiten.
Des Weiteren stellt die Basis-Absicherung aus der Sicht des BSIs nur eine Übergangslösung dar, Sie müssen aber selbst entscheiden, ob die Basis-Absicherung für Sie ausreicht oder Sie darauf aufbauend die Kern- bzw. Standardabsicherung angehen möchten. Diesen Schritt werden Sie gehen müssen, wenn Sie eine Zertifizierung Ihres ISMS anstreben. Aber dazu lesen Sie demnächst mehr in unserem Blog.

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Über den Autor

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de