ISO 27001

Wie ein Security-Audit abläuft

Bruno Tenhagen ist Produktverantwortlicher bei TÜV Rheinland.
Ralph Freude ist Head of Businessline Information Technology bei TÜV Rheinland.
Ab Oktober können sich Unternehmen ihre Informationssicherheits-Management-Systeme nur noch nach der neuen ISO/IEC 27001:2013 (re-)zertifizieren lassen. Die im Vergleich zur Vorgängernorm von 2005 vollzogenen Veränderungen beeinflussen auch das künftige Prüfverfahren.

Unternehmen haben unterschiedlichste Gründe, ein Informationssicherheits-Management-System (ISMS) nach ISO/IEC 27001 zertifizieren zu lassen. Sie wollen das Sicherheitsbewusstsein ihrer Mitarbeiter fördern, Verbesserungspotenziale besser heben können oder ihre Kunden und Partner mit einem Zertifikat zufriedenstellen.

Bis es aber zu einer erfolgreichen Zertifizierung kommen kann, durchläuft das Unternehmen ein mehrstufiges Prüfverfahren. Für den Erfolg des Audits spielen die Vorbereitung des Unternehmens, die Rolle des Prüfers und des Geprüften sowie das Ausloten der typischen Fallstricke eine wesentliche Rolle. Durch Veränderungen in der neuen ISO 27001:2013 sind zusätzliche Einflüsse erkennbar.

Effekte der neuen ISO 27001:2013

Am 1. Oktober 2015 endet die Übergangsfrist für Unternehmen, die nach der alten ISO/IEC 27001:2005 zertifiziert worden sind und auf die neue ISO/IEC 27001:2013 umsteigen wollen. Bereits ein Jahr früher, ab 01. Oktober 2014, darf bei der Erst- und Rezertifizierung nur noch nach der neuen ISO/IEC 27001:2013 zertifiziert werden. Unternehmen, die eine Zertifizierung nach der neuen Version anstreben, sollten sich jetzt schon auf die Umstellung und das damit veränderte Prüfverfahren vorbereiten - das empfiehlt zumindest die Deutsche Akkreditierungsstelle (DAkkS), genauso wie der TÜV Rheinland als Zertifizierungsdienstleister.

Die neue, einheitliche Struktur der ISO 27001:2013 ermöglicht in Zukunft, verschiedene Normen besser miteinander zu verknüpfen und so integrierte Managementsysteme zu schaffen. Besonders die Integration mehrerer Managementsysteme wie beispielsweise ISO 9001, ISO 14001 und ISO 27001 wird - im Sinne der meisten Unternehmen - wesentlich erleichtert. Statt vieler isolierter Managementsysteme, die parallel laufen, lassen sich gewisse Prozesse künftig bündeln. Da grundlegende Teile der Managementsystem-Standards vereinheitlicht wurden, können sie auch gemeinsam auditiert werden. Das spart Zeit und Kosten. Statt mehrerer separater Prüfverfahren, die Mitarbeiter auch belasten, reduziert sich bei einem integrierten Verfahren der Zeitaufwand für alle Beteiligten erheblich.

Die Anforderungen an Unternehmen

Die Neuerungen verbessern die Anwendbarkeit der Norm. Sie ist stärker auf die Strategie der Organisation ausgerichtet und legt einen Lebenszyklus von Systementwicklungen fest. Erstmals wird auch den Zulieferern ein Kapitel gewidmet.

Wichtige Änderungen der neuen Norm sind:

  • Reduzierung der Controls von 133 auf 114;

  • Geschäftliche Anforderungen des Unternehmens sind im ISMS stärker zu berücksichtigen;

  • Die Verantwortung des Managements (Leadership) für das ISMS ist deutlicher eingefordert als bisher;

  • Neu ist der Nachweis über die stetige Verbesserung des ISMS und über die Wirksamkeitsmessung des ISMS;

  • Mehr Gewichtung erfährt das Risikomanagement mit Verweis auf die ISO 31000;

  • Outsourcing, externe Partner sowie Kryptographie sind stärker in den Fokus gerückt.

Darüber hinaus gibt es viele kleinere Änderungen, die sich jedoch kaum auf das Prüfverfahren auswirken. Gerade durch die neu zugeordneten "Controls", die deutlicheren Definitionen und Formulierungen sowie die Änderungen bei technischen Inhalten, wird die neue ISO 27001:2013 übersichtlicher. Einige "Controls" bieten durch eine weiter gefasste Definition sogar einen größeren Handlungsspielraum für die Organisation.

Die Grafik zeigt, wie ein ISMS-Auditprozess nach ISO 27001 abläuft.
Die Grafik zeigt, wie ein ISMS-Auditprozess nach ISO 27001 abläuft.
Foto: TÜV Rheinland

Audit-Grundlagen und die Rolle des Auditors

Die Arbeit der Prüforganisationen wird nicht nur durch den jeweiligen Standard bestimmt, nach dem ein Unternehmen auditiert werden soll, sondern auch das Prüfunternehmen unterliegt Regelungen. Die Gutachter der Akkreditierungsstelle prüfen regelmäßig, ob diese Regeln auch eingehalten werden. Für Zertifizierungsaudits durch eine akkreditierte Zertifizierungsstelle gelten die Bestimmungen aus der ISO 27006 und ISO 17021. Diese Normen regeln jeden Audit bis ins Detail: Sie beschreiben die genaue Vorgehensweise bei einem Prüfverfahren genauso wie die erforderlichen Soft Skills des Auditors, der demnach beispielsweise aufgeschlossen, entscheidungsfähig, integer und aufnahmefähig sein soll.

Die Erfahrung hat gezeigt, dass es ganz wichtig ist, am Anfang eines Audits eine positive Atmosphäre zu schaffen. Der Auditor darf nicht vergessen, dass es sich um eine Prüfsituation handelt; zudem ist für viele Unternehmen die erfolgreiche Zertifizierung nach ISO 27001 eine wichtige Weichenstellung. Daher ist eine gute Vorbereitung mit den Kunden notwendig. In einem ausführlichen Auditplan werden mit dem Verantwortlichen beim Kunden Geltungsbereich, Termine, Themen und Bereiche abgestimmt. Das gewährleistet zum einen den reibungslosen Audit-Ablauf und stört zum anderen das "Daily Business" so wenig wie möglich.

Das Prüfverfahren

Der Auditor schaut sich die Beschreibungsdokumente genau an.
Der Auditor schaut sich die Beschreibungsdokumente genau an.
Foto: Henry Schmitt - Fotolia.com

Bei einer Erstzertifizierung werden zunächst alle Dokumente geprüft, die das Informationssicherheits-Managementsystem beschreiben. Dazu zählen Policies, Risikoanalysen, Behandlungspläne etc. Das Audit vor Ort findet dann in der Reihenfolge der Normkapitel statt. Es kann bei Bedarf aber auch davon abgewichen werden. Das geschieht sogar kurzfristig, wenn zum Beispiel ein Ansprechpartner im letzten Moment erkrankt ist.

Das zu prüfende Unternehmen legt zu jedem der Themen des Audits Ansprechpartner fest, die jeweils verantwortlich und kompetent Auskunft geben können. Im Audit werden Interviews mit diesen Verantwortlichen geführt, damit die Auditoren ein Verständnis für die Organisation und Abläufe im Rahmen der Informationssicherheit gewinnen. Dabei suchen sie stets nach greifbaren Nachweisen, die die Umsetzung des ISMS belegen oder auch das Gegenteil zeigen. Aussagekräftige Unterlagen wie beispielsweise Prozeduren, Protokolle, Wartungsnachweise, Besucherbücher, etc. spielen eine Rolle. Verstöße gegen Normanforderungen müssen belastbar nachgewiesen werden können. Im Regelfall führt der Auditor die Interviews am Arbeitsplatz des Interviewpartners. Dabei kann er auch einmal nach rechts und links schauen, ob etwa vertrauliche Dokumente achtlos herumliegen.

Wichtig ist, dass sich der Auditor auch als Partner der auditierten Organisation versteht. Selbstverständlich werden die Standardanforderungen gewissenhaft geprüft. Das Audit dient aber auch dazu, den Auditierten zu helfen, sicherer zu werden und Lösungen für Fehler entwickeln zu können. Daran misst sich letztlich der Erfolg eines Audits für das Unternehmen und nicht an der Anzahl von Abweichungen oder Hinweisen, die im Audit gefunden werden!

Abweichung oder systematischer Fehler? - Der Kontext entscheidet

Was geschieht, wenn Auditoren feststellen, dass es Abweichungen oder andere Nicht-Konformitäten im Unternehmen gibt? Hier ist die Angemessenheit der Situation entscheidend: Wie wirkt sich diese Abweichung von den Normanforderungen auf das Geschäft aus? Handelt es sich um einen systematischen Fehler? Einen systematischen Fehler bewertet ein Auditor meistens mit einer Abweichung. Ein solcher Fehler wäre das Fehlen einer Risikoanalyse, die zwingend vorgeschrieben ist. Ansonsten spielen besonders Fragen nach der Höhe eines möglichen Schadens eine Rolle: Wie verkraftbar ist so ein Schaden für das Unternehmen? Wie hoch ist die Eintrittswahrscheinlichkeit? Ist das Risiko bekannt und vielleicht akzeptiert? Wie plausibel ist die Akzeptanz?

Diese und ähnliche Fragen müssen die Auditoren beantworten und dann eine Entscheidung darüber treffen, ob es sich wirklich um eine "Abweichung" handelt oder ob es nicht auch mit einer sogenannten "Möglichkeit zur Verbesserung" getan ist. Der Unterschied besteht darin, dass eine Abweichung zwingend behandelt und von den Auditoren anschließend überprüft werden muss, um die Erteilung eines Zertifikates zu ermöglichen.

Eine Möglichkeit zur Verbesserung ist dagegen schwächer. Typische Verbesserungsmöglichkeiten sind Formulierungen in Regelungen, aber auch einzelne Verstöße gegen solche, wenn beispielsweise ein Bildschirm beim Verlassen des Arbeitsplatzes nicht gesperrt wird. Sie sollen zwar ebenfalls behandelt werden, gefährden eine mögliche Zertifizierung jedoch nicht.

Bei aller Sorgfalt muss ein Auditor demnach auch die Angemessenheit und den Gesamtkontext einer Situation berücksichtigen. Das unterscheidet sich von anderen Prüfkatalogen, bei denen nur Punkte abgefragt werden, ohne den Zusammenhang zu beleuchten.

Typische Problemfelder

Ist ein Unternehmen gut vorbereitet, hat es die notwendigen personellen und finanziellen Ressourcen zur Verfügung gestellt und auch fachliche Kompetenz zu bieten, steht einer erfolgreichen Zertifizierung oft nichts mehr im Wege. Umgekehrt liegt es meistens an fehlenden Ressourcen oder fehlender Kompetenz, wenn es nicht im ersten Anlauf klappt. Hin und wieder stoßen Auditoren auch auf Kuriositäten, wie es in einem Unternehmen der Fall war: Ein Auditor bat darum, eine Bodenplatte anzuheben, um prüfen zu können, ob darunter ein Rauchmelder installiert war. Er fand zwar tatsächlich den Rauchmelder, aber auch eine Kiste Bier. Diese war von den Mitarbeitern sorgfältig im Doppelboden deponiert, um sie schön kühl zu halten. Da hierbei aber auch der kühlende Luftstrom von seinem eigentlichen Auftrag, Server zu kühlen, abgehalten wurde, musste der Auditor diese Situation beanstanden.

Die meisten Probleme resultieren aber aus Fehlern bei der formalen Umsetzung der Normanforderungen. Von der Norm geforderte Dokumente müssen vorgelegt werden können. Wenn zum Beispiel ein Management Review dokumentiert sein muss, das Unternehmen jedoch kein Dokument vorweist, dann kann der Auditor nicht anders, als den Abweichungsbericht zu zücken. Diese Probleme lassen sich mit entsprechend investierter Zeit und Sorgfalt leicht vermeiden.

Andere Schwierigkeiten bereiten häufig die Themen Klassifizierung von Informationen und Business-Continuity-Planung beziehungsweise Notfallplanung. Bei der Klassifizierung kommt es darauf an, möglichst geschickt alle Informationen hinsichtlich ihrer Sensibilität einzustufen. Manche dieser Informationen sind jedoch schwer zu fassen und zu kategorisieren, flitzen sie doch unentwegt durch Leitungen hin und her. Hier hilft gegebenenfalls eine beschreibende Kennzeichnung, zum Beispiel "Personaldaten". Das bezeichnet alles, was in der Personalabteilung anfällt und ermöglicht den Verzicht auf Klassifizierung jeder einzelnen Information. Es sollte aber im Einzelfall beurteilt werden. Denn auch hier steht die Angemessenheit im Vordergrund. Eine Bank hat andere Anforderungen, und einen anderen Schutzbedarf hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität als zum Beispiel ein Automobilhersteller. Entsprechend unterschiedlich ist die Vorgehensweise zur Klassifizierung der verschiedenen Daten und Informationen.

Die Notfallplanung ist ein weiterer typischer Stolperstein. Häufig können die von der Norm geforderten Tests nicht nachgewiesen werden. Dies liegt meistens daran, dass Unternehmen Bedenken haben, den Stecker eines wichtigen Systems zu ziehen, weil sie befürchten, das System nicht mehr zum Laufen bringen zu können.

Realistische Einschätzung der Situation

Damit typische Probleme im Vorfeld eines Audits festgestellt und gelöst werden können, ist eine Bestandsaufnahme eine hilfreiche Zwischenstufe auf dem Weg zur Zertifizierung. Mit recht geringem Aufwand wird festgestellt, ob es noch größere Baustellen gibt oder ob ein Zertifizierungsaudit erfolgversprechend ist. So starten etwa 70 Prozent der vom TÜV Rheinland nach ISO 27001 zertifizierten Unternehmen mit einer solchen Bestandsaufnahme. Aber auch die Sicherheitsbeauftragten des Unternehmens müssen die Wirksamkeit ihres ISMS selbständig überprüfen können. Auf diese Weise lassen sie viele Gefahren für das Geschäft, wie Ausfälle der immer komplexer werdenden Technologie sowie der Abfluss vertraulicher Informationen, vermeiden. (sh)