IT-Security

Was ist die ISO 27001 auf Basis IT-Grundschutz wert?

05.11.2014 von Stanislav Wittmann

Zertifizierungen in der Informationssicherheit, besonders nach ISO 27001, kommen in Mode. Die Krönung stellt eine besondere Form dar - die ISO 27001 auf der Basis von IT-Grundschutz. Was steckt dahinter?

Der Weg zur Zertifizierung ist relativ strikt vorgegeben und überschneidet sich in einigen Teilen mit der herkömmlichen ISO 27001. Zunächst sind in einer Sicherheitsleitlinie (Security Policy) die Kernpunkte der Sicherheitsstrategie festzuhalten. Die Leitlinie soll kein Roman sein, sondern vielmehr in prägnanter Form auf höchstens fünf bis zehn Seiten die Grundsätze zur Informationssicherheit vermitteln.

Die Grundwerte in der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - müssen zusammenspielen, um Security erfolgreich zu leben.
Foto: Stanislav Wittmann

Der Weg zur Zertifiizierung ist lang und steinig.
Foto: Arcady - Fotolia.com

Die Policy enthält Compliance-Prinzipien wie das Bekenntnis der Geschäftsführung zur Informationssicherheit oder den Beitrag der Mitarbeiter, Sicherheitsvorfälle und Verletzungen der drei Grundwerte zu melden. Dann beginnt die Dokumentation. Alle Räume, Systeme und die darauf laufenden Anwendungen sind tabellarisch zu protokollieren. Das heißt konkret, dass beispielsweise in einem Großraumbüro Computer derselben Anwendung zu protokollieren sind. Das können Rechner der Finanzabteilung, der IT oder der Geschäftsführung sein. Auch Faxgeräte, Multifunktionsdrucker und Server sind zu berücksichtigen. Nicht zu vergessen Smartphones, Tablets und selbst Computersysteme in Fahrzeugen. Neben der tabellarischen Auflistung soll ein Netzplan helfen, die Vernetzung der Systeme eines Unternehmens zu durchschauen. Das alles erfolgt unter dem Oberbegriff "IT-Strukturanalyse".

Anschließend erfolgt die Schutzbedarfsfeststellung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt drei Schutzbedarfskategorien vor: normal, hoch und sehr hoch. Mit der Einstufung "sehr hoch" sollten Unternehmen vorsichtig umgehen, weil diese einen oft unverhältnismäßig hohen Aufwand bedeutet und schnell viel Geld verschlingen kann.

Die Schutzbedarfsfeststellung erfolgt zunächst allgemein bezogen auf die drei Grundwerte der Informationssicherheit. Das kann in der Praxis folgendermaßen aussehen:

Grundwert Vertraulichkeit

Der Grundwert Vertraulichkeit hat das Ziel, dass Informationen (beispielsweise personenbezogene Daten) nicht in falsche Hände fallen dürfen. Es gibt folgende Abstufungen:

Schutzbedarf normal: Bei Verstoß drohen allenfalls geringfügige juristische Konsequenzen.
Schutzbedarf hoch: Verstöße beeinträchtigen das informationelle Selbstbestimmungsrecht und haben beträchtliche juristische Konsequenzen.
Schutzbedarf sehr hoch: Verstöße würden zu existenzbedrohenden Konsequenzen des Unternehmens führen (beispielsweise öffentlicher Zugang von Patientendaten in einer Privatklinik).

Grundwert Integrität

Der Grundwert Integrität verfolgt das Ziel, dass Informationen nicht verfälscht werden dürfen (beispielsweise bei Angeboten oder Rechnungen). Es gibt folgende Abstufungen:

Schutzbedarf normal: Bei Verfälschung ist der Schaden kleiner 5000 Euro
Schutzbedarf hoch: Verfälschungen verursachen einen Schaden zwischen 5000 und 50.000 Euro.
Schutzbedarf sehr hoch: Verfälschungen führen zu einem Schaden von über 50.000 Euro.

Grundwert Verfügbarkeit

Der Grundwert Verfügbarkeit verfolgt das Ziel, dass Informationen abrufbar sein müssen (was beispielsweise bei einem Server-Totalausfall nicht mehr der Fall ist). Es gibt folgende Abstufungen:

Schutzbedarf normal: Eine Ausfallzeit über drei Tage ist tolerierbar und verursacht einen Schaden von maximal 5000 Euro.
Schutzbedarf hoch: Eine Ausfallzeit über 24 Stunden verursacht einen Schaden von über 5000 Euro.
Schutzbedarf sehr hoch: Bereits eine Stunde Ausfallzeit bedroht die Existenz des Unternehmens, bei einem Schaden von über 100.000 Euro.

Nach der allgemeinen Schutzbedarfsfeststellung gilt es, die Anwendungen, Systeme und schließlich die Räume zu klassifizieren. Hier ist es wichtig, logisch abzuleiten. Das heißt: Verwaltet ein Server eine hochverfügbare Datei, so sollten man nicht am Kühlsystem oder an der Dimensionierung des Servers sparen. Denn logischerweise ist auch der Server als hochverfügbar einzustufen.

Vorbereitung des Zertifikats -

Vorbereitung des Zertifikats
Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern.

Management einbeziehen
Da die Norm eine Ableitung aller operativen Maßnahmen auas Management-Entscheidungen (Security Policiy, Risikoakzeptanz etc.) fordert, fällt ein fehlendes Commitment des Managements im Verlauf der Verzifisierung sicher auf.

Belegschaft sensibilisieren
Jeder Einzelne muss beispielsweise die durch die Security Policy bestimmte Werte verinnerlichen und auf den eigenen Bereich anwenden können. Findet dieser Transfer nicht statt, macht sich das spätestens in einem Audit bemerkbar. Ein erfolgversprechendes Rezept ist es, Aufgaben an einzelne Unterstützer in der Belgschaft zu vergeben.

Anwendbarkeit und Risikoakzeptanz definieren
Bei der Festlegung des Anwendungbereichs sind die jeweiligen finanziellen Mittel und andere Ressourcen zu berücksichtigen. Daraus erwachsende Entscheidungen zu Sicherheitsniveaus und -maßnahmen müssen bewusst getroffen, dokumentiert und kommuniziert werden.

Realistische Zeitpläne
Mit der Umsetzung der letzen Maßnahme ist ein Unternehmen noch nicht zertifizierbar. Tatsächlich ist in erster Linie nachzuweisen, dass die Maßnahmen auch gelebt werden. Man sollte daher frühzeitig mit der Dokumentation der Maßnahmen beginnen und sie regelmäßig intern auf Vollständigkeit prüfen.

Pragmatische Ziele statt Perfektion
Maßnahmen können und dürfen schrittweise implementiert werden, besonders dann, wenn eine von vornherein perfekte Lösung die Organisation überfordern würde. Der Nachweis eines aktiv gelebten kontinuierlichen Verbesserungsprozesses ist besser als die Präsenation perfekter Einzellösungen auf einer nicht tragbaren Basis.

Bewährtes einbetten
Kein Unternehmen beginnt im Hinblick auf IT-Sicherheisaspekte mit einer grünen Wiese. Die vorhandenen, oft aus pragmatischen Erwägungen enstandenen Maßnahmen lassen sich direkt in die Risikoanalyse aufnehmenund so rechtfertigen sowie unterfüttern.

Synergien nutzen
Einige der durch ISO 27001 vorgegebenen Anforderungen finden sich auch in anderen Normen wieder. Es sollte daher geprüft werden, ob bestimmte Themen nicht übergreifend behandet werden können oder bereits erledigt wurden.

Daraus lässt sich auch ableiten, dass der Server nicht in einer Besenkammer stehen darf. Also sollte ein hierfür vorgesehener Serverraum über mindestens dieselben Anforderungen wie der Server selbst oder die darauf laufende Anwendung verfügen. Das BSI verwendet hierfür den Begriff des "Maximierungsprinzips". Weitere Prinzipien zur Festlegung des Schutzbedarfs lassen sich beim BSI nachlesen.

Modellierung und Basis-Sicherheitscheck

Das BSI verfügt über drei Grundschutzkataloge (GS-Kataloge): "Bausteine", "Gefährdungen" und "Maßnahmen". Nachdem alles klassifiziert ist, erfolgt die so genannte Modellierung mit den Bausteinen, die bereits in fünf Schichten sortiert sind.

Konkret kann die Modellierung folgendermaßen ablaufen: Da Datenverluste existenzbedrohend für Unternehmen sein können, sollen Datensicherungen vorgenommen werden - auf Basis des Bausteins B. 1.4 - Datensicherungskonzept. Zielobjekt wären alle Datenträger, bei denen das Unternehmen im Falle eines Datenverlustes in die Röhre schaut. Verfügt die Firma weiterhin über einen Serverraum, so wird hierfür der Baustein B 2.4 auf diesen angewendet. Aus diese Weise lassen sich Bausteine aller fünf Schichten auf Anwendungsbedarf prüfen.

Im Anschluss folgt ein zeitintensiver Part, der Soll-Ist-Vergleich - im Fachjargon auch als Basis-Sicherheitscheck bezeichnet. Dabei wird jeder Baustein auseinander genommen und die darin enthaltenen Maßnahmen auf deren Umsetzungsgrad geprüft. Bleiben wir an dieser Stelle beim Baustein B. 2.4 Serverraum. Jeder Baustein enthält neben potenziellen Gefahren auch Schutzmaßnahmen. So enthält der Baustein Serverraum neben Gefahren wie Feuer, Sabotage oder Ausfall der Stromversorgung auch Gegenmaßnahmen, welche das Risiko der Gefahren mindern sollen.

Beim Serverraum beispielsweise gibt es 16 Maßnahmen. Einige davon, wie ein Rauchverbot oder die angepasste Aufteilung der Stromkreise, sollten obligatorisch sein. Jede Maßnahme der ausgewählten Bausteine wird auf ihren Umsetzungsgrad hin geprüft. Wichtig für die Zertifizierung: Den Maßnahmen sind so genannte Siegelstufen in Form von Buchstaben zugeteilt - A, B, C, W oder Z. Für die Zertifizierung sind grundsätzlich Maßnahmen der Stufen A, B und C erforderlich. Prinzipiell lässt sich sagen: Je früher der Buchstabe im Alphabet, desto elementarer die Maßnahme. So stellt ein Rauchverbot im Serverraum die Siegelstufe A dar, während Redundanzen der technischen Infrastruktur als Z-Maßnahme eingestuft und nicht zwingend für eine Zertifizierung erforderlich sind.

Für die Zertifizierung sind vom BSI 82 Prozent an erfüllten Maßnahmen als Richtwert vorgegeben. Dabei steht die Sinnhaftigkeit der Maßnahmen im Vordergrund - nicht die relative Prozentangabe. Es gilt: Wer schreibt, bleibt. Das Unternehmen ist nicht verpflichtet, alle Maßnahmen umzusetzen, wenn es plausible Begründungen vorlegen kann. Eine produktive Kommunikation mit dem Auditor kann erhebliche Ressourcen sparen.

Wie Andreas Teuscher, Vorstandsmitglied der ISACA Germany Chapter e.V. und ISO 27001 Lead Auditor zu bedenken gibt, sollten die Auditees zwei Punkte nicht aus den Augen verlieren: "Zum einen muss das BSI-Auditierungsschema, also das besondere Vorgehen, beachtet werden. Zum anderen sollten das Risikomanagement und vor allem die Restrisikoübernahmen Berücksichtigung finden." Dies sei besonders vor dem Hintergrund wichtig, dass das BSI bis vor kurzen keine Restrisikoübernahmen gekannt habe.

Realisierung und Schwierigkeiten

Nach dem Soll-Ist-Vergleich erfolgt eine Realisierungsplanung für die noch benötigten Maßnahmen. Dafür wird der Aufwand der Maßnahme als Geldbetrag und Stundenaufwand kalkuliert und terminiert.

Schwierigkeiten kann noch die sogenannte ergänzende Sicherheitsanalyse und Risikoanalyse machen. In diesem Abschnitt erfolgt eine Art Gefährdungsbeurteilung samt Risikomanagement für Zielobjekte mit folgenden Kriterien:

Der Schutzbedarf ist in mindestens einem der drei Grundwerte hoch oder sehr hoch.
Für das zu behandelnde Zielobjekt gibt es keinen Baustein (wie derzeit beispielsweise für das Betriebssystem Windows 8).
Der vorhandene Baustein des BSI reicht vom Umfang oder der Qualität her nicht aus.

Die Zertifizierung

Die Zertifizierung selbst ist mit der herkömmlichen ISO 27001 vergleichbar, wobei die Zertifizierungsstelle in diesem Fall das BSI selbst ist, das auch an den Prüfer respektive Auditor einige Anforderungen stellt. Diese müssen unter anderem nachweisen, dass sie ihrer Tätigkeit stets nachkommen. Das wird mit eine Art Punkteverfahren sichergestellt. So hat ein lizensierter BSI-Auditor die Aufgabe, eine bestimmte Anzahl an Tätigkeiten innerhalb von drei Jahren nachzuweisen. Das können Audits, der Besuch von Fachmessen oder Weiterbildungskurse sein. Das Verfahren soll die Kompetenz der Auditoren sicherstellen. Schaffen Auditoren nicht die geforderte Punktzahl, kann das BSI dem Auditor die Re-Zertifizierung verwehren.

Vor der eigentlichen Zertifizierung müssen Auditortestate erlangt werden, die zwei Jahre lang gültig und nicht wiederholbar sind. Im Rahmen der Testierung soll eine zunehmende Zahl geforderter Maßnahmen umgesetzt werden. Beim ersten Testat, der Einstiegsstufe, sind rund 55 Prozent der Maßnahmen erforderlich. Das zweite Testat, die Aufbaustufe, verlangt bereits 72 Prozent. Ist der Zertifizierungsprozess mit 82 Prozent der Maßnahmen überstanden, ist das ISO 27001-Zertifikat drei Jahre lang gültig.

Teuscher dazu: "Wie alle Zertifizierungsstellen unterliegt auch das BSI mit seiner Zertifizierungsstelle der ISO-17021-Norm. Teil dieser Norm ist unter anderem auch die Qualifikation der Leitenden Auditoren. Diese müssen in der Berufungszeit mindestens drei Zertifizierungsaudits durchlaufen sowie am jährlichen Erfahrungsaustausch und noch an weiteren Maßnahmen zur Weiterentwicklung teilgenommen haben." Das Ziel dieses Vorgangs sei es, nicht praktizierende Auditoren, die beispielsweise nur beraten, den Titel abzuerkennen. In der Praxis stelle es sich laut Teuscher aber wesentlich schwieriger dar, als man annehmen könne: "Es gibt das berühmte Henne-Ei-Problem. In den meisten meisten Beratungsprojekten wird ausdrücklich nach leitenden Auditoren gefragt, die ihren Fokus wiederum auf die Auditierung und nicht auf die Beratung legen sollten." Dieses Dilemma könne man wohl nur durch weitere Aufklärung in den Behörden entschärfen.

12 Tipps für eine schlanke ISO 27001-Einführung -

Fürsprecher in der Chefetage gewinnen
Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.

Branchenspezifische Anforderungen
In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.

Nicht nur ein Zertifikat besitzen wollen
So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.

Mit einer GAP-Analyse beginnen
In der Regel bestehen bereits rudimentäre IT-Sicherheitsmaßnahmen. Mit einer GAP-Analyse finden Sie heraus, auf welchen von ihnen sich aufbauen lässt. Dadurch sinkt der Aufwand der Implementierung eines ISO-konformen ISMS erheblich.

Unrealistische Projektierungszeiten vermeiden
Zu anspruchsvolle Ziele können bei einer ehrgzeigen Projektplanung auch kontraproduktiv sein. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb sollten Unternehmen die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren versuchen zu wahren.

Schlanke Realisierungsmethoden nutzen
Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.

Augenmaß bei der Komplexität
Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.

Keine standardisierte Policy anderer nutzen
Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.

Ausufernde Dokumentationen vermeiden
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.

Für ein breites ISMS-Verständnis sorgen
Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.

Geschäftsleitung in die Schulungen einbeziehen
Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.

Frühzeitig für eine KVP-Kultur sorgen
In einem Kontinuierlichen Verbesserungsprozessen (KVP) werden die Sicherheitsmaßnahmen weiterentwickelt. Das verlangt auch ein organisatorisches Selbstverständnis, das über Schulungen hinauentwickelt werden muss.

(Tipps zusammengestellt von der mikado AG)

Mit Re-Zertifizierungsaudits kann die Zertifizierung anschließend aufrechterhalten werden. Ein jährliches Überwachungsaudit umschließt den Wartungsprozess. Überwachungsaudits sind nicht zu unterschätzen. Erfolgen nämlich "wesentliche Änderungen am zertifizierten Unternehmen", sind diese der Zertifizierungsstelle des BSI schriftlich mitzuteilen. Wechselndes outgesourctes Personal würde beispielsweise darunter fallen.

Die Geschäftsleitung soll sich auch die Frage stellen, welche Unternehmensphilosophie sie vorgibt. Denn eine ISO 27001 auf der Basis von IT-Grundschutz verschlingt nicht unerhebliche Ressourcen. Es empfiehlt sich, nicht gleich aufgrund von Minimalunterschieden im Stunden- oder Tagessatz den Dienstleister zu wechseln. Überhaupt steht das eindeutig erhöhte Sicherheitsrisiko durch wechselndes Personal in keinem Verhältnis zu den Instandhaltungskosten der Zertifizierung, zumal allein die Einarbeitungszeit bereits für sich spricht.

Wolfgang Berger, Leiter des Business Reframing Instituts in Karlsruhe, meint dazu: "Wechselndes Personal ist ein Kostenrisiko. Die Kosten der Neubesetzung und der Einarbeitungszeit stehen in keinem Verhältnis zu den Instandhaltungskosten der Zertifizierung. Wechselndes Personal ist aber vor allem auch ein Sicherheitsrisiko. Wer sich in eine ihm nicht vertraute Unternehmenskultur nicht einlebt, reagiert seinen Frust manchmal durch Verrat ab."

Vor- und Nachteile gegenüber der ISO 27001

Was nun? Auf der Basis von IT-Grundschutz oder doch die "einfache" ISO 27001? Es ist eine Abwägungssache. Natürlich ist die "BSI-Zertifizierung" mit der ISO 27001 vollständig kompatibel. Auch berücksichtigt diese Empfehlungen der kürzlich neu überarbeiteten ISO 27002. Das Verfahren ähnelt einer Bedienungsanleitung - versteht man es erst einmal, lässt es sich im Regelfall ohne größere Hürden umsetzen.

Vor- und Nachteilen der Zertifizierung sind gegeneinander abzuwägen.
Foto: Stanislav Wittmann

Auf der anderen Seite stehen neben dem enormen Dokumentationsaufwand kaum Freiheiten gegenüber einem Verfahren, dass zwar kaum Schwächen besitzt, gleichwohl aber aktuell zu halten ist. Denn die Abhängigkeit vom GS-Katalog kann durchaus zum Verhängnis werden. Sollte das BSI nicht seiner Pflicht nachkommen können, Gefahren, Maßnahmen oder Bausteine rechtzeitig zu aktualisieren, können Risiken für bestimmte Gefahren beträchtlich steigen. Gerade die IT-Branche ist ein schnelllebiges Geschäft. So sollte beispielsweise der Baustein Windows 8 möglichst vor der Vorstellung des nächsten Betriebssystems erscheinen.

Fazit

Ob nun ISO 27001 oder ISO 27001 auf der Basis von IT-Grundschutz: Unternehmen sollten die Zertifizierung nicht rein aus juristischen Exkulpationsabsichten, sondern vielmehr aus sicherheitsbewusstem Eigeninteresse anstreben. Dann wird vermutlich jede Form einer ISO 27001 - Zertifizierung ihren Zweck erfüllen

Letztlich ist es eine Frage der Abwägung. Möchte ein Unternehmen mehr Freiheiten und eine individuelleres Konzept mit dem Mut zur Lücke, ist die wohl die "herkömmliche" Version der ISO 27001 die richtige Lösung.

Entscheidet es sich hingegen für eine strikte, dafür umfassende und höchst wahrscheinlich aufwändigere Lösung, kann die ISO 27001 auf der Basis von IT-Grundschutz eine Option sein. Hinzu kommt eine gewisse Abhängigkeit vom BSI, da dieser die Entwicklungen der Sicherheitstechnik verfolgen muss, um den GS-Katalog aktuell zu halten.

Eine Norm ist und bleibt auch eine Norm. Vom Gesetzgeber gefordert ist sie nicht. Die ISO 27001 hat keinen öffentlich-rechtlichen Charakter, gleichwohl reflektieren Normen den Stand der Technik. Es besteht ja auch die Möglichkeit, die ISO 27001 als Vorlage für ein Sicherheitskonzept zu verwenden, jedoch keine Zertifizierung zu beabsichtigen. Eine weitere Möglichkeit wäre, einzelne Teile der Norm oder des GS-Kataloges für sein Unternehmen zu verwenden. Das BSI stellt immerhin die GS-Kataloge und sehr umfangreiches weiterführendes Material kostenlos zum Download zur Verfügung. (sh)