ISO 27001

Wie ein Security-Audit abläuft

28.12.2015 von Bruno Tenhagen und Ralph Freude
Ab Oktober können sich Unternehmen ihre Informationssicherheits-Management-Systeme nur noch nach der neuen ISO/IEC 27001:2013 (re-)zertifizieren lassen. Die im Vergleich zur Vorgängernorm von 2005 vollzogenen Veränderungen beeinflussen auch das künftige Prüfverfahren.

Unternehmen haben unterschiedlichste Gründe, ein Informationssicherheits-Management-System (ISMS) nach ISO/IEC 27001 zertifizieren zu lassen. Sie wollen das Sicherheitsbewusstsein ihrer Mitarbeiter fördern, Verbesserungspotenziale besser heben können oder ihre Kunden und Partner mit einem Zertifikat zufriedenstellen.

Bis es aber zu einer erfolgreichen Zertifizierung kommen kann, durchläuft das Unternehmen ein mehrstufiges Prüfverfahren. Für den Erfolg des Audits spielen die Vorbereitung des Unternehmens, die Rolle des Prüfers und des Geprüften sowie das Ausloten der typischen Fallstricke eine wesentliche Rolle. Durch Veränderungen in der neuen ISO 27001:2013 sind zusätzliche Einflüsse erkennbar.

Effekte der neuen ISO 27001:2013

Am 1. Oktober 2015 endet die Übergangsfrist für Unternehmen, die nach der alten ISO/IEC 27001:2005 zertifiziert worden sind und auf die neue ISO/IEC 27001:2013 umsteigen wollen. Bereits ein Jahr früher, ab 01. Oktober 2014, darf bei der Erst- und Rezertifizierung nur noch nach der neuen ISO/IEC 27001:2013 zertifiziert werden. Unternehmen, die eine Zertifizierung nach der neuen Version anstreben, sollten sich jetzt schon auf die Umstellung und das damit veränderte Prüfverfahren vorbereiten - das empfiehlt zumindest die Deutsche Akkreditierungsstelle (DAkkS), genauso wie der TÜV Rheinland als Zertifizierungsdienstleister.

Die neue, einheitliche Struktur der ISO 27001:2013 ermöglicht in Zukunft, verschiedene Normen besser miteinander zu verknüpfen und so integrierte Managementsysteme zu schaffen. Besonders die Integration mehrerer Managementsysteme wie beispielsweise ISO 9001, ISO 14001 und ISO 27001 wird - im Sinne der meisten Unternehmen - wesentlich erleichtert. Statt vieler isolierter Managementsysteme, die parallel laufen, lassen sich gewisse Prozesse künftig bündeln. Da grundlegende Teile der Managementsystem-Standards vereinheitlicht wurden, können sie auch gemeinsam auditiert werden. Das spart Zeit und Kosten. Statt mehrerer separater Prüfverfahren, die Mitarbeiter auch belasten, reduziert sich bei einem integrierten Verfahren der Zeitaufwand für alle Beteiligten erheblich.

Die Anforderungen an Unternehmen

Die Neuerungen verbessern die Anwendbarkeit der Norm. Sie ist stärker auf die Strategie der Organisation ausgerichtet und legt einen Lebenszyklus von Systementwicklungen fest. Erstmals wird auch den Zulieferern ein Kapitel gewidmet.

Wichtige Änderungen der neuen Norm sind:

Darüber hinaus gibt es viele kleinere Änderungen, die sich jedoch kaum auf das Prüfverfahren auswirken. Gerade durch die neu zugeordneten "Controls", die deutlicheren Definitionen und Formulierungen sowie die Änderungen bei technischen Inhalten, wird die neue ISO 27001:2013 übersichtlicher. Einige "Controls" bieten durch eine weiter gefasste Definition sogar einen größeren Handlungsspielraum für die Organisation.

Die Grafik zeigt, wie ein ISMS-Auditprozess nach ISO 27001 abläuft.
Foto: TÜV Rheinland

Audit-Grundlagen und die Rolle des Auditors

Die Arbeit der Prüforganisationen wird nicht nur durch den jeweiligen Standard bestimmt, nach dem ein Unternehmen auditiert werden soll, sondern auch das Prüfunternehmen unterliegt Regelungen. Die Gutachter der Akkreditierungsstelle prüfen regelmäßig, ob diese Regeln auch eingehalten werden. Für Zertifizierungsaudits durch eine akkreditierte Zertifizierungsstelle gelten die Bestimmungen aus der ISO 27006 und ISO 17021. Diese Normen regeln jeden Audit bis ins Detail: Sie beschreiben die genaue Vorgehensweise bei einem Prüfverfahren genauso wie die erforderlichen Soft Skills des Auditors, der demnach beispielsweise aufgeschlossen, entscheidungsfähig, integer und aufnahmefähig sein soll.

Vorbereitung des Zertifikats -
Vorbereitung des Zertifikats
Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern.
Management einbeziehen
Da die Norm eine Ableitung aller operativen Maßnahmen auas Management-Entscheidungen (Security Policiy, Risikoakzeptanz etc.) fordert, fällt ein fehlendes Commitment des Managements im Verlauf der Verzifisierung sicher auf.
Belegschaft sensibilisieren
Jeder Einzelne muss beispielsweise die durch die Security Policy bestimmte Werte verinnerlichen und auf den eigenen Bereich anwenden können. Findet dieser Transfer nicht statt, macht sich das spätestens in einem Audit bemerkbar. Ein erfolgversprechendes Rezept ist es, Aufgaben an einzelne Unterstützer in der Belgschaft zu vergeben.
Anwendbarkeit und Risikoakzeptanz definieren
Bei der Festlegung des Anwendungbereichs sind die jeweiligen finanziellen Mittel und andere Ressourcen zu berücksichtigen. Daraus erwachsende Entscheidungen zu Sicherheitsniveaus und -maßnahmen müssen bewusst getroffen, dokumentiert und kommuniziert werden.
Realistische Zeitpläne
Mit der Umsetzung der letzen Maßnahme ist ein Unternehmen noch nicht zertifizierbar. Tatsächlich ist in erster Linie nachzuweisen, dass die Maßnahmen auch gelebt werden. Man sollte daher frühzeitig mit der Dokumentation der Maßnahmen beginnen und sie regelmäßig intern auf Vollständigkeit prüfen.
Pragmatische Ziele statt Perfektion
Maßnahmen können und dürfen schrittweise implementiert werden, besonders dann, wenn eine von vornherein perfekte Lösung die Organisation überfordern würde. Der Nachweis eines aktiv gelebten kontinuierlichen Verbesserungsprozesses ist besser als die Präsenation perfekter Einzellösungen auf einer nicht tragbaren Basis.
Bewährtes einbetten
Kein Unternehmen beginnt im Hinblick auf IT-Sicherheisaspekte mit einer grünen Wiese. Die vorhandenen, oft aus pragmatischen Erwägungen enstandenen Maßnahmen lassen sich direkt in die Risikoanalyse aufnehmenund so rechtfertigen sowie unterfüttern.
Synergien nutzen
Einige der durch ISO 27001 vorgegebenen Anforderungen finden sich auch in anderen Normen wieder. Es sollte daher geprüft werden, ob bestimmte Themen nicht übergreifend behandet werden können oder bereits erledigt wurden.

Die Erfahrung hat gezeigt, dass es ganz wichtig ist, am Anfang eines Audits eine positive Atmosphäre zu schaffen. Der Auditor darf nicht vergessen, dass es sich um eine Prüfsituation handelt; zudem ist für viele Unternehmen die erfolgreiche Zertifizierung nach ISO 27001 eine wichtige Weichenstellung. Daher ist eine gute Vorbereitung mit den Kunden notwendig. In einem ausführlichen Auditplan werden mit dem Verantwortlichen beim Kunden Geltungsbereich, Termine, Themen und Bereiche abgestimmt. Das gewährleistet zum einen den reibungslosen Audit-Ablauf und stört zum anderen das "Daily Business" so wenig wie möglich.

Das Prüfverfahren

Der Auditor schaut sich die Beschreibungsdokumente genau an.
Foto: Henry Schmitt - Fotolia.com

Bei einer Erstzertifizierung werden zunächst alle Dokumente geprüft, die das Informationssicherheits-Managementsystem beschreiben. Dazu zählen Policies, Risikoanalysen, Behandlungspläne etc. Das Audit vor Ort findet dann in der Reihenfolge der Normkapitel statt. Es kann bei Bedarf aber auch davon abgewichen werden. Das geschieht sogar kurzfristig, wenn zum Beispiel ein Ansprechpartner im letzten Moment erkrankt ist.

Das zu prüfende Unternehmen legt zu jedem der Themen des Audits Ansprechpartner fest, die jeweils verantwortlich und kompetent Auskunft geben können. Im Audit werden Interviews mit diesen Verantwortlichen geführt, damit die Auditoren ein Verständnis für die Organisation und Abläufe im Rahmen der Informationssicherheit gewinnen. Dabei suchen sie stets nach greifbaren Nachweisen, die die Umsetzung des ISMS belegen oder auch das Gegenteil zeigen. Aussagekräftige Unterlagen wie beispielsweise Prozeduren, Protokolle, Wartungsnachweise, Besucherbücher, etc. spielen eine Rolle. Verstöße gegen Normanforderungen müssen belastbar nachgewiesen werden können. Im Regelfall führt der Auditor die Interviews am Arbeitsplatz des Interviewpartners. Dabei kann er auch einmal nach rechts und links schauen, ob etwa vertrauliche Dokumente achtlos herumliegen.

Wichtig ist, dass sich der Auditor auch als Partner der auditierten Organisation versteht. Selbstverständlich werden die Standardanforderungen gewissenhaft geprüft. Das Audit dient aber auch dazu, den Auditierten zu helfen, sicherer zu werden und Lösungen für Fehler entwickeln zu können. Daran misst sich letztlich der Erfolg eines Audits für das Unternehmen und nicht an der Anzahl von Abweichungen oder Hinweisen, die im Audit gefunden werden!

Abweichung oder systematischer Fehler? - Der Kontext entscheidet

Was geschieht, wenn Auditoren feststellen, dass es Abweichungen oder andere Nicht-Konformitäten im Unternehmen gibt? Hier ist die Angemessenheit der Situation entscheidend: Wie wirkt sich diese Abweichung von den Normanforderungen auf das Geschäft aus? Handelt es sich um einen systematischen Fehler? Einen systematischen Fehler bewertet ein Auditor meistens mit einer Abweichung. Ein solcher Fehler wäre das Fehlen einer Risikoanalyse, die zwingend vorgeschrieben ist. Ansonsten spielen besonders Fragen nach der Höhe eines möglichen Schadens eine Rolle: Wie verkraftbar ist so ein Schaden für das Unternehmen? Wie hoch ist die Eintrittswahrscheinlichkeit? Ist das Risiko bekannt und vielleicht akzeptiert? Wie plausibel ist die Akzeptanz?

Diese und ähnliche Fragen müssen die Auditoren beantworten und dann eine Entscheidung darüber treffen, ob es sich wirklich um eine "Abweichung" handelt oder ob es nicht auch mit einer sogenannten "Möglichkeit zur Verbesserung" getan ist. Der Unterschied besteht darin, dass eine Abweichung zwingend behandelt und von den Auditoren anschließend überprüft werden muss, um die Erteilung eines Zertifikates zu ermöglichen.

Eine Möglichkeit zur Verbesserung ist dagegen schwächer. Typische Verbesserungsmöglichkeiten sind Formulierungen in Regelungen, aber auch einzelne Verstöße gegen solche, wenn beispielsweise ein Bildschirm beim Verlassen des Arbeitsplatzes nicht gesperrt wird. Sie sollen zwar ebenfalls behandelt werden, gefährden eine mögliche Zertifizierung jedoch nicht.

Bei aller Sorgfalt muss ein Auditor demnach auch die Angemessenheit und den Gesamtkontext einer Situation berücksichtigen. Das unterscheidet sich von anderen Prüfkatalogen, bei denen nur Punkte abgefragt werden, ohne den Zusammenhang zu beleuchten.

Typische Problemfelder

Ist ein Unternehmen gut vorbereitet, hat es die notwendigen personellen und finanziellen Ressourcen zur Verfügung gestellt und auch fachliche Kompetenz zu bieten, steht einer erfolgreichen Zertifizierung oft nichts mehr im Wege. Umgekehrt liegt es meistens an fehlenden Ressourcen oder fehlender Kompetenz, wenn es nicht im ersten Anlauf klappt. Hin und wieder stoßen Auditoren auch auf Kuriositäten, wie es in einem Unternehmen der Fall war: Ein Auditor bat darum, eine Bodenplatte anzuheben, um prüfen zu können, ob darunter ein Rauchmelder installiert war. Er fand zwar tatsächlich den Rauchmelder, aber auch eine Kiste Bier. Diese war von den Mitarbeitern sorgfältig im Doppelboden deponiert, um sie schön kühl zu halten. Da hierbei aber auch der kühlende Luftstrom von seinem eigentlichen Auftrag, Server zu kühlen, abgehalten wurde, musste der Auditor diese Situation beanstanden.

Die meisten Probleme resultieren aber aus Fehlern bei der formalen Umsetzung der Normanforderungen. Von der Norm geforderte Dokumente müssen vorgelegt werden können. Wenn zum Beispiel ein Management Review dokumentiert sein muss, das Unternehmen jedoch kein Dokument vorweist, dann kann der Auditor nicht anders, als den Abweichungsbericht zu zücken. Diese Probleme lassen sich mit entsprechend investierter Zeit und Sorgfalt leicht vermeiden.

12 Tipps für eine schlanke ISO 27001-Einführung -
Fürsprecher in der Chefetage gewinnen
Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.
Branchenspezifische Anforderungen
In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.
Nicht nur ein Zertifikat besitzen wollen
So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.
Mit einer GAP-Analyse beginnen
In der Regel bestehen bereits rudimentäre IT-Sicherheitsmaßnahmen. Mit einer GAP-Analyse finden Sie heraus, auf welchen von ihnen sich aufbauen lässt. Dadurch sinkt der Aufwand der Implementierung eines ISO-konformen ISMS erheblich.
Unrealistische Projektierungszeiten vermeiden
Zu anspruchsvolle Ziele können bei einer ehrgzeigen Projektplanung auch kontraproduktiv sein. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb sollten Unternehmen die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren versuchen zu wahren.
Schlanke Realisierungsmethoden nutzen
Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.
Augenmaß bei der Komplexität
Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.
Keine standardisierte Policy anderer nutzen
Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.
Ausufernde Dokumentationen vermeiden
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.
Für ein breites ISMS-Verständnis sorgen
Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.
Geschäftsleitung in die Schulungen einbeziehen
Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.
Frühzeitig für eine KVP-Kultur sorgen
In einem Kontinuierlichen Verbesserungsprozessen (KVP) werden die Sicherheitsmaßnahmen weiterentwickelt. Das verlangt auch ein organisatorisches Selbstverständnis, das über Schulungen hinauentwickelt werden muss.

(Tipps zusammengestellt von der mikado AG)

Andere Schwierigkeiten bereiten häufig die Themen Klassifizierung von Informationen und Business-Continuity-Planung beziehungsweise Notfallplanung. Bei der Klassifizierung kommt es darauf an, möglichst geschickt alle Informationen hinsichtlich ihrer Sensibilität einzustufen. Manche dieser Informationen sind jedoch schwer zu fassen und zu kategorisieren, flitzen sie doch unentwegt durch Leitungen hin und her. Hier hilft gegebenenfalls eine beschreibende Kennzeichnung, zum Beispiel "Personaldaten". Das bezeichnet alles, was in der Personalabteilung anfällt und ermöglicht den Verzicht auf Klassifizierung jeder einzelnen Information. Es sollte aber im Einzelfall beurteilt werden. Denn auch hier steht die Angemessenheit im Vordergrund. Eine Bank hat andere Anforderungen, und einen anderen Schutzbedarf hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität als zum Beispiel ein Automobilhersteller. Entsprechend unterschiedlich ist die Vorgehensweise zur Klassifizierung der verschiedenen Daten und Informationen.

Die Notfallplanung ist ein weiterer typischer Stolperstein. Häufig können die von der Norm geforderten Tests nicht nachgewiesen werden. Dies liegt meistens daran, dass Unternehmen Bedenken haben, den Stecker eines wichtigen Systems zu ziehen, weil sie befürchten, das System nicht mehr zum Laufen bringen zu können.

Realistische Einschätzung der Situation

Damit typische Probleme im Vorfeld eines Audits festgestellt und gelöst werden können, ist eine Bestandsaufnahme eine hilfreiche Zwischenstufe auf dem Weg zur Zertifizierung. Mit recht geringem Aufwand wird festgestellt, ob es noch größere Baustellen gibt oder ob ein Zertifizierungsaudit erfolgversprechend ist. So starten etwa 70 Prozent der vom TÜV Rheinland nach ISO 27001 zertifizierten Unternehmen mit einer solchen Bestandsaufnahme. Aber auch die Sicherheitsbeauftragten des Unternehmens müssen die Wirksamkeit ihres ISMS selbständig überprüfen können. Auf diese Weise lassen sie viele Gefahren für das Geschäft, wie Ausfälle der immer komplexer werdenden Technologie sowie der Abfluss vertraulicher Informationen, vermeiden. (sh)