TL;DR 

ISO 27001 ist die weltweite Norm für das Management von Informatikrisiken. Sie legt fest, wie ein sicheres ISMS aufzubauen und aufrechtzuerhalten ist - einschließlich Scoping, Risikobewertungen, Kontrollen nach Anhang A, Audits.

Stärker prozessorientiert als SOC 2, aber breiter gefasst. Unverzichtbar, wenn Sie international tätig sind oder einen skalierbaren, risikobasierten Sicherheitsrahmen wünschen.

ISO 27001 Scorecard Zusammenfassung:

• Entwickelnde Aufwand: Mäßig bis hoch (erfordert die Einhaltung sicherer SDLC-Richtlinien, die Teilnahme an Risikobewertungen, die Erbringung von Nachweisen für Kontrollen wie A.12/A.14).
• Kosten für Werkzeuge: Mäßig bis hoch (erhebliche Prüfungsgebühren, potenzielle ISMS-Software, Sicherheitstools).
• Marktauswirkungen: Sehr hoch (weltweit anerkannter Standard, wichtig für internationale Unternehmen, regulierte Branchen, Großunternehmen).
• Flexibilität: Hoch (Rahmenkonzept, risikobasierte Kontrollauswahl über SoA).
• Intensität der Prüfungen: Hoch (Stufe 1 & 2 für die Erstzertifizierung, jährliche Überwachungsaudits, Schwerpunkt auf Verfahren und Dokumentation).

Was ist ISO 27001?

ISO/IEC 27001 ist die führende internationale Norm im Bereich der Informationssicherheit. Sie wurde gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) im Rahmen der Organisation.

Ein ISMS ist nicht nur eine Reihe von technischen Hilfsmitteln, sondern ein systematischer Ansatz für die Verwaltung sensibler Unternehmensdaten, damit diese sicher bleiben. Es umfasst Menschen, Prozesse und Technologie. Der Kerngedanke ist das Risikomanagement: Identifizierung von Bedrohungen und Schwachstellen, Bewertung der Risiken und Implementierung von Kontrollen, um sie auf ein akzeptables Maß zu reduzieren.

Schlüsselkomponenten der ISO 27001:

• Klauseln 4-10: Diese definieren die verbindlichen Anforderungen an das ISMS selbst - Verständnis des Kontextes der Organisation, Engagement der Leitung, Planung (Risikobewertung und -behandlung), Unterstützung (Ressourcen, Bewusstsein, Dokumentation), Betrieb, Leistungsbewertung (Überwachung, interne Prüfung, Managementbewertung) und Verbesserung.
• Anhang A: Dieser enthält einen Referenzsatz von 114 Informationssicherheitskontrollen, die in 14 Bereiche unterteilt sind (in der Version von 2022 wurden diese allerdings auf 93 Kontrollen in 4 Themenbereichen geändert). Organisationen wählen relevante Kontrollen aus Anhang A auf der Grundlage ihrer Risikobewertungsergebnisse über eine Anwendbarkeitserklärung (Statement of Applicability - SoA) aus. Nicht alle Kontrollen sind obligatorisch, sondern nur diejenigen, die zur Behandlung der identifizierten Risiken erforderlich sind.

Im Gegensatz zu SOC 2, das zu einem Bescheinigungsbericht führt, führt ISO 27001 zu einer formellen Zertifizierung nach bestandenen externen Audits (Stufe 1 und Stufe 2). Diese Zertifizierung ist in der Regel drei Jahre lang gültig, wobei zur Aufrechterhaltung jährliche Überwachungsaudits erforderlich sind.

Warum ist sie wichtig?

Die Zertifizierung nach ISO 27001 ist von großer Bedeutung, insbesondere für Technologieunternehmen, die weltweit tätig sind oder sensible Daten verarbeiten:

• Internationale Anerkennung: Es ist der am meisten anerkannte globale Standard für das Informationssicherheitsmanagement, der die Glaubwürdigkeit weltweit erhöht.
• Umfassendes Sicherheitsmanagement: Es erzwingt einen strukturierten, risikobasierten Ansatz, der die allgemeine Sicherheitslage über technische Kontrollen hinaus verbessert.
• Vertrauen bei Kunden und Partnern: Wie SOC 2 ist es ein starkes Signal an Kunden und Partner, dass Sie die Sicherheit ernst nehmen, was oft in Verträgen und Ausschreibungen gefordert wird.
• Compliance Gesetzen und Vorschriften: Die Einführung eines ISMS nach ISO 27001 hilft dabei, die Anforderungen verschiedener Gesetze und Vorschriften (wie GDPR) zu erfüllen, indem ein systematisches Risikomanagement nachgewiesen wird.
• Geringeres Risiko von Sicherheitsverletzungen: Ein gut eingeführtes ISMS verringert nachweislich die Wahrscheinlichkeit und die Auswirkungen von Sicherheitsvorfällen. Toyota beispielsweise hatte nach einem Cyberangriff mit Produktionsstopps zu kämpfen; ein robustes ISMS hilft, solche Unterbrechungen zu verhindern.
• Verbesserte Organisation und Abläufe: Es bringt Struktur in die Sicherheitsbemühungen, klärt die Verantwortlichkeiten und fördert eine sicherheitsbewusste Kultur.

Während SOC 2 häufig auf die Anforderungen von US-SaaS-Kunden ausgerichtet ist, bietet ISO 27001 eine umfassendere, international anerkannte Garantie für Ihr gesamtes Sicherheitsmanagementsystem.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung von ISO 27001 ist ein strukturierter Prozess, in dessen Mittelpunkt das ISMS und das Risikomanagement stehen:

1. Definieren Sie den Umfang: Legen Sie klar fest, welche Teile Ihrer Organisation, Standorte, Anlagen und Technologien das ISMS abdecken soll.
2. Engagement der Führung: Holen Sie sich die Zustimmung und die Ressourcen der obersten Führungsebene.
3. Definieren Sie Richtlinien: Erstellen Sie hochrangige Sicherheitsrichtlinien (z. B. Informationssicherheitsrichtlinie, Richtlinie zur akzeptablen Nutzung).
4. Risikobewertung: Identifizierung von Informationsbeständen, Bedrohungen, Schwachstellen und bestehenden Kontrollen. Analyse der Wahrscheinlichkeit und der Auswirkungen von Risiken.
5. Risikobehandlung: Auswahl von Kontrollen (in erster Linie aus Anhang A) zur Minderung nicht akzeptabler Risiken. Dokumentieren Sie dies in der Erklärung zur Anwendbarkeit (SoA) und begründen Sie die einbezogenen/ausgeschlossenen Kontrollen.
6. Kontrollen durchführen: Anwendung der ausgewählten technischen und verfahrenstechnischen Kontrollen. Viele überschneiden sich mit SOC 2, aber ISO 27001 Anhang A enthält einen spezifischen Katalog:
   
   • A.5 Richtlinien zur Informationssicherheit: Richtung des Managements.
   • A.6 Organisation der Informationssicherheit: Interne Organisation, mobile Geräte, Telearbeit.
   • A.7 Sicherheit der Humanressourcen: Verantwortlichkeiten für die Sicherheit vor, während und nach der Beschäftigung.
   • A.8 Vermögensverwaltung: Inventar, Eigentum, zulässige Nutzung, Klassifizierung, Umgang mit Medien.
   • A.9 Zugangskontrolle: Geschäftsanforderungen, Benutzerzugriffsverwaltung, Benutzerzuständigkeiten, System-/Anwendungszugang. (Umfasst RBAC, MFA usw.)
   • A.10 Kryptographie: Politik zu kryptographischen Kontrollen, Schlüsselverwaltung.
   • A.11 Physische und umgebungsbezogene Sicherheit: Sichere Bereiche, Sicherheit der Ausrüstung.
   • A.12 Betriebliche Sicherheit: Verfahren, Änderungsverwaltung, Schutz vor Malware, Backup, Protokollierung, Überwachung, Schwachstellenmanagement. (Einschließlich SAST, SCA, Patching usw.)
   • A.13 Kommunikationssicherheit: Netzsicherheitsmanagement, Informationsübertragung. (Einschließlich Firewalls, Verschlüsselung bei der Übertragung)
   • A.14 Erwerb, Entwicklung und Wartung von Systemen: Sicherheitsanforderungen bei der Entwicklung, sichere Entwicklungspolitik, Sicherheit von Testdaten. (Sichere SDLC-Praktiken)
   • A.15 Lieferantenbeziehungen: Sicherheit in Lieferantenvereinbarungen, Überwachung der Lieferantenleistungen. (Lieferantenmanagement)
   • A.16 Management von Informationssicherheitsvorfällen: Verantwortlichkeiten, Reaktion, Lernen aus Vorfällen.
   • A.17 Informationssicherheitsaspekte des Business Continuity Management: Planung, Umsetzung, Überprüfung. (Disaster Recovery)
   • A.18 Compliance: Identifizierung gesetzlicher/vertraglicher Anforderungen, Rechte des geistigen Eigentums, Schutz der Privatsphäre (PII), Überprüfung der Informationssicherheit.
7. Schulung und Sensibilisierung: Informieren Sie Ihre Mitarbeiter über die Richtlinien und ihre Sicherheitsverantwortung.
8. Überwachung und Überprüfung: Kontinuierliche Überwachung der Wirksamkeit der Kontrollen, Durchführung interner Audits und Durchführung von Managementprüfungen.
9. Kontinuierliche Verbesserung: Aktualisierung des ISMS auf der Grundlage von Überwachung, Audits und veränderten Risiken.

Der Schwerpunkt liegt auf dem Managementsystem - den Prozessen zur Identifizierung von Risiken und zur Gewährleistung von Kontrollen, die umgesetzt, überwacht und verbessert werden.

Häufig zu vermeidende Fehler

Eine wirksame Umsetzung von ISO 27001 bedeutet, dass diese häufigen Fehler vermieden werden müssen:

1. Falsches Scoping: Der Geltungsbereich des ISMS ist zu weit gefasst (unüberschaubar) oder zu eng gefasst (deckt kritische Anlagen/Prozesse nicht ab). Seien Sie realistisch und risikoorientiert.
2. Mangelndes Engagement des Managements: Behandlung von ISO 27001 als reines IT-Projekt ohne sichtbare Unterstützung durch die Unternehmensleitung, ohne Ressourcen und ohne Integration in die Unternehmensziele.
3. Schlechte Risikobewertung: Durchführung einer oberflächlichen Risikobewertung, bei der die wichtigsten Vermögenswerte, Bedrohungen und Schwachstellen nicht genau ermittelt werden, was zu einer ineffektiven Auswahl von Kontrollen führt.
4. "Checkbox"-Ansatz für Anhang A: Durchführung von Anhang-A-Kontrollen, ohne sie mit den in der Bewertung ermittelten spezifischen Risiken zu verknüpfen. Die Kontrollen sollten Risiken behandeln.
5. Unzureichende Dokumentation: Unzureichende Dokumentation der Strategien, Verfahren, Risikobewertungen, des SoA und des Nachweises der Kontrolltätigkeit. Die Prüfer brauchen Beweise.
6. Vergessen Sie die kontinuierliche Verbesserung: Die Zertifizierung als Endziel betrachten. ISO 27001 erfordert eine kontinuierliche Überwachung, interne Audits, Managementprüfungen und Aktualisierungen des ISMS.
7. Unterbesetzung: Zuweisung des gesamten Aufwands an eine Person oder ein Team ohne angemessene Zeit, Budget oder Fachwissen. Es handelt sich um eine organisationsweite Anstrengung.

Was Prüfer fragen werdenEntwickelnde Focus)

ISO 27001-Auditoren prüfen sowohl das Managementsystem als auch die implementierten Kontrollen. Entwicklungsteams werden möglicherweise mit Fragen im Zusammenhang mit Anhang-A-Kontrollen konfrontiert, wie z. B.:

• "Zeigen Sie mir Ihre Politik der sicheren Entwicklung." (A.14.2.1)
• "Wie stellen Sie sicher, daß die Sicherheitsanforderungen in der Anforderungsphase ermittelt werden?" (A.14.1.1)
• "Erklären Sie mir, wie Sie Schwachstellen in Open-Source-Bibliotheken verwalten." (Im Zusammenhang mit A.12.6.1 - Technisches Schwachstellenmanagement)
• "Wie werden Entwicklungs-, Test- und Produktionsumgebungen getrennt gehalten?" (A.12.1.4 / A.14.2.6)
• "Es ist ein Nachweis über die vor der letzten größeren Veröffentlichung durchgeführten Sicherheitstests zu erbringen." (A.14.2.8 / A.14.2.9)
• "Wie verwalten Sie die Zugangskontrolle für Entwickler zu verschiedenen Umgebungen?" (A.9)
• "Zeigen Sie mir die Verfahren für die Handhabung und den Schutz von Testdaten." (A.14.3.1)
• "Wie werden Codeänderungen vor der Einführung überprüft und genehmigt?" (A.12.1.2 / A.14.2.3)

Sie konzentrieren sich auf Verfahren und Nachweise. Haben Sie Richtlinien, halten Sie diese ein und können Sie dies beweisen?

Quick Wins für Entwicklungsteams

Auch wenn ISO 27001 sehr umfassend ist, können Entwicklerteams mit diesen Schritten einen wichtigen Beitrag leisten:

1. Dokumentieren Sie Ihren SDLC: Schreiben Sie Ihren aktuellen Entwicklungsprozess auf, einschließlich der Test- und Bereitstellungsschritte. Dies bildet die Grundlage für A.14-Kontrollen.
2. Implementierung von SAST/SCA: Frühzeitige Integration von automatisiertem Code- und Abhängigkeitsscanning in die CI/CD-Pipeline. Dies betrifft Teile von A.12 und A.14.
3. Formalisieren Sie Code-Reviews: Stellen Sie sicher, dass für PRs Überprüfungen und Genehmigungen erforderlich sind. Verfolgen Sie dies in Ihrer Git-Plattform. (Adressiert A.14.2 Kontrollen)
4. Trennung der Umgebungen: Eindeutige Trennung von Entwicklungs-, Test- und Produktivumgebungen mit unterschiedlichen Anmeldeinformationen und Netzwerkkontrollen. (Adressen A.12.1.4)
5. Verwaltung vonSecrets : Implementierung eines secrets und Suche nach fest kodierten secrets. (Adressen A.9 / A.12 / A.14 Kontrollen)
6. Dependency Patching: Einführung eines Verfahrens zur Identifizierung und Aktualisierung anfälliger Abhängigkeiten. (Adressen A.12.6.1)

Ignorieren Sie dies und... (Konsequenzen des Scheiterns)

Das Nichtbestehen eines ISO 27001-Audits oder das Ignorieren der Norm kann dazu führen:

• Verlust der Zertifizierung: Bestehende Zertifizierungen können ausgesetzt oder entzogen werden.
• Vertragsstrafen/Verluste: Wenn Sie die Zertifizierung nicht erreichen oder aufrechterhalten, können Sie gegen Verträge verstoßen oder von Ausschreibungen ausgeschlossen werden, insbesondere von internationalen Ausschreibungen.
• Schädigung des Rufs: Ein Versagen deutet auf eine schwache Sicherheitslage hin und schadet dem Vertrauen bei globalen Kunden und Partnern.
• Verstärkte Audit-Prüfung: Die Zertifizierungsstellen können die Häufigkeit oder Intensität künftiger Überwachungsaudits erhöhen, was zusätzliche Kosten und Aufwand bedeutet.
• Regulatorische Fragen: Die compliance von Vorschriften kann auf die Nichteinhaltung gesetzlicher oder behördlicher Sicherheitsanforderungen (wie GDPR) hinweisen.
• Verlorene Marktchancen: Unfähigkeit, in Märkte oder Sektoren einzutreten, in denen ISO 27001 de facto eine Anforderung ist.

FAQ

Was ist der Unterschied zwischen ISO 27001 und SOC 2?

ISO 27001 zertifiziert Ihr gesamtes Informationssicherheitsmanagementsystem (ISMS) auf der Grundlage internationaler Normen und einer Risikobewertung. SOC 2 liefert einen Bescheinigungsbericht über Kontrollen im Zusammenhang mit bestimmten Dienstverpflichtungen (Trust Services Criteria), die in erster Linie auf die Anforderungen des US-Marktes zurückzuführen sind. Die Kontrollen überschneiden sich oft, unterscheiden sich aber in Ansatz, Umfang und Ergebnis (Zertifizierung vs. Bericht).

Ist ISO 27001 verbindlich?

Nein, es handelt sich im Allgemeinen um eine freiwillige Norm, aber sie ist oft eine vertragliche Voraussetzung oder eine Notwendigkeit für die Tätigkeit in bestimmten regulierten Branchen oder auf internationalen Märkten.

Wie lange dauert die Zertifizierung nach ISO 27001?

Die Umsetzung kann je nach Reifegrad 6-12 Monate oder länger dauern. Der Zertifizierungsprozess (Audits der Stufen 1 und 2) folgt. Ein bestehendes ISMS muss vor dem Zertifizierungsaudit etwa 6 Monate in Betrieb sein.

Wie viel kostet die ISO 27001?

Es sind beträchtliche Investitionen erforderlich. Die Prüfungskosten können sich über einen Dreijahreszyklus auf mehrere zehntausend Euro/Dollar belaufen, hinzu kommen interne Ressourcen, mögliche Beratungs- und Werkzeugkosten. Eine grobe Schätzung für ein kleineres Unternehmen könnte 15.000 €+ über drei Jahre nur für Audits betragen.

Müssen wir alle 114 (oder 93) Anhang-A-Kontrollen durchführen?

Nein. Sie müssen die Aufnahme oder den Ausschluss jeder Kontrolle in Ihrer Anwendbarkeitserklärung (SoA) auf der Grundlage Ihrer Risikobewertung und Ihres Behandlungsplans begründen.

Wie lange ist die Zertifizierung gültig?

In der Regel drei Jahre, aber Sie müssen jährliche Überwachungsaudits bestehen, um die Gültigkeit während dieses Zeitraums zu erhalten. Nach drei Jahren ist ein Re-Zertifizierungsaudit erforderlich.

Wer führt die Prüfung durch?

Eine akkreditierte, unabhängige externe Zertifizierungsstelle. Interne Audits sind ebenfalls erforderlich, führen aber nicht zu einer Zertifizierung.