ISO/IEC 27001: 7 Fehler die Sie vermeiden sollten
Die internationale Norm ISO/IEC 27001 spezifiziert Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS). Bei der Adaption der Anforderungen auf die Gegebenheiten der eigenen Organisation lauern einige Fallstricke. Wir stellen sieben häufige Fehler vor.
Fehler 1: Das ISO/IEC 27001 „Projekt“
Unter der Überschrift Computer Security: Will We Ever Learn? schrieb Security-Rockstar Bruce Schneier bereits im Jahr 2000:
„Security is a process, not a product.“
Bruce Schneier
US-amerikanischer Security-Experte
An der Aktualität dieser Aussage hat sich seither nichts geändert. Sie fasst noch heute die beiden häufigsten Fehler bei der Implementierung oder Verbesserung eines ISMS in einer kurzen Formel zusammen. Der erste Teil der Aussage macht zunächst deutlich, dass es sich bei einem ISMS um einen Prozess handelt, der keinen festgelegten Endzustand hat.
Daher ist es auch nur bedingt möglich, ein ISMS als Projekt zu planen. Ein ISMS als Projekt aufzusetzen, kann schnell enden wie ein Marathonlauf, den man mit einem Sprint über die ersten drei Kilometer beginnt: gescheitert. Wer zu Beginn mit erhöhtem Ressourcenansatz ins ISMS-Projektrennen startet, der läuft Gefahr im Regelbetrieb die Kraft zu verlieren und auf der ersten Durststrecke stehenzubleiben.
Nun ist es allerdings auch nahezu unumstößliche Realität, dass Dinge wie ein ISMS in Unternehmen projekthaft angegangen werden. Das wird man auch nur schwer oder gar nicht ändern können. Wer bei seinem ISMS-Projekt allerdings versäumt, die vor dem Projekt vorhandenen Ressourcen nach dem Projekt aufzustocken, der wird das ISMS-Rennen nicht erfolgreich abschließen und als Sprint-Künstler den Marathon bald abbrechen müssen. Als eines der wichtigsten Projektziele muss daher die Überführung in den Regelbetrieb fest eingeplant werden.
Fehler 2: Das „gekaufte“ ISMS
Der zweite Teil des Schneier-Zitats macht deutlich, dass Security kein Produkt ist, das man „kaufen“ kann. Das trifft auch auf die Implementierung eines ISMS zu. Da ein großer Teil eines ISMS als „Dokumentierte Informationen“ (Documented Information) vorliegen muss, kann man das Zitat auch dahingehend auslegen, dass man die benötigten Dokumente nur bedingt extern „einkaufen“ kann. Extern „eingekaufte“ Dokumente in Verbindung mit einem projekthaften Vorgehen bei der ISMS-Implementierung können das ISMS kippen lassen, bevor es richtig laufen gelernt hat. In solchen Organisationen sind die dokumentierten Informationen zwar vorhanden und qualitativ durchaus hochwertig. Was zum Erfolg fehlt, ist die ausreichende Verankerung innerhalb der Organisation.
Alle paar Jahre werden die Dokumente dann mit externer Unterstützung aktualisiert. So hangelt man sich von Audit zu Audit — ob von Wirtschaftsprüfern, Revision, Aufsichtsbehörden oder einem Zertifizierer. Für nachhaltige Informationssicherheit wird man auch eigene Energie in die Erstellung und Umsetzung der Dokumente stecken müssen. Externe Unterstützung und das interne Security-Team müssen hierbei sehr eng zusammenarbeiten.
Fehler 3: ISO/IEC 27001 und das war’s
Wenn man den Prozessgedanken hinter einem ISMS verstanden hat und ausreichend Ressourcen für den Betrieb des ISMS bereit hält, gibt es noch weitere Klippen, die es zu umschiffen gilt, damit das ISMS ein Erfolg wird.
Aus einem Seitenzahl-basierten Vergleich der ISO/IEC 27001 mit dem IT-Grundschutz des BSI resultiert die (längst) veraltete Einschätzung, die ISO/IEC 27001 als Shortcut zur Informationssicherheit zu verstehen. Vor einigen Jahren noch bestand die ISO/IEC 27000er-Reihe aus einer Hand voll Standards — im Wesentlichen 27000, 27001 und 27002. Nicht mal hundert Seiten der ISO standen mehreren tausend Seiten des BSI gegenüber. Folglich wurde die ISO als der vermeintlich „einfachere“ Standard gesehen. Dieser Vergleich ist allerdings fragwürdig.
Die ursprünglichen Standards der ISO/IEC bilden die Keimzelle, um die ein umfangreiches Set von Standards. Sie bilden die ISO/IEC 27000-Normenreihe. Viele Aspekte aus dem Bereich Service Management oder der IT-Security sind auch außerhalb der 27000er-Normenreihe in weiteren ISO/IEC Standards beschrieben, so dass die ISO-Welt einen ähnlich hohen Komplexitätsgrad besitzt. Zusammen bietet die ISO-Welt je nach Anwendungsfall fast hundert Standards mit wichtigen Informationen für ein ISMS.
Die vermeintlich kurze Lektüre der ISO wächst so schnell zu mehreren hundert Seiten an. Wer ins Detail gehen möchte, ist schnell im vierstelligen Bereich, so wie man das vom IT-Grundschutz schon lange kennt. Die ISO-Normen sind in diesem Umfang allerdings kostspielig, was für viele Unternehmen ein Einstiegshemmnis sein kann und eine vertiefte Beschäftigung mit den Standards häufig verhindert.
Unser Tipp für Power User: Die Normen-Flatrate von Beuth
Der Beuth-Verlag verkauft die ISO/IEC-Normen nicht nur einzeln, sondern auch in verschiedenen Normen-Flatrates. 25 oder 50 ISO/IEC-Normen erhält man aktuell zum Fixpreis von 1490 EUR bzw. 2790 EUR. So erhält man die Einzelnorm für unter 60 EUR.
Getreu dem Motto „was ich nicht weiß, macht mich nicht heiß“ wird die ISO dann schnell unterschätzt. Diese Herangehensweise lässt außer acht, dass man sich überall dort eigene Gedanken machen muss, wo man auf Standards verzichtet. Weniger ist dann schnell mehr: Weniger Standards, mehr Arbeit.
Fehler 4: Vertraulichkeit und das war’s
Ein weiterer Fehler ist es, sich auf die Vertraulichkeit als Sicherheitsziel zu fokussieren und Verfügbarkeit bzw. Integrität als Nebenprodukt zu betrachten. Verfügbarkeit wird häufig in die Zuständigkeit der IT verbannt, besonders wenn diese dort bereits im Rahmen des Service Managements (ITIL o. ISO/IEC 20000-1) berücksichtigt wird. Dabei wird außer acht gelassen, dass das Service Management in der Regel einen anderen Scope hat, als das ISMS, wenn es sich bei der betroffenen Organisation nicht um einen Service Provider handelt. (Vgl. hierzu unseren letzten Beitrag zu integrierten Managementsystemen mit ISO/IEC 20000-1 und 27001.)
Bei den Anforderungen an die Integrität der Informationen fehlt es manchmal an der Phantasie für mögliche Angriffsszenarien. Was vertraulich bleibt, bleibt auch integer; die Herstellung der Vertraulichkeit sichert die Integrität sozusagen nebenbei — so der Irrglaube. Das die Integrität von Daten aber auch durch Fehler verursacht werden kann, wird leicht vergessen. Die Möglichkeit, dass ein korrekterweise Zugriffsberechtigter Informationen gezielt oder versehentlich verfälschen kann, bleibt so unberücksichtigt.
Fehler 5: Fokus auf IT-Sicherheit
Ein alter Klassiker unter den ISMS-Fehlern ist es, sich auf die IT-Security zu stürzen und wider besseren Wissens wesentliche Aspekte der Informationssicherheit zu vernachlässigen. Denn: Im Allgemeinen hat es sich herumgesprochen, dass Informationssicherheit mehr ist, als nur die Sicherheit der Informationstechnik. Im Speziellen fokussieren sich die meisten Organisationen dann aber doch wieder auf die IT.
Die Konfiguration von Servern, Netzen und Clients wird dann bis ins letzte Detail beschrieben und der Faktor Mensch wird bestenfalls in einem Schulungskonzept abgehakt. Jeder versteht, dass man einen Server anders konfigurieren muss, als einen Client oder eine Firewall. Dass die Geschäftsführung eine andere Art der Schulung benötigt, als eine Abteilungsleiterin oder ein Finanzbuchhalter, findet nur selten Berücksichtigung.
Wenn dann die Systeme der Organisation kompromittiert werden, wird schnell die Schuld bei einem nachlässigen Mitarbeiter gesucht, der sich nicht an die vorhandenen Konzepte und Regelungen gehalten hat, obwohl eigentlich das ISMS nicht richtig „austarriert“ war und falsche Schwerpunkte gesetzt hat. Hier gilt es dann, den Informationsverbund der Organisation als sozio-technisches Gesamtsystem zu verstehen, in dem die Informationen im Mittelpunkt stehen und nicht die IT.
Fehler 6: „Ich spreche nur Deutsch“
Die ISO/IEC-Standards werden in englisch verfasst und einige davon durch nationale Normungsgremien ins Deutsche übersetzt und als DIN-Norm veröffentlicht. Viele Anwender scheuen das englische Original und benutzen die deutsche Übersetzung. Das bringt einige Stolperfallen mit sich.
Zunächst einmal laufen die deutschen Übersetzungen der Normung hinterher, erscheinen also zeitversetzt. Entwürfe von Standards werden nur im Original veröffentlicht und nicht übersetzt. Daher profitiert man von Neuerungen erst nach Veröffentlichung der übersetzten DIN-Norm – teilweise Jahre nachdem sich die Änderung in einem englischen Entwurf ankündigte. Darüber hinaus werden nur wenige der Standards der ISO/IEC 27000er Normenreihe übersetzt und die Beschränkung auf die deutsche Sprache ist gleichbedeutend mit einer Beschränkung auf Teile der Normenreihe. Arbeitet man mit Standards in beiden Sprachen, muss man beide Begriffswelten jeweils richtig anwenden können. Das bedeutet einen zusätzlichen Aufwand und ist nicht immer so einfach. Die folgenden zwei Beispiele sollen das verdeutlichen:
Beispiel 1: disciplinary process
Bei den deutschen Übersetzungen handelt es sich weitestgehend um wörtliche Übersetzungen, was im Rahmen der Normungsarbeit auch richtig ist. Es ist nicht die Aufgabe der Übersetzer, den Standard im deutschen Sprachraum zu interpretieren. Allerdings kann man Sprache nicht immer 1zu1 übersetzen. So wurde der Begriff „Disciplinary process“ (27001 A.7.2.3) in der Vergangenheit als „Disziplinarverfahren“ übersetzt. Wörtlich richtig, inhaltlich aber falsch. Im deutschen Sprachgebrauch spricht man nur bei Beamten, Richtern und Soldaten von Disziplinarverfahren. In der neuesten Version wird der Begriff richtiger — aber auch sperriger — als „Maßregelungsprozess“ übersetzt.
Beispiel 2: access
In der aktuellen Übersetzung der ISO/IEC 27001:2013 wird der Begriff „access“ insbesondere in Abschnitt A.9 mit „Zugang“ übersetzt. Das Thema „Zugriff“ scheint von ISO/IEC 27001 scheinbar nicht abgedeckt zu sein. Das ist jedoch nicht richtig. ISO/IEC 27001 fordert mitnichten sämtliche Berechtigungen nur mittels Zugängen zu realisieren, obwohl man das so lesen könnte. „Berechtigung“ fehlt als deutscher Begriff komplett. Auch wenn der Standard zu Berechtigungen nicht ein Wort verliert, bedeutet das nicht, man käme ohne Berechtigungsmanagement aus. „Access“ bedeutet im Deutschen mal „Zugang“, mal „Zugriff“ und mal „Berechtigung“ — hier kommt man ohne eine entsprechende Interpretation der Übersetzung nicht aus.
Die Nutzung der deutschen Übersetzung kann aus dieser Perspektive nur dazu dienen, das Verständnis des Originals zu erleichtern. Ersetzen kann die Übersetzung das Original nicht. Hier ist insbesondere eine langjährige Erfahrung in der Anwendung der Standards von großem Vorteil.
Fehler 7: Jeder macht sein eigenes Ding
Genervte Mitarbeiter in Fachabteilungen kennen das Problem: alle paar Wochen wird ein neuer Schwerpunkt gesetzt. Mal werden Cobit-Prozesse aufgesetzt, mal ist ITIL dran, dann steht ein paar Monate lang Notfallmanagement im Fokus und wieder ein paar Monate später wird ein neues IT-Sicherheitskonzept etabliert oder ein ISMS aufgebaut. Jedes Projekt ist natürlich das wichtigste und irgendwann hört keiner mehr hin, wenn der nächste IT-Messias seine Weltsicht predigt.
Die ISO-Welt bietet seit einigen Jahren mit dem Konzept der integrierten Managementsysteme einen Ausweg aus der Misere. Ob Qualitätsmanagement mit ISO 9000, Service Management mit ISO/IEC 20000-1, Business Continuity Management mit ISO/IEC 22301 oder das Management von Informationssicherheit mit ISO/IEC 27001: All diese Standards wurden aufeinander abgestimmt und greifen nun ineinander. So können zum Beispiel alle Teildisziplinen auf ein und das selbe Dokumentenmanagement zurückgreifen. Wir haben diesen Ansatz bereits in unserem Beitrag zu integrierten Managementsystemen genauer unter die Lupe genommen.
Fazit
ISO/IEC 27001 spezifiziert Anforderungen für ein Informationssicherheits-Managementsystem und gibt mit den weiteren Standards der Normenfamilie Hilfestellung bei der Umsetzung. In der Praxis besteht jedoch die Möglichkeit, die Dinge falsch anzugehen und am Ende mit einem gescheiterten Projekt da zu stehen, oder zumindest die gesteckten Ziele zu verfehlen. Das muss nicht sein, wenn man sich der hier genannten Fehler bewusst ist und sie bei der Planung der bevorstehenden Schritte berücksichtigt. Eine externe Beratung sollte nie das eigene Engagement für das ISMS ersetzen, sondern lediglich die fehlende Erfahrung kompensieren.
Die 7 Fehler in der Übersicht:
1. Fehler: ISO/IEC 27001 nicht als Prozess begreifen
2. Fehler: Die ISMS-Implementierung „einkaufen“
3. Fehler: Sich nur auf ISO/IEC 27001 konzentrieren
4. Fehler: Sich nur auf Vertraulichkeit konzentrieren
5. Fehler: Sich nur auf IT-Sicherheit konzentrieren
6. Fehler: Nur die deutschen Übersetzungen verwenden
7. Fehler: Verschiedene Managementsysteme nicht integrieren