Security is a process!

800 Anforderungen für ein ISMS nach ISO/IEC 27001

Anforderung der ISO/IEC 27001

Der CycleSEC-Geschäftsführer Sebastian Klipper forscht aktuell am Center for Advanced Internet Studies (CAIS) zur ISO/IEC 27001. In der aktuellen Ausgabe der Fachzeitschrift „kes“ stellt er mit Steffen Hessler erste Ergebnisse vor. [1] Besonders spannend: Die Autoren haben im Zuge ihrer Arbeit die Einzelanforderungen gezählt, die bei der Implementierung eines Managementsystems für die Informationssicherheit (ISMS) zu erfüllen sind.

Die Anforderungen für ein ISMS nach ISO/IEC 27001 sind in einem Textteil mit sogenannten Clauses und dem Annex A mit zahlreichen Controls enthalten. Der Textteil ist verbindlich bei jeder Implementierung, während die Anwendbarkeit der Controls aus dem zu erstellenden Statement of Applicability (SoA) hervorgeht.

Die Anforderungen im Textteil und in Annex A sind dabei als komplexe Sätze formuliert, die oft mehrere UND- bzw. ODER-verknüpfte Anforderung und längere Aufzählungen enthalten.

Beispiel aus der ISO/IEC 27001

“A.11.1.4:
Protecting against external and environmental threats
Control: Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.”

ISO/IEC 27001

ISMS-Teilanforderungen

Control A.11.1.4 enthält die folgenden sechs Teilanforderung:

  1. Physical protection against natural disasters shall be designed.
  2. Physical protection against malicious attack shall be designed.
  3. Physical protection against accidents shall be designed.
  4. Physical protection against natural disasters shall be applied.
  5. Physical protection against malicious attack shall be applied.
  6. Physical protection against accidents shall be applied.

Die Autoren führen zwei Gründe an, warum es sinnvoll ist, Anforderungen auf diese Weise zu zerlegen:

  1. Einzelne Teilanforderungen gehören als Teil eines zyklischen Vorgehens zu verschiedenen oder mehreren Zyklusphasen (vgl. z.B. PDCA-Zyklus).
  2. Die Durchführung der Aufgaben liegen in vielen Organisationen in der Zuständigkeit mehrerer Abteilungen.

Bei der Steuerung eines ISMS ist es also ggf. wichtig zu wissen, in welcher ISMS-Phase sich ein Control aktuell befindet und welche Personen für die Umsetzung rechenschaftspflichtig sind. Das ist insbesondere bei komplexen ISMS-Implementierungen für ein angemessenes Reporting notwendig.

Probleme komplexerer Satzstrukturen

Das Problem, das durch die komplexen Satzstrukturen entsteht, beschreiben die Autoren so:

„Die Planung von Schutzmaßnahmen gegen Naturkatastrophen kann bereits fertig konzipiert und in Anwendung sein, während die Konzeption von Schutzmaßnahmen bei Unfällen noch unvollständig ist. Meist spricht man in der Implementierung und bei Audits dann davon, dass ein Control „teilweise erfüllt“ ist. Der Vermerk ist aber ungenau, da nicht klar ist, welche der Teilanforderungen erfüllt sind und welche nicht. In einer relationalen Verknüpfung des Controls mit der Zuständigkeit und dem Erfüllungsgrad gerät man schnell an die Grenzen des Machbaren. In ISMS-Tools wie z. B. verinice, Instant ISMS auf Confluence-Basis oder komplexen Excel-Tabellen führt das zu einem Informationsverlust oder Verzerrungen in der Gesamtbewertung des ISMS.“

Heft #1/2021 der kes – Die Zeitschrift für Informations-Sicherheit

Rund 800 Teilanforderungen

Für die durchgeführte Analyse haben Sebastian Klipper und Steffen Hessler wie im Beispiel oben den gesamten Text der ISO/IEC 27001 jeweils in prägnante Teilanforderungen zerlegt. Sie konnten dabei eine erstaunlich hohe Anzahl an Einzelanforderungen ermitteln.

Auf den ersten Blick auf die ISO/IEC 27001 kann beim unbedarften Lesen leicht der falsche Eindruck entstehen. Ohne tiefere Kenntnisse zu den Aufwänden einer Implementierung sehen die 10 Clauses und 114 Controls so aus, als seien diese leicht zu erfüllen. Durch die Zerlegung der ISO/IEC 27001 in Teilanforderungen konnten Klipper und Hessler für den Textteil 321 Anforderungen identifizieren und für Annex A 501, zusammen also über 800 Teilanforderungen. Diese Zahlen übersteigen die vermeintlich geringe Anzahl von 10 Clauses und 114 Controls um ein Vielfaches.

Je nach Scope 1000e von Maßnahmen

Zusätzliche spielt der Scope des ISMS eine wichtige Rolle, wenn man ermitteln will, wie viele Maßnahmen in einem konkreten ISMS zu erfüllen sind. Das liegt darin begründet, dass sich einzelne Controls auf mehrere Zielobjekt wie z. B. Gebäude, Systeme, Prozesse oder Applikationen beziehen.

Umfasst der Scope beispielsweise fünf Produktionsstandorte, wäre das Beispiel-Control A.11.1.4 jeweils für alle fünf Standorte zu betrachten. Auch die Zuständigkeiten und der Stand der Umsetzung könnten jeweils unterschiedlich ausfallen. In der Folge wären im ISMS die meisten Anforderungen mehrfach zu betrachten.

Auch dieses Faktor haben die Autoren im Rahmen der Untersuchungen berücksichtigt. In ihrem Artikel konnten Sie in einer Modellrechnung für ein mittelgroßes ISMS 13.126 Einzelpunkte ermitteln. Davon waren 11.150 auf 43 Teilanforderungen anzuwenden, die jeweils für Personalfälle und Personalveränderungen anzuwenden sind. Es verbleiben rund 2.000 zu betrachtende Einzelpunkte, die nicht direkt von Personalfällen abhängen. Mit der in ihrem Artikel vorgestellten Methode können die Aufwände bei der Implementierung eines ISMS anhand der Anzahl von Einzelmaßnahmen sehr präzise abgeschätzt werden.

Komplexität eines ISMS in der Praxis

Für die Implementierung eines ISMS nach ISO/IEC 27001 haben die Autoren in der Literatur unterschiedliche Zeiträume ermittelt. In Abhängigkeit vom Scope wird üblicherweise ein Zeitansatz von bis zu zwei Jahren angegeben [2][3]. Zusätzlich weisen die Autoren auf die Gefahr gescheiterter Implementierungsprojekte hin, die in weiteren Quellen beschrieben werden.

Laut einer zitierten Studie aus der Energiewirtschaft sind gerade einmal die Hälfte der Befragten selbst in der Umsetzungsphase eines ISMS noch nicht voll und ganz mit den Mindestanforderungen der ISO/IEC 27001 vertraut. Dabei sollten genau diese ja aus einer Lektüre der ISO/IEC 27001 hervorgehen. [4]

Fragebogen zum Sprachgebrauch

In Ihrem Artikel bitten die Autoren Sebastian Klipper und Steffen Hessler darum, an einer Befragung zum Sprachgebrauch in der Informationssicherheit teilzunehmen:



Klicken Sie zur Teilnahme auf den Link:
https://www.soscisurvey.de/CAIS-27001/
(Teilnahmemöglichkeit: 10.02. bis 31.03.2021)


Über das Projekt informiert bleiben

Sobald die Umfrage beendet ist, werden wir im Blog und unter http://cyclesec.com/cais-umfrage über den Stand der Bearbeitung informieren und wichtige Ergebnisse veröffentlichen.

Über die Zwischenergebnisse und zu den Hintergründen zum Projekt erfahren Sie mehr in den bisherigen Veröffentlichungen und in unserem Blog.

Bisherige Veröffentlichungen zum Projekt

Hier finden Sie eine Übersicht bisheriger Veröffentlichungen zum Forschungsprojekt:

27001 – Odyssee im Sprachraum

In „kes“ – Zeitschrift für Informations-Sicherheit

Heft 1/2021

Autoren: Sebastian Klipper, Steffen Hessler

Artikel in der „kes“ sehen…

Eindeutige Normen für Informationssicherheit

Pressemitteilung der Ruhr Universität Bochum im Informationsdienst Wissenschaft

Autorin: Meike Drießen

Artikel online lesen…

Sprachwissenschaft – Eindeutige Normen für Informationssicherheit

Erschienen im RUBIN Wissenschaftsmagazin

Autorin: Meike Drießen

Artikel online lesen

Bisher in unserem Blog

Wir hatten über das Projekt bereits mehrfach in unserem Blog berichtet:

Fellowship am Center for Advanced Internet Studies (CAIS) begonnen

Beitrag in unserem Blog

Beitrag in unserem Blog lesen…

Update: Antrag auf ein Fellowship am Center for Advanced Internet Studies (CAIS) angenommen

Beitrag in unserem Blog

Beitrag in unserem Blog lesen…

CycleSEC verlängert Praxispartnerschaft mit SecHuman: Interview mit Steffen Hessler

Beitrag in unserem Blog

Beitrag in unserem Blog lesen…

Literatur

[1] Sebastian Klipper, Steffen Hess, 27001 – Odyssee im Sprachraum, kes – Die Zeitschrift für Informations-Sicherheit, Heft #1/2021

[2] Bundesdruckerei GmbH, Einführung eines Informationssicherheits-Management-Systems (ISMS) bei Energieversorgern, Whitepaper, April 2018, http://www.bundesdruckerei.de/de/whitepaper/download/877/whitepaper-isms.pdf.pdf

[3] Jürgen Mauerer, Das sollten Unternehmen beim Aufbau eines ISMS beachten, ComputerWeekly TechTarget- Netzwerk, November 2018, https://www.computerweekly.com/de/ratgeber/Das-sollten-Unternehmen-beim-Aufbau-eines-ISMS-beachten

[4] Dirk Stieler, Torsten Beyer, Endspurt! Für Stadtwerke & Co gilt: ISMS-Einführung für Energieversorger ist Pflicht, Februar 2017, https://axxcon.com/einblicke-und-wissen/endspurt-fuer-stadtwerke-co-gilt-isms-einfuehrung-fuer-energieversorger-ist-pflicht/

[5] DIN e. V. (Hrsg.), Wolfgang Böhmer, Knut Haufe, Sebastian Klipper, Thomas Lohre, Rainer Rumpel, Bernhard C. Witt, Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern, Beuth, Dezember 2017, ISBN 978-3-410- 26032-5

Veröffentlicht am

Foto des Autors

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen