Artikel

1	Einführung
2	Begriffe
3	ISO/IEC 27000
4	Management der Informationssicherheit
5	Rahmenbedingungen
6	IT-Sicherheitsgesetz
7	Kritische Infrastrukturen
8	NIS2
9	ISO/IEC 27001
10	Normen, Standards, Rahmenwerke
11	IT-Grundschutz
12	Umsetzung

Organisatorisch

Aufbau-Organisation
Ablauf-Organisation

ISO/IEC 27001

Anforderungen
Bestandteile

ISO/IEC 27001 - Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen

Beschreibung

Information technology – Security techniques – Information security management systems – Requirements

Internationale Norm
ISO/IEC 27001

Dokumentiertes Informationssicherheits-Managementsystems

unter Berücksichtigung des Kontexts einer Organisation

Anforderungen an ein ISMS

Einrichtung
Umsetzung
Aufrechterhaltung
Fortlaufende Verbesserung

Weiterhin beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation

Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt
Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO 27000-Reihe

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen

Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut

Anwendung

Bereiche

Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
Kosteneffizientes Management von Sicherheitsrisiken
Sicherstellung der Konformität mit Gesetzen und Regulatorien
Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
Definition von neuen Informationssicherheits-Managementprozessen
Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
Definition von Informationssicherheits-Managementtätigkeiten
Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Anforderungen

Anhang
Normativ

Zertifizierung

Managementsysteme

Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT

Durch eine interne Begutachtung (Audit) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen

Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen

Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz sinnvoll

Konformität zu Normen und Standards

Konformität von sich aus verkünden
Kunden bitten, die Konformität zu bestätigen
Unabhängiger externen Auditor kann die Konformität verifizieren
Begutachtung durch eine staatliche Stelle (z. B. das BSI)

Die ISO selbst führt keine Zertifizierungen durch

Gibt den Rahmen vor

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe

Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate

Normen, Standards, Rahmenwerke

Weitere relevante Standards Informationssicherheit-Standards - Normen und Standards im Überblick

Beschreibung

Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein

Da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.

Normen und Standards

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe

Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet
Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung
Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller

Nutzen von Sicherheitsstandards

Option	Beschreibung
Kostensenkung	Praxiserprobte Vorgehensmodelle Methodische Vereinheitlichung Nachvollziehbarkeit Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation Interoperabilität
Angemessenes Sicherheitsniveau	Orientierung am Stand der Technik und Wissenschaft Gewährleistung der Aktualität Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
Wettbewerbsvorteile	Zertifizierung des Unternehmens sowie von Produkten Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren Verbesserung des Unternehmensimage
Rechtssicherheit	Stärkung der Rechtssicherheit

Zweck und Struktur relevanter Normen und Richtlinien

Arten von Normen und Standards

Standards zur Informationssicherheit im Überblick

Beispiele für Normen und Standards

Kriterienwerke

Standard	Beschreibung
IT-Grundschutz/Kompendiumn
BSI/
ISO/IEC 13335
ISO/IEC 19790
ISO/27000
Common Criteria/ITSEC/ISO/IEC 15408
COBIT
ITIL
DIN EN 50600
Common Criteria
ISIS12
COSO
ITIL	IT_Infrastructure_Libary
ISO/IEC 13335
ISO/IEC 9000

Verbindlichkeit

Modalverben - beschreiben die Verbindlichkeit einer Anforderung

Beschreibung
MUSS und SOLL

Ausdruck	Verbindlichkeit
MUSS, DARF NUR	Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN	Darf in keinem Fall getan werden
SOLLTE	Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN	Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.

Ausdruck	Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT	Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED	Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL	Anforderung liegt im Ermessen des Herstellers

IT-Grundschutz

IT-Grundschutz - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)

Beschreibung

Standards
200-1	Anforderungen an ein ISMS
200-2	Umsetzung der Anforderungen
200-3	Risikoanalyse

200-4	Business Continuity Management
Kompendium
Kapitel 1	IT-Grundschutz/Kompendium/Vorspann
Kapitel 2	Schichtenmodell / Modellierung
Elementare Gefährdungen	Elementare Gefährdungen
Schichten	Prozesse Systeme

Identifizieren und Umsetzen von Sicherheitsmaßnahmen

Bestandteile

Standards	Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium	mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können

Sicherheitsniveau

Mittel
Im Allgemeinen ausreichend und angemessen
Erweiterbar für erhöhten Schutzbedarf

Anforderungen

Bereich	Beschreibung
Technisch	Geräte, Netzwerke, Strukturen, ...
Infrastrukturell	Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ...
Organisatorisch	Ablauforganisation, Aufbauorganisation
Personell	Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch, ...

Zertifizierung

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz

Nachweis eines

Systematischen Vorgehens (Informationssicherheits-Managementsystem (ISMS))
Absicherung von IT-Systemen gegen Gefährdungen

Bedeutung von Informationen

Wichtigkeit und Bedeutung von Informationen

Für Unternehmen und Behörden ist es unerlässlich, dass Informationen

korrekt vorliegen
vertraulich behandelt werden

Entsprechend wichtig ist, dass die technischen Systeme, mit denen Informationen

gespeichert
verarbeitet
übertragen

werden reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind

IT-Grundschutz des BSI

Grundlage

Herausforderungen professionell gerecht werden
Bemühungen für Informationssicherheit strukturieren

IT-Grundschutz ermöglicht

Systematische Schwachstellensuche
Prüfen der Angemessenheit von Schutzmaßnahmen
Sicherheitskonzepte entwickeln und fortschreiben
- passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
Allgemein anerkannten Standards zu genügen
Best Practice

Wege zur Informationssicherheit

Es gibt viele Wege zur Informationssicherheit

Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein

Herausforderungen

Herausforderung	Beschreibung
Komplexität	Komplexität der Gefährdungslage Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt
Ganzheitlichkeit	Ganzheitlichkeit der Sicherheitskonzepte Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe
Zusammenwirken	Zusammenwirken der Sicherheitsmaßnahmen Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden
Angemessenheit	Angemessenheit der Sicherheitsmaßnahmen Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden
Externe Anforderungen	Erfüllung externer Anforderungen Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet
Nachhaltigkeit	Nachhaltigkeit der Sicherheitsmaßnahmen Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln

Konzept

Verzicht auf initiale Risikoanalysen

Pauschale Gefährdungen

Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet

Schutzbedarf

Drei Schutzbedarfskategorien

Schutzbedarf des Untersuchungsgegenstandes festlegen

Kategorie	Schaden
Normal	überschaubar
Hoch	beträchtlich
Sehr Hoch	existenzgefährdend

Anforderungen

Sicherheitsmaßnahmen

Passende Sicherheitsmaßnahmen auswählen

IT-Grundschutz-Kompendium

personell
technisch
organisatorisch
infrastrukturell

Kochrezepte

Basierend auf dem IT-Grundschutz-Kompendium

BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau

Eintrittswahrscheinlichkeit und Schadenshöhe

Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt

IT-Grundschutz-Kompendium

Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse

das Expertenwissen erfordert
da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen

Erfolgreiche Umsetzung

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben

Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an

Datenschutz

Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde

Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung

Umsetzung

Umsetzung eines ISMS nach ISO 27001

Theoretisch
Praktisch
Zertifizierung