Um in Zeiten der Di­gi­ta­li­sie­rung er­folg­reich und sicher arbeiten zu können, müssen Un­ter­neh­men hohe Standards der In­for­ma­ti­ons­si­cher­heit einhalten. Die In­ter­na­tio­na­le Or­ga­ni­sa­ti­on für Stan­dar­di­sie­rung (ISO) hat für die In­for­ma­ti­ons­si­cher­heit in Un­ter­neh­men eine Norm ent­wi­ckelt. Halten Un­ter­neh­men diese Norm ein, können sie sich dies zer­ti­fi­zie­ren lassen. Das Zer­ti­fi­kat wurde von re­nom­mier­ten, weltweit an­er­kann­ten Experten für In­for­ma­ti­ons­si­cher­heit ent­wi­ckelt und be­schreibt eine Me­tho­do­lo­gie, die Un­ter­neh­men umsetzen sollten, um einen hohen Standard an In­for­ma­ti­ons­si­cher­heit zu ge­währ­leis­ten.

Compute Engine
Die ideale IaaS für Ihre Workloads
  • Kos­ten­güns­ti­ge vCPUs und leis­tungs­star­ke de­di­zier­te Cores
  • Höchste Fle­xi­bi­li­tät ohne Min­dest­ver­trags­lauf­zeit
  • Inklusive 24/7 Experten-Support

Was ist ISO 27001?

Mit der in­ter­na­tio­na­len Norm ISO 27001 kann man in einem Un­ter­neh­men oder einer Or­ga­ni­sa­ti­on Standards für die In­for­ma­ti­ons­si­cher­heit schaffen. Die Norm ist so aufgebaut, dass Un­ter­neh­mens­grö­ße und Branche keinerlei Bedeutung für die Umsetzung haben. Hat man die Vorgaben umgesetzt, kann man zu­sätz­lich eine ISO-27001-Zer­ti­fi­zie­rung erhalten. Mit solch einem Zer­ti­fi­kat kann ein Un­ter­neh­men Kunden und Ge­schäfts­part­nern gegenüber nach­wei­sen, dass es eine ver­trau­ens­wür­di­ge Or­ga­ni­sa­ti­on ist, die In­for­ma­ti­ons­si­cher­heit ernst nimmt.

De­fi­ni­ti­on: ISO 27001

ISO 27001: Die in­ter­na­tio­na­le Norm ISO 27001 regelt In­for­ma­ti­ons­si­cher­heit in privaten, öf­fent­li­chen oder ge­mein­nüt­zi­gen Or­ga­ni­sa­tio­nen. Sie be­schreibt die An­for­de­run­gen für das Ein­rich­ten, Rea­li­sie­ren, Betreiben und Op­ti­mie­ren eines do­ku­men­tier­ten In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems.

Vorteile durch ISO 27001 für Un­ter­neh­men

Die Vorteile für Un­ter­neh­men betreffen vier ver­schie­de­ne Bereiche. Zum einen bietet ein solches Zer­ti­fi­kat eine Grundlage für die Umsetzung von ge­setz­li­chen Vor­schrif­ten. Ferner wird durch das Zer­ti­fi­kat ein Wett­be­werbs­vor­teil erreicht, denn nicht alle Un­ter­neh­men sind ISO 27001 zer­ti­fi­ziert. Un­ter­neh­men, die das ent­spre­chen­de Zer­ti­fi­kat erhalten haben, können ihren Kunden gegenüber belegen, das bei ihnen ein sicherer Umgang mit sensiblen In­for­ma­tio­nen herrscht. Da durch die Ein­hal­tung der Norm das Risiko für Störfälle der In­for­ma­ti­ons­si­cher­heit abnimmt, trägt ISO 27001 auch zur Kos­ten­er­spar­nis bei, denn solche Zwi­schen­fäl­le sind meist mit monetärem Aufwand verbunden.

Eine ISO-27001-Zer­ti­fi­zie­rung optimiert außerdem die Abläufe in einem Un­ter­neh­men. Leer­lauf­zei­ten der Mit­ar­bei­ter werden durch die schrift­li­che Fest­le­gung der Haupt­un­ter­neh­mens­pro­zes­se minimiert.

Weitere Vorteile sind:

  • Senkung der Ge­schäfts­ri­si­ken
  • Mi­ni­mie­rung der Haf­tungs­ri­si­ken
  • güns­ti­ge­re Ver­si­che­rungs­prä­mi­en
  • zu­ver­läs­si­ge Problem- und Be­dro­hungs­er­ken­nung

ISO 27001: Inhalt und Be­stand­tei­le

Die ISO-27001-Norm besteht aus mehreren Teilen. Ihre Grundlage bildet die im Jahr 2005 erstellte Norm ISO/IEC 27001 selbst. Im Jahr 2015 wurde diese grund­le­gend über­ar­bei­tet und durch einen weiteren Katalog ergänzt, dem zweiten Teil. Dieser wird in der Norm als Anhang dar­ge­stellt und zeigt de­tail­liert die ak­tua­li­sier­ten Neue­run­gen. Die Norm lässt sich grob in drei Ab­schnit­te un­ter­tei­len: Nach den ein­lei­ten­den Kapiteln kommt der ei­gent­li­che Hauptteil. Den Abschluss bildet der bereits erwähnte Anhang.

Maßgebend für die Zer­ti­fi­zie­rung nach ISO 27001 ist der normative Hauptteil. Dort werden die Maß­nah­men­zie­le genau erläutert. Die damit ver­bun­de­nen Maßnahmen stellen jedoch keine Anleitung zur Umsetzung der Standards dar – vielmehr handelt es sich hierbei um Rat­schlä­ge für die er­folg­rei­che Im­ple­men­tie­rung. Die Grund­sät­ze dieser Rat­schlä­ge beruhen im We­sent­li­chen auf den Säulen Ver­trau­lich­keit, Ver­füg­bar­keit und In­te­gri­tät.

Zur Ver­ein­fa­chung der Abläufe und Umsetzung übernimmt ISO 27001 auch Prin­zi­pi­en aus anderen Standards. Denn Par­al­le­len zu anderen Normen (die sie viel­leicht bereits kennen) helfen Or­ga­ni­sa­tio­nen erheblich bei der Im­ple­men­tie­rung und ermutigen sie zur Ein­füh­rung von ISO-27001-Standards.

Welche An­for­de­run­gen bestehen für eine Zer­ti­fi­zie­rung?

Die An­for­de­run­gen von ISO 27001 haben sich im Jahr 2013 im Vergleich zu der ersten Version aus dem Jahr 2005 be­trächt­lich verändert. So wurde die Grund­struk­tur der Norm nicht nur geändert, sondern auch we­sent­lich gestrafft.

Die ISO 27001 Norm verfolgt bei der Umsetzung eines In­for­ma­ti­on Security Ma­nage­ment System (ISMS) einen pro­zess­ori­en­tier­ten Ansatz. Während in der früheren Version noch ein ex­pli­zi­ter Verweis auf das PDCA-Modell bestand, ist dieses nun nicht mehr ob­li­ga­to­risch. Die An­for­de­run­gen gelten für alle Or­ga­ni­sa­ti­ons­grö­ßen und Or­ga­ni­sa­ti­ons­ar­ten.

Die ISO 27001 enthält als Forderung, dass Un­ter­neh­men alle externen und internen Themen bestimmen und be­rück­sich­ti­gen, die sich auf ihre Fähigkeit zur er­folg­rei­chen Umsetzung eines ISMS auswirken. Damit sind ins­be­son­de­re die Un­ter­neh­mens­kul­tur, Um­welt­be­din­gun­gen, re­gu­la­to­ri­sche An­for­de­run­gen, ver­trag­li­che und recht­li­che Ver­pflich­tun­gen, sowie of­fi­zi­el­le Richt­li­ni­en in Bezug auf Go­ver­nan­ce gemeint. Von dem Top-Ma­nage­ment der Or­ga­ni­sa­ti­on erwartet ISO 27001 eine Fest­le­gung der In­for­ma­ti­ons­si­cher­heits­po­li­tik sowie der Zu­stän­dig­kei­ten und Ver­ant­wort­lich­kei­ten zur Umsetzung der Vorgaben. Außerdem muss sich die Or­ga­ni­sa­ti­on ver­pflich­ten, das Be­wusst­sein für In­for­ma­ti­ons­si­cher­heit im gesamten Un­ter­neh­men zu fördern.

Auch die Planung spielt bei der Zer­ti­fi­zie­rung nach ISO 27001 eine wichtige Rolle. So umfassen die Be­stim­mun­gen bei­spiels­wei­se die Bewertung spe­zi­fi­scher In­for­ma­ti­ons­si­cher­heits­ri­si­ken der Or­ga­ni­sa­ti­on sowie die Aus­ar­bei­tung eines Be­hand­lungs­plans. Die Ver­ant­wor­tung für die Fest­le­gung der Risiken und deren Abwehr liegt allein bei der Or­ga­ni­sa­ti­on. Außerdem schreibt die Norm vor, dass das Un­ter­neh­men Res­sour­cen be­reit­stel­len muss, um eine kon­ti­nu­ier­li­che Ver­bes­se­rung sowie die Auf­recht­erhal­tung und Ver­wirk­li­chung des ISMS zu ga­ran­tie­ren. ISMS-In­for­ma­tio­nen müssen zudem sorg­fäl­tig do­ku­men­tiert werden. In fest­ge­leg­ten Abständen müssen außerdem Leis­tungs­be­ur­tei­lun­gen erstellt werden. Un­ter­neh­men müssen die Wirk­sam­keit ihres ISMS über­prü­fen, messen und ana­ly­sie­ren. Dies geschieht ebenfalls in fest­ge­leg­ten Abständen.

Ein Katalog mit den wich­tigs­ten In­for­ma­tio­nen sowie einen Anhang zu den re­le­van­ten Neue­run­gen seit 2013 finden Sie auf der Website der Dekra. Sobald das ISMS ein­ge­rich­tet ist, geht es um die Klas­si­fi­zie­rung der Un­ter­neh­mens­wer­te. Dies geschieht ebenfalls wieder vor dem Hin­ter­grund der drei Grund­wer­te Ver­trau­lich­keit, In­te­gri­tät und Ver­füg­bar­keit. Diese Klas­si­fi­zie­rung ist in drei Stufen un­ter­glie­dert.

Stufe Eins umfasst bei­spiels­wei­se öf­fent­li­che Dokumente, die bei einer Ver­fäl­schung einen für das Un­ter­neh­men eher un­be­deu­ten­den Schaden von bis zu 500 Euro ver­ur­sa­chen. Dieser Stufe werden Dokumente zu­ge­ord­net, die selbst bei an­hal­ten­der Miss­ach­tung der ISO-Normen über eine Woche kaum zu einem er­heb­li­chen Schaden der Or­ga­ni­sa­ti­on führen können.

Die zweite Stufe umfasst un­ter­neh­mens­in­ter­ne Dokumente wie zum Beispiel Ab­rech­nun­gen und Ge­halts­do­ku­men­te. Kommt es hier zu Verstößen gegen die ISO-Norm zur In­for­ma­ti­ons­si­cher­heit, entstehen mäßige monetäre Schäden von bis zu 5000 Euro. Ein solcher Vorfall darf nicht länger als 24 Stunden anhalten.

Umsetzung der Norm und ab­schlie­ßen­de Zer­ti­fi­zie­rung

Die Umsetzung der ISO/IEC 27001 Norm erfordert spe­zi­fi­sche Schritte, die nicht in jedem Un­ter­neh­men analog anwendbar sind. Je nach Or­ga­ni­sa­ti­on bestehen in­di­vi­du­el­le Her­aus­for­de­run­gen und jedes ISMS muss in­di­vi­du­ell auf die jeweilige Or­ga­ni­sa­ti­on angepasst werden. Im Folgenden haben wir daher solche Schritte erläutert, die sich auf die meisten Or­ga­ni­sa­tio­nen bran­chen­un­ab­hän­gig anwenden lassen.

Der erste Schritt im Ablauf der er­folg­rei­chen Zer­ti­fi­zie­rung des Un­ter­neh­mens ist die Si­cher­stel­lung der Un­ter­stüt­zung und Ver­pflich­tung des Top-Ma­nage­ments. Das Ma­nage­ment muss hierbei die er­folg­rei­che Umsetzung eines ISMS prio­ri­sie­ren und die an­ge­streb­ten Ziele der In­for­ma­ti­ons­si­cher­heits­po­li­tik für alle Mit­ar­bei­ter ver­ständ­lich de­fi­nie­ren.

Nachdem dies geschehen ist, werden spe­zi­fi­sche Elemente der In­for­ma­ti­ons­si­cher­heits­po­li­tik fest­ge­legt. Hierfür bestimmt die Or­ga­ni­sa­ti­on die Ziele und gibt die stra­te­gi­sche Aus­rich­tung für die Grund­sät­ze der In­for­ma­ti­ons­si­cher­heit vor. Dies dient als Rah­men­be­din­gung für die zu­künf­ti­gen Ent­wick­lun­gen.

Sobald die In­for­ma­ti­ons­si­cher­heits­po­li­tik fest­ge­legt ist, definiert die Or­ga­ni­sa­ti­on die An­wen­dungs­be­rei­che des ISMS. Wichtig hierbei ist die spe­zi­fi­sche Be­stim­mung aller Aspekte der In­for­ma­ti­ons­si­cher­heit, die im Rahmen des ISMS wirksam an­sprech­bar sind. Auch eine Ri­si­ko­ana­ly­se wird hin­sicht­lich der In­for­ma­ti­ons­si­cher­heits­maß­nah­men erstellt. Diese ermittelt, welche möglichen Gefahren be­rück­sich­tigt werden sollten. Zu diesem Zweck erfasst die Analyse ins­be­son­de­re die Schwächen des der­zei­ti­gen Systems.

Um die be­stehen­den Risiken zu ver­rin­gern, legt die Or­ga­ni­sa­ti­on dann passende Maßnahmen fest. Das Ergebnis der Analyse ist ein Maß­nah­men­ka­ta­log, der ständig überwacht wird und ge­ge­be­nen­falls angepasst werden muss. Nach der er­folg­rei­chen Im­ple­men­tie­rung führt die Or­ga­ni­sa­ti­on nun ein Vor-Audit durch, das vor dem ei­gent­li­chen Audit zur Zer­ti­fi­zie­rung statt­fin­det. Dieses Vor-Audit soll po­ten­zi­el­le Schwach­stel­len und Probleme aufdecken, die sich auf den Ausgang des ei­gent­li­chen Zer­ti­fi­zie­rungs­au­dits negativ auswirken könnten. Nicht­kon­for­mi­tä­ten der ISO-27001-Norm werden aus­ge­schlos­sen.

Der letzte Schritt zur er­folg­rei­chen Umsetzung der ISO-27001-Norm ist die Durch­füh­rung des ei­gent­li­chen Zer­ti­fi­zie­rungs­au­dits. Eine un­ab­hän­gi­ge Zer­ti­fi­zie­rungs­stel­le be­gut­ach­tet nun das erstellte ISMS und beurteilt es. Erfüllt der Plan die An­for­de­run­gen der ISO 27001, gilt das Audit als er­folg­reich ab­ge­schlos­sen und es kommt zu einer Zer­ti­fi­zie­rung. Die Zer­ti­fi­zie­rungs­stel­le stellt dann das das Zer­ti­fi­kat aus. Wichtig ist es jedoch, dass in re­gel­mä­ßi­gen Abständen so­ge­nann­te Über­wa­chungs­au­dits statt­fin­den. Sie sollen ge­währ­leis­ten, dass kon­ti­nu­ier­lich überprüft wird, ob die An­for­de­run­gen der Norm noch erfüllt sind. Die Über­wa­chungs­au­dits finden alle drei Jahre statt. Das Zer­ti­fi­kat wird aus­schließ­lich bei er­folg­rei­chen Über­wa­chungs­au­dits durch die un­ab­hän­gi­ge Zer­ti­fi­zie­rungs­stel­le um weitere drei Jahre ver­län­gert.

Die Kosten der Zer­ti­fi­zie­rung

Die Kosten für eine er­folg­rei­che Zer­ti­fi­zie­rung hängen immer von der in­di­vi­du­el­len Situation der Or­ga­ni­sa­ti­on ab. Kos­ten­fak­to­ren wie Schu­lun­gen und Fach­li­te­ra­tur, externe Un­ter­stüt­zung und Kosten für die Tech­no­lo­gie spielen hierbei eine große Rolle. Zudem darf die Or­ga­ni­sa­ti­on nicht vergessen, dass die Ein­ar­bei­tungs­zeit der Mit­ar­bei­ter ebenfalls Geld kostet. Zuletzt wären da natürlich auch die Kosten für die Zer­ti­fi­zie­rung selbst.

Die Zer­ti­fi­zie­rungs­kos­ten sind variabel und abhängig von der Or­ga­ni­sa­ti­ons­grö­ße. Zudem hängen die Kosten auch maß­geb­lich von der Anzahl der be­nö­tig­ten Tage des letzten Audits ab. Bei KMU beläuft sich der Aufwand meist nur auf rund zehn Ar­beits­ta­ge. Größere Un­ter­neh­men oder Konzerne benötigen ent­spre­chend mehr Zeit und müssen daher ein größeres Budget einplanen.

Zum Hauptmenü