Umsetzungsleitfaden ISO 27001:2022 (2)

Einleitung

In diesem Blogbeitrag gehen wir auf die neuen Anforderungen der ISO 27001:2022 ein und diskutieren, wie Start-ups und kleine und mittlere Unternehmen (KMU) diese pragmatisch umsetzen können. Mit der neuesten Version wurde insbesondere der Anhang A des ISO Standards stark überarbeitet und neue Anforderungen / Controls aufgenommen. In diesem Beitrag werden wir uns auf die 11 neuen Anforderungen konzentrieren und erläutern, wie diese umgesetzt werden können, ohne die Ressourcen und das Budget des Unternehmens zu überstrapazieren. In Teil 2 werden die folgenden Anforderungen behandelt:

• A.8.10 Information deletion
• A.8.11 Data masking
• A.8.12 Data leakage prevention
• A.8.16 Monitoring activities
• A.8.23 Web filtering
• A.8.28 Secure coding

A.8.10 Information deletion

Beschreibung

Diese Anforderung befasst sich speziell mit der sicheren Löschung von Informationen. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer ungewollten Offenlegung zu verringern. Nicht mehr benötigte Datenträger und vertrauliche Dokumente (analog und digital) etc. sind daher zeitnah zu vernichten.

Umsetzungshinweise

Möglicherweise gibt es im Unternehmen bereits datenschutzrechtliche Regelungen zu diesem Thema. Häufig stehen sogenannte Datenschutztonnen oder professionelle Aktenvernichter zur Verfügung, um Dokumente sicher vernichten zu können. In jedem Fall empfiehlt es sich, hier mit dem Datenschutz zusammenzuarbeiten, um gemeinsam Löschfristen auch für digitale Informationen festzulegen und durchzusetzen.

Bei der Dauer der Aufbewahrung sind die gesetzlichen Bestimmungen zu beachten, die einerseits die Mindestaufbewahrungsdauer (z.B. aufgrund gesetzlicher Nachweispflichten) und andererseits die Höchstaufbewahrungsdauer (z.B. aufgrund datenschutzrechtlicher Verpflichtungen) vorgeben.

Bei der Beauftragung von Dienstleistern zur Löschung von Informationen sollten entsprechende Nachweise über die sichere Löschung eingeholt werden.

A.8.11 Data masking

Beschreibung

Die Anforderung A.8.11 Data masking beschäftigt sich mit dem Schutz vertraulicher oder sensibler Daten (z.B. personenbezogene Daten). Dies beinhaltet, dass das Unternehmen ein Verfahren einführt, um sicherzustellen, dass diese Daten vor unbefugtem Zugriff oder Missbrauch geschützt werden, indem sie maskiert werden. Datenmaskierung ist ein Prozess, bei dem vertrauliche Daten so verändert werden, dass sie für Unbefugte unbrauchbar oder unlesbar werden, aber für Geschäftsanwendungen weiterhin verwendbar sind.

Umsetzungshinweise

Unter Datenmaskierung werden alle Techniken zum Verbergen, Ersetzen oder Verfremden von sensiblen Datenelementen verstanden. In der ISO/IEC 27002 wird der Begriff Datenmaskierung daher übergreifend für alle Arten der Verfremdung von Daten verwendet und nicht nur für die klassische Anonymisierung und Pseudonymisierung personenbezogener Daten. Alternativ können u.a. auch Verschlüsselung oder Hashing zur Datenmaskierung eingesetzt werden.

Die folgenden Methoden können zur Datenmaskierung verwendet werden:

• Anonymisierung und Pseudonymisierung
• Verschlüsselung
• Löschen von Zeichen (um zu verhindern, dass unbefugte Benutzer vollständige Nachrichten sehen)
• Variieren von Zahlen und Daten
• Substitution (Ersetzen eines Wertes durch einen anderen, um sensible Daten zu verbergen)
• Ersetzen von Werten durch ihren Hash (Hashing)

A.8.12 Data leakage prevention

Beschreibung

Die Anforderung A.8.12 Data leakage prevention befasst sich mit dem Schutz von Daten vor dem Abfluss aus dem Unternehmen und vor unbefugter Offenlegung. Maßnahmen zur Verhinderung von Datenverlusten sollten auf Systeme und Netzwerke angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen. Das Unternehmen muss überprüfen und nachweisen können, dass es angemessene Maßnahmen zur Verhinderung von Datenlecks getroffen hat und dass diese Maßnahmen wirksam sind.

Umsetzungshinweise

Ob der Einsatz spezieller Data Leakage Prevention (DLP)-Lösungen notwendig ist, sollte anhand des Schutzbedarfs der Informationen und der Exposition der betroffenen IT-Systeme (z.B. Erreichbarkeit über das Internet) entschieden werden. Werden z.B. Gesundheitsdaten oder Kreditkartendaten verarbeitet, kann eine solche Lösung gezielt eingesetzt werden, um den Abfluss sensibler Informationen zu verhindern oder zumindest schnell zu erkennen. Der Einsatz einer DLP-Lösung sollte gut überlegt sein, da er zu einem erhöhten Administrationsaufwand führt. Gegebenenfalls können andere kompensatorische Maßnahmen vorgezogen werden. Dazu gehören insbesondere die Identifikation und Kennzeichnung schützenswerter Informationen, die Umsetzung des Need-to-Know-Prinzips, Verschlüsselung, Regeln für den Umgang mit mobilen Speichermedien sowie die regelmässige Schulung der Mitarbeitenden.

A.8.16 Monitoring activities

Beschreibung

In dieser Anforderung geht es darum, dass Netze, Systeme und Anwendungen ins (Sicherheits-) Monitoring mit aufgenommen werden, um potenzielle Sicherheitsprobleme möglichst schnell zu erkennen und zu behandeln. Der Umfang der Überwachung sollte in Übereinstimmung mit den Geschäfts- und Informationssicherheitsanforderungen und unter Berücksichtigung der einschlägigen Gesetze und Vorschriften festgelegt werden.

Umsetzungshinweise

Viele IT-Systeme oder Anwendungen verfügen bereits über Funktionen, um potentielle Sicherheitsvorfälle zu erkennen und zu melden. Diese Funktionen zu aktivieren und auf Meldungen zu reagieren ist die Grundvoraussetzung zur Erfüllung dieser Anforderungen. Die Entscheidung ob zusätzlich zentrale Monitoringlösungen benötigt werden, sollte risikobasiert erfolgen.

Die folgenden Punkte sollten u.a. in das Security Monitoring mit aufgenommen werden:

• ausgehender und eingehender Internetverkehr
• Zugriff auf kritische Systeme, Server, Netzwerkkomponenten, Anwendungen
• Protokolle von Sicherheitstools (z. B. Antivirus, IDS, Intrusion Prevention System (IPS), Webfilter, Firewalls, Data Leakage Prevention)
• die Nutzung der Ressourcen (z. B. CPU, Festplatten, Speicher, Bandbreite)

A.8.23 Web filtering

Beschreibung

Um die Sicherheit der Organisation zu gewährleisten, sollte der Zugriff auf externe Websites kontrolliert werden. Ziel ist es, die Gefahr durch schädliche Inhalte zu minimieren und die Systeme vor Angriffen durch Malware zu schützen. Eine Möglichkeit, dies zu erreichen, ist das Blockieren von IP-Adressen oder Domains potenziell gefährlicher Websites. Dies kann automatisch durch bestimmte Browser und spezielle Webfilter-Lösungen erfolgen. Es sollte auch festgelegt werden, welche Arten von Websites den Mitarbeitern zugänglich sein sollen und welche nicht.

Umsetzungshinweise

Die einfachste Umsetzung dieser Anforderung ist die Nutzung der Webfilterfunktion der bekannten Internetbrowser. Bei Google Chrome ist dies z.B. die Funktion “Enhanced Safe Browsing“, aber auch die anderen gängigen Browser verfügen über eine ähnliche Funktion. Diese Umsetzung stellt die Mindestumsetzung dar und sollte durch weitere Maßnahmen (z.B. Mitarbeiterschulung, Virenschutz, eingeschränkte lokale Benutzerrechte, Einsatz eines Mobile Device Managements) begleitet werden. Darüber hinaus sollte im Rahmen einer Risikoanalyse bewertet werden, ob dieser Schutz ausreichend ist.

Ob der Internetverkehr mit einem umfangreichen Webfilter (Proxies oder Web-Gateways) analysiert werden darf, hängt vor allem davon ab, ob die private Nutzung des Internetzugangs erlaubt ist. In jedem Fall sollte das Vorgehen mit dem Datenschutz abgestimmt werden.

A.8.28 Secure coding

Beschreibung

Diese Anforderung bezieht sich auf die Festlegung und Anwendung von Grundsätzen für die sichere Softwareentwicklung, um die Anzahl potenzieller Schwachstellen in den entwickelten Anwendungen zu verringern.

Dies kann durch die Durchführung von Sicherheitsüberprüfungen, Code-Reviews und Penetrationstests erreicht werden. Außerdem müssen Regeln für den sicheren Umgang mit Quellcode und für die Verwendung von Bibliotheken von Drittanbietern vorhanden sein.

Umsetzungshinweise

Wenn Software nach agilen Methoden entwickelt wird, sind wahrscheinlich bereits einige Aspekte erfüllt, um die Anforderungen der Norm zu erfüllen.

Nachfolgend eine Auflistung wichtiger Aspekte, um die Entwicklung sicherer Software zu gewährleisten:

• Qualifikation der Entwickler
• Sicheres Design und Architektur
• Modellierung von Bedrohungen (Threat Modeling)
• Einsatz sicherer Programmiertechniken wie Pair Programming, Refactoring, Peer Review
• Testen während und nach der Entwicklung
• Schutz des Quellcodes vor unberechtigtem Zugriff und Manipulation
• Externe Abhängigkeiten (Dependencies) sollten verwaltet (z. B. durch ein Inventar der verwendeten Abhängigkeiten und ihrer Versionen) und regelmäßig aktualisiert werden.

Teil 1 beschäftigt sich mit den ersten fünf Anforderungen der neuen ISO 27001:2022 und gibt hilfreiche Umsetzungstipps:

• A.5.7 Threat Intelligence
• A.5.23 Information security for use of cloud services
• A.5.30 ICT readiness for business continuity
• A.7.4 Physical security monitoring
• A.8.9 Configuration management