Workshop zu ISO/IEC 27001: Cybersecurity und Informationssicherheit
Mexiko
Mexiko ist eines der Länder mit den meisten Cyberangriffen in Lateinamerika: Allein im ersten Quartal diesen Jahres wurden rund 80 Milliarden Versuche von Cyberangriffen registriert. Cybersicherheit ist derzeit in Mexiko also ein Thema von großem Interesse. Ein föderales Cybersicherheitsgesetz wird schon seit einiger Zeit diskutiert.
Mangelhafte Cybersicherheit kann Unternehmen stark beinträchtigen. Vor allem entlang von Wertschöpfungsketten. Hier kann eine Schwachstelle die gesamte Kette gefährden. Internationale Normen sind äußerst wichtige Instrumente zur Stärkung der Cybersicherheit.
Am 7. September nahmen rund 170 Personen am GPQI-Workshop ISO/IEC 27001 Informationssicherheit teil. Der GPQI-Workshop beleuchtete verschiedene Aspekte der Normenreihe ISO/IEC 27001. Geleitet wurde der Workshop von Pablo Corona, Globaler Vertriebsdirektor bei der mexikanischen Konformitätsbewertungs- und Normungsbehörde (Normalización y Certificación - NYCE) und stellvertretender Vorsitzender der Arbeitsgruppe der Internationalen Organisation für Normung (International Organization for Standardization - ISO), die die 27001-Reihe weiterentwickelt.
ISO/IEC 27001:2022 – Grundlage für Informationssicherheit
Im Jahr 1989 war ISO/IEC 27001 zunächst ein praktischer Leitfaden für Sicherheitskontrollen (heute ISO/IEC 27002). Ab 1995 wurde die Reihe inhaltlich weiterentwickelt. Seitdem hat die Norm vielen Unternehmen einen Nutzen gebracht - unabhängig von der Branche.
ISO/IEC 27001 ist ein grundlegender Pfeiler für Informationssicherheit. Sie beinhaltet zunächst eher allgemeine Richtlinien und Hinweise. Im Detail sind jedoch alle erforderlichen technischen Hinweise für Sektoren wie Energie, Gesundheit, Datenschutz, das Internet der Dinge u.a. in Normen der Reihe formuliert. So bezieht sich zum Beispiel ISO/IEC 27011 über das Sicherheitsmanagement für Telekommunikationsunternehmen auf ISO/IEC 27002.
ISO/IEC 27001:2022 - Die wichtigsten Änderungen
Der Workshop diente auch dazu, die mexikanischen Stakeholder über die wichtigsten Änderungen in der neuen Fassung der ISO/IEC 27001 zu informieren. Sie wurde im Oktober 2022 veröffentlicht und ersetzt die Vorschriften der Version von 2013.
Zunächst wurde der Titel umbenannt in "Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre". Außerdem gibt es eine neue Anforderung: 6.3 Planung von Änderungen. Bei Abweichungen von der Norm müssen demnach Änderungen im Informationssicherheitsmanagementsystem nach einem bestimmten Plan umgesetzt werden. Allen zertifizierten Organisationen wird eine Übergangsfrist von zwei Jahren eingeräumt.
Die folgenden Änderungen stehen in engem Zusammenhang mit der neuen ISO/IEC 27002:2022 und sind für die Umsetzung der Norm von größter Bedeutung:
- Die in Anhang A enthaltenen Informationen werden durch die in ISO/IEC 27002 formulierten Kontrollen ersetzt. Um die Lektüre zu erleichtern und Wiederholungen zu vermeiden, strukturiert diese Version der Norm die Kontrollen für die Informationssicherheit neu und fasst diese in vier Gruppen zusammen. Die folgenden Gruppen ersetzen die in der vorherigen Version von 2013 festgelegten Bereiche und Unterbereiche:
-
-
- organisatorische Kontrollen
- personelle Kontrollen
- physische Kontrollen
- technologische Kontrollen
-
- Die neue Version von ISO/IEC 27002 führt das Konzept der Attribute ein. Sie ermöglichen es den Benutzer*innen, die Kontrollen entsprechend ihrer Bedürfnisse zu klassifizieren und neu anzuordnen. Die Attribute sind wie folgt kategorisiert:
-
- Kontrolltypen
- Eigenschaften der Informationssicherheit
- Cybersecurity-Eigenschaften
- Sicherheitsdomänen
- Operative Fähigkeiten
-
Der Mensch als Einflussfaktor
Im Workshop wurde thematisiert: Cyberangriffe betreffen Systeme – und Menschen. Insofern geht es beim Schutz von Informationen nicht nur um Bits und Bytes. Sie sind allein die technische Komponente. Heute interagieren Systeme mit Menschen auf verschiedenen Ebenen - zum Beispiel der Boardcomputer mit einer Autofahrerin oder ein Herzschrittmacher mit einem Patienten. Mit anderen Worten: Cyber- und Informationssicherheit dienen zunächst dem Schutz der Menschen.
Aber, Menschen spielen eine wesentliche Rolle für die Cyber- und Informationssicherheit. Sie können zur Sicherheit beitragen oder zum Beispiel Sicherheitslücken in Unternehmen verursachen. Beim Workshop wurden u.a. nützliche Erkenntnisse darüber ausgetauscht, wie man mögliche bösartige E-Mails und Nachrichten erkennt.
Wäre es angesichts der Risiken der digitalen Vernetzung nicht besser Systeme abzuschalten? Laut Pablo Corona lautet die Antwort: Nein. Die Vorteile der Vernetzung sind viel größer. Stattdessen brauchen die Unternehmen u. a. ein besseres Risikomanagement, mehr Überwachung, mehr Rückverfolgbarkeit, weniger Sicherheitslücken und eine bessere Kontrolle der Nutzer*innen. Mit anderen Worten: Es ist eine umfassende Strategie erforderlich. Im Sinne einer Zero Trust-Sicherheitspolitik müssen Unternehmen davon ausgehen, dass alle Systeme beschädigt werden können. Deshalb besteht die Notwendigkeit, die Systeme permanent zu kontrollieren. Im Kontext der digitalen Transformation sind daher Normen wie die ISO/IEC 27001 wesentlich. Denn sie gewährleisten den Schutz der Daten von Unternehmen in globalen Wertschöpfungsketten – und der Menschen.