Im Februar 2022 wurde eine neue Fassung der ISO/IEC 27002 veröffentlicht.
Noch nicht verfügbar ist die deutsche Fassung als DIN EN ISO/IEC 27002.
Auf den ersten Blick war ich irritiert. Bisher gab es 18 Kapitel und nun endet alles schon beim Kapitel 8?
Haben die etwas vergessen? Nein – so ist es nicht.
Ein wesentlicher Punkt bei dem neuen “Anhang A” zur Norm ist die Überarbeitung der 114 Controls.
Die bisher 14 Gruppen mit 114 Maßnahmen wurden auf 4 Gruppen mit 93 Maßnahmen reduziert.
Dennoch gingen dabei keine Maßnahmen verloren.
- 11 Maßnahmen sind dazugekommen
- 57 Maßnahmen wurden in 24 neuen Maßnahmen zusammengefasst
- 23 Maßnahmen wurden umbenannt
- 1 Maßnahme wurde aufgeteilt
- 35 Maßnahmen sind weitgehend geblieben
Die 4 neuen Gruppen erscheinen wesentlich “schlüssiger” und beziehen sich auf die Themenschwerpunkte
- Organisatorische Maßnahmen (“Organizational controls” mit 37 Einzelmaßnahmen)
- Personenbezogene Maßnahmen (“People controls” mit 8 Einzelmaßnahmen)
- Objektbezogene Maßnahmen (“Physical controls” mit 14 Einzelmaßnahmen)
- Technologische Maßnahmen (“Technological controls” mit 34 Einzelmaßnahmen)
Eine wesentliche Verbesserung ergibt sich durch die Einführung von “Attributen” zu den Einzelmaßnahmen.
Diese können so schnell und gezielt nach bestimmten Kritierien gefiltert oder sortiert werden.
Die neu eingeführten Attribute sind
- Art der Einzelmaßnahme (“Control Type“):
Vorbeugend, Erkennend, Korrigierend - Schutzziel (“Information Security Properties”):
Vertraulichkeit, Intergrität, Verfügbarkeit - Cybersecurity Konzept (“Cybersecurity concepts“):
Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen - Operative Eigenschaften (“Operational Capabilities“):
Governance, Asset Management, Informationsschutz, Personelle Sicherheit, Physische Sicherheit, System- und Netzwerksicherheit, Anwendungssicherheit, Sichere Konfiguration, Identitäts- und Zugriffsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Sicherheit der Lieferantenbeziehungen, Recht und Compliance, Management von Informationssicherheitsereignissen, Gewährleistung der Informationssicherheit - Sicherheitsbereiche (“Security Domains“):
Governance und Ökosystem, Schutz, Verteidigung, Widerstandsfähigkeit
- Art der Einzelmaßnahme (“Control Type“):
Ganz sicher sehr spannend wird die deutsche Übersetzung werden. Viele Begriffe sind nicht direkt übersetzbar, was ich selbst auch bei der Erstellung dieses Blogbeitrags feststellen durfte.
Schauen wir nun einmal nach den neu hinzugekommenen Maßnahmen – kann man eine Tendenz erkennen?
- 30 ICT readiness for business continuity – Bereitschaft für die Geschäftskontinuität
- 04 Physical security monitoring (T) – Technische Systeme zur Überwachung der physischen Sicherheit
- 09 Configuration management – Maßnahmen zur vollständigen Steuerung von Konfigurationen
- 10 Information deletion (T) – Löschen nicht mehr benötigter Informationen
- 11 Data masking – Anonymisierung / Verfremdung von Informationen
- 12 Data leakage prevention (T) – Verhinderung von Datenlecks
- 16 Monitoring activities – Überwachung zur Erkennung von / Reaktion auf anomalem Verhalten
- 23 Web filtering (T) – Zugriff auf externe Webseiten einschränken
- 28 Secure coding – Sicherheit in der (Anwendungs-)programmierung
Die neuen Maßnahmen haben im Detail ein enormes Potential.
Neben der „Sicherung der Betriebsbereitschaft“ (BCM) werden Aspekte aus dem Datenschutz (Anonymisierung, Löschfristen) und besonders auch Maßnahmen zur Angriffserkennung und gegen Datenverlust eingeführt.
Damit geht die Norm eindeutig mit der Zeit, schafft gleichzeitig aber auch eine Menge Herausforderungen für die Unternehmen.
Wie will man z.B. Daten gezielt löschen, wenn man diese nicht einmal identifizieren kann?
Für mich ergibt sich auch eine andere Konsequenz:
Viele dieser Anforderungen lassen sich in klassischen OnPrem Umgebungen kaum oder nur mit enormen Aufwänden umsetzen.
Während in der Microsoft Cloud schon lange Techniken existieren, die auf „ungewöhnliche Aktionen“ reagieren oder die Daten vor unbefugten Zugriffen schützen, findet man derartige Technologien kaum in den traditionellen Umgebungen.
Gleichzeitig konzentrieren die Cloud Umgebungen große Informationsmengen bei den Anbietern und diese haben darauf teils uneingeschränkten Zugriff.
Regelmäßig bekomme ich meine „Microsoft Viva“ Auswertung, die mir sagt, was ich alles getan habe oder noch tun müsste.
Das macht mir kein gutes Gefühl, weil hier die Technik meine Tagesaktivitäten in großem Stil bewertet.
Da kann ich die Datenschützer schon auch verstehen.
Doch am Ende sind diese „Auswertungen“ und Möglichkeiten auch ein wesentlicher Vorteil von Cloud Anwendungen.
Wie immer gibt es hier keine Antwort im Sinne von „Schwarz“ oder „Weiß“.
Jedes Unternehmen ist anders und sollte deshalb im Sinner einer „Cloud Strategie“ schon vor dem Einstieg / Umstieg genau prüfen, was man möchte bzw. was man braucht.
Auf jeden Fall bin ich davon überzeugt, dass sich wirklich jedes Unternehmen entweder mit der ISO 27xxx oder dem BSI Grundschutz beschäftigen sollte.
Beides sind sehr gut vorbereitete Werkzeugkästen, mit deren Hilfe man eine Umgebung schaffen kann, die sicher in vielen Bereichen deutlich besser ist als wenn man sich um gar nichts kümmert.
Immer daran denken:
Es ist nicht die Frage, ob man angegriffen wird sondern nur wo, wann und wie…