ISO 27001 Controls: Eine Übersicht für Unternehmen

Ein zentraler Bestandteil der ISO 27001 sind die sogenannten "Controls", die Unternehmen bei der Absicherung ihrer Maßnahmen zur Informationssicherheit unterstützen. In diesem Blogbeitrag werden wir einen umfassenden Überblick über die ISO 27001 Controls geben, ihre Bedeutung erklären und Tipps geben, wie Unternehmen sie erfolgreich umsetzen können.

Was sind ISO 27001 Controls?

ISO 27001 Controls sind spezifische Sicherheitsmaßnahmen, die Unternehmen dabei unterstützen, Risiken im Bereich der Informationssicherheit effektiv zu steuern und zu minimieren. Sie bilden das Rückgrat eines Informationssicherheitsmanagementsystems (ISMS), indem sie ein strukturiertes Rahmenwerk für den Schutz sensibler Informationen bieten. Diese Maßnahmen sind im Annex A (Anhang A) der ISO 27001 detailliert beschrieben und umfassen Bereiche wie organisatorische Prozesse, physische Sicherheitsvorkehrungen, technologische Lösungen und den Schutz von Personalressourcen.

Der Annex A dient als umfassender Maßnahmenkatalog, der Unternehmen dabei hilft, die richtigen Sicherheitskontrollen für ihre spezifischen Risiken und Bedürfnisse auszuwählen und umzusetzen. Er enthält insgesamt 93 Controls, die in vier Kategorien aufgeteilt sind (organisational, people, physical und technological), die alle Aspekte der Informationssicherheit abdecken. Dies erleichtert es Unternehmen, systematisch vorzugehen und sicherzustellen, dass keine sicherheitsrelevanten Lücken entstehen.

Praktisches Beispiel zur Umsetzung von ISO 27001 Controls:

Stellen Sie sich ein mittelständisches Unternehmen vor, das Cloud-Dienste nutzt, um Kundendaten zu speichern und zu verarbeiten. Eines der größten Risiken für das Unternehmen besteht in unbefugtem Zugriff auf diese Daten, entweder durch Cyberangriffe oder interne Schwachstellen. In diesem Fall könnte das Unternehmen aus dem Annex A der ISO 27001 verschiedene technologische Controls (wie A 8.1: Zugriffskontrollen) implementieren, um sicherzustellen, dass nur autorisierte Mitarbeiter Zugang zu sensiblen Daten haben. Durch die Einführung von Multi-Faktor-Authentifizierung (MFA) und rollenbasierten Zugriffsrechten kann das Unternehmen den Zugriff auf die Cloud-Datenbank besser steuern und absichern.

Tipps zur Auswahl und Umsetzung der Controls:

Risikobewertung voranstellen: Bevor Unternehmen die ISO 27001 Controls auswählen und implementieren, ist es wichtig, eine gründliche Risikobewertung durchzuführen. Dies hilft, die relevantesten Risiken zu identifizieren und sicherzustellen, dass die Maßnahmen gezielt auf diese Bedrohungen abzielen.

Prioritäten setzen: Nicht jedes Unternehmen muss alle 93 Controls aus dem Annex A umsetzen. Priorisieren Sie die Maßnahmen basierend auf den spezifischen Risiken, der Unternehmensgröße und den eingesetzten Technologien. Ein kleines Unternehmen ohne eigene Serverräume könnte beispielsweise physische Kontrollen (wie die Sicherung von Rechenzentren) weniger intensiv umsetzen als ein Unternehmen mit mehreren Standorten.

Kontinuierliche Überprüfung: Sicherheitsbedrohungen ändern sich ständig. Unternehmen sollten ihre implementierten Controls regelmäßig überprüfen und anpassen, um neuen Bedrohungen, wie z. B. Ransomware-Angriffen oder Schwachstellen in Cloud-Systemen, entgegenzuwirken.

Die ISO 27001 Controls bieten nicht nur ein flexibles Rahmenwerk, sondern auch eine klare Anleitung, wie Unternehmen ihre Informationssicherheit schrittweise verbessern und an veränderte Risiken anpassen können.

Warum sind ISO 27001 Controls so wichtig?

Risikominimierung: Unternehmen sehen sich vielfältigen Risiken gegenüber, von Cyberangriffen bis hin zu Datenverlusten. Die ISO 27001 Controls helfen dabei, diese Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen, um sie zu minimieren.

Einhaltung gesetzlicher Vorschriften: Durch die Implementierung der ISO 27001 Controls können Unternehmen sicherstellen, dass sie regulatorische Anforderungen einhalten, z. B. die DSGVO oder das IT-Sicherheitsgesetz.

Vertrauen und Reputation: Kunden und Partner vertrauen eher Unternehmen, die nach ISO 27001 zertifiziert sind, da dies bedeutet, dass Informationssicherheit einen hohen Stellenwert hat.

ISO 27001:2022: Neuerungen im Anhang A seit 2013

Die ISO 27001 wurde 2022 aktualisiert, um den sich verändernden Anforderungen und Bedrohungen der digitalen Welt besser gerecht zu werden. Seit der Version von 2013 wurden einige Änderungen am Annex A vorgenommen, insbesondere in der Struktur und Anzahl der Controls.

Neue Struktur: Die Anzahl der Controls wurde von 114 auf 93 reduziert und in vier Gruppen unterteilt: Organisational, People, Physical und Technological Controls. Diese klare Struktur soll Unternehmen bei der Implementierung der Maßnahmen unterstützen.

Neue Maßnahmen: Es wurden neue Controls hinzugefügt, um auf aktuelle Bedrohungen, wie z. B. den Einsatz von Cloud-Diensten, zu reagieren.

Streichung veralteter Controls: Einige Maßnahmen, die in der Praxis kaum noch relevant waren, wurden entfernt.

Neue Controls (Auswahl)

A 5.7 Bedrohungsinformation

Regelmäßige Analyse und Kommunikation von aktuellen Bedrohungen

A 8.28 Datenspeicherungsverfahren

Verwaltung und Schutz von in der Cloud gespeicherten Daten

A 11.3 Schutz der Arbeitsumgebung

Maßnahmen zum Schutz von Arbeitsplätzen und Büroflächen

Diese Änderungen reflektieren den wachsenden Bedarf an spezifischen Maßnahmen zur Bewältigung moderner IT-Herausforderungen wie Cloud-Sicherheit und den Schutz vor Cyberangriffen.

Der Zusammenhang zwischen ISO 27001 und ISO 27002

ISO 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystem fest, während ISO 27002 eine detaillierte Anleitung zur Umsetzung der Sicherheitsmaßnahmen bietet. Während also ISO 27001 die Ziele definiert, gibt ISO 27002 konkrete Hinweise, wie diese Ziele erreicht werden können.

Kurzbeschreibung der Rollen von ISO 27001 und ISO 27002:

ISO 27001: Diese Norm beschreibt die Rahmenbedingungen und Anforderungen für ein ISMS. Sie definiert, welche Sicherheitsziele erreicht werden müssen, um das System effektiv zu schützen.

ISO 27002: Diese Norm liefert spezifische Richtlinien und Best Practices für die Umsetzung der in ISO 27001 beschriebenen Sicherheitsziele.

Durch diese Kombination aus Zielen (ISO 27001) und deren Umsetzung (ISO 27002) haben Unternehmen eine klare Anleitung, wie sie ihre Informationssicherheitsmaßnahmen planen, implementieren und überwachen können.

Überblick über den ISO 27001 Annex A: Die vier Control-Gruppen

Der Annex A der ISO 27001 ist in vier Kontrollkategorien aufgeteilt, die insgesamt 93 Sicherheitsmaßnahmen umfassen. Diese Kategorien decken alle Bereiche der Informationssicherheit ab und helfen Unternehmen, ihre IT-Systeme, Daten und Geschäftsprozesse umfassend abzusichern.

Die vier Control-Gruppen im Überblick:

Organisational Controls: Maßnahmen, die auf organisatorische Strukturen und Prozesse abzielen (37 Maßnahmen).

People Controls: Maßnahmen, die sich auf den Schutz und das Verhalten von Personen konzentrieren (8 Maßnahmen).

Physical Controls: Maßnahmen zum Schutz physischer Bereiche und Geräte (14 Maßnahmen).
‍

Technological Controls: Technologische Maßnahmen zur Absicherung von IT-Systemen und Netzwerken (34 Maßnahmen).

Welche Controls sollten Unternehmen umsetzen?

Nicht alle 93 Controls müssen in jedem Unternehmen implementiert werden. Jedes Unternehmen sollte basierend auf einer Risikobewertung entscheiden, welche Controls relevant sind. Faktoren wie Unternehmensgröße, Branche und vorhandene Risiken spielen dabei eine Rolle. Es ist jedoch wichtig, alle Kategorien zumindest zu prüfen, um sicherzustellen, dass keine kritischen Sicherheitslücken übersehen werden.

Organisational Controls

Die Organisational Controls umfassen Maßnahmen, die organisatorische Strukturen und Prozesse betreffen. Sie sind besonders wichtig, um sicherzustellen, dass ein systematischer und kontrollierter Ansatz für die Informationssicherheit vorhanden ist.

Control (Anhang A 5)

A 5.1 Informationssicherheitsrichtlinie

Festlegung einer klaren Sicherheitsrichtlinie im Unternehmen

A 5.2 Rollen und Verantwortlichkeiten

Zuweisung klarer Verantwortlichkeiten für die Informationssicherheit

Diese Maßnahmen sind besonders wichtig, um eine solide Basis für das ISMS zu schaffen und sicherzustellen, dass die Informationssicherheitsstrategie in der gesamten Organisation verankert ist.

People Controls

Die People Controls betreffen den Schutz und die Schulung von Mitarbeitern, um sicherzustellen, dass sie sich sicherheitsbewusst verhalten und potenzielle Risiken minimieren.

Control (Anhang A 6)

A 6.1 Sicherheitsüberprüfung

Durchführung von Hintergrundprüfungen bei neuen Mitarbeitern

A 6.2 Sensibilisierung und Schulung

Regelmäßige Schulungen zur Sensibilisierung für Informationssicherheitsrisiken

Die Sensibilisierung der Mitarbeiter ist ein kritischer Faktor in der Informationssicherheit, da menschliche Fehler oft die größte Schwachstelle darstellen.

Physical Controls

Die Physical Controls beziehen sich auf den Schutz von physischen Standorten, Geräten und Einrichtungen vor unbefugtem Zugriff.

Control (Anhang A 7)

A 7.1 Sicherung von Einrichtungen

Zugangskontrollen zu Gebäuden und Serverräumen

A 7.2 Schutz vor Umwelteinflüssen

Maßnahmen zum Schutz vor Feuer, Wasser oder anderen Umweltrisiken

Durch physische Sicherheitsmaßnahmen können Unternehmen sicherstellen, dass sensible Daten und Systeme vor Diebstahl oder physischen Schäden geschützt sind.

Technological Controls

Die Technological Controls sind Maßnahmen, die technologische Systeme und Netzwerke absichern, um sicherzustellen, dass IT-Systeme vor Cyberangriffen und Datenverlusten geschützt sind.

Control (Anhang A 8)

A 8.1 Zugriffskontrollen

Implementierung von Zugriffsrechten auf IT-Systeme

A 8.2 Verschlüsselung

Verschlüsselung sensibler Daten, sowohl im Ruhezustand als auch während der Übertragung

Technologische Maßnahmen wie Verschlüsselung und Zugriffsmanagement sind entscheidend, um sensible Daten vor unbefugtem Zugriff oder Verlust zu schützen.

Mehrwert der ISO 27001 Controls für Unternehmen

Die Implementierung der ISO 27001 Controls bietet Unternehmen einen klaren Mehrwert. Sie helfen nicht nur dabei, Risiken zu minimieren und gesetzliche Anforderungen zu erfüllen, sondern stärken auch das Vertrauen von Kunden, Partnern und Aufsichtsbehörden in die Fähigkeit des Unternehmens, Daten sicher zu verwalten.

Unternehmen, die die ISO 27001 Controls erfolgreich implementieren, profitieren von einem stärkeren Schutz ihrer Daten und IT-Systeme, was letztlich zu einer nachhaltigen Sicherung ihrer Geschäftstätigkeit beiträgt.