Sticky

Die Orwell’sche Norm …

… oder wie ein einzelnes Wort alles verändert. Seit Oktober 2022 gibt es die neue Ausgabe der ISO/IEC 27001. Erste Analysen haben ergeben, dass es im Normtext einige kleinere Änderungen gibt, die sich mehr oder weniger, je nach Bewertung, stark auf die Implementierung und den Betrieb der 27K1 in Unternehmen auswirken. Hierzu habe ich bereits geschrieben. Der Artikel ist unter Die neue ISO 27001:2022 zu finden.

Unbestritten finden sich die meisten Änderungen im Anhang A. Offensichtlichste Änderung ist natürlich die neue Struktur (4 Kapitel anstatt 14) und die Reduktion von 114 zu 93 Maßnahmen. Einige Maßnahmen sind dazugekommen, während andere Maßnahmen, oberflächlich betrachtet, weggefallen sind. In Wirklichkeit sind die “verschwundenen Maßnahmen” nur in den Umsetzungshinweisen der 27002 aufgegangen. Das heißt natürlich: da muss man auch ein bisschen tiefer graben, um diese Veränderungen zu finden.

Die Personalsicherheitsmaßnahmen, im alten Katalog Kapitel A.7, sind jetzt zu Kapitel A.6 geworden. Und da steckt der Teufel im Detail. Die erste Maßnahme war schon immer das Screening von Bewerbern. Diese Maßnahme ist natürlich geblieben, ist jetzt die Maßnahme A.6.1 geworden. Aber sie ist um ein Wort erweitert worden, nämlich um das Wort “fortlaufend.” Das heißt, dass Bewerber überprüft werden müssen, bevor sie zu Mitarbeitern werden und fortlaufend. Daraus ergibt sich die Pflicht, dass Unternehmen ihre Mitarbeiter fortlaufend so überprüfen, wie sie das auch bei Bewerbern tun. Die Überprüfung von Bewerbern war natürlich schon immer eine leidenschaftlich geführte Diskussion. Unternehmen wollen das nicht tun,

  • weil sie hier rechtlich nur begrenzte Möglichkeiten sehen,
  • weil man Bewerber nicht abschrecken möchte und
  • weil der Recruitment-Prozess nicht verlangsamt werden soll.

Deswegen beschränken sich die meisten Unternehmen, mit Verweis auf diese Einschränkungen, auf ein Minimum. Faktisch überprüfen viele Unternehmen die Bewerber gar nicht, allerhöchstens die Qualifikation, nicht aber die Zuverlässigkeit und Eignung, zum Beispiel besondere Befugnisse oder Zugriffsrechte im Unternehmen zu haben. Vereinzelt wird von Bewerbern ein polizeiliches Führungszeugnis eingefordert, was einen sehr fragwürdigen Informationsgehalt hat. Selten werden Referenzen angerufen und abgefragt oder akademische Nachweise auf Echtheit geprüft.

Durch die Ergänzung in der Norm ergibt sich die Pflicht, das auch bei den Beschäftigten zu tun. Und die Argumente sind natürlich wieder dieselben. Das lässt der Datenschutz nicht zu, das können wir aus rechtlichen Gründen nicht machen. Wir wollen die Mitarbeiter nicht überwachen. Wir wollen keine Kultur des Misstrauens in unserem Unternehmen haben. Aber wie das mit so einer Norm ist, ist nicht die Frage ob ich Argumente finde, etwas nicht zu tun, sondern, wie tue ich es unter Berücksichtigung der rechtlichen, kulturellen, ethischen Rahmenbedinungen. Es ist also gar keine Frage, muss ich jetzt meine Mitarbeiter überwachen, sondern es ist die Frage, wie tue ich es.

Vorweg geschickt, ich finde diesen Ansatz extrem sinnvoll, denn das Risiko eines Innentäters darf man nicht vernachlässigen. In ganz vielen Sicherheitsvorfällen, seien es Cyberangriffe oder Betrugsfälle, sind Mitarbeiter involviert. Manchmal unabsichtlich, weil sie selbst zu Opfern geworden sind, manchmal aber auch vorsätzlich. Das Risiko, das von eigenen Mitarbeitern ausgeht, sollte also schon immer in der Risikobetrachtung berücksichtigt werden. Das Risiko kann dabei reine Unachtsamkeit sein oder schlampiges Arbeiten bis hin zu Vorsatz und schadhaftem Verhalten. Die Ursachen dafür häufig äußerlich. Schwere Lebenslage, lebensverändernde Umstände, hohe Verschuldung, familiäre Probleme, gesundheitliche Probleme bis hin zu einem politischen Gesinnungswandel oder sogar einer Radikalisierung in irgendeine weltanschauliche Richtung. Das kann auch bei Mitarbeitern auftreten, die schon seit vielen Jahren im Unternehmen sind. Diesen Veränderung sollte durchaus Rechnung gezollt werden. Aber, schreien die Datenschützer, wir können doch nicht die Mitarbeiter überwachen. Das ist richtig, wir dürfen nicht in die Privatsphäre unserer Mitarbeiter eindringen. Aber die Aufgabe bleibt.

Wie erkennen wir solche Risiken? Tatsächlich lassen sich solche Risiken selten an Fakten festmachen. Natürlich kann ich Unachtsamkeit durch ein strenges Qualitätssicherungsreglement einfangen, indem ich 4-Augen Prinzip einführe, Code Reviews mache, strenge Freigabeprozesse einhalte. Damit verhindere ich die Folgen von Unachtsamkeit. Ich gehe aber nicht gegen die Ursache vor. Andere Risiken lassen sich so nicht einfach einfangen. Aber wie entdeckt man jetzt solche Risiken? Wie schaffen wir es, Mitarbeiter zu überprüfen, wie die Norm es fordert, ohne in die Privatsphäre einzudringen, gegen Geltendes Recht oder etliche Grundsätze zu verletzen?

Mein Vorschlag ist, die Vorgesetzten zu involvieren. Zum einen platziert das das Risiko dort, wo es hingehört, nämlich in die Abteilung, in den zwischenmenschlichen Bereich, in die Führungsebene. Sensibilisieren wir Führungskräfte dafür, Anzeichen zu erkennen, dass ein Mitarbeiter eventuell für eine bestimmte Position oder für einen bestimmten Level an Berechtigungen nicht mehr geeignet ist. Zum Beispiel durch regelmäßige Feedbackgespräche, bei denen die Führungskräfte auf Signale achten, zum Beispiel Äußerungen, die auf eine extrem kritische Haltung des Mitarbeiters gegenüber dem Unternehmen schließen lassen oder auf eine eher radikale gesellschaftliche Gesinnung. Lässt sich feststellen, dass die Fehlerquote bei einem Mitarbeiter in letzter Zeit höher geworden ist, sollte man der Ursache auf den Grund gehen.

Natürlich darf man nicht jeden kritischen Mitarbeiter als Risiko einstufen – schließlich sind wahrscheinlich 70-80% aller Angestellten dem Arbeitgeber gegenüber kritisch eingestellt. Aber man sollte Bescheid wissen und im Zweifelsfall die Eignung des Mitarbeiters nochmal separat überprüfen. In jedem Fall ist es wichtig, das Risiko von Innentätern in der Risikobetrachtung zu berücksichtigen. Denn das kann von reiner Unachtsamkeit bis hin zu schadhaftem Verhalten reichen.

Also, liebe Führungskräfte, aufgepasst: Die neue ISO/IEC 27001 hat ein Augenmerk auf die fortlaufende Überprüfung von Mitarbeitern gelegt. Doch keine Sorge, es geht hier nicht darum, in die Privatsphäre der Angestellten einzudringen – sondern darum, das Risiko von Insider-Angriffen zu minimieren. Wie das genau aussehen soll, darüber freue ich mich auf eine lebhafte Diskussion. Denn nur so können wir den richtigen Ansatz finden, um diese neue Normforderung zu erfüllen – und dabei alle rechtlichen, ethischen und kulturellen Rahmenbedingungen zu berücksichtigen.

Sticky

Risky Business

Ob wir es wollen oder nicht, Künstliche Intelligenz (KI) hält Einzug in unsere Unternehmen. Fast alle namhaften Softwarehersteller wie Adobe, Microsoft und Salesforce integrieren KI-Funktionen in ihre Tools. Darüberhinaus gibt es natürlich eine Menge Stand-Alone KI-Tools die von den Mitarbeitern auch manchmal ohne unser Wissen genutzt werden. Wir müssen uns also mit dem Thema auseinandersetzen. Trotz der vielen Vorteile von KI müssen wir uns auch den Risiken bewusst sein.

Ich persönlich bin ja eher ein Spielkind und freue mich über jede neue technische Möglichkeit. Ich teste mit Begeisterung neue Tools und erlerne neue Fähigkeiten. Und ich lerne natürlich auch durch Gespräche mit meinen Kunden. Gemeinsam haben wir 3 Schritte erarbeitet, die es Unternehmen erleichtert, KI sinnvoll einzuführen.

Der erste Schritt besteht darin, eine Strategie zur Integration von künstlicher Intelligenz im Unternehmen zu formulieren. Ohne eine solche Strategie werden Mitarbeiter möglicherweise ohne Plan vorgehen und kostenlose oder Open-Source-KI-Tools nutzen.

Grundsätzlich sehe ich 3 Optionen:

A) Wir können entweder gar keine KI einsetzen,

B) sie sehr gezielt und maßvoll einsetzen oder

C) die Grenzen des Machbaren erweitern und jedes verfügbare Tool testen.

Und dann gibt es natürlich noch alles dazwischen. Ein Richtig oder Falsch gibt es hier nicht. Es stellt sich nur die Frage, wie lange eine Strategie umsetzbar ist. Wer sich heute komplett gegen KI entscheidet wird vielleicht morgen kein erfolgreiches Unternehmen mehr führen. Wer im Umkehrschluss jeden Trend mitmacht benötigt schon einen ziemlich großen Risikoappetit.

Ich vergleiche die Situation gerne mit dem Aufkommen der ersten Cloud-Anwendungen. Die Hersteller haben ganz gerne eine Cloud-First Strategy propagiert, Unternehmen haben aber oft nur langsam migriert und viele wollen das immer noch nicht. Ich vermute nur, dass wir diesmal einfach überrollt werden bzw. nicht so lange Zeit für eine Entscheidung haben, wie bei der Einführung von Cloud-Anwendungen.

Zweiter Schritt: Die Einführung von KI-Werkzeugen sollte ins Risikomanagement aufgenommen werden. Hierbei gibt es drei wesentliche Aspekte, bzw. Risikokategorien:

  1. Risiken durch den Einsatz von KI gegen das Unternehmen: Beispiele hierfür sind echt klingende Phishing-Mails oder Hacker-Angriffe mithilfe von KI-gestützten Tools.
  2. Risiken durch den Einsatz von KI im Unternehmen: Dazu zählen Datenschutzverletzungen bei der Verarbeitung personenbezogener Daten sowie Urheberrechtsverletzungen bei der Nutzung von generierten Inhalten. Aber auch die Verletzung der Vertraulichkeit eigener oder fremder Betriebsgeheimnisse.
  3. Risiken beim eigenen Training oder Entwickeln von KI-Tools: Angriffsvektoren wie Prompt Poisoning oder ein unautorisiertes Verändern der Trainingsdaten sollten berücksichtigt werden. Darüber hinaus muss besonders hier die Gesetzgebung genau im Auge behalten werden, denn die KI-Verordnung und die KI-Haftungs-Verordnung werden kommen.

Der dritte Schritt ist die Integration von KI im Bereich Cybersecurity. Dies beinhaltet das Durchspielen von KI-gestützten Angriffsszenarien und die Einbindung der Tools in Schwachstellen- und Vorfallsmanagement. Dabei sollte auch beachtet werden, dass KI zur Verbesserung dieser Bereiche eingesetzt werden kann. Ich sehe hier tatsächlich mittelfristig einen “Krieg der KI” auf uns zukommen. KI gestützte Angriffe werden sich mit rein menschlichen Methoden nicht mehr abwehren lassen. Die Möglichkeiten, die KI und Machine Learning hier bieten, können den Schutz enorm erhöhen. Aber natürlich können KI-Tools auch Schwachstellen enthalten und müssen entsprechend überwacht werden und es kann zu Sicherheitsvorfällen kommen, die entsprechend bearbeitet werden können.

Zusammenfassend sollten Unternehmen eine klare Strategie formulieren, das Thema Künstliche Intelligenz ins Risikomanagement integrieren und es in alle Bereiche der Cybersecurity einbeziehen.

Ein funktionierendes ISMS, wie es viele unsere Kunden bereits betreiben, ist genau das richtige Vehikel um diesen Plan zu formulieren und umzusetzen.

Sticky

Die neue ISO 27001:2022

Am 25.10.2022 wurde die neue neue Version der ISO/IEC 27001:2022 in Englisch veröffentlicht. Ich möchte hier einen kurzen Überblick über die wesentlichsten Änderungen und deren Auswirkungen geben. (HINWEIS: Die Übersetzung ist von mir. Der Wortlaut der offiziellen Übersetzung wird sicher ein anderer sein.)

Anhang A: Die prominenteste Änderung ist sicher die Anpassung des Anhang A an die neue Version der ISO/IEC 27002:2022. Da diese Änderungen sehr umfangreich sind und auch von anderen Autoren zur Genüge beleuchtet wurden, will ich darauf nicht ausführlich eingehen.

Kontext der Organisation (4.2): Die neue Version lässt hier Spielraum in Bezug auf die Bewertung der Relevanz der Anforderungen interessierter Parteien und fügt explizit einen Punkt 4.2.c ein: “welche dieser Anforderungen durch das ISMS adressiert werden.” Es sollten also die relevanten Anforderungen identifiziert werden und dann muss ermittelt werden, welche dieser Anforderungen tatsächlich in das ISMS einfließen. Auch wenn hier keine explizite Dokumentationsanforderung formuliert ist, empfehle ich diese Aussagen zu dokumentieren und auch festzuhalten, welche Begründung zur Auswahl der Anforderungen geführt hat.

Ziele und Zielerreichung 6.2: Informationssicherheitsziele müssen jetzt “überwacht” (6.2.d be monitored) werden und die Ziele müssen als dokumentierte Information vorliegen (6.2.g).

Planung von Veränderungen 6.3: Dieser Punkt ist neu. Wenn die Organisation den Bedarf feststellt, das ISMS anzupassen, dann müssen diese Änderungen entsprechend gesteuert werden (“the changes shall be carried out in a planned manner.”)

Kommunikation 7.4: Endlich. Punkt e) “(einschließlich) der Prozesse, mit welchen die Kommunikation bewerkstelligt wird.” ist weggefallen. Hand aufs Herz, es wusste sowieso niemand so wirklich, was damit gemeint war.

Betriebliche Planung und Steuerung 8.1: Der Absatz wurde deutlich weiter gefasst. Wo sich der alte Absatz noch explizit auf 6.1 bezog, wird jetzt in der Planung der gesamte Normpunkt 6 erfasst. Auch müssen sich die Prozess nicht mehr nur auf die Erfüllung der Informationssicherheitsanforderungen beziehen, sondern allgemein auf Anforderungen. Das können dann z.B. auch kaufmännische oder operative Anforderungen sein. Zusätzlich wurde eine stärkere Prozessorientierung aufgenommen, heißt es doch, dass zur Erfüllung der Anforderung

  • Prozesskriterien und;
  • Prozesssteuerung im Einklang mit diesen Kritierien

etabliert werden muss.

Außerdem müssen nicht mehr nur ausgegliederte Prozesse, sondern auch Produkte und Dienstleistungen die relevant für das ISMS sind, gesteuert werden.

Internes Audit 9.2: Das Kapitel wurde leicht umstrukturiert. Die allgemeinen Anforderungen sind jetzt in 9.2.1 zu finden, das interne Auditprogramm (heißt jetzt tatsächlich als Kapitel so) hat ein eigenes Kapitel 9.2.2 bekommen. Inhaltliche Änderungen sind mir keine aufgefallen.

Managementbewertung 9.3: Auch das Kapitel ist jetzt in Unterkapitel aufgeteilt.

  • Die alte Einleitung ist wortgleich zum Kapitel 9.3.1 geworden.
  • Die Inhalte der Managementbewertung sind in Kapitel 9.3.2 “Management review inputs” aufgeführt und ergänzt worden um einen neuen Punkt c, sinngemäß “Änderungen der Bedürfnisse und Erwartungen interessierter Parteien, die relevant für das ISMS sind”. Hier kann ich mir durchaus vorstellen, dass z.B. gesetzliche Anforderungen denen interessierte Parteien unterworfen sind, o.ä. aufzuführen sind.

Verbesserung 10: Der Inhalt hat sich nicht geändert, aber die beiden Unterkapitel sind vertauscht worden.

Auch wenn einige der Änderungen auf den ersten Blick marginal erscheinen, müssen wir doch überlegen, wie diese Änderungen umzusetzen sind. Ich sehe hier nicht, dass es mit einem Satz in irgendeiner Leitlinie getan ist. Gerade die Änderungen in 6) und 8) können einiges an Aufwand bedeuten. Dazu kommen natürlich auch noch die Änderungen im Anhang A, die ja nicht nur inhaltlicher Natur sind, sondern auch eine komplett neue Struktur und Herangehensweise an die Definition des Sicherheitsniveaus darstellen. Also: viel zu tun.

Nebenaspekte der Informationssicherheit

[fvplayer id=”3″]

In dieser Folge geht es um die Nebenaspekte der Informationssicherheit:

  • Authentizität
  • Nicht-Abstreitbarkeit
  • Verantwortlichkeit
  • Verlässlichkeit

Anhand von Praxisbeispielen werden die Aspekte erläutert. Es werden Fragen zur Vorbereitung auf die Zertifizierung gestellt und die Bedeutung der Nebenaspekte erklärt. Auch der Zusammenhang zu den Hauptaspekten wird herausgestellt.

Die Hauptaspekte der Informationssicherheit

[fvplayer id=”2″]

Die Hauptaspekte der Informationssicherheit sind

  • Vertraulichkeit
  • Integrigät
  • Verfügbarkeit

Vertraulichkeit: Informationen nur solchen Personen/Entitäten zur Verfügung stellen, die auch berechtigt sind, diese Information zu erhalten. Beispiele und Quizfragen dazu im Video.

Integrität: Information davor schützen, dass sie verändert, umsortiert, gelöscht, wiederhergestellt usw. werden. Warum das eine Frage von Leben und Tod sein kann, erkläre ich im Video.

Verfügbarkeit: Information dann verfügbar machen, wenn sie benötigt wird. Wie ergänzen sich Verfügbarkeit und Vertraulichkeit? Ist Verfügbarkeit der wichtigste Aspekt der Informationssicherheit? Antworten gibt es im Video.

In diesem Video gibt es auch Vertiefungsfragen zum Thema und am Schluß ein Schmankerl für Klugscheißer.

Video: Was ist Informationssicherheit?

[fvplayer id=”1″]

Einleitungsvideo von David Gabel zum Thema “Was ist Informationssicherheit?” Der 1. Teil der Videoreihe beschäftigt sich genau mit dieser Frage.

Informationssicherheit ist die Aufrechterhaltung von

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

von Information.

Nebenaspekte der Informationssicherheit sind

  • Authentizität
  • Nicht-Abstreitbarkeit
  • Verantwortlichkeit
  • Verlässlichkeit

Grundlagen des Risikomanagements: Assets, Schwachstellen und Bedrohungen.

Das im vorangegangenen Beitrag beschriebene Assetmanagement ist eine grundlegende Voraussetzung für ein funktionierendes Risikomanagement. Wer seine Assets nicht kennt, kann auch kaum Risiken mit Bezug zu diesen Assets identifizieren. Die ISO 27001 ist in diesem Zusammenhang nicht sonderlich hilfreich. In Kapitel 6.1.2 wird nur gefordert einen Prozess zur Informationssicherheitsrisikobeurteilung festzulegen und anzuwenden, der c) die Informationssicherheitsrisiken identifiziert. Dazu muss der Prozess Risiken im Zusammenhang mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit innerhalb des Anwendungsbereichs des ISMS und die Risikoeigentümer identifizieren. Wie das gehen soll, steht da aber nicht.

Read More

Was ist ein Asset?

Diese Frage wird oft diskutiert. Viele finden die Antwort recht schnell in ihrem Inventar oder ihrer CMDB. Tatsache ist, dass die Norm in den Kapiteln 4 – 10, also den Kapiteln, die das Managementsystem beschreiben, keinen direkten Bezug auf Assets liefert. Asset kann frei als „Wert“ übersetzt werden. Also, alles was für eine Organisation von Wert ist, ist ein Asset. Die Norm ISO/IEC 27000, also das Mutterschiff, sagt in Kapitel 3.2.2 ganz klar, dass Information ein Wert ist, der, ebenso wie andere wichtige Unternehmenswerte, zu schützen ist. Dabei muss berücksichtigt werden, dass Information in unterschiedlicher Form vorliegt und auf verschiedenen Medien gespeichert wird. Information kann auf Papier geschrieben werden, auf Magnetbändern archiviert werden oder einfach in den Köpfen der Mitarbeiter vorhanden sein. Information wird häufig auf verschiedenste Weise verarbeitet und hier spielen IT-Systeme eine wichtige Rolle.

Read More

Die Informationssicherheitspolitik

Vorab ein Wort unter uns: Ich finde den Begriff Politik in diesem Zusammenhang nicht besonders gut gewählt. Er ist eine Übersetzung des englischen Begriffs „Policy“, der in der Norm häufig verwendet wird und überwiegend als „Richtlinie“ oder „Leitlinie“ übersetzt wird. Diese Begriffe finde ich besser als Politik und ich habe bislang in meiner Arbeit auch überwiegend den Begriff „Leitlinie“ an dieser Stelle verwendet und darum bleibe ich auch in diesem Blogeintrag dabei.

Die Leitlinie zur Informationssicherheit oder Informationssicherheitsleitlinie (im Folgenden einfach Leitlinie genannt) definiert die Grundlage, die Ziele und die Rahmenbedingungen des Managementsystems. Sie enthält die Absichten und die Motivation des Top Managements zur Etablierung des Managementsystems. Die Veröffentlichung der Leitlinie gilt auch als Startschuss des Managementsystems. Inhaltlich sind die Anforderungen an die Leitlinie schnell erfüllt. Es gibt aber gute Gründe etwas mehr in die Leitlinie zu packen, als nur die Mindestanforderungen.

Read More

Führung und Verpflichtung – Teil 2

Mit Bezug zur Informationssicherheit und dem Informationssicherheits-Managementsystem muss die oberste Leitung, das Top Management, Führung und Verpflichtung zeigen. Die Norm teilt diese Anforderung in 8 Teilaufgaben. Die ersten 4 habe ich im letzten Teil bereits besprochen:

  • Politik und Ziele
  • Integration
  • Ressourcen
  • Bedeutung des ISMS

Aus diesen Teilaufgaben wird bereits deutlich an welcher Stelle und zu welchem Zweck sich das Top Management engagieren muss. Die weiteren Teilaufgaben erfordern ein noch deutlich gesteigertes Engagement des Top Managements.

Read More