Praxisbuch ISO/IEC 27001 E-Book

Michael BrennerNils gentschen FeldeWolfgang HommelStefan MetzgerHelmut ReiserThomas Schaaf

PraxisbuchISO/IEC 27001

Management der Informationssicherheit und Vorbereitung auf die Zertifizierung

4., überarbeitete Auflage

Die Autoren:

Dr. Michael Brenner, MünchenDr. Nils gentschen Felde, MünchenProf. Dr. Wolfgang Hommel, TaufkirchenStefan Metzger, GreifenbergProf. Dr. Helmut Reiser, WolfersdorfDr. Thomas Schaaf, München

Liebe Leserinnen und Leser,

dieses Buch ist dafür konzipiert, Sie auf Basis des Wortlauts der internationalen Norm ISO/IEC 27001 in das Thema Informationssicherheitsmanagementsysteme einzuführen, auf eine Personenzertifizierung vorzubereiten und als Nachschlagewerk zu dienen.

Im Jahr 2022 haben sich im wichtigen Anhang A der internationalen ISO/IEC 27001 größere Veränderungen ergeben, deren Überführung in die deutsche DIN ISO/IEC 27001 zum Zeitpunkt der Drucklegung der vorliegenden vierten Auflage dieses Buchs noch in Arbeit sind. Kapitel 4 des Buchs enthält den deutschen Wortlaut der DIN ISO/IEC 27001:2017, da die entsprechenden Teile in der englischen Norm bis auf kleine textuelle Ergänzungen, die wir berücksichtigt haben, nicht verändert wurden. Anhang B.1 enthält die deutsche Fassung der Norm ISO/IEC 27001 vollständig und im Original-Wortlaut und -Layout. Für die noch nicht offiziell übersetzten veränderten Teile der Norm, also den Anhang A, liefern wir in Kapitel 5 des Buchs zusätzlich eigene deutsche Fachübersetzungen, sowie in Anhang B.3 einen tabellarischen Überblick über alle aktuellen Maßnahmen (Controls), damit Sie sowohl mit dem englischen Original als auch einem deutschen Text arbeiten können.

Das erste Kapitel führt Sie kompakt in die spannende, aber auch komplexe Welt der Informationssicherheit, Managementsysteme und Standards ein. Nach einem Überblick über die Reihe der ISO/IEC 27000-Standards und die Grundlagen von Informationssicherheitsmanagementsystemen finden Sie in den Kapiteln 4 und 5 alle Anforderungen und Maßnahmen aus ISO/IEC 27001. Sie werden in grau hinterlegten Boxen wörtlich wiedergegeben und zusätzlich erläutert. Die Schwerpunkte der Erklärungen orientieren sich an den Inhalten der Prüfungen zu den Foundation-Lehrgangskonzepten u. a. von APMG, ICO und TÜV Süd Akademie; das Buch ist aber auch für die Vorbereitung auf die Prüfung in einem der anderen Qualifizierungsprogramme nach ISO/IEC 27001 verwendbar. Ferner finden Sie in diesem Buch insgesamt 80 Beispiel-Prüfungsfragen. Ihr Format und Schwierigkeitsgrad entspricht dem der ISO/IEC 27001 Foundation-Prüfung der TÜV Süd Akademie mit genau einer richtigen Antwort pro Frage. Die Hälfte der Fragen finden Sie über die Kapitel 2–7 verteilt jeweils am Ende, wo auch die wichtigsten Inhalte nochmals kompakt zusammengefasst werden. Im Anhang finden Sie dann nochmals 40 Fragen am Stück. Dies entspricht dem Umfang der „richtigen“ Prüfung. Dadurch können Sie ein Gespür für die 60 Minuten Prüfungszeit entwickeln.

Wir wünschen Ihnen viel Erfolg bei der Prüfung und bei der praktischen Anwendung!

München, im September 2022

Die Autoren

Nachdem das Thema Informationssicherheit einige Jahrzehnte lang ein gewisses Nischendasein gefristet hat, gewinnt es in den letzten Jahren massiv an Bedeutung. Das hängt nicht zuletzt mit einem steigenden öffentlichen Bewusstsein für die Sicherheit und den Schutz von Daten und Informationen zusammen. Auch die mediale Aufmerksamkeit ist einem Unternehmen sicher, wenn sich beispielsweise herausstellt, dass es nachlässig mit seinen Kundendaten umgeht, oder wenn sicherheitsrelevante Vorfälle zu Ausfällen mit großer geschäftlicher Auswirkung führen.

Der Gesetzgeber hat mit dem IT-Sicherheitsgesetz und entsprechenden Verordnungen kritische Infrastrukturen definiert. Für diese wurden höhere rechtliche Anforderungen im Hinblick auf die IT-Sicherheit erlassen und die Betreiber verpflichtet, angemessene organisatorische und technische Vorkehrungen für die IT-Sicherheit zu treffen und dabei den Stand der Technik einzuhalten.

Wenn sich eine Organisation heute vornimmt, einen strukturierten Ansatz zum wirksamen Management der Informationssicherheit einzuführen, kommt sie an der Standard-Reihe ISO/IEC 27000 praktisch nicht vorbei. Bei ISO/IEC 27000 handelt es sich um eine Reihe von Dokumenten, in denen verschiedene Aspekte des Informationssicherheitsmanagements betrachtet werden. Dass es sich um von der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission) standardisierte Dokumente handelt, erhöht dabei die Verbreitung, Bedeutung und Akzeptanz dieser Standards ganz maßgeblich. Das zentrale und wichtigste Dokument der Reihe ist dabei ISO/IEC 27001.

Die Standardfamilie ISO/IEC 27000 befasst sich hauptsächlich mit drei Kernbereichen:

1.      Begriffe: Es werden die wichtigsten Fachbegriffe aus der Welt der Informationssicherheit definiert.

2.      Grundlegendes Managementsystem: Es wird beschrieben, was eine Organisation umzusetzen hat und sicherstellen muss, um die eigenen Aktivitäten und Maßnahmen im Bereich Informationssicherheit wirksam steuern zu können.

3.      Maßnahmen: Es werden Maßnahmen beschrieben, die eine Organisation grundsätzlich umzusetzen hat, um ein hohes Maß an Informationssicherheit gewährleisten zu können.

Dieses Buch bietet einen Überblick über alle drei Bereiche. Während die beiden letzteren in späteren Kapiteln behandelt werden, beschäftigt sich dieses Kapitel zunächst mit der Begriffsbildung.

Die Standardfamilie ISO/IEC 27000 dient ganzwesentlich dazu, die Verwendung von Fachbegriffen zu vereinheitlichen. Nur so kann erreicht werden, dass diejenigen, die sich mit Informationssicherheitsmanagement beschäftigen, nicht aneinander vorbeireden, obwohl sie eigentlich inhaltlich dasselbe meinen.

Im Folgenden werden die wichtigsten Begriffe und Grundlagen rund um das Thema Informationssicherheit vorgestellt, die zum Verständnis der ISO/IEC 27000 Standards erforderlich sind.

In unserer inzwischen hochgradig vernetzten Welt sind Informationen Werte, die von entscheidender Wichtigkeit für den Geschäftsbetrieb einer Organisation sind. Dabei sind diese Informationen einer stark zunehmenden Zahl von Bedrohungen ausgesetzt. Informationssysteme, Netze und Organisationen sind dabei beispielsweise durch Cyber-Angriffe (Ransomware, Denial-of-Service-Angriffe, Hacking, Spam etc.), Sabotage, Spionage und Vandalismus, aber auch Elementarschäden durch Wasser, Feuer sowie Katastrophen und andere Gefahren gefährdet. Gesetzliche Regelungen (wie z. B. das IT-Sicherheitsgesetz oder die Datenschutz-Grundverordnung) fordern entsprechend Schutzmaßnahmen für sensible Informationen.

Der Begriff „Informationen“ wird hierbei sehr weit gefasst. Sie können in Form verschiedener Medien vorliegen: geschrieben, gedruckt, elektronisch, als Film etc., und auf unterschiedlichen Wegen übermittelt werden, z. B. per Post, per Funk, über das Internet usw. Unabhängig vom Medium und vom Übertragungsweg ist die Aufgabe der Informationssicherheit, diese Informationen angemessen vor der zunehmenden Zahl von Bedrohungen zu schützen. Nur so können die Risiken minimiert, der Geschäftsbetrieb gesichert und die Wettbewerbsfähigkeit, Rentabilität sowie die Chancen einer Organisation maximiert werden.

Für die Informationssicherheit existiert, anders als beispielsweise für Gewichte, Längen oder Temperaturen, keine physikalische Maßeinheit, um sie einfach in Zahlen – also quantitativ – auszudrücken. Deshalb wählen die Standards der Reihe ISO/IEC 27000 – und damit auch das Hauptdokument ISO/IEC 27001 – einen praxisbewährten qualitativen Ansatz über Schutzziele. Diese werden nachfolgend im Einzelnen vorgestellt und genauer erläutert.

Die Gefährdung wichtiger Informationen lässt sich alleine mit Beispielen natürlich nur ungenau und unvollständig fassen. In der ISO/IEC 27000 und im Security Engineering werden deshalb abstrakte Schutzziele bzw. Sicherheitsanforderungen für Informationswerte (zum Begriff der „(Informations-)Werte“ vgl. Kapitel 3.1.1) definiert. Die zentralen Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit (engl. Confidentiality, Integrity and Availability, als Eselsbrücke gerne mit „CIA“ abgekürzt) von Informationen. Andere wünschenswerte Eigenschaften, deren Aufrechterhaltung nach ISO/IEC 27000 ebenfalls Gegenstand der Informationssicherheit sein können, sind Authentizität, Zurechenbarkeit, Nichtabstreitbarkeit und Verlässlichkeit (engl. Authenticity, Accountability, Nonrepudiation and Reliability). Diese Schutzziele, auf denen der Informationssicherheitsbegriff der Standardfamilie ISO/IEC 27000 basiert, werden im Folgenden erläutert.

Zur Beschreibung von Angriffsszenarien und Sicherheitsmaßnahmen werden oft fiktive Personen verwendet. Diese Personen haben definierte Rollen und Namen. Die „Guten“ heißen immer Alice und Bob und versuchen in der Regel, miteinander zu kommunizieren. Der „Böse” (engl. malicious) heißt Mallet; er versucht, Alice, Bob oder deren Interaktionen oder Kommunikation anzugreifen, abzuhören oder zu stören. Im Folgenden werden Alice, Bob und Mallet in diesem Sinn verwendet, um die Verletzung von Schutzzielen zu verdeutlichen.

Die Vertraulichkeit bezeichnet die Eigenschaft, dass eine Information für unautorisierte Personen, Entitäten oder Prozesse nicht zugänglich ist und von diesen auch nicht offengelegt werden kann. Die Vertraulichkeit ist beispielsweise verletzt, wenn ein Angreifer eine Kommunikation abhören kann (vgl. Abbildung 1.1).

Mit Integrität wird die Eigenschaft bezeichnet, dass Werte im Hinblick auf ihre Richtigkeit und Vollständigkeit geschützt werden. Eine Integritätsprüfung einer digitalen Information oder Nachricht erkennt jede unautorisierte Veränderung. Hierunter fallen alle denkbaren Manipulationen wie das Einfügen oder Löschen von Zeichen, das Wiedereinspielen einer alten Nachricht, das Umordnen von Daten sowie Duplikate.

Abbildung 1.2 stellt einen Angriff auf die Integrität der Kommunikation zwischen Alice und Bob dar. Mallet verändert die Nachricht, die Alice an Bob schickt.

Die Verfügbarkeit bezeichnet die Eigenschaft einer Information oder eines Wertes, für einen berechtigten Nutzer verfügbar und nutzbar zu sein, sobald der Nutzer dies verlangt. Die Verfügbarkeit wird z.B. durch Elementarschäden oder Katastrophen bedroht. Die prominentesten Angriffe auf die Verfügbarkeit von Diensten oder Ressourcen sind wie in Abbildung 1.3 dargestellt Denial-of-Service-(DoS-) oder Distributed-Denial-of-Service-(DDoS-)Angriffe, bei denen beispielsweise Webserver mit Datenmüll überflutet werden, wodurch sie für legitime Nutzer nicht mehr verfügbar sind.

Der Vorgang der zweifelsfreien Ermittlung und Prüfung einer Entität bzw. einer geforderten Charakteristik einer Entität wird als Authentisierung bezeichnet. Dementsprechend bezeichnet Authentizität die Eigenschaft einer Entität, das zu sein, was sie vorgibt zu sein. In der Benutzerverwaltung wird über verschiedenste Mechanismen ein Nutzer zweifelsfrei mit einer digitalen Identität (z.B. einer eindeutigen Benutzerkennung oder Kontonummer) verbunden. Bei der Authentisierung wird diese Verbindung zwischen digitaler Identität und Nutzer geprüft (z.B. durch Eingabe eines Passworts, das nur der Nutzer kennt). Nach dieser Prüfung kann man davon ausgehen, dass die digitale Identität authentisch ist. In Abbildung 1.4 wird ein sogenannter Man-in-the-Middle-Angriff dargestellt. Mallet unterbricht die Kommunikationsbeziehung zwischen Alice und Bob und gibt sich gegenüber Bob als Alice und gegenüber Alice als Bob aus. Er fälscht gewissermaßen seine Identität. Damit ist die Authentizität nicht mehr gewährleistet. Steht Alice und Bob nur der verwendete Kommunikationskanal zur Verfügung, so ist dieser Angriff nur sehr schwer zu erkennen.

Unter Verbindlichkeit bzw. Nichtabstreitbarkeit versteht man, dass der Eintritt eines Ereignisses oder einer Aktion sowie die verursachende Entität zweifelsfrei belegt werden können. Beispielsweise kann ein Nutzer das Auslösen einer Aktion, z.B. eine kostenpflichtige Bestellung, bei gegebener Nichtabstreitbarkeit später nicht erfolgreich leugnen.

Die Eigenschaft, ein konsistentes und bestimmungsgemäßes Verhalten zu zeigen und konsistente Ergebnisse zu liefern, wird als Verlässlichkeit bezeichnet. Beispielsweise würde eine Verschlüsselungssoftware für E-Mails, die jede dritte Nachricht unverschlüsselt überträgt, die Sicherheitsanforderung nach Verlässlichkeit nicht erfüllen.

Die Zurechenbarkeit realisiert die Verantwortlichkeit einer Entität für ihre Aktionen und Entscheidungen. So müssen z. B. sicherheitsrelevante Aktionen demjenigen, der die entsprechende Aktion ausgeführt hat, zurechenbar sein. Die Zuweisung von Verantwortlichkeiten und die Übernahme von Verantwortung für Assets sind Grundsätze des Standards (vgl. Kapitel 3.1.4), die sich aber nur umsetzen lassen, wenn es Mechanismen gibt, um eine Zurechenbarkeit technisch umzusetzen.

Als letzten Begriff betrachten wir in diesem Abschnitt noch die Zugriffssteuerung. Dabei handelt es sich zwar nicht um ein Schutzziel, aber um einen sehr grundlegenden Sicherheitsmechanismus, der in verschiedensten Maßnahmen der ISO/IEC 27001 zum Einsatz kommt. Die Zugriffssteuerung stellt sicher, dass der Zugang zu Daten und Werten (Assets) nur autorisiert erfolgen kann und Einschränkungen auf Basis von Geschäfts- oder Sicherheitsanforderungen möglich sind. Die Zugriffssteuerung setzt also ein Berechtigungskonzept technisch um; nur autorisierte Personen dürfen auf IT-Systeme und Informationen zugreifen. Bei physischem Zugang, z. B. dem Betreten gesicherter Gebäudebereiche, wird der Begriff Zutritt bzw. Zutrittskontrolle verwendet.

2015 hatte der Deutsche Bundestag das IT-Sicherheitsgesetz (IT-SiG) beschlossen, das in erster Linie Änderungen an bestehenden Gesetzen, darunter dem BSI-Gesetz (BSIG), umfasste. 2021 ist eine überarbeitete Fassung (IT-SiG 2.0) in Kraft getreten. Im Kern bedeuteten diese Änderungen die Abkehr vom Prinzip der Freiwilligkeit für den Bereich sogenannter kritischer Infrastrukturen. Dabei handelt es sich gemäß der Definition aus der KRITIS-Strategie des Bundes um Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten können.

Betreiber solcher kritischer Infrastrukturen werden nach dem Gesetz verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Den Nachweis darüber haben die Betreiber durch Sicherheitsaudits, Prüfungen und/oder Zertifizierungen zu erbringen, indem sie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Aufstellung der durchgeführten Audits oder Zertifizierungen übermitteln. Darüber hinaus müssen Betreiber kritischer Infrastrukturen erhebliche IT-Sicherheitsvorfälle melden. Das BSI agiert als Zentralstelle für IT-Sicherheit und wertet Meldungen der Betreiber kritischer Infrastrukturen aus.

Unter dem Schlagwort KRITIS (kritische Infrastrukturen) versteht man übergreifend die Anforderungen, die sich aus dem IT-Sicherheitsgesetz und der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) für Betreiber kritischer Infrastrukturen ergeben. Dabei beschränkt sich KRITIS derzeit auf die folgenden sieben Sektoren bzw. Branchen:

       Energie

       Wasser

       Ernährung

       Informationstechnik und Telekommunikation

       Gesundheit

       Finanz- und Versicherungswesen

       Transport und Verkehr

Während die eigentlichen Gesetzestexte offenlassen, welche Organisationen oder Unternehmen tatsächlich vom IT-Sicherheitsgesetz betroffen sind und somit die KRITIS-Anforderungen erfüllen müssen, wird die BSI-Kritisverordnung konkreter. Sie definiert nämlich spezifische Anlagenkategorien, Bemessungskriterien und Schwellenwerte, aus denen jede Organisation oder Einrichtung aus einer der sieben genannten Branchen ableiten kann, ob sie als Betreiber einer kritischen Infrastruktur gilt oder nicht.

Die BSI-Kritisverordnung ist unter https://www.gesetze-im-internet.de/bsi-kritisv frei zugänglich. Sie ist wie folgt aufgebaut:

       § 1 enthält die für diese Verordnung relevanten Begriffsbestimmungen.

       In § 2 bis § 8 findet man zu jedem der sieben relevanten Sektoren eine genauere Beschreibung der relevanten kritischen Dienstleistungen.

       In § 9 wird festgelegt, dass die Verordnung und die enthaltenen Festlegungen (zu den kritischen Dienstleistungen, Anlagenkategorien und Schwellenwerten) alle zwei Jahre erneut evaluiert werden sollen.

       Zuletzt folgen die Anhänge 1 bis 7, die wiederum zu jedem der sieben relevanten Sektoren und den zuvor beschriebenen kritischen Dienstleistungen die Anlagenkategorien, Bemessungskriterien und Schwellenwerte tabellarisch auflisten.

Beispiel 1: Im Sektor Wasser ist eine kritische Dienstleistung die Versorgung der Allgemeinheit mit Trinkwasser. Diese umfasst gemäß § 3 der BSI-Kritisverordnung die Gewinnung, Aufbereitung, Verteilung sowie Steuerung und Überwachung von Trinkwasser. Gemäß Anhang 2 sind relevante Anlagenkategorien unter anderem Gewinnungsanlagen, Aufbereitungsanlagen, Leitzentralen sowie das Wasserverteilungssystem (z.B. Rohrnetz mit Druckregulierstationen). Für die Anlagenkategorie der Gewinnungsanlagen ist das relevante Bemessungskriterium die gewonnene Wassermenge in Millionen Kubikmeter pro Jahr, und der Schwellenwert wurde hierfür mit 22 festgelegt. Gewinnt ein Wasserversorger (z.B. Stadtwerk, Wasserwerk) also mehr als diese 22 Millionen Kubikmeter Trinkwasser pro Jahr in eigenen oder zumindest durch ihn verantworteten Anlagen, so gilt er als Betreiber einer kritischen Infrastruktur.

Beispiel 2: Im Sektor Transport und Verkehr ist eine kritische Dienstleistung die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern. Diese umfasst gemäß § 8 der BSI-Kritisverordnung den Luftverkehr, Schienenverkehr, die Binnen- und Seeschifffahrt, den Straßenverkehr, öffentlichen Personennahverkehr (ÖPNV) sowie die Logistik. Gemäß Anhang 7 ist eine relevante Anlagenkategorie beispielsweise ein System zur Passagierabfertigung an Flugplätzen. Das relevante Bemessungskriterium ist die Anzahl der Passagiere pro Jahr, und der Schwellenwert wurde hierfür mit 20 Millionen festgelegt. Werden also an einem Flughafen mehr als 20 Millionen Fluggäste pro Jahr abgefertigt, so gilt der Betreiber als Betreiber einer kritischen Infrastruktur.

Nachdem nun also seit Inkrafttreten der BSI-Kritisverordnung klar sein sollte, wer genau vom IT-Sicherheitsgesetz betroffen ist und die KRITIS-Anforderungen erfüllen muss, bleibt noch die Frage: Was genau müssen Betreiber kritischer Infrastrukturen tun, und worüber müssen sie Nachweise erbringen? Diewesentliche Anforderung besteht darin, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität nach dem „Stand der Technik“ aufrechterhalten werden müssen. Der Stand der Technik ist ein Rechtsbegriff, der in verschiedenen Rechtsgebieten Verwendung findet und höhere Ansprüche stellt als etwa die anerkannten Regeln der Technik. Übertroffen wird er noch vom Stand von Wissenschaft und Technik.

Unter dem Stand der Technik werden die technischen Möglichkeiten verstanden, die zum gegenwärtigen Zeitpunkt den gewünschten Effekt gewährleisten können und sich dabei auf wissenschaftliche und technische Erkenntnisse stützen. Die Erfüllung anerkannter Standards, die etwa von Standardisierungsgremien oder Branchenverbänden herausgegeben werden, kann juristisch gesehen die begründete Vermutung nahelegen, dass in dem jeweiligen Gebiet der Stand der Technik erreicht wurde. Im Zusammenhang mit der Informationssicherheit bzw. dem Management der Informationssicherheit gilt dies entsprechend auch für die Etablierung eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der Standardfamilie ISO/IEC 27000.

Das BSI weist allerdings in seinen KRITIS-Orientierungshilfen darauf hin, dass eine Zertifizierung nach ISO/IEC 27001 allein noch nicht automatisch ausreichend ist, um den Anforderungen des IT-Sicherheitsgesetzes vollständig zu genügen. Das liegt beispielsweise daran, dass auch in einem nach ISO/IEC 27001 zertifizierten ISMS Akzeptanzschwellen für Informationssicherheitsrisiken vom Betreiber festgelegt werden könnten, die die Akzeptanz erheblicher Risiken für die Versorgungssicherheit erlauben würden – was der Zielsetzung von KRITIS widerspricht. Aus diesem Grund können sowohl Betreiber kritischer Infrastrukturen als auch ihre Branchenverbände eigene bzw. branchenspezifische Informationssicherheitsstandards (B3 S) festlegen und ihre Eignung vom BSI feststellen lassen. Das BSI führt auf seinen Webseiten eine Übersicht über die B3 S, deren Eignung festgestellt wurde und die daher zur Nachweisführung über den Stand der Technik herangezogen werden können. Praktisch alle bisher eignungsgeprüften B3 S basieren in der einen oder anderen Form auf Inhalten und Anforderungen aus der Standardfamilie ISO/IEC 27000. So wurde beispielsweise von der Deutschen Krankenhausgesellschaft (DKG e. V.) im Jahr 2019 die Version 1.1 des branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus herausgegeben[Deu19]; auch dieser orientiert sich in seinen empfohlenen Umsetzungsschritten eng an ISO/IEC 27001.

Die Europäische Union hat mit der Datenschutz-Grundverordnung (DSGVO) [DSG16] im Jahr 2018 das Datenschutzrecht EU-weit und für den Europäischen Wirtschaftsraum vereinheitlicht. Nationale und föderale Gesetze, wie z. B. das Bundesdatenschutzgesetz oder die Landesdatenschutzgesetze, sind weiterhin möglich, müssen aber mit der DSGVO vereinbar sein.

Die DSGVO übernimmt viele Prinzipien aus der Vorgängerrichtlinie (95/46) und dem ehemaligen deutschen Bundesdatenschutzgesetz. Der zentrale Begriff der Personenbezogenen Daten in Art. 4 ist sehr weitgefasst: „personenbezogene Daten“[sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Neu in der DSGVO sind die in Art. 5 aufgeführten Grundsätze für die Verarbeitung personenbezogener Daten:

a)      Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

b)      Zweckbindung (Verarbeitung nur für definierte, eindeutige und legitime Zwecke)

c)      Datenminimierung („dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung [...] notwendige Maß beschränkt“)

d)      Richtigkeit („sachlich richtig und erforderlichenfalls auf dem neuesten Stand [...]; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung [...] unrichtig sind, unverzüglich gelöscht oder berichtigt werden“)

e)      Speicherbegrenzung („nur so lange [...], wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“)

f)      Integrität und Vertraulichkeit („in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“)

Art. 32 der DSGVO fordert explizit die Berücksichtigung des Stands der Technik. Technische und organisatorische Maßnahmen zum Schutz von Daten sind ein Hauptaspekt der ISO/IEC 27001. Ein Nachweis des Stands der Technik kann z. B. durch eine Organisationszertifizierung nach ISO/IEC 27001 erfolgen. Eine weitere Neuerung der DSGVO ist die in Art. 35 eingeführte Datenschutz-Folgenabschätzung. Falls eine Verarbeitung personenbezogener Daten „aufgrund des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“hat, so ist eine Datenschutz-Folgenabschätzung durchzuführen. Dabei handelt es sich um einen klassischen Risikomanagementprozess, wie er ab Abschnitt 4.6.1 erläutert wird.

Die Grundlagen, Prinzipien und Prozesse der ISO/IEC 27001 lassen sich somit gewinnbringend auch bei der Umsetzung der Datenschutz-Grundverordnung nutzen.

In Kapitel 2 wird ein grundlegender Überblick über die Standardfamilie ISO/IEC 27000 und ihre Struktur gegeben, bevor im darauffolgenden Kapitel die Grundlagen eines Informationssicherheitsmanagementsystems dargestellt werden. Der Standard ISO/IEC 27001 wird in den Kapiteln 4 und 5 ausführlich erläutert und kommentiert. Die Mindestanforderungen, d. h. die Abschnitte 1 bis 10 des Standards, finden sich in den Kapiteln 4.1 bis 4.10. Der Anhang A von ISO/IEC 27001, der umzusetzende Maßnahmen auflistet, wird in Kapitel 5 ausführlich erklärt. Die danach folgenden Kapitel erläutern verwandte Standards und Rahmenwerke sowie die verschiedenen Zertifizierungsmöglichkeiten nach ISO/IEC 27001. Im Anhang des Buches finden Sie 40 Prüfungsfragen mit entsprechenden Musterlösungen, die vom Schwierigkeitsgrad her der ISO/IEC 27001 Foundation-Prüfung entsprechen.

Nachfolgend finden Sie Beispiele für Prüfungsfragen, die sich thematisch mit den in diesem Kapitel erlernten Inhalten auseinandersetzen. Die richtigen Antworten inklusive Erläuterungen und Verweisen befinden sich in Anhang C.1 ab Seite 237.

Im ersten Kapitel wurde dargestellt, welche Teilaspekte zum Themengebiet der Informationssicherheit gehören. In diesem Kapitel betrachten wir nun zunächst, welche Ziele mit Normierung und Standardisierung grundsätzlich verfolgt werden. Dieses Basiswissen ist hilfreich, um Ziele, Inhalte und Aufbau des Standards ISO/IEC 27001 zu verstehen. Danach werden einige Grundlagen wie die Unterschiede zwischen normativen und informativen Standards erläutert und etwas näher auf die einzelnen Dokumente der Standardfamilie (oder Standardreihe) ISO/IEC 27000 und ihre Zusammenhänge eingegangen. Die Inhalte von ISO/IEC 27001 vertiefen wir in den nächsten Kapiteln1.

Allgemein betrachtet versteht man unter Standardisierung Vereinheitlichung und Harmonisierung. Bestimmte, als erwünscht oder essenziell erachtete Merkmale werden zu einer Norm bzw. einem Standard erhoben. Wie bereits in der Einleitung angedeutet, ist es oft notwendig, auch Fachbegriffe im Rahmen der Standardisierung zu vereinheitlichen, damit alle beteiligten Personen dasselbe darunter verstehen. Standardisierung begegnet einem in vielen Bereichen, beispielsweise:

       Standardisierung von gemeinsamen Messverfahren, die Definition von Maßen für Temperatur, Gewicht und Geschwindigkeit und insbesondere auch die Verwendung einer gemeinsamen Uhrzeit oder Sprache.

       Standardisierung von Produkten, also beispielsweise die Vereinheitlichung von Größen, Abmessungen oder Formen. Zu nennen sind hier etwa einheitliche Papierformate wie DIN A4 oder die Größe und Form eines Steckers.

       Standardisierung von Kommunikationsprotokollen, welche die Kodierung, Dekodierung und Interpretation von Steuersignalen, die für eine Kommunikation notwendig sind, vereinheitlichen und somit eine herstellerunabhängige Kommunikation ermöglichen.

Es gibt aber auch Standards für Managementsysteme. Diese versuchen, einheitliche Vorgaben dazu festzulegen, wie Organisationen bestimmte Aspekte ihres Managements gestalten. Sie definieren also beispielsweise, welche Prozesse, Verfahren und grundlegenden Managementwerkzeuge von der Organisation eingesetzt werden sollten, um bestimmte Ziele zu erreichen. Die entsprechenden Standards – prominentestes Beispiel ist wohl die ISO 9000 – formulieren meist konkrete Anforderungen, die eine Organisation erfüllen muss, um etwas, das sie erreichen will (z.B. Qualitätssicherung), auch wirksam managen zu können.

Wenn von „ISO/IEC 27000“ die Rede ist, kann damit Folgendes gemeint sein:

1.      die gesamte ISO/IEC 27000-Standardfamilie, die aus mehreren verschiedenen Dokumenten besteht, von denen die wichtigsten nachfolgend vorgestellt werden;

2.      das Dokument ISO/IEC 27000:20202Information technology – Security techniques – Information security management systems – Overview and vocabulary.

ISO/IEC 27000 kann sich also sowohl auf die Standardfamilie als Ganzes als auch auf das erste Dokument innerhalb dieser Reihe von Standards beziehen. Meistens ist jedoch die erste dieser Bedeutungen gemeint. Alle Dokumente der ISO/IEC 27000-Standardfamilie haben miteinander gemeinsam, dass sie sich mit dem Management der Informationssicherheit beschäftigen und zu diesem Zweck Hilfestellung beim Aufbau eines entsprechenden Managementsystems – eines sogenannten Informationssicherheitsmanagementsystems (ISMS) – liefern. Dazu mehr in Kapitel 3.

Man unterscheidet bei Standards zwischen denen, die verbindliche Anforderungen enthalten, und denen, die nur empfehlenden Charakter haben. Erstere – bei ISO/IEC-Standards leicht zu erkennen an der häufigen Verwendung des Wortes „muss“ (im Englischen „shall“) im Text – nennt man häufig auch normativ; letztere – geprägt durch Formulierungen mit „sollte“ (im Englischen „should“) – werden oft als informativ bezeichnet.

Zusammenfassend:

       Ein normativer Standard enthält Vorgaben und Anforderungen („normative Elemente“), die verbindlich umzusetzen sind.

       Ein informativer Standard stellt im Gegensatz dazu einen Leitfaden dar, der nur empfehlenden Charakter hat.

Ein normativer Standard wird oftmals durch einen oder mehrere informative Standards ergänzt. Diese geben dann meist Empfehlungen zur Umsetzung der, in aller Regel äußerst kurz und prägnant gehaltenen, Anforderungen aus dem normativen Standard. In der ISO/IEC 27000-Standardfamilie ist beispielsweise ISO/IEC 27001 der zentrale normative Standard, d. h., enthält verbindliche Anforderungen. ISO/IEC 27002 hingegen ist ein informativer Standard, der Erläuterungen und Vorschläge zur Umsetzung für einen Teil von ISO/IEC 27001 (Anhang A) bietet.

Zur ISO/IEC 27000-Standardfamilie gehören mittlerweile über 30 Dokumente, von denen im Folgenden nur die wichtigsten vorgestellt werden.

Abbildung 2.1 stellt eine Auswahl der ISO/IEC 27000-Dokumente dar und illustriert ihre Zusammenhänge und Abhängigkeiten. Dabei wird zwischen verschiedenen Ebenen bzw. Bereichen unterschieden, denen sich diese Dokumente zuordnen lassen: ISO/IEC 27000 (das Dokument) befasst sich mit Begriffen und Grundlagen, die für die gesamte Standardfamilie gelten. ISO/IEC 27001 gehört zu den normativen Standards bzw. Anforderungsstandards, die konkrete Anforderungen enthalten. Die allgemeinen Leitfäden, allen voran ISO/IEC 27002, bieten Empfehlungen für die Umsetzung der Kerninhalte von ISO/IEC 27001. Zusätzlich existieren zahlreiche spezifische Leitfäden, die sich mit Umsetzung der ISO/IEC 27001 in ausgewählten Branchen oder der Ausgestaltung bestimmter Maßnahmen befassen.

ISO/IEC 27000:2018 [ISO18b] liegt in englischer Sprache als veröffentlichter Standard, die deutsche Übersetzung hat aktuell den Stand Juni 2020. Das Dokument ISO/IEC 27000 trägt den Titel „Overview and vocabulary“ (Überblick und Terminologie) und liefert Definitionen zu 77 ISMS-Begriffen (vgl. Anhang A dieses Buches), eine allgemeine Einführung zu Managementsystemen für Informationssicherheit, zentralen ISMS-Prinzipien und Konzepten sowie schließlich einen Überblick über die ISO/IEC 27000-Standardfamilie. Damit bildet ISO/IEC 27000 ein gutes Fundament, auf dem die anderen Teile der Standardfamilie aufbauen können.

Es gibt innerhalb der ISO/IEC 27000-Familie drei Standards, welche normativen Charakter haben: ISO/IEC 27001, ISO/IEC 27006 und ISO/IEC 27009.

ISO/IEC 27001:2013 [ISO13] ist der Standard, der für Organisationen, die eine Zertifizierung anstreben, unmittelbare Relevanz hat. Das heißt: Bei einem Zertifizierungsaudit wird die Konformität zu ISO/IEC 27001 bewertet. Damit ist ISO/IEC 27001 innerhalb der ISO/IEC 27000-Standardfamilie der zentrale Standard. Er behandelt vor allem die allgemeinen Anforderungen an ein ISMS (Normabschnitte 4 bis 10) sowie Maßnahmen im Informationssicherheitsmanagement (Anhang A).

Mit DIN ISO/IEC 27001:2017-06 existiert auch eine von der DIN herausgegebene Fassung der ISO/IEC 27001 [DIN17], die auf der englischen Ausgabe des Standards von 2013 basiert. Wobei für die deutsche Fassung noch zwei kleine, 2014 und 2015 herausgegebene Korrekturen (Corrigendum) berücksichtigt wurden. Diese Fassung ist im Anhang B dieses Buches als Faksimile enthalten. Mit der Neufassung der ISO/IEC 27002 im Jahr 2022 werden sich auch Änderungen an ISO/IEC 27001, vor allem in Anhang A, ergeben.

ISO/IEC 27001 ist das zentrale Thema dieses Buches und auch der Schwerpunkt der Prüfungen zur Erlangung des Foundation Certificate in ISMS according to ISO/IEC 27001, der Einstiegszertifizierung im Rahmen des Qualifizierungs- und Zertifizierungsprogramme für Personen zur ISO/IEC 27000-Standardfamilie (vgl. Kapitel 7.2).

ISO/IEC 27006 (Requirements for bodies providing audit and certification of information security management systems) [ISO15a] legt die Anforderungen fest, deren Erfüllung bei der Akkreditierung (vgl. Kapitel 7.1.1.2) einer Zertifizierungsstelle zu überprüfen ist, wenn diese Zertifizierungsstelle das Ziel hat, auch ISMS nach ISO/IEC 27001 zu auditieren und zertifizieren.

ISO/IEC 27006 ergänzt und konkretisiert die in ISO/IEC 17021 festgelegten Anforderungen für Zertifizierungsstellen um Aspekte, die spezifisch für die Auditierung und Zertifizierung von ISMS sind.

Neben ISO/IEC 27001 und ISO/IEC 27006 gibt es mit ISO/IEC 27009 (Sector-specific application of ISO/IEC 27001) [ISO20b]