Durch die Aktualisierung der ISO/IEC 27002 (siehe den nachfolgenden Artikel ab S. 27) müssen auch in der ISO/IEC 27001 zwei Bereiche aktualisiert werden: einerseits der Abschnitt 6.1.3 „Information Security Risk Treatment“ Abs. c, der auf die Anwendung des Anhang A verweist, und andererseits der Anhang A selbst, der eine Auflistung der Best-Practice-Maßnahmen aus ISO/IEC 27002 umfasst.
Die Neuerungen der ISO/IEC 27001 will man zunächst in Form einer sogenannten „ergänzenden Berichtigung“ (Amendment) veröffentlichen, bevor der vollständige Text der Norm im Rahmen der regelmäßigen Revision aktualisiert wird. Das jetzige Update wird also keine vollständig überarbeitete Version der ISO/IEC 27001 sein, sondern ausschließlich eine Aktualisierung der beiden genannten Bereiche.
Risikobehandlung
Das wichtigste vorab: Es kommt keine neue Anforderung in der ISO/IEC 27001 hinzu. Neuerungen in Abschnitt 6.1.3 „Information Security Risk Treatment“ sind
- die Klarstellung, dass der Anhang normativ (verbindlich) ist, die einzelnen Maßnahmen im Anhang A jedoch nicht verbindlich sind, sowie
- eine Umformulierung von „Maßnahmenzielen“ zu „Maßnahmenzweck“.
Abschnitt 6.1.3 c enthält eine verbindliche Anforderung, die eigenen über den Prozess der Risikoanalyse und -behandlung hergeleiteten Sicherheitsmaßnahmen mit der Liste der Best-Practice-Sicherheitsmaßnahmen im Anhang A abzugleichen. Ziel ist es, sicherzustellen, dass die anwendende Organisation keine wesentlichen Maßnahmen – und damit Risiken – übersieht. Da es sich dabei um eine verbindliche Anforderung handelt („shall“), ist auch der Anhang A verbindlich (normativ).
Die Umsetzung in einem Informationssicherheits- Managementsystem (ISMS) geschah jedoch oft „andersherum“: Die Maßnahmen des Anhang A wurden als verbindlich verstanden und dann mithilfe von Risikoanalysen hergeleitet. Dies führte zu zwei praktischen Problemen:
- Die nicht erschöpfende Liste an Sicherheitsmaßnahmen im Anhang A wurde als „verbindlich“ verstanden – was nicht der Fall ist – und damit wurden gegebenenfalls im Einzelfall unnötige Maßnahmen umgesetzt.
- Durch das Re-Engineering der Risikoanalysen wurden nur genau die Maßnahmen des Anhangs A und ihre zugehörigen Risiken identifiziert – darüber hinausgehende individuelle Risiken der anwendenden Organisation blieben aber häufig unerkannt.
Daher ist geplant, über eine Neu-Formulierung von zwei klarstellenden Bemerkungen zu Abschnitt 6.1.3 c herauszuarbeiten, dass es sich bei den Maßnahmen im Anhang A lediglich um „eine mögliche Liste“ und nicht um eine „umfassende Liste“ an Best-Practice-Maßnahmen handelt, welche daher nicht verbindlich und auch nicht erschöpfend ist.
Weiterhin verwendet die neue Version der ISO/ IEC 27002 statt des Begriffs „Maßnahmenziele (Control Objectives)“ den Begriff „Maßnahmenzweck (Purpose)“. Daher soll in Abschnitt 6.1.3 und den zugehörigen Bemerkungen der Begriff „Maßnahmenziel“ (bzw. „Control Objective“) ebenfalls entfernt werden. Weitere Änderungen in den Kapiteln vier bis zehn der ISO/IEC 27001 sind aktuell nicht geplant.
Neuerungen in Anhang A
Die zweite wesentliche Änderung betrifft den Anhang A der ISO/IEC 27001. Dieser erfährt – analog zur neuen ISO/IEC 27002 – eine grundlegende strukturelle Überarbeitung. So gibt es statt der bisherigen 114 Maßnahmen in 14 Bereichen künftig nur noch 93 Maßnahmen – aufgeteilt in die vier Bereiche organisatorischer (37 Maßnahmen), personeller (8 Maßnahmen), physischer (14 Maßnahmen) und technischer Maßnahmen (34 Maßnahmen).
Dabei werden die Bezeichnungen und der Text von Maßnahmen unverändert aus der aktualisierten ISO/ IEC 27002 übernommen. So wird auch der aktualisierte Anhang A der ISO/IEC 27001 elf neue Maßnahmen umfassen (Übersetzung des Autors – die offizielle DINÜbersetzung kann abweichen – zu Details siehe S. 27):
- 5.7 Bedrohungs-Aufklärung (Threat Intelligence
- 5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten (Information security for use of cloud services)
- 5.30 Bereitschaft der Informations- und Kommunikationstechnik zur Gewährleistung der Geschäftskontinuität (ICT Readiness for business continuity)
- 7.4 Überwachung der physischen Sicherheit (Physical security monitoring)
- 8.9 Konfigurationsmanagement (Configuration management)
- 8.10 Löschung von Informationen (Information deletion)
- 8.11 Datenmaskierung (Data masking)
- 8.12 Verhinderung des unautorisierten Informationsabflusses (Data leakage prevention)
- 8.16 Überwachungsaktivitäten (Monitoring activities)
- 8.23 Web-Filter (Web filtering)
- 8.28 Sichere Programmierung (Secure coding)
Bei bisher korrekter Anwendung der ISO/IEC 27001 ist die einzige praktische Folge der geplanten Aktualisierung, dass man das sogenannte „Statement of Applicability“ aktualisieren muss. Denn zunächst stellen, wie bereits ausgeführt, die Maßnahmen des Anhang A ja keine verbindlichen Anforderungen dar, die beispielsweise im Rahmen einer Zertifizierung umzusetzen wären.
Anwender der ISO/IEC 27001 müssen jedoch ihre eigenen ermittelten Maßnahmen zur Behandlung von Informationssicherheits-Risiken mit den Maßnahmen des Anhang A abgleichen. Da dieser grundlegend überarbeitet wurde und neue Maßnahmen hinzugekommen sind, ist auch dieser Abgleich zu aktualisieren.
Das Ergebnis dieses Abgleichs wird im „Statement of Applicability“ dokumentiert. Darüber hinaus enthält es weiterhin alle Sicherheitsmaßnahmen, die zwar nicht Bestandteil des Anhang A sind, jedoch über den Prozess der Risikoanalyse und -behandlung als relevant identifiziert wurden. Daher sollte ein Abgleich der bereits dokumentierten ermittelten Maßnahmen mit den neu hinzugekommenen Maßnahmen ohne großen Aufwand möglich sein – Mapping-Tabellen im Anhang B der ISO/ IEC 27002:2022 erleichtern das.
Fazit
Unter der Prämisse, dass die ISO/IEC 27001 bisher korrekt angewendet wurde, beschränken sich die Tätigkeiten zum Umstieg auf die aktualisierte Version auf Anpassungen der Dokumentation des „Statement of Applicability“, die in der Regel innerhalb weniger Tage zu bewerkstelligen sein sollten.
Dies muss auch so sein, bedenkt man, dass eine überarbeitete Liste an möglichen Maßnahmen zur Informationssicherheit keine Auswirkungen auf die bestehende Risikolandschaft oder den Risikoappetit einer Organisation haben. Neue Maßnahmen werden nicht allein deshalb benötigt, weil sie in einer aktualisierten Liste möglicher Sicherheitsmaßnahmen aufgeführt werden, sondern ausschließlich dann, wenn die Organisation ein entsprechendes Risiko identifiziert, welches die Maßnahme behandeln soll.
Die Erstellung eines aktualisierten „Statement of Applicability“ ist wesentlich, wenn eine Zertifizierung des ISMS gemäß ISO/IEC 27001 angestrebt wird. Hierzu definiert die Deutsche Akkreditierungsstelle GmbH (DAkkS) für alle Zertifizierungsstellen in Deutschland Übergangsfristen. Diese betrugen beim Umstieg von ISO/ IEC 27001:2005 auf ISO/IEC 27001:2013 für bestehende Zertifikate zwei Jahre und für Erst-/Rezertifizierungen ein Jahr – vergleichbare Fristen sind auch im Fall des aktuellen Amendments der ISO/IEC 27001 zu erwarten.
Für alle Organisationen, die bisher fälschlich den umgekehrten Weg gegangen sind und Maßnahmen aus dem Anhang A „ausgewählt“ haben, ohne diese zuvor angemessen durch eigene Risikoanalysen herzuleiten, oder neu hinzugekommene Maßnahmen des Anhangs bisher übersehen haben, ergibt sich ein ungleich höherer Aufwand beim Umstieg auf die aktualisierte ISO/IEC 27001. In diesem Fall müssen gegebenenfalls Teile der neuen Maßnahmen erst noch umgesetzt werden
Prof. Dr. Knut Haufe ist Associate Partner, Dr. Srdan Dzombeta ist Partner im Bereich Cyber-Security bei der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft.
