Unser Experte im Interview
Unser Experte im Interview
Datenschutz, Cloud-Sicherheit, Cyberattacken – TÜV SÜD-Experte Alexander Häußler erläutert im Interview, wo Unternehmen genau hinsehen müssen und wie sie sich systematisch besser aufstellen können.
Herr Häußler, welches sind häufige Schwachstellen in Unternehmen, die Sie bei Audits im Bereich Informationssicherheit beobachten? Gibt es Tendenzen?
Zum einen machen sich viele Unternehmen nicht bewusst genug, welches Risiko Lieferanten in ihre Prozesse bringen und welchen Einfluss dies auf die Informationssicherheit hat – Stichwort Cloud. Die Cloud per se ist nicht gut oder schlecht. Man sollte sich aber genau überlegen, welche Daten zu externen Dienstleistern ausgelagert werden und mit welchen Gefahren das verbunden ist. Wenn ein mittelständisches Unternehmen eine der ganz großen Clouds wählt, profitiert es natürlich von dem breiten Service-Portfolio. Andererseits ist es aber nur ein Kunde von vielen. Einige Unternehmen haben einen besonderen Bedarf, auf den die großen Hyperscaler nicht vollständig eingehen können. Daher kann es sinnvoll sein, einen kleineren Anbieter zu wählen, der auch spezifischen Anforderungen gerecht wird. Datenschutztechnisch bringt das zudem den Vorteil, dass kleinere Cloud-Dienstleister ihre Rechenzentren nicht über die Welt verteilt, sondern nur in Deutschland und Europa haben. Hier gilt die EU-DSGVO, und Regierungen können nicht ohne Weiteres auf die Daten zugreifen. Solche Überlegungen kommen in der Unternehmenspraxis oft noch zu kurz.
Zum anderen sehen wir häufig Probleme beim Umgang mit Schwachstellen, insbesondere beim Patch-Management. Wie stelle ich als Unternehmen sicher, dass freigegebene Updates wirklich von jedem System verarbeitet und installiert werden konnten? Hinzu kommt das Thema Backup und Schutz vor Ransomware. Hier stehen die IT-Verantwortlichen vor der großen Herausforderung, die Balance zwischen Komfort und Sicherheit zu finden. Sicherungen, die man relativ schnell und einfach machen sowie im Bedarfsfall auch schnell wieder einspielen kann, sind tendenziell leichter durch einen Verschlüsselungstrojaner angreifbar. Wenn ich in altklassischer Weise ein Sicherungsband erstelle und dieses an einem gesonderten Ort verwahre, hat ein Trojaner keine Chance. Allerdings ist die Wiederherstellung des Datenbestandes dann bei Bedarf natürlich komplizierter.
Hat sich Covid-19 auf das Thema Cyber Security in Unternehmen ausgewirkt?
Die Corona-Pandemie hat die Möglichkeiten im Bereich mobiles Arbeiten vollkommen neu gestaltet. Und in der Tat sehe ich bei diesem Thema großen Handlungsbedarf. Denn die gestiegene Mobilität birgt neue Risiken. Jetzt ist nach zwei Jahren allerspätestens der Zeitpunkt gekommen, die Systeme und Prozesse auch sicherheitstechnisch konsequent zu durchdenken: Ist das, was schnell aufgebaut werden musste, um das Geschäft am Laufen zu halten, auch für die Zukunft tragfähig? Welche Rolle spielen Familienmitglieder im Homeoffice für die Informationssicherheit in meinem Unternehmen? Solche Fragestellungen müssen Unternehmen spätestens jetzt klären und mit den entsprechenden organisatorischen Regelungen untermauern.
Wie können Managementsysteme Unternehmen bei diesen Aufgaben unterstützen?
Managementsysteme wie die ISO/IEC 27001 für Informationssicherheitsmanagementsysteme (ISMS) arbeiten nach dem sogenannten PDCA-Zyklus, also „Plan“ – „Do“ – „Check“ – „Act“. Für das Beispiel mobiles Arbeiten heißt das: Wir mussten in der Pandemie schnell reagieren, das haben wir geplant und umgesetzt. Jetzt gilt es, das Ganze einem Check zu unterziehen: Was hat gut funktioniert? An welchen Stellen müssen wir nachjustieren? Die ISO 27001 gibt Unternehmen entsprechende Hilfestellungen. Die Norm formuliert bestimmte Ziele, beispielsweise in ISO 27001 Anhang A, dass Büros, Räume und Einrichtungen vor unbefugtem Zutritt zu schützen sind. Und ISO 27002 liefert dazu als Best-Practices-Guide praktische Beispiele, wie diese Ziele erreicht werden können. Aus diesem Katalog können die Verantwortlichen auswählen, welche Maßnahmen im konkreten Fall passen und welche nicht – ein Fenster, das als Fluchtmöglichkeit dient, darf vielleicht nicht vergittert werden, so dass hier eine Alternative gefunden werden muss. Die ISO 27002 ist in den letzten Jahren vollständig überarbeitet und jetzt im Februar in Version 2022 veröffentlicht worden. Kunden der TÜV SÜD Management Service, die nach der ISO 27001 zertifiziert sind, sollten die Maßnahmen in ihrem ISMS daher mit der geänderten Referenzliste aus ISO 27002 abgleichen. Eine Änderung des Anhangs A der ISO 27001 ist bereits auf internationaler Ebene in Arbeit, und es ist noch dieses Jahr mit deren Veröffentlichung zu rechnen.
In welchem Zusammenhang stehen die ISO/IEC 27017 und ISO/IEC 27018 mit der ISO/IEC 27002?
ISO 27017 und ISO 27018 sind sektor- oder themenspezifische Erweiterungen der Best Practices aus ISO 27002. Hier hat sich die Internationale Standardisierungsorganisation (ISO) Gedanken zu bestimmten Anwendungsfällen gemacht, bei denen zusätzliche Maßnahmen für die Informationssicherheit im Unternehmen relevant sind. Konkret geht es in der ISO 27017 darum, wie Anbieter und Nutzer von Cloud-Diensten eine sichere Cloud-basierte Umgebung schaffen können. ISO 27018 beschreibt datenschutzrechtliche Anforderungen für die Cloud-Anbieter. Für TÜV SÜD-Kunden, die im Bereich Cloud tätig sind, empfehle ich die beiden Standards als effektive Richtschnur.
Mit einem Privacy Information Managementsystem (PIMS) nach ISO/IEC 27701 können Unternehmen ihr ISMS um das Thema Datenschutz erweitern. Deckt die ISO 27001 selbst das Thema denn nicht ausreichend ab?
Mit einem ISO 27001-konformen ISMS zeigt ein Unternehmen grundsätzlich, dass es das Thema Informationssicherheit ernst nimmt. Dabei prüft es, welche Aspekte in seinem Geschäftsumfeld besonders wichtig sind. Eine Konsequenz könnte sein, dass sich das ISMS hauptsächlich auf die Daten der Entwicklungsabteilung fokussiert, weil das eben das Kerngeschäft ist. Die ISO 27701 geht tiefer, denn immer mehr gesetzliche Regelungen weltweit, etwa die EU-Datenschutzgrundverordnung (DSGVO), fordern nicht nur den Schutz der Unternehmensdaten, sondern auch den Schutz von personenbezogenen Daten, zum Beispiel Kunden-, Mitarbeiter- oder Lieferantendaten. Unternehmen, die ihr ISMS um ein PIMS nach ISO 27701 erweitern möchten, müssen die aus ISO 27001 bekannten Maßnahmen wie Zugriffsberechtigungen, Datenverwaltung usw. für die Personalabteilung und andere Bereiche mit personenbezogenen Daten anwenden. Hinzu kommen noch zusätzliche Anforderungen der ISO 27701. Wenn beispielsweise personenbezogene Daten in einer Risikoanalyse eine Rolle spielen, ist ein Privacy Impact Assessment, also eine Datenschutzfolgeabschätzung erforderlich. Dabei wird untersucht, welche Auswirkungen ein Verlust der entsprechenden Daten auch über das Unternehmen hinaus hätte. Wenn etwa Gesundheitsdaten eines Mitarbeiters in die falschen Hände geraten, wäre das für das Unternehmen nicht allzu schmerzhaft. Für den Betroffenen selbst könnte es aber bedeuten, dass er für bestimmte Versicherungen höhere Prämien bezahlen müsste oder bei der Wohnungssuche große Schwierigkeiten hätte. Ein PIMS prüft also nicht nur die Auswirkungen auf das Unternehmen, sondern nimmt sämtliche Blickwinkel in Bezug auf den Datenschutz ein.
Wie profitieren Unternehmen von der Einführung eines PIMS nach ISO/IEC 27701?
Ein solches Datenschutzmanagementsystem nach ISO 27701 ist aus unserer Sicht der erste richtige Schritt, um sich dieser Thematik zu nähern – und um nach außen zu zeigen, dass das Unternehmen sich ernsthaft darum kümmert. Das schafft zum einen Vertrauen. Zum anderen hilft es aber auch, gegenüber einer Datenschutzaufsichtsbehörde plausibel geltend zu machen, dass die Firma ihre Organisationspflichten wahrgenommen und von unabhängiger Seite hat bestätigen lassen. Die Regelungen der EU-DSGVO zur Zertifizierung zielen auf die konkrete Verarbeitung von Daten im Sinne von Produkten, Prozessen oder Services ab. Zu definieren, welches denn die wichtigsten Verarbeitungstätigkeiten sind, fällt vielen Unternehmen schwer, da hier auch immer der Blickwinkel des Betrachters beachtet werden muss. Auch wenn die ISO 27701 keine EU-DSGVO-Zertifizierung ist – davon gibt es im Übrigen bisher nur sehr wenige, die sich nur auf eng abgesteckte Bereiche anwenden lassen –, so hilft ein PIMS Datenschutzverantwortlichen doch, den Umgang mit den sensiblen personenbezogenen Daten grundsätzlich zu regeln und zu belegen. Zudem wird bei einer PIMS-Zertifizierung durchaus geprüft, inwiefern rechtliche Regelungen wie die EU-DSGVO in das Managementsystem eingeflossen sind.
Neben den ISO/IEC 27001-Zertifizierungen verzeichnet TÜV SÜD Management Service aktuell bei TISAX® (Nachweis zur IT-Sicherheit in der Automobilbranche) die größte Nachfrage seitens Neukunden. Was macht TISAX® so attraktiv?
TISAX ist ein Prüf- und Austauschmechanismus von Prüfergebnissen nach dem VDA-ISA-Standard und zielt auf Informationssicherheit im Umfeld der Automobilindustrie ab. Der Erfolg von TISAX zeigt die Vorteile eines solchen geschlossenen Ökosystems beim Informationsaustausch. Unternehmen, die registriert sind, können anderen Teilnehmern ihre Ergebnisse auf einfache Weise zugänglich machen. TISAX arbeitet mit einem stark standardisierten Geltungsbereich und sogenannten Audit Objectives, um unterschiedliche Szenarien abbilden zu können. Das schafft große Transparenz, hohe Vergleichbarkeit und spart Zeit, da nicht eigens Zertifikate angefordert und verifiziert werden müssen – es kann alles über das TISAX-Portal realisiert werden.
Wie kann TÜV SÜD über die Managementsystem-Zertifizierungen hinaus zu mehr Cyber Security in Unternehmen beitragen?
Aktuell führen uns die erfolgreichen Angriffe von Hacker-Kollektiven auf russische Staatsmedien die Macht von Cyberangriffen sehr deutlich vor Augen. Prinzipiell kann wirklich jede Organisation Ziel einer solchen Attacke sein – und es braucht nicht einmal einen besonderen Grund dafür, auf eine entsprechende Angriffsliste zu geraten. Dazu reicht mit etwas Pech schon ein versehentlicher Zahlendreher. Unternehmen – und insbesondere kritische Infrastrukturen – sollten tatsächlich prüfen, ob sie an dieser Stelle richtig aufgestellt sind. Mittlerweile ist übrigens jede Klinik unabhängig von ihrer Größe dazu verpflichtet, den Stand der Technik umzusetzen. Und auch wenn noch nicht alle Krankenhäuser zwingend einen offiziellen Nachweis erbringen müssen – sobald der Ernstfall eintritt, sollte man eine entsprechende unabhängige Prüfung vorweisen können, um sich zu entlasten. TÜV SÜD führt entsprechende Audits durch und zeigt auf, wo Lücken zum definierten Standard existieren. Hier ist anzumerken, dass der einfache Nachweis über den allgemeinen Stand der Technik der spezifischen Situation oft nicht gerecht wird. Dann muss man sich über kompensierende Maßnahmen Gedanken machen.
Was sind kompensierende Maßnahmen?
Es gibt viele valide Gründe, warum bestimmte Sicherheitsmaßnahmen in einem konkreten Fall nicht umsetzbar sind. Dann muss das Unternehmen die entsprechenden Daten oder Systeme anderweitig absichern, also kompensierende Maßnahmen ergreifen. Ein Beispiel: Die Informationen in einem Krankenhaus sind auch aus Sicht der EU-DSGVO zweifelsfrei hoch schützenswert – es handelt sich um sensible Gesundheitsdaten. In der Notaufnahme des Krankenhauses ist Schnelligkeit gefragt, es geht um Leib und Leben. Hier ist abzuwägen, ob der Notarzt Zeit für eine Zwei-Faktor-Authentifizierung und die Eingabe eines 20-stelligen Passwortes hat, oder ob er nicht besser direkt auf die notwendigen Daten zugreifen sollte. Entscheidet man sich für Letzteres, dann ist festzulegen, wie sich die Gefährdung der Daten auf einem solch mangelhaft oder gar ungeschützten Rechner dennoch minimieren lässt. Denkbar wären physische Sicherheitsbarrieren oder eine starke Einschränkung der auf dem PC vorhandenen Daten. Und im Hintergrund sollten Monitoring-Systeme laufen, die Alarm schlagen, sobald es einen verdächtigen Zugriff wie eine massenhafte Datenabfrage gibt. Die TÜV SÜD-Branchenexperten können neben den etablierten Maßnahmen auch solch kompensierende Maßnahmen daraufhin beurteilen, ob sie zum angestrebten Ziel führen.
Ansprechpartner: Alexander Häußler, Global Product Performance Manager IT, TÜV SÜD Management Service
Erfahren Sie mehr über die Inhalte der ISO/IEC 27001 und über ISMS.
Download
TÜV SÜD-Experte Alexander Häußler beantwortet im Interview Fragen zur Providerauswahl und welche Hilfestellung die ISO/IEC 27001 bietet.
Mehr lesen
Alle Infos zur Norm für IT-Sicherheitsmanagement im Gesundheitswesen
Erfahren Sie mehr
