02.09.2019 | Daniel Felix Maurer
ISMS 2020 – Tiger im Schafspelz
Manch einer will nur noch Reissaus nehmen, wenn er liest, was in Wikipedia unter dem Stichworten Information Securit Management System und ISO/IEC 27001 und 27002 gelistet ist. Von Verfahren und Regeln ist da die Rede, dauerhaf aufrecht zu erhalten und erst noch fortlaufend zu verbessern. So etwas Langweiliges! Das riecht nach harter Arbeit Anstrengung und Fleiss – definitiv nicht nach dem, was den modernen Nerd vom Hocker haut!
Aber weit gefehlt: in all den Jahren, in denen wir uns in der Informatikwelt herumtreiben, haben wir eines gelernt: da ISMS bringt’s! Das ISMS ist ein toller Freund und treuer Begleiter, mit dem man so manches Abenteuer erfolgreic bestehen kann, ohne am nächsten Morgen mit einem fürchterlichen Kater erwachen zu müssen.
Und noch etwas: natürlich zeigt Ihnen die Temet gerne, wie man sich einen solchen Freund zu eigen macht.
Kurze Geschichte und Bedeutung
Das ISMS – auf gut Deutsch „Managementsystem für Informationssicherheit“ – ist in der noch kurzen Geschichte de Informationstechnologie etwas vergleichsweise „Altes“.
Schon in den 80er und frühen 90er Jahren des letzten Jahrhunderts zeigte sich der Bedarf, Risikoüberlegungen i Zusammenhang mit der Sicherheit von elektronischen Daten in eine Systematik zu bringen, die weltweit verstanden un umgesetzt werden konnte.
Im Jahr 1995 veröffentlichte die British Standards Institution (BSI) erstmals den Standard BS 7799, den Vorreiter de Standards ISO/IEC 27001 und 27002. Er wurde vom britischen „Department of Trade and Industry (DTI)“ in Zusammenarbei mit anderen Regierungsteilen des Vereinigten Königreichs entwickelt und mit dem Ziel publiziert, Führungskräften un Mitarbeitenden eines Unternehmens, ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eine effektiven ISMS erlaubt.
Schon damals bestand der Standard aus zwei Teilen: dem sogenannten Code of Practice, in welchem technisc ausgerichtete und differenzierte Sicherheitskontrollen aufgeführt wurden, und einem allgemeineren Teil, in dem die al wesentlich erkannten Prinzipien der Informationssicherheit auf eine Art und Weise formuliert wurden, die sie i betrieblichen Alltag eines Unternehmens anwendbar machten.
Das Standardwerk erfreute sich von Beginn an grosser Beliebtheit und wurde von der International Organization fo Standardization (ISO) und der International Electrotechnical Commission (IEC) – im Jahr 2000 – beinahe unveränder adoptiert und in zwei weltweit breit abgestützten Vernehmlassungsrunden 2005 und 2013 mit zahlreichen Präzisierungen un Ergänzungen erneut publiziert.
Die zuletzt gültigen Standards ISO/IEC 27001:2013 und 27002:2013 bilden seither die Basis für eine Zertifizierung durc staatlich akkreditierte Instanzen und werden durch das JCT1 (Joint Technical Committee 1) SC27 (Subcommittee 27) de Standardisierungsorganisation laufend weiterentwickelt, ohne dass dies bis heute zu einer Neuauflage geführt hätte.
Das Betreiben eines ISMS wird jedoch durch ergänzende Standards unterstützt, die auf einen Teilbereich de Informationssicherheit fokussieren. Als wichtige neuere Standards seien erwähnt ISO/IEC 27017:2015 - Code of Practic for Cloud Services und – brandneu von August 2019 – ISO/IEC 27701 Managing privacy with an ISMS.
ISMS als Kernkompetenz der Temet
Die Temet hat von Beginn an die beiden Standards ISO/IEC 27001 und 27002 als Blaupause für ein gut funktionierende sicherheitsbezogenes Managementsystem erkannt und bei ihren Kunden gefördert. Einige ihrer Consultants durften al Mitglieder des ISO/IEC SC27 die Anliegen der Schweizer Banken bei der Formulierung einzelner IT-Sicherheitskontrolle vertreten und konnten die eine oder andere Präzisierung im Sinne der Banken durchsetzen.
Die Temet kennt deshalb diese Standards von Grund auf und weiss auch um deren teilweise kontroverse Auslegung. Wir habe uns bewusst gegen eine Akkreditierung als Audit Body für die ISMS-Zertifizierung entschieden und konzentrieren uns au die Unterstützung unserer Kunden in der Rolle des Internal Auditing und Control of Authority.
Dies bedeutet, dass wir unsere Kunden nicht nur beim Aufbau und der Durchsetzung des ISMS unterstützen, sondern sie auc gründlich auf die Zertifizierung und Re-Zertifizierung durch externe Auditoren vorbereiten. Es schadet dabei nicht, das wir selber Audits durchführen und uns deshalb gut in die Situation eines externen Auditors versetzen können.
Ohne den Ernst der Lage in Frage stellen zu wollen, können wir versichern, dass es bei einer Zertifizierung manchma auch etwas spielerisch zu und her geht. Nicht selten vertreten Auditoren bei bestimmten umstrittenen Kontrollen ein sektiererische Härte – in der versteckten Absicht den Prüfling herauszufordern und zu testen, ohne ihn dann am End wirklich derart hart zu bewerten. Wer die kritischen Punkte kennt, wird sich weniger aus dem Konzept bringen lassen. E geht schlussendlich beim ISMS weniger um eine perfekte Umsetzung als vielmehr um eine im stressigen Alltag mühelo funktionierende Kontrolle.
Leider „schleckt es keine Geiss weg“ – ohne eine wirksame Verwaltung nützt keine noch so exzellente technisch Sicherheitsmassnahme. Es ist sogar so, dass manchmal einfache Prozeduren, wie z.B. der Rechteentzug in kritische betrieblichen Situationen oder der Einbau einer Sicherheitskontrolle im Beschaffungsprozess mehr nützen als z.B. di Einführung komplexer technischer Überwachungssysteme. Der ISMS-Standard ist gut geeignet, zu erkennen, wo das eine meh bringt als das andere und umgekehrt.
Ausblick
Die Zukunft bringt mancherlei mit sich, von dem wir heute nichts wissen. Es ist daher besser, wenn man offen für Neue bleibt, ohne gleich das Bewährte ganz zu verstossen.
In einigen Kundenmandaten mussten wir erkennen, dass ein ISMS alter Schule nicht mehr ausreicht, um den schnell sic ändernden Anforderungen gerecht zu werden.
Dies ist vor allem dort der Fall, wo Software-Entwicklung und Projektvorhaben mit agilen Prozessen gemanaged werde und wo Artificial Intelligence und Internet of Things intensiv und „Match-entscheidend“ eingesetzt werden. In diese Situationen stösst das hierarchisch strukturierte ISMS in den Peer-to-Peer organisierten Abläufen schnell an sein Grenzen.
Trotzdem sollte auch in diesen Situationen nicht auf die Einführung und Durchsetzung eines ISMS verzichtet werden. Da ISMS sollte vielmehr durch weitere Management-Tools ergänzt werden. Der grösste Nutzen eines ISMS ist schliesslich sein Fähigkeit, vorzugeben, was in der Sicherheit gemacht werden soll, um die Risiken zu begrenzen. Der grösste Nachtei eines ISMS ist dagegen, dass es wenig dazu beiträgt, wie etwas in der Sicherheit gemacht werden soll. Hierfür sin andere Standards besser geeignet.
In unseren ISMS-Projekten ergänzen wir deshalb die ISO/IEC Standards 27001 und 27002 je nach Ausrichtung des Vorhaben durch das NIST Cybersecurity Framework (v.1.1 https://www.nist.gov/cyberframework) und die Center of Internet Security Control (v.7.1; https://www.cisecurity.org/controls).
Wo die ISMS-Standards aufzeigen, was erforderlich und erlaubt ist, beschreiben die technischen Sicherheitsprinzipien de NIST Cybersecurity Frameworks das „Wie“ auf grundsätzliche Weise z.B. durch Aussagen zur Zugangssteuerung und zu Zugangsverwaltung, durch ein UID-Konzept oder durch das Least Privilege-Prinzip.
Die Kontrollen des Center of Internet Security gehen noch einen Schritt weiter und beschreiben konkrete Massnahmen au der Vogelperspektive zur besseren Planung der Lösungsarchitektur. Sie enthalten z.B. praktische Aussagen zu Entr Services, Security Tokens, Malware-Schutz, Verbindungsprotokollen und applikatorischen Schnittstellen.
In der Kombination entfalten die drei Frameworks erst ihre wirkliche Kraft! Ein solches Schutzdispositiv umzusetzen is anspruchsvoll, am Ende aber lohnend. Auf diese Weise wird wirklich ein _kontinuierlicher ISMS Verbesserungsprozess eingeführt und durchgesetzt!
Information Security Management System (ISMS)
Daniel Felix Maurer ist Cybersecurity-Experte mit mehr als 30 Jahren Erfahrung als Berater und Führungskraft. Er hat in dieser Zeit viele Firmen und Behörden in allen Aspekten des Managements von Informations- und IT-Sicherheit beraten und über hundert Sicherheitskonzepte, Sicherheitsarchitekturen und Risikoanalysen verfasst.
Daniel Felix Maurer, Managing Security Consultant