Informationen sind längst mehr als nur Wissensressourcen, sie sind die Basis für Vertrauen, Innovation und geschäftlichen Erfolg. Gleichzeitig gehören sie zu den größten Risikofaktoren: Cyberangriffe, Datenlecks oder Systemfehler zeigen regelmäßig, wie verwundbar selbst etablierte Unternehmen sein können. Es gibt so viele News zu diesen Problemen, dass es häufig nicht einmal mehr eine Schlagzeile wert ist.
Genau deshalb wird Informationssicherheit zunehmend zu einer strategischen Aufgabe. Kunden, Geschäftspartner und Aufsichtsbehörden erwarten heute nicht nur funktionsfähige IT-Systeme, sondern auch den Nachweis, dass Daten zuverlässig geschützt sind. Hier setzt die internationale Norm ISO/IEC 27001:2022 an.
Als weltweit anerkannter Standard bietet sie Unternehmen jeder Größe, egal ob Kleinunternehmen oder Großkonzern, einen klaren Rahmen, um Informationssicherheitsrisiken systematisch zu identifizieren, zu bewerten und zu steuern. Sie schafft damit nicht nur mehr Sicherheit, sondern auch Vertrauen, sowohl intern bei Mitarbeitenden, als auch extern bei Kunden und Partnern. In einer Zeit, in der Informationssicherheit ein entscheidender Wettbewerbsfaktor geworden ist, zeigt die ISO/IEC 27001:2022 den Weg zu nachhaltigen und überprüfbaren Strukturen.
In diesem Artikel werden wir auf die wesentlichen Inhalte der ISO/IEC 27001:2022 eingehen und hilfreiche Tipps geben.
Neuerungen in der ISO/IEC 27001:2022
Die ISO/IEC 27001:2022 ist derzeit die aktuellste Version, die sich am aktuellen Markttrend orientiert und modernisiert wurde. Die vorherige Version stammt aus dem Jahr 2013 und kann für eine Re-Zertifizierung nicht mehr als Grundlage genutzt werden. Wir bei IONOS haben uns daher schon sehr lange mit der aktuellen Norm beschäftigt. Der Kern des Standards, das Managementsystem für Informationssicherheit (ISMS), bleibt gleich, allerdings wurden die Maßnahmen (Controls) in Anhang A überarbeitet. Statt 114 Controls in 14 Bereichen gibt es nun 93 Controls in vier Themenbereichen.
Die neuen Themenbereiche sind:
- Organizational
- People
- Physical
- Technological
Insgesamt sind 11 neue Maßnahmen hinzugekommen, beispielsweise Cloud Security, Threat Intelligence und Data Masking.
Darüber hinaus wurde die Struktur an die sogenannte High Level Structure (HLS) der ISO angepasst, so dass die Integration mit anderen Managementsystemen, z.B. ISO 9001 (Qualitätsmanagement) oder ISO 27701 (Erweiterung auf das Datenschutz-Informationsmanagement) einfacher wird.
Unser Tipp: Eine GAP-Analyse zu den neuen Maßnahmen sollte unbedingt im Vorfeld vorgenommen werden, bevor die Re-Zertifizierung ansteht. Diese Analyse hilft dabei, die Lücken zwischen dem aktuellen ISMS und den neuen Anforderungen der ISO/IEC 27001:2022 zu identifizieren.
Klimaschutz im Managementsystem berücksichtigen
Die ISO/IEC 27001:2022 wurde um wichtige Umweltaspekte in Bezug auf den Klimaschutz erweitert. Aus diesem Grund wurden die Normabschnitte 4.1 und 4.2 ergänzt.
Unternehmen müssen nun prüfen, ob der Klimawandel für ihre Organisation ein relevantes Thema darstellt und ob interessierte Parteien Anforderungen bezüglich des Klimaschutzes haben. Diese Änderungen wurden im Februar 2024 vom Internationalen Akkreditierungsforum (IAF) und der Internationalen Organisation für Normung (ISO) in einer gemeinsamen Erklärung unterstrichen.
Unser Tipp: Die Ergänzung kann kostenlos auf der ISO-Webseite heruntergeladen werden, sodass diese Aspekte anschließend im Managementsystem behandelt werden können.
NIS-2 und ISO 27001: Gemeinsam für mehr Cybersicherheit
Neben der ISO 27001 ist die NIS-2-Richtlinie eine weitere wichtige Regelung im Bereich der Cybersicherheit. Die EU-Richtlinie hat zum Ziel, die Cyberresilienz in den Mitgliedstaaten zu stärken und betrifft eine deutlich größere Anzahl an Unternehmen als die vorherige Version.
Im Gegensatz zur freiwilligen ISO 27001, die einen allgemeinen Rahmen für Informationssicherheit bietet, ist die Einhaltung der NIS-2 gesetzlich verpflichtend für Unternehmen in bestimmten Sektoren, die als „besonders wichtig“ oder „wichtig“ eingestuft werden.
Ein zentraler Aspekt ist dabei die Meldepflicht bei Sicherheitsvorfällen, die in der NIS-2 klar definiert ist. Organisationen, die bereits ein etabliertes ISMS nach ISO 27001 betreiben, sind jedoch gut vorbereitet, da viele der Anforderungen der NIS-2 bereits durch die Norm abgedeckt sind.
Das Informationssicherheitsmanagementsystem im kontinuierlichen Wandel
Ein Informationssicherheitsmanagementsystem (ISMS) lebt von den Menschen, die es anwenden und von der Organisation selbst. Strategische Veränderungen im Unternehmen – beispielsweise bezüglich der Produkte oder des Geltungsbereichs – müssen daher auch im ISMS abgebildet werden.
Viele Menschen betrachten ein Managementsystem fälschlicherweise als ein Projekt mit einem festen Start- und Enddatum. Tatsächlich orientiert sich ein Managementsystem wie die ISO/IEC 27001 am PDCA-Zyklus , erfordert eine kontinuierliche Auseinandersetzung und ist daher ein fortlaufender Prozess.
Bei IONOS ist eine genaue Betrachtung (Analyse) unerlässlich, die folgende Aspekte berücksichtigt:
- Welche Aspekte sind für externe Partner und Kunden relevant?
- Wie ist der Geltungsbereich definiert? Muss dieser gegebenenfalls angepasst werden?
- Sind alle relevanten Produkte im ISMS abgedeckt?
- Welche Punkte sind für den Vertrieb von zentraler Bedeutung?
- Was ist die strategische Ausrichtung des Top-Managements?
Diese Punkte sollten regelmäßig, mindestens jedoch einmal jährlich, überprüft werden. Ohne eine systematische Analyse des organisatorischen Umfelds könnte das Managementsystem in eine falsche Richtung laufen und sein eigentliches Ziel verfehlen.
Unser Tipp: Die Kommunikation mit relevanten Stakeholdern sollte durch etablierte Meetingstrukturen gefördert werden. Ein gut durchdachtes Kommunikationskonzept stellt sicher, dass alle wichtigen Personen die relevanten Inhalte erhalten. Regelmäßige Entscheidungsfindungen sind ebenso wichtig, damit das Managementsystem optimal funktionieren kann.
Interne Audits helfen, Lücken zu identifizieren
Interne Audits sind ein wesentlicher Bestandteil eines jeden Managementsystems. Gemäß der ISO/IEC 27001 sind sie verpflichtend durchzuführen und bilden im PDCA-Zyklus den Abschnitt „Check“. Sie sind eine systematische und unabhängige Überprüfung von Prozessen und Systemen innerhalb einer Organisation, die entweder durch eigene, qualifizierte Mitarbeiter oder durch externe Dienstleister erfolgt. Die Hauptziele solcher Audits sind die Überprüfung der Einhaltung von Sicherheitsanforderungen, das Erkennen von Risiken und Verbesserungspotenzialen sowie die Steigerung der Effizienz des Managementsystems.
Wichtige Aspekte bei der Durchführung interner Audits
Um die Unabhängigkeit zu gewährleisten, müssen interne Auditoren von den Abteilungen getrennt sein, die sie prüfen. Sie benötigen zudem eine ausgewiesene Fachkompetenz, die durch Qualifikationsnachweise belegt werden sollte.
Ein internes Audit sollte sich über den gesamten Geltungsbereich des ISMS erstrecken. Das Ziel sollte sein, innerhalb eines Auditzyklus – typischerweise drei Jahre – alle relevanten Bereiche und Teams abzudecken. Um dies fair und logisch zu gestalten, sollten nicht immer dieselben Bereiche auditiert werden. Andernfalls kann das Vertrauen in das Managementsystem geschwächt werden.
Zufallsstichproben sind hierbei ein wertvolles Instrument. Sie sorgen für eine unvoreingenommene Auswahl, was die Repräsentativität der Ergebnisse erhöht. Dies ermöglicht eine verlässliche Übertragung der Erkenntnisse auf das gesamte Managementsystem und reduziert gleichzeitig den Aufwand.
Planung und Organisation sind entscheidend
Für eine professionelle Durchführung der internen Audits sind ein gut strukturiertes Auditprogramm und eine frühzeitige Planung unerlässlich. Ein Auditprogramm ist die strategische, übergeordnete Planung aller Audits über einen festgelegten Zeitraum. Es definiert Ziele, Umfang und Methoden und verfolgt oft einen risikobasierten Ansatz. Dies steht im Gegensatz zum Auditplan, der die Details eines einzelnen Audits festlegt.
Eine frühzeitige Planung sorgt für Transparenz im Unternehmen, vermeidet Risiken wie unklare Verantwortlichkeiten und stellt die Anwesenheit der auditierten Personen sicher. Sie ermöglicht es beispielsweise, neue Controls wie Secure Coding, Configuration Management oder Web Filtering gezielt zu prüfen, um den Reifegrad des ISMS zu ermitteln.
Kommunikation und Dokumentation
Feststellungen aus den Audits sollten klar, transparent und zentral dokumentiert werden. Diese Dokumentation sollte auch die Kommunikation vor und nach den Audits regeln. Eine gut strukturierte Vorgehensweise ist besonders in größeren Unternehmen von entscheidender Bedeutung.
Vor dem Audit sollte eine Kommunikation mit einem Auditplan an alle auditierten Personen oder deren Vorgesetzten verschickt werden. Nach Abschluss der Audits empfiehlt es sich, eine kurze Zusammenfassung an alle Beteiligten und das Top-Management zu senden, die folgende Fragen beantwortet:
- Was waren die größten Abweichungen und welche Probleme wurden identifiziert?
- Welche positiven Aspekte wurden hervorgehoben?
- Wo sind weitere Details zu den Feststellungen zu finden?
Unser Tipp: Eine frühzeitige und transparente Planung der internen Audits ermöglicht es der Organisation, sich optimal vorzubereiten. Alle relevanten Stakeholder, wie Vorgesetzte und Auditierte, sollten frühzeitig in die Kommunikation einbezogen werden. Interne Audits können gezielt zur Überprüfung neuer Controls genutzt werden, um potenzielle Probleme rechtzeitig zu erkennen.
Einsatz von KI: Chancen und Herausforderungen für das ISMS
Die Integration von Künstlicher Intelligenz (KI) eröffnet zahlreiche Möglichkeiten, ein ISMS zu optimieren und zu automatisieren. Es ist davon auszugehen, dass in den nächsten Jahren eine steigende Nutzung von KI-Lösungen in der Cybersicherheit zu beobachten sein wird. Anders als herkömmliche Software wird KI nicht programmiert, sondern durch Algorithmen und Trainingsdaten selbstständig entwickelt. Das macht ihre Funktionsweise oft komplex und nicht immer vollständig nachvollziehbar.
KI-gesteuerte Kontrollen lassen sich in Cloud-Sicherheitsbewertungen integrieren, wie sie beispielsweise die ISO/IEC 27001 (Control A.5.23) vorsieht. Dies ermöglicht eine Optimierung von sicherheitsrelevanten Prozessen wie Datenflüssen und Zugriffskontrollen.
Mögliche Einsatzbereiche der KI:
- Automatisierung von Routineaufgaben: KI kann die Effizienz des Sicherheitsbetriebs erheblich steigern, indem sie zeitaufwändige Aufgaben wie die Analyse großer Mengen von Protokolldateien automatisiert.
- Echtzeit-Erkennung von Anomalien: Durch die kontinuierliche Überwachung von Netzwerken lassen sich Anomalien und potenzielle Schwachstellen in Echtzeit erkennen.
- Entscheidungsunterstützung: KI liefert präzise Vorhersagen und fundierte Risikobewertungen, die eine bessere Priorisierung von Sicherheitsmaßnahmen ermöglichen.
Risiken bei der Implementierung von KI
Trotz der zahlreichen Vorteile dürfen die Risiken, die der Einsatz von KI mit sich bringt, nicht außer Acht gelassen werden. Da KI-Systeme oft auf sensible und vertrauliche Daten zugreifen, ist eine genaue Vergabe der Zugriffsrechte unerlässlich. Besonders bei generativer KI ist es zudem entscheidend, die Qualität und Herkunft der Trainingsdaten kritisch zu prüfen, um das Risiko einer unbeabsichtigten Offenlegung von Informationen zu minimieren. Die Trainingsdaten müssen stets aktuell und korrekt sein, und ihre Überprüfung sollte regelmäßig erfolgen.
Obwohl rechtliche Rahmenbedingungen wie die DSGVO oder das Vertragsrecht existieren, ist die Übertragung auf generative KI oft schwierig, was zu Unsicherheit in der Auslegung führt. Hier bietet die ISO/IEC 27001 (Control A.5.23) eine relevante Orientierung für die sichere Nutzung von Cloud-Diensten.
Eine weitere Herausforderung ist die mögliche Verzerrung und das sogenannte „Halluzinieren“ von KI-Systemen, was zu falschen oder unvollständigen Antworten führen kann. Eine Lösung hierfür ist die Anforderung, dass die KI ihre Quelle angibt, um eine manuelle Überprüfung der Ergebnisse zu ermöglichen.
Unser Tipp: Ein strategischer Einsatz von KI bietet die Möglichkeit, die Effizienz des ISMS signifikant zu steigern und die Sicherheitslage zu verbessern. Vor der Implementierung sollte dazu eine umfassende Risikoanalyse durchgeführt werden, die insbesondere die Herkunft der Trainingsdaten und die Zugriffsrechte der KI berücksichtigt. Eine klare Verantwortlichkeit für die Überprüfung der KI-Ergebnisse ist essenziell.
Fazit
Ein effizientes Informationssicherheitsmanagementsystem muss in der heutigen Zeit kontinuierlich an neue Risiken und Technologien angepasst werden. Die ISO/IEC 27001:2022 bietet mit ihren aktualisierten Kontrollen und der Orientierung auf den Klimaschutz einen wichtigen Rahmen. Insbesondere bei der Erstellung der Statement of Applicability (SoA) müssen Organisationen genau überlegen, wie sie die neuen Anforderungen und die überarbeiteten Sicherheitsmaßnahmen in ihrem Unternehmen umsetzen. Die NIS-2-Richtlinie verstärkt diesen Handlungsbedarf, da sie die Einhaltung von Cybersicherheitsstandards für kritische Sektoren gesetzlich vorschreibt.
Die Integration von KI stellt eine große Chance dar, das ISMS zu automatisieren und zu stärken. Dennoch dürfen die damit verbundenen Risiken, wie Datenlecks oder Verzerrungen, nicht ignoriert werden.
Um die Umsetzung und Wirksamkeit des Managementsystems sicherzustellen, sind interne Audits unerlässlich. Sie helfen, Schwachstellen – insbesondere bei den neuen Kontrollen – frühzeitig zu identifizieren und die Sicherheit kontinuierlich zu verbessern. Nur ein gepflegtes und fortlaufend überprüftes ISMS kann Unternehmen langfristig schützen und das Vertrauen von Kunden und Partnern stärken.