Thought Leadership
Was müssen Unternehmen über ISO 27001:2022 wissen? Das verrät Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint, im Interview.
Was ändert sich mit der ISO 27001:2022?
Frank Limberger: Die Neufassung der ISO 27001 stellt die Sicherheit und den Schutz von Daten stärker in den Vordergrund, was sich schon am neuen Titel „Information Security, Cybersecurity and Privacy Protection“ zeigt. Neben einigen Präzisierungen, etwa dass Unternehmen Änderungen an ihrem Informationssicherheitsmanagmentsystem geplant und nachvollziehbar umsetzen müssen, wurden vor allem die Sicherheitsmaßnahmen im Anhang A überarbeitet.
Zwar sind einige Maßnahmen weggefallen, aber auch insgesamt elf neue hinzugekommen. Dazu zählen unter Punkt 5.12 die Klassifizierung von Informationen, unter Punkt 5.23 die Informationssicherheit bei der Nutzung von Cloud-Diensten, unter Punkt 8.10 das Löschen von Informationen und unter Punkt 8.12 das Verhindern von Datenabflüssen. All das sind Dinge, die Unternehmen erfahrungsgemäß schwerfallen, weil ihnen der Überblick fehlt, welche Daten sie besitzen und was mit diesen Daten geschieht.
Wie lange haben Unternehmen Zeit, die Änderungen umzusetzen?
Frank Limberger: Für bestehende Zertifikate gibt es eine Übergangsfrist von drei Jahren ab Veröffentlichung der ISO 27001:2022, also bis zum Oktober 2025. Wer eine Rezertifizierung oder Erstzertifizierung anstrebt, kann diese ab Mai 2024 nur noch nach der neuen Norm durchführen.
Was genau müssen Unternehmen nun tun, um beispielsweise Datenabflüsse zu verhindern?
Frank Limberger: Der erste Schritt ist die Klassifizierung von Daten – nicht nur, weil die Neufassung der ISO 27001 ohnehin danach verlangt, sondern weil es schlicht notwendig ist, um schützenswerte Daten zu identifizieren. Allerdings müssen Unternehmen auch nicht ihren gesamten Datenbestand klassifizieren. Es reicht, wenn sie sich auf Daten konzentrieren, die für sie wichtig sind, die Missbrauchspotenzial bergen oder deren besonderer Schutz gesetzlich vorgeschrieben ist. Anschließend müssen Unternehmen ermitteln, wo diese Daten liegen, und kontinuierlich überwachen, was mit ihnen geschieht: Wer greift auf sie zu, wohin werden sie kopiert und mit wem geteilt? Auf diese Weise lassen sich schnell Risiken wie der Datenaustausch über unsichere Cloud-Services erkennen. Oft hilft es dann schon, in Schulungen das Bewusstsein für einen sicheren Umgang mit Daten zu schärfen. Darüber hinaus lassen sich Sicherheitsverletztungen durch Richtlinien verhindern, wobei das Blockieren von Aktivitäten immer der letzte Ausweg und ganz klaren Verstößen vorbehalten sein sollte. In der Regel genügen Warnhinweise oder Freigaben durch Vorgesetzte.
Wie aufwändig ist es, so etwas umzusetzen?
Frank Limberger: Das ist definitiv einfacher, als die viele Unternehmen denken, und kostet auch keine Unsummen. Denn die Fachbereiche wissen durchaus, welche Daten sie schützen müssen und können Kundenlisten, Konstruktionszeichnungen, Code-Stücke, Präsentationen und vieles mehr als Beispiel liefern. Gute Lösungen für Data Loss Prevention sind dann in der Lage, diese Beispiele zu analysieren und ähnliche Daten zuverlässig zu erkennen – unabhängig davon, ob sie auf firmeneigenen Servern, bei Cloud-Diensten oder auf den Rechnern der Mitarbeiter liegen. Dank vorgefertigten Regelsätzen bieten sie zudem sofort einen Grundschutz, der sich immer weiter verfeinern lässt. In unseren Projekten mit Unternehmen von etwa 1.000 Mitarbeitern haben wir meist schon nach zwei Wochen die Data Discovery und die Datenklassifizierung abgeschlossen, können nachvollziehen, was mit den Daten geschieht, und zehn bis 15 firmenspezifische Richtlinien durchsetzen.
Gibt es typische Fehler, die Unternehmen machen?
Frank Limberger: Wenn es um Datensicherheit geht, setzen Unternehmen manchmal die Prioriäten falsch und konzentrieren sich beispielsweise auf USB- oder Drucker-Sicherheit. Natürlich können auf diesen Wegen vertrauliche Daten abfließen, aber das Risiko ist weitaus geringer als das von Datenabflüssen über die Cloud oder über E-Mail. Zudem versuchen sie häufig, alles mit den bereits vorhandenen Sicherheitslösungen umzusetzen, die aber nicht ausreichend Funktionen bieten oder riesige Logs liefern, die niemand auswertet. Letztlich ist die ISO 27001:2022 eine gute Gelegenheit, das Thema Datensicherheit endlich richtig anzugehen und mit überschaubarem Aufwand mehr Sichtbarkeit zu erhalten, was mit schützenswerten Daten im Unternehmen überhaupt passiert.
Wie kommt es – abgesehen von Cyber-Attacken – üblicherweise zu Datenabflüssen?
Frank Limberger: Cyber-Attacken sind ein wichtiger Grund für Datenabflüsse, und ebenso gibt es immer wieder Mitarbeiter, die bewusst Daten weiterleiten oder mitnehmen – sei es, weil sie unzufrieden sind oder weil sie den Job wechseln. Das ist den meisten Unternehmen durchaus bewusst. Was sie jedoch unterschätzen, ist, wie viele Verletzungen der Datensicherheit aus Unachtsamkeit geschehen – weil Mitarbeiter beispielsweise Daten unverschlüsselt auf einen USB-Stick kopieren, sich beim Mail-Empfänger vertippen oder ein Dokument mit sensiblen Informationen in KI-Tools wie ChatGPT uploaden.
Wäre es nicht generell für Unternehmen sinnvoll, so etwas zu verhindern – unabhängig von einer angestrebten Zertifizierung nach ISO 27001:2022?
Frank Limberger: Auf jeden Fall. Allerdings sind sie sich vieler Risiken gar nicht bewusst oder sie fürchten einen großen Aufwand. Dabei ist Datensicherheit mit den richtigen Lösungen sehr einfach und zugänglich – und im Grunde der bestmögliche Weg, wertvolle und vertrauliche Daten zuverlässig zu schützen.
