Manch einer will nur noch Reissaus nehmen, wenn er liest, was in Wikipedia unter dem Stichworten Information Security Management System und ISO/IEC 27001 und 27002 gelistet ist. Von Verfahren und Regeln ist da die Rede, dauerhaft aufrecht zu erhalten und erst noch fortlaufend zu verbessern. So etwas Langweiliges! Das riecht nach harter Arbeit, Anstrengung und Fleiss — definitiv nicht nach dem, was den modernen Nerd vom Hocker haut!

Aber weit gefehlt: in all den Jahren, in denen wir uns in der Informatikwelt herumtreiben, haben wir eines gelernt: das ISMS bringt’s! Das ISMS ist ein toller Freund und treuer Begleiter, mit dem man so manches Abenteuer erfolgreich bestehen kann, ohne am nächsten Morgen mit einem fürchterlichen Kater erwachen zu müssen.

Und noch etwas: natürlich zeigt Ihnen die Temet gerne, wie man sich einen solchen Freund zu eigen macht.

Kurze Geschichte und Bedeutung

Das ISMS – auf gut Deutsch „Managementsystem für Informationssicherheit“ – ist in der noch kurzen Geschichte der Informationstechnologie etwas vergleichsweise „Altes“.

Schon in den 80er und frühen 90er Jahren des letzten Jahrhunderts zeigte sich der Bedarf, Risikoüberlegungen im Zusammenhang mit der Sicherheit von elektronischen Daten in eine Systematik zu bringen, die weltweit verstanden und umgesetzt werden konnte.

Im Jahr 1995 veröffentlichte die British Standards Institution (BSI) erstmals den Standard BS 7799, den Vorreiter der Standards ISO/IEC 27001 und 27002. Er wurde vom britischen „Department of Trade and Industry (DTI)“ in Zusammenarbeit mit anderen Regierungsteilen des Vereinigten Königreichs entwickelt und mit dem Ziel publiziert, Führungskräften und Mitarbeitenden eines Unternehmens, ein Modell zur Verfügung zu stellen, das die Einführung und den Betrieb eines effektiven ISMS erlaubt.

Schon damals bestand der Standard aus zwei Teilen: dem sogenannten Code of Practice, in welchem technisch ausgerichtete und differenzierte Sicherheitskontrollen aufgeführt wurden, und einem allgemeineren Teil, in dem die als wesentlich erkannten Prinzipien der Informationssicherheit auf eine Art und Weise formuliert wurden, die sie im betrieblichen Alltag eines Unternehmens anwendbar machten.

Das Standardwerk erfreute sich von Beginn an grosser Beliebtheit und wurde von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) – im Jahr 2000 – beinahe unverändert adoptiert und in zwei weltweit breit abgestützten Vernehmlassungsrunden 2005 und 2013 mit zahlreichen Präzisierungen und Ergänzungen erneut publiziert.

Die zuletzt gültigen Standards ISO/IEC 27001:2013 und 27002:2013 bilden seither die Basis für eine Zertifizierung durch staatlich akkreditierte Instanzen und werden durch das JCT1 (Joint Technical Committee 1) SC27 (Subcommittee 27) der Standardisierungsorganisation laufend weiterentwickelt, ohne dass dies bis heute zu einer Neuauflage geführt hätte.

Das Betreiben eines ISMS wird jedoch durch ergänzende Standards unterstützt, die auf einen Teilbereich der Informationssicherheit fokussieren. Als wichtige neuere Standards seien erwähnt ISO/IEC 27017:2015 – Code of Practice for Cloud Services und – brandneu von August 2019 – ISO/IEC 27701 Managing privacy with an ISMS.

ISMS als Kernkompetenz der Temet

Die Temet hat von Beginn an die beiden Standards ISO/IEC 27001 und 27002 als Blaupause für ein gut funktionierendes sicherheitsbezogenes Managementsystem erkannt und bei ihren Kunden gefördert. Einige ihrer Consultants durften als Mitglieder des ISO/IEC SC27 die Anliegen der Schweizer Banken bei der Formulierung einzelner IT-Sicherheitskontrollen vertreten und konnten die eine oder andere Präzisierung im Sinne der Banken durchsetzen.

Die Temet kennt deshalb diese Standards von Grund auf und weiss auch um deren teilweise kontroverse Auslegung. Wir haben uns bewusst gegen eine Akkreditierung als Audit Body für die ISMS-Zertifizierung entschieden und konzentrieren uns auf die Unterstützung unserer Kunden in der Rolle des Internal Auditing und Control of Authority.

Dies bedeutet, dass wir unsere Kunden nicht nur beim Aufbau und der Durchsetzung des ISMS unterstützen, sondern sie auch gründlich auf die Zertifizierung und Re-Zertifizierung durch externe Auditoren vorbereiten. Es schadet dabei nicht, dass wir selber Audits durchführen und uns deshalb gut in die Situation eines externen Auditors versetzen können.

Ohne den Ernst der Lage in Frage stellen zu wollen, können wir versichern, dass es bei einer Zertifizierung manchmal auch etwas spielerisch zu und her geht. Nicht selten vertreten Auditoren bei bestimmten umstrittenen Kontrollen eine sektiererische Härte – in der versteckten Absicht den Prüfling herauszufordern und zu testen, ohne ihn dann am Ende wirklich derart hart zu bewerten. Wer die kritischen Punkte kennt, wird sich weniger aus dem Konzept bringen lassen. Es geht schlussendlich beim ISMS weniger um eine perfekte Umsetzung als vielmehr um eine im stressigen Alltag mühelos funktionierende Kontrolle.

Leider „schleckt es keine Geiss weg“ – ohne eine wirksame Verwaltung nützt keine noch so exzellente technische Sicherheitsmassnahme. Es ist sogar so, dass manchmal einfache Prozeduren, wie z.B. der Rechteentzug in kritischen betrieblichen Situationen oder der Einbau einer Sicherheitskontrolle im Beschaffungsprozess mehr nützen als z.B. die Einführung komplexer technischer Überwachungssysteme. Der ISMS-Standard ist gut geeignet, zu erkennen, wo das eine mehr bringt als das andere und umgekehrt.

Ausblick

Die Zukunft bringt mancherlei mit sich, von dem wir heute nichts wissen. Es ist daher besser, wenn man offen für Neues bleibt, ohne gleich das Bewährte ganz zu verstossen.

In einigen Kundenmandaten mussten wir erkennen, dass ein ISMS alter Schule nicht mehr ausreicht, um den schnell sich ändernden Anforderungen gerecht zu werden.

Dies ist vor allem dort der Fall, wo Software-Entwicklung und Projektvorhaben mit agilen Prozessen gemanaged werden und wo Artificial Intelligence und Internet of Things intensiv und „Match-entscheidend“ eingesetzt werden. In diesen Situationen stösst das hierarchisch strukturierte ISMS in den Peer-to-Peer organisierten Abläufen schnell an seine Grenzen.

Trotzdem sollte auch in diesen Situationen nicht auf die Einführung und Durchsetzung eines ISMS verzichtet werden. Das ISMS sollte vielmehr durch weitere Management-Tools ergänzt werden. Der grösste Nutzen eines ISMS ist schliesslich seine Fähigkeit, vorzugeben, was in der Sicherheit gemacht werden soll, um die Risiken zu begrenzen. Der grösste Nachteil eines ISMS ist dagegen, dass es wenig dazu beiträgt, wie etwas in der Sicherheit gemacht werden soll. Hierfür sind andere Standards besser geeignet.

In unseren ISMS-Projekten ergänzen wir deshalb die ISO/IEC Standards 27001 und 27002 je nach Ausrichtung des Vorhabens durch das NIST Cybersecurity Framework (v.1.1; https://www.nist.gov/cyberframework) und die Center of Internet Security Controls (v.7.1; https://www.cisecurity.org/controls).

Wo die ISMS-Standards aufzeigen, was erforderlich und erlaubt ist, beschreiben die technischen Sicherheitsprinzipien des NIST Cybersecurity Frameworks das „Wie“ auf grundsätzliche Weise z.B. durch Aussagen zur Zugangssteuerung und zur Zugangsverwaltung, durch ein UID-Konzept oder durch das Least Privilege-Prinzip.

Die Kontrollen des Center of Internet Security gehen noch einen Schritt weiter und beschreiben konkrete Massnahmen aus der Vogelperspektive zur besseren Planung der Lösungsarchitektur. Sie enthalten z.B. praktische Aussagen zu Entry Services, Security Tokens, Malware-Schutz, Verbindungsprotokollen und applikatorischen Schnittstellen.

In der Kombination entfalten die drei Frameworks erst ihre wirkliche Kraft! Ein solches Schutzdispositiv umzusetzen ist anspruchsvoll, am Ende aber lohnend. Auf diese Weise wird wirklich ein kontinuierlicher ISMS Verbesserungsprozess eingeführt und durchgesetzt!