Bei der DIN ISO/IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Informationssicherheits-Managementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.

Vorteile der Zertifizierung können unter anderem folgende sein:

• Minimierung von Haftungsrisiken

• Minimierung von Geschäftsrisiken

• Senkung von Versicherungsprämien

• Optimierung von Prozess- und IT-Kosten

• Steigerung der Wettbewerbsfähigkeit

• Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit

• Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren

• Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung

Mit der Zertifizierung erbringt die Organisation den dokumentierten Nachweis, dass die Anforderungen der Informationssicherheit eingehalten und die Maßnahmen zum Schutz von Daten umgesetzt sind. Kunden und Geschäftspartner erhalten dank der Zertifizierung einen vertrauenswürdigen Beleg dafür, dass eine ausreichende IT-Sicherheit gewährleistet werden kann. Das Unternehmen führt eine kontinuierliche Eigenkontrolle durch und optimiert ständig die IT-Prozesse im Hinblick auf die Informationssicherheit. Da ISO 27001 einen ganzheitlichen Ansatz verfolgt, ist die Berücksichtigung der Norm in der Organisation über alle Hierarchieebenen hinweg sichergestellt. Sie hilft damit auch die zentralen Anforderungen von Wirtschaftsprüfern und diverse Regelungen wie Basel II zu erfüllen.

Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung des Informationssicherheits-Management-Systems, kurz ISMS. In einem weiteren Schritt sind die Werte der Organisation zu klassifizieren und zu dokumentieren. Mögliche durch die IT oder mangelnde Informationssicherheit entstehende Risiken sind zu benennen, zu bewerten und zu überwachen. Hierbei hat die Organisation für eine Zertifizierung ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit nachzuweisen. In regelmäßig durchzuführenden Management Reviews ist die Führung über die offen gelegten Risiken zu unterrichten.

Der vom BSI entwickelte IT-Grundschutz ermöglicht es, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen.

Der BSI IT-Grundschutz etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:

• Die Basis-Absicherung liefert einen Einstieg zur Initiierung eines ISMS.
• Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden.
• Die Kern-Absicherung ist eine Vorgehensweise zum Einsteig in ein ISMS, bei der zunächst ein kleiner Teil eines größeren Informationsverbundes betrachtet wird.

Verantwortliche für Informationssicherheit können mit dem Standard 200-2 sowie den erforderlichen Bausteinen aus dem IT-Grundschutz-Kompendium ein ISMS in ihrer Institution aufbauen, bereits bestehende ISMS überprüfen oder erweitern. Die beiden verschlankten und modulare Vorgehensweisen Basis- und Kernabsicherung erleichtern insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg in die Thematik.

Das Cyber Security Framework wurde bereits im Jahr 2014 von NIST – dem National Institute of Standards and Technology, eine Bundesbehörde der USA – veröffentlicht. Ursprünglich gedacht zum Schutz kritischer Infrastrukturen, wurde das CSF auch rasch in der Privatwirtschaft zum gängigen Standard im Umgang mit Cyberrisiken. Dies nicht zuletzt auch deshalb, weil es durch den stufenweisen Aufbau – fünf grundlegende Funktionen und deren spezifische Kategorien – gut verständlich ist und trotzdem viel Substanz in Form von spezifisch technischen sowie organisatorischen Funktionen besitzt.

Alle Unternehmen, die am SWIFT-Netzwerk zur Abwicklung des Zahlungsverkehrs teilnehmen, sprich einen eigenen SWIFT BIC besitzen, müssen die Sicherheitsanforderungen des SWIFT-eigenen Security-Standards CSP (Customer Security Programme) erfüllen. Diese Anforderungen sind erstmals 2016 veröffentlicht worden und werden seitdem kontinuierlich angepasst und konkretisiert, um den technischen Fortschritt abzubilden, den daraus resultierenden Angriffsvektoren angemessen begegnen zu können und somit die SWIFT-Teilnehmer umfassend zu schützen.

Diese Neuerungen und die jährliche Bestätigung der Angemessenheit und Wirksamkeit der Anforderungen aus dem SWIFT CSP erfordern bei SWIFT-Teilnehmern fortlaufend Umsetzungsaufwand.

Da seit 2020 eine Überprüfung der Einhaltung des Standards durch unabhängige Audits zur Pflicht wird, ist es Zeit, einen klaren und unverstellten Blick auf den Status Quo zu werfen, damit es keine unliebsamen Überraschungen gibt.

Das Framework beschreibt eine Reihe von obligatorischen und empfohlenen Sicherheitskontrollen. Die obligatorischen Sicherheitskontrollen bilden eine Ausgangsbasis der Sicherheit für die gesamte Gemeinschaft und müssen von allen Anwendern in ihrer lokalen SWIFT-Infrastruktur umgesetzt werden. SWIFT will diesen obligatorischen Kontrollen Vorrang geben, um ein realistisches Ziel für einen kurzfristigen, spürbaren Sicherheitsgewinn und eine Risikominderung zu setzen. Empfohlene Kontrollen basieren auf bewährten Verfahren, die SWIFT den Anwendern zur Umsetzung empfiehlt.

Während Banken und Versicherungen einen hohen Aufwand bei der Absicherung von IT-Systemen üblicherweise gewohnt sind, stellt die Umsetzung von CSP gerade mittelständische Unternehmen, aber auch viele internationale Konzerne vor erhebliche Herausforderungen. Denn der geforderte Maßnahmenkatalog ist lang und komplex. Andererseits muss fairerweise konstatiert werden: es geht um nichts weniger als die Absicherung der Geldströme aus den Unternehmen heraus. State-of-the-Art Cyber Security ist hier kein „Kann“, sondern ein „Muss“. 

Unternehmen, die bislang noch keine Zweitmeinung zum Umsetzungsstand eingeholt haben und die mit Audits in diesem Bereich noch keine Erfahrung haben, laufen Gefahr, im komplexen CSP-Regelwerk Details zu übersehen. Der Auditor kommt dann möglicherweise zum Urteil, dass Kontrollen, die bislang für erfüllt gehalten wurden, gar nicht wirksam sind. Um diesem Risiko vorzubeugen, ist es sinnvoll, vorab ein simuliertes Audit oder einen „dry run“ durchzuführen. So können mögliche „show stopper“ noch rechtzeitig erkannt und abgestellt werden.