Die Zeiten, in denen die Informationssicherheit weit unten auf der Prioritätenliste stand, sind längst vorbei. Im Zeitalter von Cloud-Speichern und SaaS-Anbietern sind sensible Daten leichter zugänglich als je zuvor, aber auch angreifbarer und leichter zu verlieren, wenn sie nicht richtig geschützt werden. Die jüngsten weltweiten Trends und Ereignisse haben zu einer Zunahme der Aktivitäten von Cyberkriminellen geführt. Wie das Security Magazine berichtet, waren 92 % der Datenschutzverletzungen im ersten Quartal 2022 böswillig beabsichtigt. Die Zahl der Cybersecurity-Vorfälle steigt stetig und alarmierend an – laut derselben Quelle stellt die Zahl der Verstöße im ersten Quartal einen zweistelligen Anstieg gegenüber dem gleichen Zeitraum des Vorjahres dar.
In dieser schwierigen Cybersicherheitslandschaft ist es für Unternehmen unerlässlich, Unternehmensrichtlinien und Geschäftsprozesse einzuführen, um die Informationssicherheit effektiv zu verwalten. Unternehmen wollen auch sicherstellen, dass alle ihre Partner, Auftragnehmer, Softwareanbieter und andere Organisationen in der Lieferkette ähnliche Praktiken anwenden, um Schwachstellen und Sicherheitsrisiken wirksam zu beseitigen. Daher sind immer mehr Unternehmen entweder verpflichtet, die Einhaltung internationaler Sicherheitsnormen nachzuweisen, oder sie entscheiden sich freiwillig dafür, um ihre Marktposition zu verbessern. Die Norm, die zu diesem Zweck am häufigsten verwendet wird, ist ISO/IEC 27001.
Was ist ISO/IEC 27001?
ISO/IEC 27001, oft einfach als ISO 27001 bezeichnet, wurde erstmals 2005 von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) eingeführt und zweimal überarbeitet – 2013 weltweit und 2017 nur für Europa (mit Genehmigung durch CEN/Cenelec). Ihr vollständiger Name lautet „Informationstechnologie – Sicherheitstechniken – Informationssicherheitsmanagementsysteme – Anforderungen“.
Diese Sicherheitsnorm konzentriert sich auf die Entwicklung und Aufrechterhaltung von Informationssicherheitsmanagementsystemen (ISMS). Ein ISMS ist eine Reihe von Richtlinien und Verfahren, die die Sicherheit der Vermögenswerte einer Organisation gewährleisten. Zusätzlich zu den Kontrollen, die sich auf die IT- und Datensicherheit konzentrieren, umfassen solche Systeme oft auch andere Aspekte wie die physische Sicherheit.
Die ISO 27001-Norm kann der Organisation in mehrfacher Hinsicht helfen. Sie kann von Anfang an als Leitfaden bei der Entwicklung und Implementierung eines ISMS verwendet werden. Sie kann auch das Ziel von Audits sein, um sowohl internen als auch externen Interessengruppen zu zeigen, dass die Informationssicherheit gut verwaltet wird.
Was beinhaltet die Norm ISO 27001?
Der Text der ISO 27001-Norm enthält eine kurze Einführung, die sich auf die Definitionen, den Kontext und allgemeine Informationen konzentriert, die bei der Entwicklung und dem Betrieb eines ISMS nützlich sind, wie z. B. Tipps zur Risikobewertung, zum Risikomanagement, zur Unterstützung, zur Leistungsmessung und zu Korrekturmaßnahmen. Der Hauptteil des Inhalts ist jedoch Anhang A, der 114 Sicherheitskontrollen enthält, die in 14 Gruppen und 35 Kategorien unterteilt sind.
Es ist sehr wichtig zu beachten, dass die in Anhang A enthaltenen Sicherheitskontrollen in der 2013 aktualisierten Fassung von ISO 27001 nur als Vorschläge zu verstehen sind (im Gegensatz zur ursprünglichen Version von 2005). Organisationen sind nicht mehr verpflichtet, diese Kontrollen zu verwenden, um die ISO 270001-Zertifizierung zu erhalten, und können gegebenenfalls ihre eigenen Kontrollen hinzufügen. So kann die Norm mit der technologischen Entwicklung Schritt halten und z. B. auch Cloud-Dienste abdecken, die zum Zeitpunkt der letzten Aktualisierung vor neun Jahren noch nicht bekannt waren.
ISO 27001, Datensicherheit und Schutz vor Datenverlust
Als die ISO 27001-Norm ursprünglich entwickelt wurde und auch bei der letzten Aktualisierung gab es nur wenige wirksame Lösungen zur Verhinderung von Datenverlusten. Die modernen Entwicklungen in der Technologie haben es möglich gemacht, moderne Betriebssysteme und Hardware zusammen mit Technologien wie dem maschinellen Lernen zu nutzen, um Lösungen zu schaffen, die den Schutz vor Datenverlusten vollständig automatisieren. Daher wäre es sinnlos, in Anhang A von ISO/IEC 27001:2013 nach eng verwandten Kontrollen zu suchen.
Noch bevor solche Technologien verfügbar waren, schlug ISO 27001 jedoch bereits Sicherheitskontrollen vor, die mit DLP angegangen werden können. Hier sind sechs solcher Kontrollen, die durch den Einsatz moderner DLP-Lösungen wie Endpoint Protector effektiv abgedeckt oder erweitert werden.
A.8.2.1 Informationsklassifizierung – Umgang mit Assets
Verfahren für den Umgang mit Assets müssen in Übereinstimmung mit dem von der Organisation angenommenen Informationsklassifizierungsschema entwickelt und implementiert werden.
Eine moderne DLP-Lösung unterstützt diese Sicherheitskontrolle in zweierlei Hinsicht. Erstens sind solche Tools in der Lage, automatisch Informationsbestände zu entdecken, die unsicher gehandhabt werden, z. B. Informationen über geistiges Eigentum, die in einer Textdatei auf dem persönlichen Laptop eines Mitarbeiters gespeichert sind. Zweitens sind sie in der Lage, bestimmte Maßnahmen zu ergreifen, wie z. B. das Löschen oder Verschlüsseln unsicher gespeicherter sensibler Informationen. Auf diese Weise lassen sich sowohl versehentliche Datenlecks als auch viele potenzielle Insider-Bedrohungen wirksam verhindern.
A.8.3.1 Umgang mit Datenträgern – Verwaltung von Wechseldatenträgern
Es müssen Verfahren für die Verwaltung von Wechseldatenträgern in Übereinstimmung mit dem von der Organisation festgelegten Klassifizierungsschema implementiert werden.
Ein weiteres Merkmal moderner DLP-Lösungen ist die Möglichkeit, die Kontrolle aller Wechselmedien sowie der peripheren Anschlüsse durchzusetzen. Die Organisation kann Sicherheitsrichtlinien umsetzen, indem sie z.B. bestimmte Gerätetypen identifiziert und eine granulare Zugriffskontrolle anwendet oder eine Verschlüsselung erzwingt.
A.13.2.1 Informationsübertragung – Richtlinien und Verfahren zur Informationsübertragung
Es müssen formale Übermittlungsrichtlinien, -verfahren und -kontrollen vorhanden sein, um die Übermittlung von Informationen durch die Nutzung aller Arten von Kommunikationseinrichtungen zu schützen.
Während sich die ISO 27001-Norm auf Richtlinien, Verfahren und Kontrollen konzentriert, gehen moderne DLP-Lösungen über das Sicherheitsbewusstsein hinaus, indem sie die potenzielle Übertragung von Informationen aus dem Unternehmen heraus tatsächlich überwachen und verhindern. IT-Sicherheitsfunktionen wie inhaltsbezogene DLP ermöglichen es solchen Lösungen, geschützte Informationen, wie sie von der Organisation definiert wurden (siehe A.8.2.1), zu erkennen und den unerlaubten Abfluss von Dateien und Zwischenablagen in Echtzeit zu verhindern.
A.13.2.3 Informationsübertragung – Elektronische Nachrichtenübermittlung
Informationen, die im Rahmen der elektronischen Nachrichtenübermittlung übermittelt werden, müssen angemessen geschützt werden.
Wie in A.13.2.1 erwähnt, sind moderne DLP-Lösungen in der Lage, die unbefugte Übertragung von Informationen über elektronische Nachrichten zu verhindern, indem sie die Zwischenablagen des Betriebssystems überwachen. Dadurch wird ein versehentlicher oder beabsichtigter Datenverlust verhindert, der eintreten würde, wenn Endbenutzer innerhalb der Organisation sensible Informationen kopieren und in elektronische Messaging-Anwendungen wie E-Mail oder Instant Messenger einfügen.
A.18.1.4 Privatsphäre und Schutz von personenbezogenen Daten
Die Wahrung der Privatsphäre und der Schutz personenbezogener Daten sind gemäß den einschlägigen Gesetzen und Vorschriften zu gewährleisten, sofern diese anwendbar sind.
Kontrollen, die sich auf personenbezogene Daten beziehen, sind für Unternehmen von größter Bedeutung, und DLP-fokussierte Sicherheitslösungen sind in der Lage, über die Anforderungen in diesem Bereich hinauszugehen. Dies ist möglich durch die automatische Erkennung personenbezogener Daten und den Schutz vor Datenverlusten über Kanäle wie Wechselmedien (siehe A.8.3.1), Anwendungen von Drittanbietern (siehe A.13.2.1) und elektronische Nachrichtenübermittlung (siehe A.13.2.3).
A.18.1.5 Regelung der kryptographischen Kontrollen
Kryptografische Kontrollen müssen unter Einhaltung aller einschlägigen Vereinbarungen, Gesetze und Vorschriften eingesetzt werden.
Einer der größten Vorteile moderner Datenschutzlösungen ist die Funktionalität, die es dieser Software ermöglicht, die Verschlüsselung von Wechseldatenträgern (siehe A.8.3.1) bei der Übertragung von Informationen außerhalb der Organisation zu erzwingen und so den Datenschutz zu gewährleisten und einen möglichen Datenverlust während der Übertragung zu verhindern.
ISO 27001 und darüber hinaus
Organisationen, die eine ISO 27001-Zertifizierung anstreben, sind oft verpflichtet, andere Compliance-Anforderungen zu erfüllen, wie z. B. die DSGVO in Europa, PCI DSS für Finanzinstitute oder HIPAA für medizinische Organisationen in den USA. Während die meisten dieser Standards die Datensicherheit über die Sensibilisierung der Benutzer, die Schulung und die Zugriffskontrolle angehen, können Sie noch weiter gehen und sicherstellen, dass Ihre Daten noch sicherer sind, indem Sie es einfach unmöglich machen, dass sie von Endgeräten nach außen gelangen. Daher ist DLP die beste Wahl, um sicherzustellen, dass die Einhaltung von Datensicherheitsvorschriften ein Kinderspiel ist.