ISO 27001 Norm: Definition, Anforderungen und Sensibilisierung der Mitarbeitenden

Veröffentlicht 09.08.2022
Geschätzte Lesezeit 9 Min.
Marvin Gebicke

Marvin Gebicke Chief Operating Officer (COO) Mitarbeiterschule GmbH

Beitragsbild Blogartikel ISO 27001

In der heutigen Zeit gehören Computer und der Umgang mit Daten zum Berufsalltag vieler Menschen. Dabei gewinnt unter anderem die Informationssicherheit immer mehr an Bedeutung. Nicht nur Unternehmen müssen sich hierbei auf die eigene IT verlassen können, sondern ebenso Kunden und Geschäftspartner:innen. Mit einer Zertifizierung nach ISO 27001 können Unternehmen die Wirksamkeit ihres Informationssicherheitsmanagementsystems (ISMS) objektiv und glaubwürdig nachweisen.

Was ist die ISO 27001?

Die ISO 27001 ist eine internationale Norm, die Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) in Unternehmen definiert und eine klare Linie für die Planung, Umsetzung, Überwachung und Verbesserung (P-D-C-A-Zyklus) der Informationssicherheit vorgibt. Dabei berücksichtigt die ISO 27001 den Kontext des Unternehmens und erlaubt die Umsetzung von Maßnahmen aufgrund einer individuellen Risikoanalyse und eines individuellen Scopes (Fokus auf Teilbereiche).

Das Ziel der ISO 27001 ist die Errichtung, Umsetzung und kontinuierliche Weiterentwicklung des ISMS im Unternehmen, sodass die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit bestmöglich gewährt bleiben.

Wie ist die Norm aufgebaut?

Die DIN ISO IEC 27001 basiert auf der High Level Structure (kurz HLS), welche die folgenden 10 Abschnitte enthält:

  1. Anwendungsbereich
  2. Normative Verweisungen
  3. Begriffe
  4. Kontext der Organisation
  5. Führung
  6. Planung
  7. Unterstützung
  8. Betrieb
  9. Bewertung der Leistung
  10. Verbesserung

Bei allen neuen Standards für Managementsysteme (neben der ISO 27001 also auch z.B. bei der ISO 9001 oder der ISO 14001) ist der Aufbau der HLS einheitlich gestaltet. Zusätzlich gibt es zur besseren Anwendbarkeit in der Praxis Anhänge für z.B. der Ausgestaltung von Sicherheitsmaßnahmen.

Was sind die Anforderungen der ISO 27001?

Die Anforderungen der ISO IEC 27001 sind dabei in den Abschnitten vier bis zehn zu finden.

In Abschnitt vier geht es zum Beispiel darum, den Kontext der Organisation und die Erfordernisse und Erwartungen interessierter Parteien zu verstehen. Außerdem werden hier die Anwendungsbereiche des Informationssicherheits-Managementsystems (ISMS) festgelegt und die Realisierung des Systems vorgenommen. Die Norm gibt hier nämlich vor, dass alle Anforderungen bei der Umsetzung berücksichtigt werden müssen und das IT-Sicherheitssystem jederzeit aufrechtzuerhalten ist und stetig weiterzuentwickeln ist.

Der fünfte Abschnitt zeigt, wie wichtig die Rückendeckung der obersten Leitung für eine dauerhafte Aufrechterhaltung des ISMS ist. Gemäß den Anforderungen der ISO 27001 muss das Top-Management nämlich unter anderem sicherstellen, dass die Informationssicherheitsrichtlinien und -ziele korrekt definiert und mit der strategischen Ausrichtung des Unternehmens abgestimmt sind. Darüber hinaus sind unter anderem die Anforderungen des Managementsystems in die Geschäftsprozesse zu integrieren und die für die Implementierung des ISMS erforderlichen Ressourcen zur Verfügung stellen. Darüber hinaus muss das Top-Management gemäß ISO 27001 Rollen, Verantwortlichkeiten und Befugnisse für die Informationssicherheit zuweisen und diese entsprechend kommunizieren.

Nachdem die Vorgaben und Richtlinien für das Informationssicherheitsmanagement definiert und die Hauptverantwortlichkeiten zugeteilt wurden, ist der nächste Schritt bei der Implementierung eines ISMS die Planung, welche im sechsten Abschnitt definiert ist. Hier geht es primär um die Auswirkung interner (seitens der Beschäftigten) sowie externer (Dritter) Faktoren auf die Informationssicherheitsziele und wie diese die IT-Sicherheit des Unternehmens negativ beeinflussen können. Hierfür sind zunächst die Risiken zu identifizieren, analysieren und zu bewerten, sodass anschließend eine Risikostrategie aufgebaut werden kann, in der Maßnahmen zum Umgang mit solchen Vorkommnissen definiert werden. Im Unterabschnitt 6.2 werden zudem die Anforderungen zur Planung und Erreichung der Informationssicherheitsziele formuliert. Diese sind nämlich im Einklang mit der Informationssicherheitspolitik, der Risikoanalyse und -strategie festzulegen und sollten natürlich auch messbar sein. Unternehmen sind dazu verpflichtet zu dokumentieren, mit welchen Maßnahmen diese ihre Ziele erreichen können, welche Mittel dazu notwendig sind, und wer für welchen Prozess verantwortlich ist. Zu guter Letzt sollte ein genauer Zeitplan aufgestellt werden, damit klar definiert ist, zu wann das Ziel erreicht werden sollte.

Der siebte Abschnitt fasst alle Anforderungen zusammen, die dazu beitragen, die Funktionalität und Wirksamkeit des ISMS sicherzustellen. Hierunter zählen unter anderem die Bereitstellung benötigter Ressourcen durch die Organisation und die Verfügbarkeit der notwendigen Kompetenz sowie ein entsprechendes Bewusstsein für die Wichtigkeit der Informationssicherheit bei verantwortlichen Personen.

Eine gute funktionierende Kommunikation ist besonders wichtig bei der Schaffung eines entsprechenden Verantwortungsbewusstseins. Demnach sind auch an die interne und externe Kommunikation Anforderungen durch die ISO 27001 gebunden. Die Norm fordert nämlich eine Planung und Steuerung der Kommunikation zu den Themen der Informationssicherheit. Zudem soll das ISMS von der Norm geforderte und für das Unternehmen notwendige Informationen dokumentieren. Dokumentationen sind stets mit einer angemessenen Beschreibung zu versehen, entsprechend zu kennzeichnen, in einem angemessenen Format erstellt werden und zu guter Letzt auf Angemessenheit und Eignung geprüft werden.

Abgesehen von den Prozessen im Betrieb sind auch Risiken für die IT-Sicherheit in regelmäßig geplanten Abständen zu beurteilen, die Ergebnisse entsprechend zu dokumentieren und anschließend mithilfe bestimmter Methoden zu behandeln. Das Unternehmen hat einen Plan zur Behandlung der Risiken aufzusetzen und die Dokumentationen als Nachweis entsprechend aufzubewahren.

Im neunten Abschnitt geht es federführend darum, den erreichten Stand sowie die Wirksamkeit des Systems zu überprüfen. Um die Informationssicherheitsprozesse und -maßnahmen des ISMS genau überprüfen zu können, ist vorab zu bestimmen, was genau überwacht und gemessen werden soll und mit welchen Methoden diese Prüfprozesse durchzuführen sind. Als Nachweis dient hier wieder eine Dokumentation der Ergebnisse.

Die ISO 27001 fordert zudem die Durchführung regelmäßiger Audits, wodurch festgestellt werden soll, ob die Anforderungen der Norm sowie des Unternehmens an das ISMS erfüllt sind und ob das System in die Tat umgesetzt und auf dem neuesten Stand gehalten wurde.

Zu guter Letzt muss eine regelmäßige Bewertung des ISMS durch das Management erfolgen, um die andauernde Eignung, Wirksamkeit und Angemessenheit des Systems zu garantieren.

Der letzte und zehnte Abschnitt thematisiert die kontinuierliche Weiterentwicklung des Informationssicherheitsmanagementsystems. Das Unternehmen soll hier grundsätzlich aus begangenen Fehlern Kenntnisse ziehen und diese zur Optimierung des Systems nutzen. Wurden also bei der Auditierung nicht erfüllte Anforderungen entdeckt, hat das Unternehmen sofort zu reagieren. Hierfür sollten die Mittel zur Überwachung und Korrektur von Abweichungen definiert und ihre Notwendigkeit bewertet werden. Außerdem sollte nach Einleitung der Maßnahmen auch noch deren Wirksamkeit evaluiert werden.

Vorteile der Zertifizierung nach ISO 27001?

Auch wenn eine Zertifizierung nach ISO 27001 nicht immer verpflichtend ist, hat diese viele Vorteile für Unternehmen. Neben offensichtlichen Vorteilen wie der Minimierung und Kontrolle von IT-Risiken und einer verbesserten Informationssicherheit, können sich Unternehmen zum Beispiel durch eine Zertifizierung nach ISO 27001 einen Wettbewerbsvorteil verschaffen, indem diese das Vertrauen von Kunden und Geschäftspartnern sichert. Des Weiteren kann die Informationssicherheit durch die ISO 27001 in der Unternehmenskultur verankert und die Verfügbarkeit der IT-Systeme und -Prozesse gesichert werden. Ebenfalls werden Überprüfungsprozesse von Unternehmen stark reduziert, da die Zertifikate als geeigneten Nachweis dienen und somit eine Überprüfung von Kunden o.Ä. nicht notwendig ist.

Warum müssen Unternehmen Ihre Mitarbeiter zur Erreichung der ISO 27001 sensibilisieren?

Gemäß Abschnitt 7.2.2 der ISO 27001/2 heißt es, „alle Mitarbeiter der Organisation und gegebenenfalls Auftragnehmer sollten eine angemessene Sensibilisierung und Schulung sowie regelmäßige Aktualisierungen der Unternehmensrichtlinien und -verfahren erhalten, die für ihre berufliche Funktion relevant sind“. Hieraus lässt sich ableiten, dass Unternehmen im Einklang mit ihren internen Richtlinien didaktisch wertvolle Möglichkeiten zur Sensibilisierung Ihrer Beschäftigten in den Berufsalltag integrieren sollten. Im Rahmen der jährlichen externen Auditierungen, welche zur Aufrechterhaltung des Zertifikates notwendig sind, sollten immer durchgeführte Schulungen nachgewiesen werden.

Wer muss geschult werden?

Um eine angemessene Sensibilisierung zu erreichen, sollten grundsätzlich alle Mitarbeiter:innen Ihres Unternehmens geschult werden, welche tagtäglich mit einem Computer oder schützenswerten Daten bzw. Informationen arbeiten. Dazu zählen insbesondere:

  • Neue Mitarbeiter:innen,
  • Administrator:innen,
  • Mitarbeiter:innen mit Zugang zu Kundennetzwerken
  • Projektbeteiligte

Um eine angemessene und den Vorgaben entsprechende Sensibilisierung zu gewährleisten, sollte die Schulung außerdem regelmäßig (jährlich) absolviert werden, da sensibilisierte Mitarbeiter:innen eine wichtige Säule für die Informationssicherheit im Unternehmen darstellen.

Was ist die Konsequenz, wenn keine passende Schulung nachgewiesen werden kann?

Die Erfahrung zeigt, dass die bloße Anordnung von Sicherheitsmaßnahmen nicht ausreicht. Den Beschäftigten sollen Sinn und Zweck der Maßnahmen bekannt sein. Andernfalls werden diese im Berufsalltag schnell ignoriert. Denn wenn Mitarbeiter:innen nicht ausreichend für Fragen der Informationssicherheit sensibilisiert sind, können die Sicherheitskultur, die Sicherheitsziele und die Sicherheitsstrategie des Unternehmens gefährdet werden. Somit wird die Wirksamkeit der Richtlinien von Auditoren angezweifelt.

Außerdem machen Mitarbeiter:innen ohne entsprechender Unterweisung von neu eingeführte Sicherheitsprogrammen und -funktionen häufig keinen Gebrauch. Das liegt daran, dass die Beschäftigten meist nicht wissen, wie man sie bedient, und es zu lange dauern würde, sich damit im Arbeitsalltag zurechtzufinden. Darüber hinaus kann eine mangelnde Schulung nach der Einführung einer neuen Software dazu führen, dass Mitarbeiter:innen, die Software missbrauchen oder falsch konfigurieren, wodurch Arbeitsprozesse unnötig verzögert werden. Daher reicht es nicht aus, einfach die (Sicherheits-) Software zu beschaffen und zu installieren. Ein falscher Betrieb kann zudem lebensgefährlich sein, insbesondere für kritische IT-Systeme und -Anwendungen.

Prinzipiell lässt sich sagen, je besser ein Unternehmen auf einen Sicherheitsvorfall vorbereitet ist, desto weniger Schaden wird dieser hervorrufen. Fehlersuche, Notbetriebsverfahren, Personal zur Umsetzung und Wiederherstellung von Daten sowie Neuinstallationen von Systemen sind nur ein kleiner möglicher Teil des Schadens. Außerdem müssen sich Unternehmen fragen, ob Gerichtskosten oder Ausgleichszahlungen im Falle eines Angriffes anfallen werden? Zudem können Spät- oder Nichtleistungen zu Schadensersatzansprüchen führen. Ebenso können Vertragsstrafen geltend gemacht werden, die nicht vernachlässigt oder vergessen werden sollten. Sollte z. B. ein Verstoß gegen den Datenschutz vorliegen, können aus diesem Grund eventuell Bußgelder oder Schadensersatz gezahlt werden müssen. Diese können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, ausmachen.
Je nach Größe und Branche können die Schäden variieren. Die Kosten eines erfolgreichen Hackerangriffs befinden sich durchschnittlich auf einer Spanne von mehreren tausend Euro bis hoch in die Millionen.

Vorteile Durchführung der Schulung mit einer E-Learning-Lösung?

Im E-Learning Portal der Mitarbeiterschule sind alle notwendigen Inhalte zur Sensibilisierung der Beschäftigten in Form eines schlüsselfertigen Kurses enthalten, welcher intuitiv und einfach gestaltet wurde. Zudem haben Sie eine einfache Übersicht aller Nachweise (Nutzerverwaltung) und erhalten revisionssichere Zertifikate nach der erfolgreichen Absolvierung. Außerdem existiert ein schneller Zugriff auf alle Fortschrittsdaten in Echtzeit, sodass Sie jederzeit nachvollziehen können, wo die jeweiligen Mitarbeiter:innen gerade stehen. Auch die Nachverfolgung von noch nicht absolvierten Kursen gelingt einfach und regelmäßig, Jahr für Jahr. Hierfür können Organisationen auf die Funktionsweise der Kursautomatisierung zurückgreifen, welche die Fortschritte der Beschäftigten im Blick behält und automatisch Erinnerungen versendet sowie über die erneut Fälligkeit informiert.

Was thematisiert die IT-Sicherheit-Schulung?

Die vielfältigen Anforderungen der ISO 27001 können nun mit dem entsprechenden E-Learning zentral erfüllt werden. In weniger als 60 Minuten lernen ihre Beschäftigten in der IT-Sicherheit-Schulung didaktisch wirkungsvoll, die wichtigsten Angriffsarten wie Phishing, Ransomware, trojanische Pferde und Social Engineering zu erkennen. Darüber hinaus erhalten sie mit qualitativen Tipps von IT-Profis, wie sie sich im Arbeitsalltag vor diesem Problem schützen können. Der Kurs IT-Sicherheit behandelt auch die Grundlagen der IT- bzw. Informationssicherheit. Darauf aufbauend werden relevante Maßnahmen und Empfehlungen gegeben, wie zum Beispiel der richtige Umgang mit Daten auf mobilen Endgeräten in Fällen wie z.B. beim remote arbeiten.