In der heutigen Zeit geh\u00f6ren Computer und der Umgang mit Daten zum Berufsalltag vieler Menschen. Dabei gewinnt unter anderem die Informationssicherheit immer mehr an Bedeutung. Nicht nur Unternehmen m\u00fcssen sich hierbei auf die eigene IT verlassen k\u00f6nnen, sondern ebenso Kunden und Gesch\u00e4ftspartner:innen. Mit einer Zertifizierung nach ISO 27001 k\u00f6nnen Unternehmen die Wirksamkeit ihres Informationssicherheitsmanagementsystems (ISMS) objektiv und glaubw\u00fcrdig nachweisen.<\/p>\n\n\n\n
Die ISO 27001 ist eine internationale Norm, die Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) in Unternehmen definiert<\/strong> und eine klare Linie f\u00fcr die Planung, Umsetzung, \u00dcberwachung und Verbesserung (P-D-C-A-Zyklus) der Informationssicherheit vorgibt. Dabei ber\u00fccksichtigt die ISO 27001 den Kontext des Unternehmens und erlaubt die Umsetzung von Ma\u00dfnahmen aufgrund einer individuellen Risikoanalyse und eines individuellen Scopes (Fokus auf Teilbereiche).<\/p>\n<\/div><\/div>\n\n\n\n Das Ziel der ISO 27001 ist die Errichtung, Umsetzung und kontinuierliche Weiterentwicklung des ISMS im Unternehmen, sodass die Schutzziele Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit bestm\u00f6glich gew\u00e4hrt bleiben.<\/p>\n\n\n\n Die DIN ISO IEC 27001 basiert auf der High Level Structure (kurz HLS), welche die folgenden 10 Abschnitte enth\u00e4lt:<\/p>\n\n\n\n Bei allen neuen Standards f\u00fcr Managementsysteme (neben der ISO 27001 also auch z.B. bei der ISO 9001 oder der ISO 14001) ist der Aufbau der HLS einheitlich gestaltet. Zus\u00e4tzlich gibt es zur besseren Anwendbarkeit in der Praxis Anh\u00e4nge f\u00fcr z.B. der Ausgestaltung von Sicherheitsma\u00dfnahmen.<\/p>\n\n\n\n Die Anforderungen der ISO 27001 sind dabei in den Abschnitten vier bis zehn zu finden.<\/p>\n\n\n\n In Abschnitt vier<\/strong> geht es zum Beispiel darum, den Kontext der Organisation und die Erfordernisse und Erwartungen interessierter Parteien zu verstehen. Au\u00dferdem werden hier die Anwendungsbereiche des Informationssicherheits-Managementsystems (ISMS) festgelegt und die Realisierung des Systems vorgenommen. Die Norm gibt hier n\u00e4mlich vor, dass alle Anforderungen bei der Umsetzung ber\u00fccksichtigt werden m\u00fcssen und das IT-Sicherheitssystem jederzeit aufrechtzuerhalten ist und stetig weiterzuentwickeln ist.<\/p>\n\n\n\n Der f\u00fcnfte Abschnitt<\/strong> zeigt, wie wichtig die R\u00fcckendeckung der obersten Leitung f\u00fcr eine dauerhafte Aufrechterhaltung des ISMS ist. Gem\u00e4\u00df den Anforderungen der ISO 27001 muss das Top-Management n\u00e4mlich unter anderem sicherstellen, dass die Informationssicherheitsrichtlinien und -ziele korrekt definiert und mit der strategischen Ausrichtung des Unternehmens abgestimmt sind. Dar\u00fcber hinaus sind unter anderem die Anforderungen des Managementsystems in die Gesch\u00e4ftsprozesse zu integrieren und die f\u00fcr die Implementierung des ISMS erforderlichen Ressourcen zur Verf\u00fcgung stellen. Dar\u00fcber hinaus muss das Top-Management gem\u00e4\u00df ISO 27001 Rollen, Verantwortlichkeiten und Befugnisse f\u00fcr die Informationssicherheit zuweisen und diese entsprechend kommunizieren.<\/p>\n\n\n\n Nachdem die Vorgaben und Richtlinien f\u00fcr das Informationssicherheitsmanagement definiert und die Hauptverantwortlichkeiten zugeteilt wurden, ist der n\u00e4chste Schritt bei der Implementierung eines ISMS die Planung, welche im sechsten Abschnitt<\/strong> definiert ist. Hier geht es prim\u00e4r um die Auswirkung interner (seitens der Besch\u00e4ftigten) sowie externer (Dritter) Faktoren auf die Informationssicherheitsziele und wie diese die IT-Sicherheit des Unternehmens negativ beeinflussen k\u00f6nnen. Hierf\u00fcr sind zun\u00e4chst die Risiken zu identifizieren, analysieren und zu bewerten, sodass anschlie\u00dfend eine Risikostrategie aufgebaut werden kann, in der Ma\u00dfnahmen zum Umgang mit solchen Vorkommnissen definiert werden. Im Unterabschnitt 6.2 werden zudem die Anforderungen zur Planung und Erreichung der Informationssicherheitsziele formuliert. Diese sind n\u00e4mlich im Einklang mit der Informationssicherheitspolitik, der Risikoanalyse und -strategie festzulegen und sollten nat\u00fcrlich auch messbar sein. Unternehmen sind dazu verpflichtet zu dokumentieren, mit welchen Ma\u00dfnahmen diese ihre Ziele erreichen k\u00f6nnen, welche Mittel dazu notwendig sind, und wer f\u00fcr welchen Prozess verantwortlich ist. Zu guter Letzt sollte ein genauer Zeitplan aufgestellt werden, damit klar definiert ist, zu wann das Ziel erreicht werden sollte.<\/p>\n\n\n\n Der siebte Abschnitt <\/strong>fasst alle Anforderungen zusammen, die dazu beitragen, die Funktionalit\u00e4t und Wirksamkeit des ISMS sicherzustellen. Hierunter z\u00e4hlen unter anderem die Bereitstellung ben\u00f6tigter Ressourcen durch die Organisation und die Verf\u00fcgbarkeit der notwendigen Kompetenz sowie ein entsprechendes Bewusstsein f\u00fcr die Wichtigkeit der Informationssicherheit bei verantwortlichen Personen.<\/p>\n\n\n\n Eine gute funktionierende Kommunikation ist besonders wichtig bei der Schaffung eines entsprechenden Verantwortungsbewusstseins. Demnach sind auch an die interne und externe Kommunikation Anforderungen durch die ISO 27001 gebunden. Die Norm fordert n\u00e4mlich eine Planung und Steuerung der Kommunikation zu den Themen der Informationssicherheit. Zudem soll das ISMS von der Norm geforderte und f\u00fcr das Unternehmen notwendige Informationen dokumentieren. Dokumentationen sind stets mit einer angemessenen Beschreibung zu versehen, entsprechend zu kennzeichnen, in einem angemessenen Format erstellt werden und zu guter Letzt auf Angemessenheit und Eignung gepr\u00fcft werden.<\/p>\n\n\n\n Abgesehen von den Prozessen im Betrieb sind auch Risiken f\u00fcr die IT-Sicherheit in regelm\u00e4\u00dfig geplanten Abst\u00e4nden zu beurteilen, die Ergebnisse entsprechend zu dokumentieren und anschlie\u00dfend mithilfe bestimmter Methoden zu behandeln. Das Unternehmen hat einen Plan zur Behandlung der Risiken aufzusetzen und die Dokumentationen als Nachweis entsprechend aufzubewahren.<\/p>\n\n\n\n Im neunten Abschnitt<\/strong> geht es federf\u00fchrend darum, den erreichten Stand sowie die Wirksamkeit des Systems zu \u00fcberpr\u00fcfen. Um die Informationssicherheitsprozesse und -ma\u00dfnahmen des ISMS genau \u00fcberpr\u00fcfen zu k\u00f6nnen, ist vorab zu bestimmen, was genau \u00fcberwacht und gemessen werden soll und mit welchen Methoden diese Pr\u00fcfprozesse durchzuf\u00fchren sind. Als Nachweis dient hier wieder eine Dokumentation der Ergebnisse.<\/p>\n\n\n\n Die ISO 27001 fordert zudem die Durchf\u00fchrung regelm\u00e4\u00dfiger Audits, wodurch festgestellt werden soll, ob die Anforderungen der Norm sowie des Unternehmens an das ISMS erf\u00fcllt sind und ob das System in die Tat umgesetzt und auf dem neuesten Stand gehalten wurde.<\/p>\n\n\n\n Zu guter Letzt muss eine regelm\u00e4\u00dfige Bewertung des ISMS durch das Management erfolgen, um die andauernde Eignung, Wirksamkeit und Angemessenheit des Systems zu garantieren.<\/p>\n\n\n\n Der letzte und zehnte Abschnitt<\/strong> thematisiert die kontinuierliche Weiterentwicklung des Informationssicherheitsmanagementsystems. Das Unternehmen soll hier grunds\u00e4tzlich aus begangenen Fehlern Kenntnisse ziehen und diese zur Optimierung des Systems nutzen. Wurden also bei der Auditierung nicht erf\u00fcllte Anforderungen entdeckt, hat das Unternehmen sofort zu reagieren. Hierf\u00fcr sollten die Mittel zur \u00dcberwachung und Korrektur von Abweichungen definiert und ihre Notwendigkeit bewertet werden. Au\u00dferdem sollte nach Einleitung der Ma\u00dfnahmen auch noch deren Wirksamkeit evaluiert werden.<\/p>\n\n\n\n Auch wenn eine Zertifizierung nach ISO 27001 nicht immer verpflichtend ist, hat diese viele Vorteile f\u00fcr Unternehmen. Neben offensichtlichen Vorteilen wie der Minimierung und Kontrolle von IT-Risiken und einer verbesserten Informationssicherheit, k\u00f6nnen sich Unternehmen zum Beispiel durch eine Zertifizierung nach ISO 27001 einen Wettbewerbsvorteil verschaffen, indem diese das Vertrauen von Kunden und Gesch\u00e4ftspartnern sichert. Des Weiteren kann die Informationssicherheit durch die ISO 27001 in der Unternehmenskultur verankert und die Verf\u00fcgbarkeit der IT-Systeme und -Prozesse gesichert werden. Ebenfalls werden \u00dcberpr\u00fcfungsprozesse von Unternehmen stark reduziert, da die Zertifikate als geeigneten Nachweis dienen und somit eine \u00dcberpr\u00fcfung von Kunden o.\u00c4. nicht notwendig ist.<\/p>\n\n\n\n Gem\u00e4\u00df Abschnitt 7.2.2 der ISO 27001\/2 hei\u00dft es, „alle Mitarbeiter der Organisation und gegebenenfalls Auftragnehmer sollten eine angemessene Sensibilisierung und Schulung sowie regelm\u00e4\u00dfige Aktualisierungen der Unternehmensrichtlinien und -verfahren erhalten, die f\u00fcr ihre berufliche Funktion relevant sind“. Hieraus l\u00e4sst sich ableiten, dass Unternehmen im Einklang mit ihren internen Richtlinien didaktisch wertvolle M\u00f6glichkeiten zur Sensibilisierung Ihrer Besch\u00e4ftigten in den Berufsalltag integrieren sollten. Im Rahmen der j\u00e4hrlichen externen Auditierungen, welche zur Aufrechterhaltung des Zertifikates notwendig sind, sollten immer durchgef\u00fchrte Schulungen nachgewiesen werden.<\/p>\n\n\n\n Um eine angemessene Sensibilisierung zur ISO 27001 zu erreichen, sollten grunds\u00e4tzlich alle Mitarbeiter:innen Ihres Unternehmens geschult werden, welche tagt\u00e4glich mit einem Computer oder sch\u00fctzenswerten Daten bzw. Informationen arbeiten. Dazu z\u00e4hlen insbesondere:<\/p>\n\n\n\n Um eine angemessene und den Vorgaben entsprechende Sensibilisierung zu gew\u00e4hrleisten, sollte die Schulung au\u00dferdem regelm\u00e4\u00dfig (j\u00e4hrlich) absolviert werden, da sensibilisierte Mitarbeiter:innen eine wichtige S\u00e4ule f\u00fcr die Informationssicherheit im Unternehmen darstellen.<\/p>\n\n\n\n Die Erfahrung zeigt, dass die blo\u00dfe Anordnung von Sicherheitsma\u00dfnahmen nicht ausreicht. Den Besch\u00e4ftigten sollen Sinn und Zweck der Ma\u00dfnahmen bekannt sein. Andernfalls werden diese im Berufsalltag schnell ignoriert. Denn wenn Mitarbeiter:innen nicht ausreichend f\u00fcr Fragen der Informationssicherheit sensibilisiert sind, k\u00f6nnen die Sicherheitskultur, die Sicherheitsziele und die Sicherheitsstrategie des Unternehmens gef\u00e4hrdet werden. Somit wird die Wirksamkeit der Richtlinien von Auditoren angezweifelt.<\/p>\n\n\n\n Au\u00dferdem machen Mitarbeiter:innen ohne entsprechender Unterweisung von neu eingef\u00fchrte Sicherheitsprogrammen und -funktionen h\u00e4ufig keinen Gebrauch. Das liegt daran, dass die Besch\u00e4ftigten meist nicht wissen, wie man sie bedient, und es zu lange dauern w\u00fcrde, sich damit im Arbeitsalltag zurechtzufinden. Dar\u00fcber hinaus kann eine mangelnde Schulung nach der Einf\u00fchrung einer neuen Software dazu f\u00fchren, dass Mitarbeiter:innen, die Software missbrauchen oder falsch konfigurieren, wodurch Arbeitsprozesse unn\u00f6tig verz\u00f6gert werden. Daher reicht es nicht aus, einfach die (Sicherheits-) Software zu beschaffen und zu installieren. Ein falscher Betrieb kann zudem lebensgef\u00e4hrlich sein, insbesondere f\u00fcr kritische IT-Systeme und -Anwendungen.<\/p>\n\n\n\n Prinzipiell l\u00e4sst sich sagen, je besser ein Unternehmen auf einen Sicherheitsvorfall vorbereitet ist, desto weniger Schaden wird dieser hervorrufen. Fehlersuche, Notbetriebsverfahren, Personal zur Umsetzung und Wiederherstellung von Daten sowie Neuinstallationen von Systemen sind nur ein kleiner m\u00f6glicher Teil des Schadens. Au\u00dferdem m\u00fcssen sich Unternehmen fragen, ob Gerichtskosten oder Ausgleichszahlungen im Falle eines Angriffes anfallen werden? Zudem k\u00f6nnen Sp\u00e4t- oder Nichtleistungen zu Schadensersatzanspr\u00fcchen f\u00fchren. Ebenso k\u00f6nnen Vertragsstrafen geltend gemacht werden, die nicht vernachl\u00e4ssigt oder vergessen werden sollten. Sollte z. B. ein Versto\u00df gegen den Datenschutz<\/a> vorliegen, k\u00f6nnen aus diesem Grund eventuell Bu\u00dfgelder<\/a> oder Schadensersatz gezahlt werden m\u00fcssen. Diese k\u00f6nnen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag h\u00f6her ist, ausmachen.<\/p>\n\n\n\n Je nach Gr\u00f6\u00dfe und Branche k\u00f6nnen die Sch\u00e4den variieren. Die Kosten eines erfolgreichen Hackerangriffs befinden sich durchschnittlich auf einer Spanne von mehreren tausend Euro bis hoch in die Millionen.<\/p>\n\n\n\n Im E-Learning Portal der Mitarbeiterschule<\/a> sind alle notwendigen Inhalte zur Sensibilisierung der Besch\u00e4ftigten zur ISO 27001 in Form eines schl\u00fcsselfertigen Kurses enthalten, welcher intuitiv und einfach gestaltet wurde. Zudem haben Sie eine einfache \u00dcbersicht aller Nachweise (Nutzerverwaltung) und erhalten revisionssichere Zertifikate nach der erfolgreichen Absolvierung. Au\u00dferdem existiert ein schneller Zugriff auf alle Fortschrittsdaten in Echtzeit, sodass Sie jederzeit nachvollziehen k\u00f6nnen, wo die jeweiligen Mitarbeiter:innen gerade stehen. Auch die Nachverfolgung von noch nicht absolvierten Kursen gelingt einfach und regelm\u00e4\u00dfig, Jahr f\u00fcr Jahr. Hierf\u00fcr k\u00f6nnen Organisationen auf die Funktionsweise der Kursautomatisierung zur\u00fcckgreifen, welche die Fortschritte der Besch\u00e4ftigten im Blick beh\u00e4lt und automatisch Erinnerungen versendet sowie \u00fcber die erneut F\u00e4lligkeit informiert.<\/p>\n\n\n\n Die vielf\u00e4ltigen Anforderungen der ISO 27001 k\u00f6nnen nun mit dem entsprechenden E-Learning zentral erf\u00fcllt werden. In weniger als 60 Minuten lernen ihre Besch\u00e4ftigten in der IT-Sicherheit-Schulung<\/a> didaktisch wirkungsvoll, die wichtigsten Angriffsarten wie Phishing<\/a>, Ransomware, trojanische Pferde und Social Engineering<\/a> zu erkennen. Dar\u00fcber hinaus erhalten sie mit qualitativen Tipps von IT-Profis, wie sie sich im Arbeitsalltag vor diesem Problem sch\u00fctzen k\u00f6nnen. Der Kurs IT-Sicherheit behandelt auch die Grundlagen der IT- bzw. Informationssicherheit. Darauf aufbauend werden relevante Ma\u00dfnahmen und Empfehlungen gegeben, wie zum Beispiel der richtige Umgang mit Daten auf mobilen Endger\u00e4ten in F\u00e4llen wie z.B. beim remote arbeiten<\/a>.<\/p>\n\n\n\n Das Informationssicherheits-Management System der d.velop AG ist seit Juni 2023 DIN EN ISO\/IEC 27001:2017 zertifiziert. Die Zertifizierung der Kiwa International Cert GmbH bescheinigt, dass d.velop elementare Informationssicherheitsstandards- und prozesse implementiert hat.<\/p>\n\n\n\n\t<\/span>Wie ist die Norm aufgebaut?<\/span><\/h2>\n\n\n\n
\n
<\/span>Was sind die Anforderungen der ISO 27001?<\/span><\/h2>\n\n\n\n
<\/span>Vorteile der Zertifizierung nach ISO 27001?<\/span><\/h2>\n\n\n\n
<\/span>Warum m\u00fcssen Unternehmen Ihre Mitarbeiter zur Erreichung der ISO 27001 sensibilisieren? <\/span><\/h2>\n\n\n\n
<\/span>Wer muss geschult werden?<\/span><\/h2>\n\n\n\n
\n
<\/span>Was ist die Konsequenz, wenn keine passende Schulung nachgewiesen werden kann?<\/span><\/h2>\n\n\n\n
<\/span>Vorteile Durchf\u00fchrung der Schulung mit einer E-Learning-L\u00f6sung?<\/span><\/h2>\n\n\n\n
<\/span>Was thematisiert die IT-Sicherheit-Schulung?<\/span><\/h2>\n\n\n\n
<\/span>Die d.velop AG ist ISO 27001:2017 zertifiziert<\/span><\/h2>\n\n\n\n