Mythen der IT-Security: ISO27001
19. Oktober 2017 in IT
Spätestens seit dem Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015 ist die Branche der Unternehmensberater, Auditoren und Zertifizierer in Goldgräberstimmung. Die Veröffentlichung des IT-Sicherheitskataloges im August 2015, der im Zusammenhang mit dem Energiewirtschaftgesetz §11 Abs. 1a für alle Strom- und Gasnetzbetreiber gilt, hat dies auch nochmal verstärkt. Hunderte von Unternehmen und Organisationen sind gezwungen sich nach dem internationalen Standard ISO27001 zertifizieren zu lassen. Oberflächlich betrachtet klingt das erstmal gut. In den vergangenen zwei Jahren hat ja durch diverse Schädlinge wie Petya, WannaCry und ähnlichen die Angst vor IT-Sicherheitsvorfällen in der öffentlichen Wahrnehmung eine deutlich höhere Priorität erlangt. Aber erhöht die Zertifizierung nach ISO27001 die Sicherheit der IT?
Zuerst möchte ich versuchen in wenigen Worten zusammenzufassen was dieser Standard bedeutet und welche Ergebnisse durch die Einführung zu erwarten sind. ISO27001 fordert die Einführung und den fortlaufenden Betrieb eines ISMS. Diese Abkürzung steht für Informations-Sicherheit-Management-System. Ein Managementsystem hat erstmal nichts IT-spezifisches. Es handelt sich um Verfahren und Vorgehensweisen für das Management, also die Führung, eines Unternehmens. Das Ziel ist hier das Management zu befähigen mit dem Thema der Informationssicherheit umzugehen. Das bedeutet natürlich, dass man davon ausgeht, dass das Management sich im Allgemeinen nicht darüber bewusst ist, dass alle wirtschaftlichen Prozesse inzwischen zu 100% abhängig von der IT sind. Dieser Gedanke beunruhigt mich doch sehr. Einem guten Management sollte dies auch ohne ISMS bewusst sein.
Der Standard liefert jedem IT’ler aber auch ein wichtiges Mittel an die Hand. Mit dem ISMS wird auch eine Risikoanalyse verlangt. Wer kennt es nicht wenn es um die Priorisierung von IT-Systemen und -Prozessen geht. Fragt man die zuständigen Fachverantwortlichen, erhält alles die höchste Priorität. Jedem ist seines eben das Wichtigste. Die Risikobetrachtung liefert hier für die Wirtschaftsprozesse eine möglichst monetäre Bewertung. Was kostet es dem Unternehmen wenn Prozess A für eine Zeiteinheit nicht zur Verfügung steht? Mit diesen Zahlen ist dann auch eine effiziente Gestaltung der Massnahmen zur Erhöhung der IT-Sicherheit möglich.
Wie gerade beschrieben beschäftigt sich ISO27001 aber hauptsächlich mit dem Thema der IT-Verfügbarkeit. Natürlich ist Verfügbarkeit ein Teil der Sicherheit. Aber wenn man von IT- oder Cyber-Security spricht, geht es um Zugriffsschutz und Schutz vor Missbrauch der IT. Hier bietet der Standard wenig Hilfe. Für ein gutes Securityniveau bedarf es dazu einfach kompetente und securitysensible IT’ler mit einem guten Verständnis für Möglichkeiten und Herangehensweisen der „bösen Jungs und Mädels“. Wenn dann das Management durch das ISMS entsprechend sensibilisiert ist und den IT’lern die notwendigen Resourcen und den Rückhalt gibt, kann die Unternehmensführung sich auch wieder beruhigt zurücklehnen.
Fazit: Eine Zertifizierung nach ISO27001 garantiert kein hohes Niveau an IT-Sicherheit. Aber man sollte davon ausgehen, dass ein zertifiziertes Unternehmen zumindestens ausreichend für dieses Thema sensibilisiert ist. Wollen wir hoffen, dass wir uns damit wieder einen Schritt von dem Merkel’schen Neuland entfernen. 😉