24.03.2022

Cybersecurity: Internationaler Standard reagiert auf aktuelle Bedrohungsszenarien

Cyber Security © © Gorodenkoff | stock.adobe.com

Zu dieser Meldung gibt es: 1 Bild 1 Dokument

Kurztext 352 ZeichenPlaintext

Im Februar wurde ein wesentlicher Standard zu Informationssicherheit veröffentlicht: Die lange erwartete ISO/IEC 27002 widmet sich dem Thema Cybersecurity und Informationssicherheit und wird langfristig einige Veränderungen – nicht nur in der IT-Branche – nach sich ziehen.

Pressetext 7715 ZeichenPlaintext

Die ISO/IEC 27002 „Information security, cybersecurity and privacy protection – Information security controls“ ist nach der ISO/IEC 27001 die zweitwichtigste Norm, wenn es darum geht, ein Information Security Management System in einem Unternehmen einzuführen. Laut Dr. Edward Humphreys, Leiter des ISO-Komitees, wird die neue Ausgabe „Organisationen und Unternehmen maßgeblich dabei unterstützen, ihre Informationen und die ihrer Klienten und Kunden vor einer Vielzahl von Bedrohungen zu schützen“. Gerade vor dem Hintergrund der jüngsten Entwicklungen in der Weltpolitik eine sinnvolle Weiterentwicklung.

Der österreichische Leiter der CEN/CENELEC-Arbeitsgruppe im zuständigen Joint Technical Committee, Ralph Eckmaier, entdeckt im neuen Standard neben strukturellen Änderungen auch die Berücksichtigung von „Themen, die in den letzten Jahren aufgekommen sind oder an Bedeutung gewonnen haben. Zu diesen Themen zählen Herausforderungen wie IT-Cloud Services, Secure Coding, der sensiblere Umgang mit persönlichen Daten oder der Einsatz von evidenzbasierten Informationen zu Cyberangriffen, der als ‚Threat Intelligence‘ zusammengefasst wird“.

Neue Maßnahmen – neue Herausforderungen: Auswirkung auf zertifizierte Unternehmen absehbar
Erreicht wird dieser inhaltliche Schwenk auch durch die neue Strukturierung der sogenannten „Controls“. Maßnahmen, die in der Welt der ISO/IEC 27002 dazu dienen, technische und organisatorische Schritte zu definieren, mit deren Hilfe bestehende IT- und Informationssicherheitsrisiken von Unternehmen behandelt werden können.

Diese neuen Controls haben einen großen Einfluss. Zwar nicht sofort – aber in den kommenden Jahren. Denn die in den Controls beschriebenen Maßnahmen werden sich langfristig auch auf die Zertifizierungen nach dem Schwesternstandard ISO/IEC 27001 auswirken. Ein Standard, der nach Schätzungen von Eckmaier „in etwa 1.000 Unternehmen in Österreich“ verwendet wird.

Befragt nach den direkten Auswirkungen, sieht Eckmaier ein differenziertes Bild: „Für Organisationen, die bereits die Anforderungen von ISO/IEC 27001 erfüllen, wird der Aufwand der Umstellung auf die neue ISO/IEC 27002 gering sein. Organisationen, bei denen die bisherige ISO/IEC 27002 beispielsweise für interne und externe Service-Level-Vereinbarungen oder zur Dokumentation von technisch-organisatorischen Maßnahmen gedient hat, wird der Aufwand höher werden.“

Bewertungsgrundlage für den Schutz von Informationssicherheits-Managementsystemen
Thomas Bleier, der in der Arbeitsgruppe AG 001 27 „Information security, cybersecurity and privacy protection“ bei Austrian Standards als Experte mitwirkt, ergänzt: „Die aktualisierte Version der Sicherheitsmaßnahmen stellt auch die Grundlage für den ,Anhang A‘ der zukünftigen ISO/IEC 27001 dar. Obwohl es im Standard nicht explizit gefordert wird, übernehmen viele Organisationen in der Praxis ihre Controls aus dem Anhang A. Da die neue Version der ISO 27001 möglicherweise noch in diesem Jahr erscheint und dann Übergangsfristen für zertifizierte Unternehmen für den Umstieg vorgesehen sind, ist man gut beraten, sich bereits jetzt mit den Änderungen auseinanderzusetzen.“

93 Controls – 11 neue Maßnahmen und ganzheitliche Betrachtungsweisen
Insgesamt weist der neue Standard 93 solcher Controls auf – unterteilt in organisatorische, personelle, physische und technologische. Behandelt werden dabei beispielsweise die „Vermeidung bzw. Entdeckung von Cyberangriffen“ und die Reaktion darauf sowie der Schutz von Daten. Konkret kommen 11 ganz neue Maßnahmen hinzu, die von „Information security for use of cloud services“ (also: die ganzheitliche Betrachtung von Cloud-Diensten von der Einführung bis zur Exit-Strategie) bis zu „Data masking“ (Maskierungstechniken wie Anonymisierung und Pseudonymisierung, die den Schutz von Daten erhöhen) reichen.

Die Maßnahmen können Organisationen auch zu einer neuen Betrachtungsweise verschiedener Problemstellungen führen: Die Organisation muss sich nun etwa aktiv darum kümmern, Angreifer und ihre Methoden zu verstehen und vor dem Hintergrund der eigenen IT-Landschaft zu analysieren, oder ihre Cloud-Aktivitäten von der Einführung über den Betrieb bis hin zur Exit-Strategie zu betrachten.

Fazit: Eine Umstellung kommt auf alle Unternehmen zu, die sich mit Informationssicherheit beschäftigen. Besonders betroffen: IT-Unternehmen. Neben diversen Weiterentwicklungen passt sich der Standard inhaltlich an die aktuellen und zukünftigen Herausforderungen im Bereich Informationssicherheit und Cybersecurity an. Nomen ist dabei omen: statt „Security Techniques“ werden nun „cyber security, privacy protection und informationsecurity“ explizit im Titel angesprochen.

Die ISO/IEC 27002 im Webshop von Austrian Standards:
ISO/IEC 27002:2022 02 15 Information security, cybersecurity and privacy protection – Information security controls
https://bit.ly/ISOIEC27002-2022

Mehr dazu im Newsroom von Austrian Standards: www.austrian-standards.at/de/newsroom

Angaben zu Thomas Bleier
DI Thomas Bleier, MSc ist Geschäftsführer der B-SEC better secure KG und unterstützt Organisationen bei der Erhöhung der Widerstandsfähigkeit ihrer Automatisierungs- und IT-Systeme gegenüber Cyberangriffen durch unabhängige Überprüfung, Trainings und Beratung. Weiters ist er allgemein beeideter und gerichtlich zertifizierter Sachverständiger für IT-Sicherheit, FH-Lektor für angewandte IT-Sicherheit und Security Engineering und ISO-27001-Auditor.

Ralph Eckmaier
DI (FH) Ralph Eckmaier, MSc ist selbstständiger Unternehmensberater für Informationssicherheit und Informationssicherheits-Managementsysteme und akkreditierter Auditor nach ISO/IEC 27001. Er ist in zahlreichen nationalen, europäischen und internationalen Normungsgremien im Bereich Informationssicherheit, Cybersecurity, Risikomanagement und Managementsystemstandards aktiv.

Mehr zum Thema Hackerangriffe und Informationssicherheit:
Georg Beham/Philipp Mattes-Draxler (Hrsg.): 10 Strategien gegen Hackerangriffe
Normensammlung Informationssicherheitsmanagement - Die wichtigsten 24 Standards auf einen Blick
Fotocredits:
Sujet Mann vor Bildschirm © Gorodenkoff | stock.adobe.com
 
Rückfragen & Kontakt:
Mag. Niklas Jelinek, MAS
Head of Public Relations
+43 1 213 00-317
+43 676 897124227
Über Austrian Standards
Austrian Standards ist die österreichische Organisation für Standardisierung & Innovation und Teil eines internationalen Netzwerks in 165 Ländern. Wesentliches Ziel: dabei zu unterstützen, Lösungen für gesellschaftliche Herausforderungen zu finden, mehr Innovationen zu ermöglichen und die Wettbewerbs- und Exportfähigkeit der österreichischen und europäischen Wirtschaft zu steigern. Entwickelt werden Standards von Fachleuten aus der Praxis in europäischer & internationaler Kooperation. Allein in Österreich sind dies mehr als 4.500 Expertinnen und Experten aus unterschiedlichen Organisationen, Disziplinen und Branchen (Wirtschaft, Forschung, Verwaltung und NGOs). Austrian Standards vernetzt diese Expertinnen und Experten und bietet durch die Mitgliedschaft bei internationalen Standardisierungs-Organisationen wie ISO, CEN und ETSI Zugang zu einem weltweiten Netzwerk. Mit seinen digitalen Lösungen bietet Austrian Standards auch einen einfachen Zugang zu Standards aus aller Welt. Fachbücher, Kongresse und Seminare unterstützen die praktische Anwendung; Zertifizierungen bestätigen die Übereinstimmung mit Standards. Austrian Standards hat rund 130 Mitarbeiterinnen und Mitarbeiter, vereint 12 Nationalitäten und spricht 20 Sprachen.
Alle Inhalte dieser Meldung als .zip: Sofort downloaden In die Lightbox legen

Bilder (1)

Cyber Security
1 181 x 665 © © Gorodenkoff | stock.adobe.com