29.11.2022Fachbeitrag

Cybersecurity: Sicher durch eine Zertifizierung?

Sicherheitsstandards, Normen und Zertifizierungen können Unternehmen dabei unterstützen, eine moderne und sichere IT-Landschaft zu etablieren.

Die digitale Transformation stellt jedes Unternehmen vor neue Herausforderungen. War es vor 35 Jahren noch sicher genug, vertrauliche Informationen im Safe wegzuschließen, sind heute die Bedingungen durch die Digitalisierung weitaus komplexer. In der digitalen Welt reichen einfache Sicherheitsmaßnahmen zum Schutz existenzsichernder Daten nicht mehr aus. Zwar versuchen verschiedene Standards und Regelwerke Hilfestellungen für Unternehmen zu geben, doch Zertifizierungen wiegen Organisationen oft in falscher Sicherheit.

Die mit der Digitalisierung einhergehenden Risiken sind für jeden sehr schnell nachvollziehbar, der die aktuelle Presse verfolgt. Schon seit vielen Jahren wird die digitale Infrastruktur unterschiedlichster Organisationen immer wieder angegriffen. Wer kennt sie nicht, die Schadsoftware mit den Namen I-love-you bzw. Loveletter aus dem Jahr 2000 (Ziel: Verbreitung und Passwortklau), Stuxnet im Jahr 2010 (Ziel: Steuerung von Leittechnik in Kraftwerken) und seit 2014 Ransomware wie Emotet (Ziel: Stilllegen der IT mit Lösegeldforderungen). Allein die Pressemeldungen aus den letzten zwei Monaten zeigen Angriffe und deren Folgen auf die digitale Infrastruktur, so z.B. der Hack der australischen Krankenversicherung Medibank, das Lahmlegen einer gesamten Kreisverwaltung in Rhein-Pfalz-Kreis oder das Datenleck bei Continental.

Das Vorgehen der Angreifer zeigt vor allem die Professionalität und das mittlerweile sehr erfolgreiche Geschäftsmodell, welches damit verbunden ist. Das belegen auf der einen Seite Zahlen der regelmäßig durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichen Lageberichte zur Cybersicherheit, auf der anderen Seite die vom LKA NRW veröffentlichten Zahlen zu den Schäden in der deutschen Wirtschaft in einer Höhe von 105 Milliarden Euro (Stand: 2020).

Um diese beispielhaft dargestellten Risiken möglichst einzuschränken, reagieren die EU und auch Deutschland selbst mit behördlichen und gesetzlichen Anforderungen. Nur um eine wesentliche Regelung zum Schutz der kritischen Infrastrukturen und Unternehmen darzustellen, entstand das seit Juli 2015 gültige und immer weiterentwickelte IT-Sicherheitsgesetz (ITSiG) sowie das BSI-Gesetz inkl. der zugehörigen Verordnungen. Dies ist ein sehr markantes Beispiel für nationale Gesetzgebungen, die in der Regel auf der europäischen Gesetzgebung basieren. Darüber hinaus haben die Europaabgeordneten am 10.11.2022 nun weitere Regeln verabschiedet, die von den EU-Ländern strengere Aufsichts- und Durchsetzungsmaßnahmen und die Harmonisierung von Sanktionen verlangen.

Was all diese Gesetzgebungen gemeinsam haben, sind strengere Anforderungen an Unternehmen, Verwaltungen und die kritische Infrastruktur, um somit die Resilienz zur Cybersicherheit europaweit zu stärken.

Daneben werden weltweit Regelwerke und Standards entwickelt, die internationale Best-Practices für Organisationen und Unternehmen mit unterschiedlichen Schwerpunkten zusammenfassen. Hierzu im Folgenden ein kurzer Überblick über die für Deutschland wesentlichsten Regelwerke, die auch eine Zertifizierung ermöglichen.

Welche Zertifizierungen gibt es auf nationaler und internationaler Ebene?

Eine mögliche und für Unternehmen wichtige Unterscheidung ist die Frage nach dem Bereich, in dem der Standard bzw. das Regelwerk Anwendung finden soll. Bei einer nationalen Gesetzgebung ist das relativ einfach, da diese Gültigkeit für alle deutschen Unternehmen hat.

Dafür gibt es für das Themenfeld der Informationssicherheit das in Deutschland durch das BSI stetig weiterentwickelte IT-Grundschutz-Kompendium, welches zusammen mit den sogenannten BSI-Standards ein umfassendes Werk zur Informationssicherheit darstellt. Es bietet über seine sogenannten IT-Grundschutz-Bausteine einen umfassenden Blick zu allen möglichen Sicherheitsaspekten inkl. Ihrer Gefährdungen und darüberhinaus auch konkrete Maßnahmen zu deren Minderung. Dies reicht thematisch von hilfreichen Sicherheitsanforderungen an Apps über industrielle IT bis hin zu einem Informationssicherheitsmanagementsystem (ISMS). Beeindruckend ist allein schon der Umfang des Gesamtwerkes mit mehreren tausend Seiten, wenn es ausgedruckt werden würde.

Als wesentliche Nachteile könnte gelten, dass dieses Werk nur national anerkannt ist und einen hohen formalen Aufwand in der Praxis mit sich bringt. Dennoch ist der Nutzen unbestritten, denn es beinhaltet einen großen Wissensschatz. Ist Ihr Unternehmen auch international unterwegs, schließt sich das IT-Grundschutz-Kompendium allerdings eher aus. Es sei denn, dass es hierzu explizite Kundenanforderungen gibt. International lohnt sich eher der Blick auf die global anerkannte ISO 27001, die im Oktober 2022 in einer neuen Revision veröffentlicht wurde. Diese Norm macht Vorgaben zur Implementierung und den Betrieb eines ISMS im Unternehmen, ist dabei allerdings weniger konkret als das IT-Grundschutz-Kompendium. Das Ziel der ISO 27001 ist es eher den Rahmen vorzugeben (Was ist zu tun) als konkrete Umsetzungsvorgaben (Wie ist es zu tun) zu liefern, um dem Unternehmen die Ausgestaltung in einer angemessenen Art und Weise selbst zu überlassen. Die wesentlichen Nachteile sind bei der ISO-Norm sicherlich die Aktualität (Die aktuelle Revision hat 9 Jahre auf sich warten lassen) und der mögliche Rahmen der individuellen Ausgestaltung durch die Unternehmen (Zumindest wird es oft so empfunden).

Empfehlen lässt sich daher als Grundlage die ISO 27001, gepaart mit konkreten Umsetzungsvorschlägen des IT-Grundschutzkompendiums. Beide Regelwerke gehen von jährlichen Zertifizierungsintervallen durch unabhängig agierende dritte Parteien aus, was typisch für diese Verfahren ist.

Welche Vor- und Nachteile bieten branchenspezifische Zertifizierungen?

Um dieser Bandbreite an Möglichkeiten entgegenzuwirken, haben sich daneben branchenspezifischen Ausprägungen etabliert. Ohne an dieser Stelle die branchenspezifischen Sicherheitsheitsstandards (B3S) für kritische Infrastrukturen nach dem ITSiG und BSI-Gesetz zu reflektieren, soll TISAX® (Trusted Information Security Assessment Exchange) hier als Beispiel dienen, welches ein branchenspezifisches Framework für die Automobilindustrie bietet. Dienstleister und Zulieferer der Automobilindustrie müssen in dreijährigem Abstand nachweisen, dass sie die hohen Anforderungen ihrer Kunden hinsichtlich der Informationssicherheit einhalten. Basis für diese unabhängig durchzuführenden Prüfungen ist ein vom Verband der Automobilindustrie (VDA) entwickelter Fragebogen zur Informationssicherheit (ISA - Information Security Assessment). Dieser bezieht sich auf wesentliche Aspekte der internationalen Norm ISO 27001, erweitert um ein Reifegradmodell und bietet gut dargestellt konkret beschriebene Anforderungen. Eine Besonderheit bei diesem Standard ist, dass hier kein Zertifikat, sondern ein Label auf einer durch die ENX-Association bereitgestellten Plattform ausgestellt wird. Über die Plattform können dazu erforderliche Informationen zwischen den TISAX®-Teilnehmern gezielt ausgetauscht werden.

Die Nachteile bei TISAX® zeigen sich bei den sogenannten Assessment-Leveln, die den Umfang der Prüfung definieren. So kann beispielsweise eine reine Plausibilitätsprüfung bei Assessment-Level 2 durch den Prüfer schon ausreichend sein, um eine angemessene Umsetzung von Informationssicherheit zu bestätigen. Bei Assessment-Level 1 genügt sogar eine reine Selbstauskunft über den Fragebogen des VDA. Berücksichtigt man daneben noch die technischen Entwicklungen und Bedrohungen in der IT-Sicherheit allein innerhalb weniger Monate, wirkt der dreijährige Prüfungszyklus ebenso weniger angemessen.

Dennoch ist TISAX® für die Branche wichtig, um das wichtige Thema der Informationssicherheit zu etablieren, ist dadurch zum Defacto-Standard geworden und unterliegt selbstverständlich einer fortlaufenden Weiterentwicklung. Eine Prüfung auf dem höchsten Assessment-Level 3 lässt sich am ehesten mit einer ISO 27001-Zertifizierung vergleichen und wird in der Praxis immer öfter durch die Automobilhersteller eingefordert.

Auch das Sicherheitsniveau einer Technologie lässt sich nachweisen

Zu guter Letzt werfen wir einen Blick auf einen technologischen Standard, den Kriterienkatalog C5 (Common Computing Compliance Criteria Catalogue). Dieser

definiert die Mindestanforderungen an ein sicheres Cloud-Computing. Ein nicht unwichtiger Aspekt und damit wichtiger Faktor, berücksichtigt man die aktuellen Strategien vieler Organisationen Anwendungen in die Cloud auszulagern. Auf der anderen Seite gehen immer mehr Hersteller von Software dazu über, deren Softwareprodukte nur noch in einer Cloud als SaaS-Angebot (Software as a Service) und nicht mehr On-Premise (Selbst installierbar und auf eigenen IT-Infrastrukturen zu betreiben) anzubieten. Somit richtet sich der Kriterienkatalog C5, welcher primär durch das BSI entwickelt und spezifiziert wurde, auf der einen Seite an professionelle Cloud-Anbieter, auf der anderen Seite an deren Prüfer und Kunden. Im Jahr 2016 erstmals veröffentlicht, gilt der Kriterienkatalog mittlerweile als ein Qualitätsmerkmal hinsichtlich eines sicheren Cloud-Betriebes in der Wirtschaft und somit als eine wichtige Orientierung sowie als Kriterium für die Auswahl eines Cloud-Anbieters.

Als zugrundeliegende Prüfungsmethodik bildet der International Standard on Assurance Engagement 3000 (ISAE 3000) den übergeordneten Rahmen, wodurch Prüfungen in Form einer Angemessenheits- oder einer Wirksamkeitsprüfung durchgeführt werden können und zu einem C5-Testat inkl. Bericht führen.

Als Nachteile kann auch hier der Abstand zwischen den Entwicklungen des Kriterienkataloges (Letztmalig im Jahr 2019, veröffentlicht im Jahr 2020) und dem technologischen Fortschritt betrachtet werden. Außerdem bietet nur eine Wirksamkeitsprüfung und die damit verbundene höhere Prüfungstiefe (Typ 2) eine verlässliche Aussagekraft im Bericht, da hier die Durchführung der Kontrollen über den gesamten Prüfungszeitraum (Typischerweise 6 oder 12 Monate) nachgewiesen wird.

Insgesamt überwiegen bei diesem Beispiel die Vorteile durch Rückgriffe auf etablierte Standards und die technologische Spezifizierung sowie auf die Nutzung etablierter Prüfmethodiken. Nicht ohne Grund hat sich dieser Standard auf dem Markt schnell als ein wichtiges Alleinstellungsmerkmal bei der Auswahl eines Cloud-Anbieters durch den potentiellen Kunden, wie auch in der Nutzung durch den Anbieter selbst, etabliert.

ISO 27001 – Die Mutter der Standards

Zurückkommend auf die bereits kurz dargestellte ISO 27001 bleibt festzuhalten, dass am Ende alle hier genannten Standards, Normen, Gesetzgebungen oder Kriterienkataloge als Basis die ISO 27001 heranziehen. In den Unterlagen der unterschiedlichen Regelwerke werden Sie daher in der Regel Referenzen oder auch Kreuzreferenztabellen finden, weshalb diese ISO-Norm als die Mutter der hier beispielhaft dargestellten Anforderungen genannt werden könnte. Wirft man einen weiteren Blick auf die gesamte 27000-Normenfamilie können weitere Schätze gehoben werden. So ist die ISO 27002 beispielsweise ein hervorragendes Nachschlagewerk, um die unterschiedlichsten Lösungsansätze, für die in der ISO 27001 grob definierten Mindestanforderungen zu finden und damit eine geeignete Basis, um eine individuelle Lösung für die eigene Organisation zu implementieren. Weitere Normen in der Familie beschreiben u.a. die Umsetzung eines geeigneten Risikomanagements, welches die Basis für jedes präventive Vorgehen in der Informationssicherheit methodisch überhaupt erst ermöglicht. Daneben finden sich weitere Normen, die z.B. Datenschutzanforderungen, technologische und branchenspezifische Anforderungen im Umfeld der Informationssicherheit beschreiben. Allerdings stellt nur die ISO 27001 eine geeignete Basis für eine anerkannte, sprich akkreditierte, Zertifizierungsgrundlage bereit.

Der Vorteil in der 27000-Normenfamilie liegt somit klar in der Vielfältigkeit und uneingeschränkten Akzeptanz. Einen weiteren Vorteil bietet die Möglichkeit der individuellen und damit angemessenen Ausgestaltung im eigenen Unternehmen. Manch einer wird diese Flexibilität allerdings auch eher als Nachteil einschätzen, da es wenig konkrete Beschreibungen zur Umsetzung gibt und es daher aufwändig sein kann die individuell beste Lösung für das eigene Unternehmen zu finden. Sicher ist, dass gerade diese Flexibilität mit der gleichzeitig bestehenden Komplexität in den Anforderungen der Informationssicherheit zu der Ausgestaltung weiterer Standards geführt haben, wie weiter oben beispielhaft beschrieben. Mit allen Vorteilen und Nachteilen, die dann wieder gesehen werden können.

Wie schlagen sich die Zertifizierungen in der Praxis?

Leider laufen nicht nur die ISO 27001-Zertifikate Gefahr an Wertigkeit zu verlieren. In der Praxis sehen wir oft Schwächen in der Umsetzung und eine damit einhergehende Verringerung des Sicherheitsniveaus für die Organisationen, welches anscheinend durch die ausstellenden Zertifizierungsgesellschaften teilweise befeuert wird. Woran machen wir das u.a. fest?

Sicherheitsbeauftragte verschiedener Unternehmen berichten von eindeutig identifizierten Schwächen in den Audits, die nicht zu formulierten Abweichungen durch die Auditoren in den Zertifizierungsverfahren führen. Die Folgen fehlender Argumentationsgrundlagen für die Sicherheitsbeauftragten gegenüber dem Management sind somit inbegriffen, wodurch es zu einer Vernachlässigung dringend durchzuführender Präventivmaßnahmen kommen kann. Das schadet der Informationssicherheit des Unternehmens, liegt aber definitiv nicht an der ISO 27001 oder an den anderen Regelwerken, welche mittlerweile einen teils sehr hohen Reifegrad aufweisen.

Dieses Beispiel zeigt aus unserer Sicht deutlich, dass sich kein Unternehmen auf den Zertifikaten ausruhen darf, wenngleich sie ein Aushängeschild für die intensive Auseinandersetzung mit dem Thema sein sollen.

Wie wähle ich als Unternehmer die richtige Zertifizierung aus?

Entscheidend für Unternehmen, unabhängig von den hier dargestellten Regelwerken und der dargestellten Kritik, sind die Antworten auf die zwei wesentlichen Fragestellungen für ein Umgang mit dem Thema Informationssicherheit:

  1. Woher kommen die Anforderungen?
    Sind es gesetzliche und/oder behördliche Anforderungen, die es umzusetzen gilt (z.B. Digitalrecht, DSGVO oder IT-Sicherheitsgesetz) oder sind es kundenspezifische Forderungen, die zwingend in das Compliance-Management des Unternehmens implementiert werden müssen?
     
  2. Was soll damit erreicht werden?
    Gilt es eine Rechtskonformität, Haftungsreduktion oder die Erfüllung von Kundenanforderungen sicherzustellen? Wesentlich kann auch nur der präventive Umgang mit dem Thema zur Sicherheit des Fortbestands des Unternehmens sein.

Werden beide Fragestellungen betrachtet, geht es bei den möglichen Antworten vor allem um die Einhaltung von Compliance und um die Grundlage eines gesunden unternehmerischen Handels, unabhängig vom genutzten Standard. Spätestens bei den Herausforderungen der digitalen Transformation wird auch im Umfeld der Informationssicherheit eine weitere große Herausforderung schnell erkennbar: Eine sichere digitale Transformation kostet Geld. Die Informationssicherheit ist dabei geprägt von präventiven Maßnahmen, die aus einem systematisch implementierten Risikomanagementprozess resultieren. Dennoch schaffen genau diese Investitionen in die Prävention eine direkte Resilienz in der digitalen Welt und fördern damit ebenso die Wettbewerbsfähigkeit heute und in Zukunft. Das Image des Unternehmens ist ohne Negativmeldungen in der Presse ein hohes Gut und damit ebenso ein Wert, den es zu schützen gilt. Darüber hinaus werden die Kompetenzen der Mitarbeiter weiterentwickelt und damit die Sensibilität bei der Umsetzung angemessener und vor allem passenden Präventivmaßnahmen. Genau diese Investition zahlt sich am Ende aus.

Keine Zertifizierung liefert hundertprozentige Sicherheit

Informationssicherheit ist ein wesentlicher Baustein bei der Herausforderung der digitalen Transformation, weshalb eine Berücksichtigung für jedes Unternehmen unausweichlich ist. Einen angemessenen und zukunftsorientierten Schutz gibt es für das Unternehmen erst, wenn dieser Schutz zielgerichtet und schon beim Aufbau von Geschäftsprozessen mitbedacht wird. Steht die Produktion oder das Geschäft erst einmal für einige Wochen, wenn nicht sogar für Monate, still, werden sich die finanziellen Auswirkungen gegenüber den notwendig gewesenen Investitionen in die Informationssicherheit mehr als relativieren. Dies wurde schon durch diverse Beispiele aus der Presse im Lauf der letzten Jahre bestätigt. Denn nicht selten geht es schnell um die Existenz bzw. das Fortbestehen des Unternehmens, wenn die digitale Infrastruktur zusammenbricht oder vertrauliche Informationen in die falschen Hände geraten sind. Hier wird deutlich, dass die Auseinandersetzung mit der Aufrechterhaltung der Geschäftskontinuität ebenso einen wesentlichen Beitrag zur Unterstützung einer sicheren und resilienten digitalen Transformation leisten wird.

Es gibt keine 100% Sicherheit mit einer Zertifizierung, daher muss eine kritische Reflexion mit dem Thema und der Beteiligung aller involvierten Parteien erlaubt sein. Nur so ist eine sinnvolle Entwicklung zu gewährleisten, die wiederum Allen zugutekommen kann. Bewusst sein sollte sich jeder vor allem über die fortlaufende Veränderung der Sicherheitslage und die damit einhergehende, andauernde Neubewertung des eigenen Sicherheitsniveaus in der digitalen Transformation. Dies liegt in der täglichen Verantwortung jedes Einzelnen in einem Unternehmen. Das kann keine Zertifizierung leisten. Hierbei sind Normen und Regelwerke sehr hilfreiche Best-Practice-Werke, welche präventiv und systematisch die Informationssicherheit in eine Organisation zu etablieren und betreiben helfen. Am Ende entscheidet immer die richtige und damit individuell passende Nutzung in der Organisation über den Erfolg, unabhängig von einer Zertifizierung oder dem Regelwerk.

Dennoch: Zertifizierungen stellen jetzt und in Zukunft nach außen dar, dass sich Unternehmen mit den Themen der Informationssicherheit auseinandersetzen und dies auch wollen. Der Markt bietet dafür vielfältige Möglichkeiten, welche es sorgsam zu betrachten gilt.

 

Dieser Artikel ist Teil der Themenwoche Cybersecurity

 

Mehr zu diesen Themen