EFS Consulting
01.10.2024

Neue Maßstäbe in der Informationssicherheit: Die ISO/IEC 27001 (2022)

ISO/IEC 27001 auf den Punkt gebracht 

Die ISO/IEC 27001 ist die maßgebliche Richtlinie für Informationssicherheit und setzt Maßstäbe für den Schutz sensibler Daten. Dieser weltweit anerkannte Standard hilft Unternehmen, Informationen systematisch abzusichern und Risiken zu managen. Durch klare Anforderungen zielt die ISO/IEC 27001 darauf ab, sensible Daten zu schützen. Eine Zertifizierung zeigt: „Hier wird Sicherheit großgeschrieben!“  

Was bringt die neue Version mit sich? 

Die ISO/IEC 27001 wurde von der Version 2013 auf die Version 2022 aktualisiert, um den wachsenden Anforderungen an die Informationssicherheit gerecht zu werden. Das zeigt sich schon am neuen Titel: Information security, cybersecurity and privacy protection – Information security management systems – Requirements. Die Anpassung berücksichtigt Herausforderungen, die moderne Bedrohungen mit sich bringen und hilft Unternehmen, ihre Sicherheitsmaßnahmen zu verbessern. Die überarbeitete Norm bietet Organisationen die Möglichkeit, ihre Informationssicherheitsstrategie zu optimieren und ihre Position im Markt zu stärken. 

Warum war eine Überarbeitung notwendig? 

Die digitale Landschaft hat sich seit 2013 drastisch verändert. Cyberbedrohungen sind komplexer und zahlreicher geworden, während die technologischen Möglichkeiten zur Abwehr solcher Angriffe zugenommen haben. Eine Überarbeitung der ISO/IEC 27001 war daher sinnvoll, um diese neuen Herausforderungen zu adressieren und Unternehmen besser zu schützen. 

Was ist neu in der Version von 2022? 

In der Version ISO/IEC 27001:2022 wurden die Anforderungen präzisiert. Während die Version von 2013 noch größeren Handlungsspielraum ließ, fordert die neue Version spezifischere Maßnahmen: Unternehmen müssen nun sowohl technische als auch organisatorische Schutzmaßnahmen implementieren. 

  • Zusätzliche Maßnahmen: Unternehmen müssen verstärkt Maßnahmen ergreifen, um Cyberbedrohungen effektiv zu begegnen 
  • Kombinierte Maßnahmen: Technische und organisatorische Maßnahmen müssen parallel umgesetzt werden. 
  • Klarer Fokus: Weniger Flexibilität bei der Interpretation der Standards. 

Neue Struktur des Anhangs 

Die Anzahl der Informationssicherheitsmaßnahmen wurde von 114 auf 93 reduziert und in  4 Hauptkategorien unterteilt: organisatorische, personelle, physische und technische Maßnahmen. Dies soll die Übersichtlichkeit und den Fokus verbessern. 

Die 11 neuen Sicherheitsmaßnahmen im Überblick 

Auch wenn einige bestehende Maßnahmen zusammengelegt wurden, gibt es 11 neue Maßnahmen: 

  1. Threat Intelligence (Bedrohungsintelligenz): Erfassung und Auswertung von Bedrohungsdaten zur Entwicklung geeigneter Schutzstrategien.
     
  2. Cloud Services (Nutzung von Cloud-Diensten): Sichere Handhabung von Onboarding, Nutzung, Verwaltung und Kündigung bei Cloud-Anbietern.
     
  3. Business Continuity (IKT-Bereitschaft): Wiederherstellungsmaßnahmen mit verstärktem Fokus auf technische Lösungen.
     
  4. Physical Security Monitoring (Physische Sicherheitsüberwachung): Maßnahmen wie Einbruchsalarme und Überwachungssysteme zum Schutz vor unerlaubtem Zugang.
     
  5. Data Masking (Datenmaskierung): Anonymisierung und Pseudonymisierung von sensiblen Daten zur Erhöhung der Datensicherheit.
     
  6. Data Leakage Prevention (Verhinderung von Datenlecks): Systeme zur Überwachung und Erkennung von Datenverlusten.
     
  7. Activity Monitoring (Überwachung von Aktivitäten): Proaktive Überwachung und Analyse ungewöhnlicher Aktivitäten.
     
  8. Web Filtering (Webfilterung): Blockierung gefährlicher Webseiten, die Malware enthalten oder Daten unbefugt auslesen.
     
  9. Secure Coding (Sicheres Coding): Entwicklung von sicherem Code, um Schwachstellen zu vermeiden.
     
  10. Configuration Management (Konfigurationsmanagement): Sicherstellung der korrekten und sicheren Konfiguration von IT-Systemen.
     
  11. Information Deletion (Löschung von Informationen): Umfasst sowohl die physische Vernichtung von Datenträgern als auch die logische Löschung, z.B. in Cloud-Umgebungen. 

Technische und organisatorische Maßnahmen 

Zuvor war oft eine Entweder-oder-Entscheidung möglich: technische Schutzmaßnahmen oder Mitarbeiter:innenschulungen. Jetzt fordert die ISO/IEC 27001:2022 überwiegend beides. Unternehmen müssen ihre Systeme sichern und ihre Mitarbeiter:innen regelmäßig schulen, um ein hohes Sicherheitsniveau zu gewährleisten. 

Beispiele:  

Thema  Inhalt
Technische Maßnahmen   

  • Implementierung fortschrittlicher Sicherheitstechnologien 
  • Regelmäßige Überprüfung und Aktualisierung von Sicherheitssystemen
Organisatorische Maßnahmen: 
 
 

  • Regelmäßige Mitarbeiter:innenschulungen 
  • Entwicklung von Sicherheitsrichtlinien und -protokollen


Erweiterte thematische Abdeckung
 

Die aktualisierte ISO/IEC 27001:2022 deckt jetzt auch Aspekte ab, die vorher weniger berücksichtigt wurden, wie Business Continuity Management und Data Loss Prevention. Ziel ist, dass Unternehmen auch bei Cyberangriffen oder anderen Störungen ihre Geschäftstätigkeit fortsetzen können.
Ebenso fordert die Norm, dediziert auf mögliche Umweltauswirkungen und entsprechende Gegenmaßnahmen einzugehen und bringt dadurch den Aspekt der Klimawandel in Betrachtung. 

Beispiele: 

Thema  Inhalt 
Business Continuity Management    

  • Integration von Nachhaltigkeitszielen in die Lieferkette 
  • Geschäftskontinuität in extremen Wetterverhältnissen sicherstellen 

Data Loss Prevention
 

  • Maßnahmen zur Vermeidung von Datenverlust
Webfiltering    

  • Gezielte Überwachung und Blockierung von Webinhalten, um bspw. den Zugriff auf schädliche oder Webseiten zu verhindern 


Auditplan: Weshalb weiterhin die alte Norm herangezogen wird
 

Trotz der aktualisierten Anforderungen und Maßnahmen, kann es in einigen Fällen sinnvoll sein, die alte Norm weiterhin als Stütze zu nutzen. Da die Vorgängerversion über eine übersichtliche Kapitelreihenfolge verfügt, bietet diese Struktur weiterhin eine geeignete Grundlage für Auditpläne. Unternehmen können sich somit an dem bewährten Aufbau orientieren, während gleichzeitig neue Inhalte und Anforderungen der aktualisierten Norm berücksichtigt werden. 

Langfristige Vorteile der neuen Norm-Version 

Die Implementierung der neuen ISO/IEC 27001:2022 bringt nachhaltige Vorteile für Unternehmen mit sich. Zusätzlich zur besseren Absicherung gegen moderne Bedrohungen fördert die neue Norm das Vertrauen von Kund:innen erheblich, da die erhöhten Sicherheitsstandards und das Engagement des Unternehmens für den Datenschutz bestätigt und nach außen deutlich werden. 

Umstellung auf die Neue Norm: Häufig auftretende Hürden 

Die Umstellung auf die neue ISO/IEC 27001:2022 kann für Unternehmen mit umfangreichen Herausforderungen verbunden sein: 

  • Implementierung neuer Anforderungen: Die neuen Vorgaben erfordern umfassende Anpassungen bestehender Systeme und Prozesse, welche ohne Vorerfahrung oft mit Unklarheiten bei der richtigen Umsetzung verbunden ist. 
  • Reduktion und Neukategorisierung: Die Reduktion der Maßnahmen von 114 auf 93 und deren Neukategorisierung in vier Hauptkategorien erfordert präzise Anpassungen, sodass bei der Neuzuweisung keine Inhalte verloren und auch neue Maßnahmen erfüllt sind. 
  • Awareness: Das Thema Awareness gewinnt zunehmend an Bedeutung. Eine erfolgreiche Vermittlung von Inhalten und dass Policies tatsächlich „gelebt“ werden, stellt sich bei vielen Unternehmen als unerwartete Herausforderung heraus.  

Um den Übergang zur neuen ISO/IEC 27001:2022 zu erleichtern, begleitet EFS Consulting durch Kompetenz und vielseitige Erfahrung bei: 

  • dem Erstellen und Aufsetzen eines ISMS (Information Security Management System). 
  • der Begleitung der Analyse des Ist-Zustands und der Umsetzung geforderter Inhalte im gesamten Vorbereitungsprozess auf ein bevorstehendes Audit.  
  • der Unterstützung der Aufarbeitung notwendiger Maßnahmen im Falle von identifizierten Abweichungen in einem Audit. 

Fazit: Ein Schritt in die Zukunft 

Die ISO/IEC 27001:2022 bietet Unternehmen eine bessere Absicherung gegen moderne Cyberbedrohungen. Dadurch bringt sie jedoch auch Herausforderungen bei der Einführung mit sich. Mit präziseren Vorgaben und neuen Schwerpunkten wie Business Continuity und physische Sicherheit stellt die überarbeitete Norm sicher, dass Unternehmen ihre Sicherheitsstandards erhöhen und sich auf zukünftige Herausforderungen vorbereiten können. Durch eine sorgfältige Vorbereitungsphase, eine koordinierte Umstellung und regelmäßige Überprüfung des ISMS lassen sich diese Herausforderungen effektiv meistern. 

Mehr zur Business Area:
Information Security

Insights

ISO/IEC 27001:2022 – Lang ersehnt und endlich da. Was kommt auf Unternehmen zu?
Für Ihr ISMS ist ein Update verfügbar: Die neue Security-Norm ISO 27001

Mit Wolfgang Walter & Jonas Wagner

Auf diesem Bild ist ein Auto zu sehen, das mittels Sensoren andere Verkehrsteilnehmer:innen erkennt.
UNECE R157: Vorgaben zu Assistenzsystemen für automatisiertes Fahren
Whitepaper | Sichere Fahrzeuge durch UNECE R155 & ISO/SAE 21434
Informationssicherheit als Key Ressource

Mit Wolfgang Walter