Information Security Management Standard Security-Update: Die wichtigsten Neuerungen in ISO 27002:2022

Von Frank Augenstein *

Der Sicherheitsstandard ISO/IEC 27001 hat im ersten Quartal 2022 umfassende Änderungen erhalten. Wer nach ISO 27001:2013 zertifiziert ist hat jetzt zwei Jahre Zeit, Neuerungen entsprechend umzusetzen. Neben der aktualisierten Struktur ist dabei vor allem auf die 11 neu in ISO 27002:2022 enthaltenen Maßnahmen achten.

Anbieter zum Thema

Der 2013 ins Leben gerufene Security-Standard ISO 27001 hat 2022 einige längst überfällige Aktualisierungen erhalten. Vor allem der Schutz personenbezogener Daten, aber auch der aktive Schutz vor potentiellen Cybersecurity-Bedrohungen rücken nun stärker in den Fokus.
Der 2013 ins Leben gerufene Security-Standard ISO 27001 hat 2022 einige längst überfällige Aktualisierungen erhalten. Vor allem der Schutz personenbezogener Daten, aber auch der aktive Schutz vor potentiellen Cybersecurity-Bedrohungen rücken nun stärker in den Fokus.
(Bild: Clipdealer)

Im ersten Quartal 2022 ist eine neue Version der ISO/IEC 27002 veröffentlicht worden. Der neue Standard definiert allgemeine Sicherheitsmaßnahmen nach dem Stand der Technik und ist der Standard-Leitfaden zur Umsetzung der Anforderungen aus dem Annex A der ISO/IEC 27001.

Dabei handelt es sich um die längst überfällige Aktualisierung des Standards aus dem Jahr 2013, der in 2017 nur einige wenige Aktualisierungen erfahren hatte. Angesichts der nahezu explodierten Anforderungen an die IT-Sicherheit von Unternehmen, spielen die Neuerungen eine enorm wichtige Rolle für die Sicherheit in der Informationstechnik. Im Rahmen der Aktualisierung findet auch eine Neustrukturierung des Leitfadens statt.

Welche Auswirkung hat die Überarbeitung auf die Zertifizierung?

Mit ISO27002:2022 erhält der Information Security Management Standard neue Maßnahmen. Wer nach ISO27001:2013 zertifiziert ist, hat in etwa zwei Jahre Zeit die Zertifizierung zum neuen Standard durchzuführen. Das ist kein Grund zur Panik, es bleibt noch genügend Zeit, sich mit den Änderungen auseinanderzusetzen. Allerdings ist es empfehlenswert, dass sich Unternehmen und Organisationen so schnell wie möglich mit den Änderungen befassen.

Das Kapitel 4.1 der ISO27001 erfordert ohnehin die Analyse und Untersuchung von Auswirkungen externer Bereiche auf das ISMS. Je früher sich zertifizierte Unternehmen mit den aktualisierten Maßnahmen beschäftigen, desto effektiver lassen sich die Neuerungen in das eigene Regelwerk implementieren.

11 neue Maßnahmen, aktualisierte Struktur

Die wichtigsten Neuerungen der Version bestehen in einer verbesserten und aktualisierten Struktur sowie 11 weiteren Maßnahmen. ISO27001:2013 (Annex A) zählt 114 Maßnahmen in 14 verschiedenen Bereichen. Die neue Version gliedert 93 Maßnahmen in vier Bereiche:

  • Organizational controls (37 Maßnahmen);
  • People controls (8 Maßnahmen);
  • Physical controls (14 Maßnahmen); und
  • Technological controls (34 Maßnahmen)

Darüber hinaus definiert der neue Standard explizit auch Ziele der Maßnahmen und führt weitere Attribute aus, wie zum Beispiel die Wirkungsweise. Im Fokus steht jetzt der Zweck der Maßnahme. Attribute dienen als alternative Sortiermöglichkeit der Maßnahmen und bieten mehr Flexibilität. Parallel dazu wurden 58 Maßnahmen auf den neusten Stand gebracht und 24 weitere zusammengefasst. Es gibt also einiges zu tun, um die Maßnahmen des Leitfadens im eigenen Netzwerk umzusetzen und auf den neusten Stand zu bringen.

Durch die Änderung der ISO 27002 wird auch ISO 27001 angepasst, um die Synchronizität der Standards wieder herzustellen. Bei näherer Betrachtung des neuen Standards fällt auf, dass verschiedene Maßnahmen gestrichen wurden. Dafür gibt es 11 neue Maßnahmen, welche die aktuellen Sicherheitsanforderungen in den nächsten Jahren adressieren. In der nachfolgenden Tabelle beleuchten wir die aktualisierten Maßnahmen im Detail.

Wo liegt der Fokus der 11 Maßnahmen?

Diese Maßnahmen sind nicht unbedingt revolutionär. Es handelt sich eher um die Weiterentwicklung einer Norm, die schon seit einiger Zeit einer Aktualisierung bedurfte. Jedenfalls wenn man den Anforderungen an die IT-Sicherheit in den nächsten Jahren gerecht werden will.

Die Maßnahmen bieten unterschiedliche Ansätze, um Netzwerke besser als bisher zu schützen:

Maßnahme Warum ist die neue Maßnahme notwendig?
Threat Intelligence (5.07) Das Sammeln und Analysieren von Bedrohungsinformationen ermöglicht es, genauer zu bestimmen, was für einen umfassenden Schutz notwendig ist.
Information security for the use of cloud services (5.23) Cloud-Dienste sind zunehmend integraler Bestandteil der Infrastruktur eines Unternehmens. Deshalb sollten Firmen über geeignete Prozesse für das Onboarding, die Nutzung, die Verwaltung und den möglichen Ausstieg bei einem Anbieter verfügen.
ICT readiness for business continuity (5.30) Die Anforderungen an Business Continuity bestehen zwar schon seit Längerem, aber die Aktualisierung rückt die Anforderungen an technische Wiederherstellungsmaßnahmen noch stärker in den Vordergrund.
Physical security monitoring(7.4) Die Überwachung schreckt potenzielle Eindringlinge ab und hilft, Angriffe zuerkennen. Schutzwerkzeuge, Einbruchsalarme und weitere Funktionenschützen vor unbefugtem Zugriff.
Configuration management (8.9) Stellt sicher, dass die Dienste korrekt mit den erforderlichen Sicherheitseinstellungen betrieben werden und die Konfiguration nicht durch unautorisierte oder fehlerhafte Änderungen kompromittiert wird.
Information Deletion (8.10) Die Datenschutzgrundverordnung (DSGVO / GDPR) sowie das britische Datenschutzgesetz enthalten Grundsätze, die Organisationen dazu verpflichten,Daten nur so lange zu speichern, wie es notwendig ist. Diese Maßnahmeerweitert die Anforderung über personenbezogene Daten hinaus auf den allgemeinen Begriff „Informationen“.
Data Masking (8.11) In den letzten Jahren haben anonymisierte oder pseudonymisierte Daten zunehmend an Bedeutung gewonnen. Die Daten auf die notwendige Menge zubeschränken, die für die Erledigung einer Aufgabe notwendig ist, ist kein neuesKonzept. Aber dafür die Anwendung auf Daten durch Datenmaskierung.
Data leakage prevention (8.12) Die Fähigkeit, eine Extraktion von Daten zu erkennen, ist der Schlüssel, um sie zu schützen. Mit der zunehmenden Nutzung von Cloud-Diensten und Endgeräten steigt die Notwendigkeit, diese Dienste auf Datenverluste hin zu überwachen.
Monitoring Activities (8.16) Die proaktive Überwachung von Aktivitäten, die von Standards, der definierten Form oder Erwartungen abweichen, ist jetzt zwingend erforderlich! Das Sammeln der Protokolle steht nicht mehr länger allein im Fokus.
Web Filtering (8.22) Leider ist nicht jede Webseite vertrauenswürdig. Einige verbreiten Malware, andere lesen Daten aus. Das Filtern solcher Websites vor dem Aufruf senkt dieRisiken für Endnutzer.
Secure Coding (8.28) Sichere Kodierung legt mehr Wert darauf, zu gewährleisten, dass der Code keine Schwachstellen aufweist oder sonst anfällig für Angriffe ist. Zum Bereichsichere Kodierung zählt auch das regelmäßige Aktualisieren und Einspielenvon Patches.

Jede Maßnahme hat fünf Attribute mit verschiedenen Attributwerten

Neben neuen Maßnahmen und neuer Struktur, verfügt jetzt jede Maßnahme über fünf verschiedene Attribute. Diese Attribute und die ihnen zugewiesenen Attributwerte sind für die meisten Organisationen umsetzbar:

1. Control Type : Wirkungsweise der Maßnahme (Vorbeugend, aufdeckend, korrigierend).
2. Information Security Property: Auswirkung auf Sicherheitsziele (Vertraulichkeit, Integrität, Verfügbarkeit).
3. Cybersecurity Concepts: Einordnung in Frameworks für Cybersecurity (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen).
4. Operational Capabilities: Operative Fähigkeiten (siehe unten).
5. Security Domains : NIS Sicherheitsdomänen (ENISA) (Governance, Ökosystem, Schutz, Verteidigung, Resilienz).

Zu den operativen Fähigkeiten zählen Maßnahmen aus der Sicht von Praktikern, zum Beispiel Governance, Asset Management, Informationsschutz, Personalsicherheit, physische Sicherheit, System- und Netzwerksicherheit, Anwendungssicherheit, sichere Konfiguration, Identitäts- und Zugriffsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Sicherheit von Lieferantenbeziehungen, Recht und Compliance, Management von Informationssicherheitsereignissen und Gewährleistung der Informationssicherheit.

Fazit: Privatsphäre und Cybersicherheit müssen beides gewahrt werden

Mit den Aktualisierungen hat ISO27001 einige wichtige und längst überfällige Updates erhalten. Im Rahmen der Neuerung wurde auch die Bezeichnung angepasst. ISO27002:2013 trägt die Bezeichnung „Informationstechnologie - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen“. Die neue Version trägt den Namen „Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen“.

Der Begriff „Informationstechnologie“ wurde durch „Informationssicherheit“ ersetzt und mit „Cybersicherheit“ und „Schutz der Privatsphäre“ erweitert. Der Leitfaden hebt sehr deutlich hervor, dass der Schwerpunkt nicht auf der Technologie liegt, sondern auf dem Schutz der Privatsphäre UND der Cybersicherheit. Der Begriff „Verhaltenskodex“ wurde gestrichen. Der neue Name spiegelt, genauso wie die aktualisierten Maßnahmen, die Anforderungen an die IT-Sicherheit in den nächsten Jahren wider.

Bestimmte Vorgaben beziehen sich dabei ganz speziell auf das Anforderungsprofil in IT-Umgebungen. Ein automatisiertes Monitoring der Attribute und Veränderungen der Systeme erleichtert die ansonsten komplexe Administration und verbessert das Management insgesamt.

Dazu ermittelt man zunächst wie eine sichere Konfiguration im jeweiligen Unternehmen aussehen sollte und definiert dementsprechend die Richtlinien. Dabei helfen vordefinierte Richtlinienpakete. Im Rahmen eines solchen automatisierten Monitorings wird dann sofort eine Meldung ausgelöst, sollte ein System von diesem vordefinierten Zustand abweichen. Technologien zur Änderungsüberwachung (wie das File Integrity Monitoring, kurz FIM) werden deshalb inzwischen von so gut wie allen führenden Sicherheits-Frameworks und Compliance-Vorgaben verlangt.

Im Idealfall lassen sich diese Tools auch zum Erstellen von Berichten verwenden, die dann wiederum bei Audits eingesetzt werden können. Die Übergangszeit in den nächsten beiden Jahren sollten Firmen definitiv dazu nutzen, sich mit der neuen Norm auseinanderzusetzen und einen Plan zu erarbeiten, wie sie die Neuerungen erfolgreich und mithilfe geeigneter Tools umsetzen können.

* Frank Augenstein ist Senior Sales Engineer, DACH, bei Tripwire.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48204341)