nach oben

Erschienen in:

2023 | OriginalPaper | Buchkapitel

3. Controls: Anforderungen und Maßnahmen

verfasst von : Heinrich Kersten, Klaus-Werner Schröder

Erschienen in: ISO 27001: 2022/2023

Verlag: Springer Fachmedien Wiesbaden

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

Wir wollen in diesem Kapitel die Controls aus dem Anhang A der ISO 27001 besprechen: Wir starten zunächst mit einigen wichtigen Hinweise zu ihrer Anwendung und erläutern dann eine neue Idee, die die Ordnung bzw. Sortierung der Controls betrifft („Attribute“). Anschließend erläutern wir alle 93 Controls im Detail und geben Hinweise zur Umsetzung.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Anforderungen an das ISMS

Nächstes Kapitel Fahrplan zur Umstellung auf die neue Norm

Wir verwenden weiterhin das englische Wort Control, da die deutsche Übersetzung mit Maßnahme oder gar Sicherheitsmaßnahme den Sachverhalt nicht vollständig trifft. Ein Control kann z. B. eine weitergehende Anforderungen an die Organisation enthalten – also definitiv keine Sicherheitsmaßnahme im engeren Sinne. Näheres in Kap. 2 unter ISMS-6.1.3.

Diese Bezeichnungen haben wir dem letzten deutschen Normentwurf der ISO 27002 entnommen – auch wenn die Übersetzungen aus dem Englischen an einigen Stellen etwas hölzern erscheinen.

Präziser, aber länglich: Informationssicherheitsleitlinie und Informationssicherheitsrichtlinien.

Rollen/Verantwortlichkeiten für die Einhaltung der Norm und die Berichterstattung an die Leitungsebene.

Zwei Beispiele dazu haben wir in Abschn. 1.4 in diesem Buch angegeben, und zwar unter dem Stichwort Rollen.

In der deutschen Normfassung wird das Wort Authority mit Behörde übersetzt – was aber zu eng ausgelegt ist und nur einen Teil der Anforderungen trifft. Statt von Behörden sprechen wir von Autoritäten.

Beispiele: Bitkom, Teletrust, Gesellschaft für Informatik.

Im Englischen: Information Assets. Wir verwenden der Kürze wegen oft das Wort Asset(s).

Diese Teilaufgabe kann an Verantwortliche delegiert werden. Beispiel: Angaben über Risiken für ein Asset an den Risikoverantwortlichen, s. auch ISMS-6.1.2 Punkt (c).

Im IT-Grundschutz des BSI ist hier von Gruppierung die Rede, die bei der Grundschutzanalyse die Komplexität reduzieren hilft.

Beim IT-Grundschutz des BSI spricht man hier von Strukturanalyse.

In der Norm fallen hierunter IT-Systeme, IT-Anwendungen, andere IT-Geräte, Dienstleistungen, die für den Betrieb notwendige Infrastruktur, sogar ganze Standorte.

Grundsätzliche Informationen zum Asset Management findet man ISO 55001 [15], für IT-bezogenes Asset Management in ISO/IEC 19770-1 [16].

Beachtung des Need-to-Know, lesender Zugriff nur für ausreichend hoch ermächtigte Personen, Verwendung VS-zugelassener Geräte usw.

Übereinstimmung mit der Bestellung/dem Reparaturauftrag, Prüfung auf „eingebaute“ Spionagemechanismen (soweit das entdeckbar ist).

Ein Beispiel aus der ISO 27002.

In Abschn. 1.4 zum Stichwort Daten und Klassifizierungen.

Sie wächst linear mit der Zahl der User und der Objekte, während sie beim „normalen“ Schema quadratisch ansteigt.

Oder auf eine externe Richtlinie zu verweisen, wie etwa die Verschlusssachen-Anweisung des Bundes [2].

Produkt-Beispiele findet man bei Wikipedia u. a. zum Stichwort Mandatory Access Control.

z. B. durch Anwendung asymmetrischer Kryptoverfahren mit Public/Private Keys. Bei Einsatz von elektronischen Zertifikaten und Signaturen kann eine authentische und integre Kommunikation garantiert werden, weil eine gegenseitige (starke) Authentisierung von Absender und Empfänger ermöglicht wird und Datenänderungen auf dem Übertragungsweg sofort erkennbar sind. Die in Deutschland anerkannten qualifizierten Signaturen bieten zusätzlich ein hohes Maß an Rechtssicherheit.

In diese Gruppe fällt auch die Öffnungskontrolle z. B. von Schalt- und Schutzschränken.

Man hat „Zugang“ zum Internet.

z. B. außerhalb des ISMS; möglicherweise stößt man auch auf Fälle, in denen Kontrollen durch die Organisation schlichtweg nicht machbar sind – hier könnte man z. B. an Verlagerungen der Assets an andere Parteien denken, die die notwendigen Kontrollen bereitstellen können.

Türkontrolle mit PIN-Tastatur, Chipkartenleser oder biometrischer Erfassung, dito Schleusen z. B. mit Vereinzelungskontrolle – oder die Kontrolle durch eine „menschliche“ Wache, ggf. in Pförtner-Funktion.

PIN, User-Id/Passwort mit weiteren Verfahren wie z. B. Zwei-Faktor-Authentisierung.

Diese entstehen oft durch die Vergabe temporärer Berechtigung, die nicht mehr zurückgenommen werden, durch das Ausscheiden von Personen (ohne Löschen der zugehörigen Berechtigungen) oder das Beenden von Projekten ohne Rücknahme der entsprechenden Gruppenberechtigungen. Solche „vergessenen“ Rechte können von Insidern zur Erhöhung ihrer Privilegien ausgenutzt werden.

Während in der englischen Originalfassung einheitlich von „authentication“ die Rede ist, wird in den neuen deutschen Normentwürfen zwischen Authentisierung (was der Nutzer zum Nachweis seiner Identität unternimmt) und Authentifizierung (was ein System mit einem Nutzer macht) unterschieden. Dies trägt allerdings mehr zur Verwirrung bei und ist für das Verständnis der Normanforderungen nicht relevant. Wir verwenden deshalb in unseren Erläuterungen einheitlich den Begriff Authentisierung (bzw. die davon abgeleiteten Wortformen).

Ausreichende Länge, großer nutzbarer Zeichenvorrat, Vermeidung „bekannter“ oder leicht erratbarer Passwörter, keine Verwendung bereits früher genutzter Passwörter u.v.m.

Auch Provider von Cloud Services, die z. B. der Betreuung aller mobilen System einer Organisation dienen (Mobile Device Management).

Zumindest im Rahmen von sog. On-Site-Tests.

Man beachte, dass auch bei online durchgeführten Wartungsarbeiten (Fernwartung) ein Zugriff zu Assets der Organisation bestehen kann.

Dies muss nicht immer durch die Organisation selbst geleistet werden, sondern könnte sich auf anerkannte Zertifizierungen des Dienstleisters abstützen.

In der gleichen Normenreihe beschäftigt sich ISO 27036 mit Lieferantenverträgen, speziell bei Cloud Services kann auch ISO/IEC 19086 unterstützen.

z. B. die Zertifizierung nach den Common Criteria [4] für zu liefernde IT-Produkte, oder die Zertifizierung nach der ISO 27001 für IT-Dienstleister, nach dem C5-Katalog [19] für Cloud Anbieter.

Für weitergehende Informationen s. unter anderem [3].

Beispiel: Im Zusammenhang mit der Datenschutz-Grundverordnung wird eine solche Überprüfungspflicht explizit gefordert.

In der ISO 27002 finden sich einige Stichwörter zum Provider-Vertrag, was jedoch die Einschaltung von juristischer Fachkompetenz für die Vertragsgestaltung bzw. die Vertrags- und AGB-Prüfung nicht ersetzen kann.

Handelt es sich bspw. um ein als Notfall bewertetes Incident, wird man möglicherweise ein Business Continuity Management oder ein IT-Notfallmanagement einschalten.

Weiteres hierzu unter A-5.33.

Das nach A-5.9 geforderte Assetverzeichnis könnte um wichtige Information für die Behandlung von Incidents ergänzt werden, wie z. B. technische Angaben zu Servern, Software-Release-Ständen, bestehenden Netzwerkverbindungen usw. Eine solche Datenbank wird auch als Notfalltool herangezogen.

Die folgenden Prozesse können natürlich aus anderen Gründen bereits vorhanden sein.

Sofern man sich auf die IT beschränken will, geht es hier um die IT Business Continuity oder aus anderer Sicht um das IT-Notfallmanagement. Näheres findet man dazu in der Normenreihe ISO 22300 – speziell in der ISO 22301 [18], dann in der ISO 27031 und z. B. in [3] und [5].

SLAs werden i. d. R. mit Externen (z. B. Kunden) vereinbart, während OLAs eigene Anforderungen der Organisation darstellen.

Die Kritikalität ist ein Maß für den Schaden(anstieg) in Abhängigkeit von der Ausfalldauer.

Recovery Time Objective (RTO).

Recovery Point Objective (RPO).

z. B. Kooperationspartner, Kunden, Lieferanten – auch Versicherungen, die der Organisation Vorgaben zur Informationssicherheit machen, wenn es z. B. um Cyber-Versicherungen geht.

Hierzu kann in Deutschland das BSI beraten.

Aus Gesetzen und Verordnungen, ggf. auch aus Verträgen.

z. B. https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assessment.

Es könnte sich hier z. B. um (weisungsunabhängige) interne Auditoren oder Revisoren handeln, aber auch um beauftragtes externes Personal – unterstellt, dass die tätigen Personen an der Realisierung und dem Betrieb des ISMS nicht mitgewirkt haben und auch keine eigenen Interessen in Bezug auf das ISMS verfolgen.

Bei der Fehleranalyse und -behebung sind ggf. auch Kontaktdaten für einen zur Verfügung stehenden technischen Support anzugeben.

z. B. durch Vermittlung von Wissen über das Thema, Fallschilderungen, Vorführungen von Hacker-Attacken etc.

Das Training kann sich z. B. auf komplexe Administrationsarbeiten an IT-Systemen und IT-Anwendungen oder die Konfiguration von Firewalls beziehen oder der routinierten Abwicklung von Wiederanlauf- und Wiederherstellungsverfahren im Rahmen des IT-Notfallmanagements dienen.

Hinsichtlich der Sanktionsregeln s. auch A-5.4 und A-6.2

Interna der Organisation oder auch klassifizierte Informationen.

z. B. Laptops, Tablets und Smartphones.

s. dazu A-7.1

Dies wird vielfach als Bring Your Own Device (BYOD) bezeichnet.

Hierbei werden ein dienstlicher und ein privater Container konfiguriert; das Gerät kann zwischen beiden Containern sozusagen umgeschaltet werden; Daten können zwischen beiden Containern nicht hin- oder herfließen. Ziel ist eine wirksame Trennung zwischen privaten und dienstlichen Daten.

Hier ggf. unter Nutzung von Remote Administration Tools oder Mobile Device Management-Lösungen.

Auskünfte zu diesen Fragen erhält man beim BSI.

vgl. das Stichwort Events und Incidents in Abschn. 1.4.

Einschließlich der damit verbundenen Werte, vgl. A-5.9, Stichwort Asset Location.

Hierzu gehören beispielsweise auch Unterlagen und Akten.

Zutrittskontrollierte Tore, Schleusen, Türen.

Punkte im Perimeter, die einen geringeren oder gar keinen Schutz vor Eindringversuchen aufweisen – hierunter auch Kabelschächte, Ventilationsöffnungen und natürlich (offenstehende) Fenster, Mauern/Decken/Böden mit zu geringen Materialstärken, leicht aufbrechbare Schränke, Schaltschränke und Tresore.

z. B. in der Liegenschaft keine Beschilderung der Art „Schlüsselgenerierung“ oder auch „Rechenzentrum der Fa. XY“

Mit selbstklebenden Siegelmarken, deren Bruch nicht „behebbar“ ist.

Hierbei lässt sich nicht immer vermeiden, dass personenbezogen Daten über solche Personen erfasst und gespeichert werden, sodass die datenschutzrechtlichen Vorgaben zu beachten sind.

Bei Türen, Schleusen, Fenstern.

sog. Shoulder Surfing.

Etwa bei Bankautomaten.

Solche Listen können auch beim Inventarverzeichnis geführt werden, sofern die Datenträger dort einzeln erfasst sind.

Mitnahme = Datenträger werden durch Befugte z. B. für Arbeiten im Home- oder Mobile-Office aus der Organisation heraustransportiert.

Maßgeblich sind hier die Normen DIN 66399 [12] und ISO/IEC 21964 [13], in denen Prozesse und Anlagen zur Vernichtung von Datenträgern beschrieben und den Schutzklassen von Daten gegenübergestellt werden.

Wiederaufbereitung = Löschung aller Daten vor erneuter Verwendung des Datenträgers (englisch: Object Re-Use).

BYOD = Bring Your Own Device: Nutzung privater IT-Systeme für dienstliche Zwecke.

Als Übersetzung von Access verwenden wir hier Zugriff, was jedoch prinzipiell auch Zutritt zu Räumlichkeiten und den Zugang zu Services miteinschließt.

Subjekt kann eine Person, eine Rolle, eine IT-Anwendung oder ein Prozess ein – eben eine „handelnde Instanz“, die Berechtigungen benötigt.

Bekannte Dienste wie z. B. Active Directory, Open LDAP, Open Directory.

z. B. nach den Common Criteria [4, 17]; für Listen zertifizierter Produkte siehe www.commoncriteriaportal.org.

z. B. auch ein entsprechendes Software Development Kit (SDK).

Statt Authentifizierung verwenden wir auch hier stets Authentisierung: vgl. die Fußnote beim Titel von A-5.17.

Diese Art der Authentisierung ist in letzter Zeit in die Kritik geraten – weniger aus technischer Sicht, sondern weil die Handhabung durch Nutzer Schwächen aufweisen kann.

Evtl. unter Nutzung von Analyse-Tools oder aufgrund von durchgeführten Penetrationstests.

Voraussetzung ist das Deaktivieren automatischer Updatefunktionen.

Im einfachsten Fall durch Suche nach konfigurierbaren kritischen Stichwörtern.

Falls z. B. die Datenintegrität nicht mehr gegeben ist oder bestimmte Daten versehentlich gelöscht wurden, macht ein Backup wenig Sinn bzw. kann bei einem Restore sogar kontraproduktiv sein.

vgl. dazu z. B. [3] oder [5].

Bei Clouds auch in Form von regional aufgestellten Content Delivery Networks.

Etwa im Zusammenhang mit dem Datenschutz und des Schutzes von Arbeitnehmerrechten.

z. B. Zugriff nur im Vier-Augen-Prinzip, welches durch Passwort-Teilung organisatorisch erzwungen werden kann.

z. B. durch ein unabhängiges regelmäßiges Review der Protokolldaten.

Etwa die Internet-Zeitserver der Physikalisch-Technischen Bundesanstalt (PTB) unter ptbtimeX.ptb.de mit X = 1, 2, 3 oder 4.

Kleine, aber wirkungsvolle Änderungen/Anpassungen an Systemen und Anwendungen, ursprünglich zum Zwecke der Optimierung, Fehlerbehebung usw.

Dieser Sachverhalt tritt häufig auf, wenn zur Installation vorab ein „Installer“ geladen wird, der dann erst die „neue“ Software herunterlädt.

Die mehrteilige Norm ISO 27033 beschäftigt sich mit diesem Thema in aller Ausführlichkeit.

100

Router, Switches, Access Points, Gateway, Firewalls, TK-Anlagen etc.

101

z. B. als Ersatz-Kommunikationsmittel beim IT-Notfallmanagement.

102

Anerkannte symmetrische oder asymmetrische Algorithmen, mit ausreichend langen, sicher erzeugten und geheim zu haltenden Schlüsseln.

103

z. B. Signaturverfahren unter Nutzung von Public/Private Keys und Hashverfahren.

104

Einige Beispiele: SFTP = Secure FTP für Dateitransfer, IMAPS = Secure IMAP für Email-Verschlüsselung, SHTTP = Secure HTTP für sicheren Browserzugriff; dann aber auch VPN- und Tunneling-Protokolle.

105

Sofern eine Verschlüsselung nicht schon in den Endpoints (ggf. durch IT-Anwendungen) vorgenommen wurde.

106

Von Anwendungen (u. a. von Browsern) zur Verfügung gestellte schwache Algorithmen.

107

Beispiele: Mail-Gateway zur Malware-Prüfung von hereinkommenden/abzusenden Emails; Security Gateway zur Authentisierung und Schlüsselverteilung für Nutzer im Mobile- oder Home-Office; VPN-Gateway mit ähnlicher Anwendung.

108

Auch liest man gelegentlich den Vorschlag, zwei verschiedene, räumlich voneinander entfernte Segmente über eine Anpassung der Funk-Reichweite (Sendeleistung, Kanalauswahl) zu trennen – über die Sicherheit einer solchen Trennung gehen die Meinungen auseinander.

109

Alternativ kann man sich auch z. B. beim BSI zu einzelnen Aspekten beraten lassen.

110

Das sog. External Key Management (auch: „Bring Your Own Key“ genannt) kann abhelfen, sofern die Cloud-Anwendungen dieses unterstützen.

111

Auskünfte z. B. über das BSI.

112

Der klassische Fall eines sog. Referenz-Monitors bei Betriebssystemen und Datenbanken.

113

z. B. in eine Smartcard oder in ein Trusted Platform Module (TPM).

114

Auch z. B. die Nutzung einer Cloud mit bereitgestellten Tools für die SW-Entwicklung.

115

z. B. Pair Programming (eine Person codiert, ein anderes Team-Mitglied begutachtet parallel am selben Terminal jede Codezeile), Peer Review (Begutachtung durch Team-Mitglieder räumlich/zeitlich unabhängig vom Vorgang des Codierens), Refactoring (Umstrukturierung des Codes zur Verbesserung der Lesbarkeit, Nachvollziehbarkeit, der Wartbarkeit und des Testens – ggf. werkzeugunterstützt).

116

Hier gemeint: IT-System im engeren Sinne, jede Art von Software, auch Spezialitäten wie Tools.

Framework for Improving Critical Infrastructure Cybersecurity, National Institute of Standards and Technology (USA), Version 1.1, April 16, 2018

Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung – VSA), vom 13. März 2023

Kersten, H., Klett, G.: Business Continuity und IT-Notfallmanagement – Grundlagen: Methoden und Konzepte, ISBN 978–3–658–19117–7, Springer 2017

Common Criteria 2022, Release 1, www.commoncriteriaportal.org

BSI-Standard 200-4: Business Continuity Management, Community Draft 2.0, www.bsi.de/grundschutz

BDSG: Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097), zuletzt geändert durch Artikel 10 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1858; 2022 I 1045)

Datenschutz-Grundverordnung (DS-GVO): Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

SDM: Das Standard-Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, Version 3.0, AK Technik der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, vom 24. November 2022

SÜG: Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867), zuletzt geändert durch Artikel 4 des Gesetzes vom 5. Juli 2021 (BGBl. I S. 2274)

10.

Basistipps zur IT-Sicherheit: Daten auf Festplatten und Smartphones endgültig löschen, https://www.bsi.bund.de/dok/6599236

11.

DIN 66399: Büro- und Datentechnik – Vernichten von Datenträgern (drei Teile), 2012/2013

12.

ISO/IEC 21964: Informationstechnik - Bürogeräte – Vernichten von Datenträgern (drei Teile), 2018-08

13.

Kersten H., Klett G.: Data Leakage Prevention: Datenlecks im Unternehmen erkennen und vermeiden, ISBN 978–3–826–69508–7, mitp professional 2013

14.

DIN EN ISO/IEC 29134: Informationstechnik – Sicherheitsverfahren – Leitlinien für die Datenschutz-Folgenabschätzung, 2020-09

15.

DIN ISO 55001: Asset Management – Managementsysteme – Anforderungen, 2021-03

16.

ISO/IEC 19770–1: Informationstechnik – Management von IT-Assets – Teil 1: Managementsysteme für IT-Assets – Anforderungen, 2017–12

17.

DIN ISO/IEC 15408: Informationstechnik – IT-Sicherheitsverfahren – Evaluationskriterien für IT-Sicherheit, 2020–12 (ältere Fassung von [4])

18.

DIN EN ISO 22301: Sicherheit und Resilienz – Business Continuity Management System – Anforderungen, 2020-06

19.

Cloud Computing Compliance Criteria Catalogue – C5:2020, www.bsi.de

Titel: Controls: Anforderungen und Maßnahmen
verfasst von: Heinrich Kersten
Klaus-Werner Schröder
Verlag: Springer Fachmedien Wiesbaden
Buch: ISO 27001: 2022/2023
Print ISBN: 978-3-658-42243-1

Electronic ISBN: 978-3-658-42244-8

Copyright-Jahr: 2023
DOI: https://doi.org/10.1007/978-3-658-42244-8_3

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"

Premium Partner