Die Zertifizierung zum Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 stellt verschiedene Anforderungen an Design und Dokumentation von Prozessen und Verantwortlichkeiten, die möglichst lückenlos erfüllt werden müssen. "Die Praxis zeigt allerdings, dass es immer wieder unbemerkte offene Flanken gibt, die eine Zertifizierung vereiteln können", sagt Ralph Freude vom TÜV Rheinland. Insgesamt hat der Prüfdienstleister sieben typische Fehler bei der Umsetzung eines ISMS aufgelistet:
- Unternehmen haben zwar die Sicherheit der IT-Infrastruktur, aber oft nicht die physische Sicherheit im Blick. Ungesicherte Seiteneingänge am Gebäude sind eine ungewollte Einladung an Cyberkrimminelle. Sie eröffnen unbefugten Dritten ungehinderten Zugang zum Unternehmen, zu Mitarbeiter-Arbeitsplätzen oder sogar zum Serverraum und damit zu Daten und digitalen Werten der Organisation.
- Verantwortlichkeiten sind nicht oder nur mangelhaft voneinander getrennt, offizielle Freigabeprozesse werden umgangen. So finde eine Kontrolle durch Dritte – etwa bei der Ausgabe von IT-Geräten – nicht statt. Oder Unternehmenswerte werden nicht inventarisiert. So erfolge beim Ausscheiden des Mitarbeiters keine geordnete Rückgabe der zuvor ausgehändigten Arbeitsmittel wie Laptops oder Smartphones.
- Nichtkonformitäten werden mit falschen Korrekturen belegt. Statt einen USB-Stick zu verbieten sollte man dessen Einsatz technisch verhindern.
- Der Management-Report enthält betriebswirtschaftliche Kennzahlen, aber keine Auswertungsergebnisse hinsichtlich der Informationssicherheit.
- Der Admin nutz seinen privilegierten Account für Routine-Tätigkeiten oder Privates.
- Das Unternehmen hat maßgeblich seine Kunden im Fokus, nicht aber andere interessierte Parteien wie Mitarbeiter, Lieferanten oder Gesetzgeber. Dies ist nun aber mit der sogenannten High Level Structure gefordert.
- Vertrauliche Daten werden unsachgemäß entsorgt. So können Gehaltsabrechnungen oder Kundeninformationen in die Hände unbefugter Dritter fallen – ein grober Verstoß gegen den DAtenschutz und ein KO-Kriterium, die das Erfüllen der ISO 27001-Anforderungen vereiteln.
"Wer den Erfolg eines Prüfverfahrens und der Zertifizierung nicht gefährden will, sollte die Anforderungen der Norm bei der Einführung eines ISMS gewissenhaft mit der Realität im Unternehmen abgleichen", so Freude. Mit dem Leitfaden des Prüfungsinstituts wolle man dazu eine praktische Hilfe stellen. Dieser sei aber kein Leitfaden zur Umsetzung der Managementnorm, sondern sollte als Stichwortgeber verstanden werden. Er lässt sich hier herunterladen (externer Link). (sg)
