.png)
Audits und festgestellte Nichtkonformitäten sind entscheidende Elemente des Informationssicherheitsmanagements. Audits und Nichtkonformitäten treiben Organisationen zur kontinuierlichen Verbesserung an und machen Sicherheit zu einem lebendigen, sich entwickelnden Prozess und nicht zu einer Abhakübung.
Audits helfen Ihnen, Schwachstellen zu erkennen, bevor sie zu Vorfällen werden, und Ihre Sicherheitsfortschritte im Laufe der Zeit zu verfolgen. Nichtkonformitäten bieten eine Gelegenheit zum Lernen und Wachsen und fördern eine Kultur der Verantwortlichkeit. Unternehmen, die Audits annehmen, sehen sie als Mittel zur Verbesserung und nicht als Bestrafung.
Audits der Informationssicherheit sind systematische Bewertungen der Informationssicherheit einer Organisation. Audits zielen darauf ab, sicherzustellen, dass die Organisation tatsächlich gemäß den festgelegten Anforderungen oder ausgewählten bewährten Verfahren zum Schutz ihrer Informationswerte arbeitet.
Zu den Zielen einer Prüfung der Informationssicherheit gehören in der Regel:
%201.png)
Die Prüfungen können intern durch kompetente und mit den entsprechenden Befugnissen ausgestattete Mitarbeiter (interne Prüfung) oder extern durch ausgewählte unabhängige Partner (externe Prüfung) durchgeführt werden.
Einige Audits werden hauptsächlich unter dem Gesichtspunkt der Einhaltung der Vorschriften (Compliance Audits) und andere unter einem eher technischen Gesichtspunkt (technische Audits) durchgeführt, die sich z. B. auf bestimmte Datensysteme oder Themen (z. B. Netzsicherheit, Anwendungssicherheit) konzentrieren.
Ein "Nichtbestehen" eines Sicherheitsaudits kann im Grunde bedeuten, dass die Organisation zum Zeitpunkt des Audits nicht alle Anforderungen der Norm erfüllt hat und daher einige Nichtkonformitäten festgestellt wurden.
Danach hat die Organisation die Möglichkeit, die Nichtkonformitäten durch Korrekturmaßnahmen zu beheben. Dies bedeutet, dass ein Plan für Korrekturmaßnahmen erstellt wird und diese Korrekturen umgesetzt werden. Bei Zertifizierungsaudits müssen die Korrekturen für größere Nichtkonformitäten vom Auditor überprüft werden. Bei geringfügigen Nichtkonformitäten reicht die Überprüfung des Korrekturmaßnahmenplans aus.
Es ist wichtig zu verstehen, dass es im Auditprozess eigentlich kein Versagen gibt. Der Prüfer wird Ihnen helfen, Nichtkonformitäten und anderes Verbesserungspotenzial zu erkennen. Selbst wenn Nichtkonformitäten festgestellt werden (was ganz normal ist), haben Sie eine klare To-Do-Liste zur Verbesserung Ihrer Informationssicherheit.
📌 Zugehöriger ISO 27001-Abschnitt: 6.1.2 - Risikobewertung der Informationssicherheit
🔍 Was fehlt?: Es kann vorkommen, dass Organisationen kein klar definiertes Risikomanagementverfahren vorlegen, nach dem das Risikomanagement für die Informationssicherheit durchgeführt wird. Dies sollte z. B. die verwendeten Risikobewertungskriterien und die Festlegung und Überwachung von Behandlungsmaßnahmen umfassen. Das Verfahren sollte auch erklären, wie oft und wo das Risikomanagement durchgeführt wird.
💡 Wie kann man das beheben? Führen Sie ein strukturiertes Risikomanagementverfahren ein (oft unterstützt durch eine ISMS-App). Verfügen Sie über einen zentralen Bericht "Risikomanagementverfahren", in dem alle wichtigen Schritte erläutert werden und der kontrolliert aktualisiert wird. Regelmäßige Überprüfungen und Workshops zum Risikomanagement im Bereich der Informationssicherheit, mindestens vierteljährlich oder bei wesentlichen Änderungen oder Bedarf.
📌 Zugehöriger ISO 27001-Abschnitt: 6.1.3 - Behandlung von Informationssicherheitsrisiken
🔍 Was fehlt?: Die Organisation hat Risiken identifiziert, verfügt aber nicht über ausreichende Belege, um nachzuweisen, wie diese Risiken gemildert werden. Die Pläne zur Behandlung von Risiken sind vage, es fehlen konkrete Maßnahmen, Zeitvorgaben oder verantwortliche Personen, so dass es schwierig ist, Fortschritte zu verfolgen. Organisationen verlassen sich auf mündliche Zusicherungen oder veraltete Dokumente, anstatt überprüfbare Aufzeichnungen über die Umsetzung der Maßnahmen zu führen.
💡 Wie kann man das beheben? Für Risiken, die vorrangig behandelt werden sollen, sollte ein klarer Risikobehandlungsplan erstellt werden, der die gewählte Behandlungsoption (akzeptieren, abschwächen, übertragen oder vermeiden), spezifische Schutzmaßnahmen zur Risikominderung (gegebenenfalls in Verbindung mit Anhang A von ISO 27001), verantwortliche Personen und Fristen enthält. Ein Nachweis über die Umsetzung sollte für Ihr ISMS erstellt werden.
⭐ Extra: Verwenden Sie ein integriertes ISMS-Tool, um sicherzustellen, dass Risikobewertungen und -behandlungen an der gleichen Stelle durchgeführt und verfolgt werden wie alle Maßnahmen zur Informationssicherheit, damit die Fortschritte bei der Risikobehandlung sichtbar werden.
📌 Zugehöriger ISO 27001-Abschnitt: 9.2 - Internes Audit & 9.3 - Managementbewertung
🔍 Was fehlt?: In den letzten 12 Monaten wurde kein internes Audit durchgeführt, oder es fehlen klare Aufzeichnungen über die Ergebnisse der durchgeführten Audits. Die oberste Leitung hat in den letzten 12 Monaten nicht an einer Managementbewertung teilgenommen, oder es liegen keine Bewertungsergebnisse vor.
💡 Wie kann man das beheben? Jährliche interne Audits einplanen und Berichte über Feststellungen und Korrekturen aufbewahren. Durchführung von Management-Reviews zur Bewertung der Wirksamkeit des ISMS und Erstellung von Berichten über die Ergebnisse.
📌 Zugehöriger ISO 27001-Abschnitt: 6.1.3 (d) - Erklärung zur Anwendbarkeit
🔍 Was fehlt? Die Anwendbarkeitserklärung (Statement of Applicability - SoA) ist unvollständig, veraltet oder schlecht dokumentiert, so dass es schwierig ist, die Einhaltung der Anforderungen von ISO 27001 nachzuweisen. Die Organisation kann nicht begründen, warum bestimmte Kontrollen des Anhangs A eingeschlossen oder ausgeschlossen sind. Die Durchführung von Kontrollen wird nicht klar erklärt und mit Risiken in Verbindung gebracht. Das Dokument wird nicht regelmäßig überprüft, was dazu führt, dass es z. B. nicht an organisatorische Änderungen oder neue Sicherheitsbedrohungen angepasst wird.
💡 Wie kann man das beheben? Stellen Sie sicher, dass in der SoA alle Kontrollen des Anhangs A klar aufgelistet sind, wobei die meisten als anwendbar und die übrigen als nicht anwendbar zu kennzeichnen sind, und begründen Sie dies ausführlich. Stellen Sie sicher, dass das SoA die Durchführung der anwendbaren Kontrollen klar erläutert und mit Nachweisen belegt. Überprüfen und aktualisieren Sie das SoA regelmäßig und stellen Sie Querverweise zwischen dem SoA, dem Risikobehandlungsplan und allen anderen Teilen des ISMS her, um ein kohärentes ISMS zu demonstrieren. Sicherstellen, dass das SoA für Auditoren und relevante Stakeholder zugänglich ist, mit einem gut strukturierten Format für einfaches Verständnis.
⭐ Extra: In Cyberday wird SoA automatisch durch Ihre ISMS-Aufgaben erstellt und verfolgt, die mit relevanten Anforderungen in ISO 27001 / ISO 27002 verknüpft sind.¨
📌 Zugehöriger ISO 27001-Abschnitt: 9.1 - Überwachung, Messung, Analyse und Bewertung
🔍 Was fehlt? Keine definierten Schlüsselmetriken (auch bekannt als KPIs) zur Messung der Wirksamkeit des ISMS. In dieser Situation wird die Sicherheitsleistung nicht quantifiziert, was es dem Management erschwert, die Sicherheitslage zu bewerten oder Trends zu erkennen. Unternehmen verlassen sich auf Vermutungen, ohne Sicherheitsüberwachung in Echtzeit oder Trendanalysen von Vorfällen. Dies schwächt in der Regel auch die regelmäßige Berichterstattung über die ISMS-Leistung an die oberste Führungsebene (z. B. im Rahmen von Management-Reviews), was einen Mangel an Transparenz und Engagement zur Folge hat.
💡 Wie kann man das beheben? Definieren Sie messbare Sicherheitsziele und -kennzahlen. Dies könnten z. B. sein: Sicherheitsvorfälle pro Quartal, Konformitätsbewertung im ISMS, Prozentsatz der Mitarbeiter, die eine Schulung zum Sicherheitsbewusstsein absolvieren, Anzahl der innerhalb eines bestimmten Zeitrahmens behobenen Nichtkonformitäten, Anzahl der nicht gepatchten Schwachstellen, die die festgelegten SLAs überschreiten. Durchführung regelmäßiger ISMS-Leistungsüberprüfungen (z. B. vierteljährlich) unter Einbeziehung der Geschäftsleitung. Abgleich der Sicherheitskennzahlen mit den Unternehmenszielen, z. B. Verringerung finanzieller Verluste durch Cybervorfälle oder Verbesserung der Einhaltung gesetzlicher Vorschriften.
⭐ Extra: Implementieren Sie automatisierte Sicherheits-Dashboards, die Leistungskennzahlen in Echtzeit verfolgen. Nutzen Sie Trendanalysen, um Schwachstellen proaktiv anzugehen, bevor sie zu kritischen Problemen werden...
📌 Zugehöriger ISO 27001-Abschnitt: 5.23 - Management von Informationssicherheitsvorfällen
🔍 Was fehlt? Kein formalisiertes Verfahren zur Reaktion auf Sicherheitsvorfälle, was zu einer uneinheitlichen, verzögerten und unklaren Behandlung von Sicherheitsvorfällen führt. Die Mitarbeiter wissen nicht, wie sie Sicherheitsvorfälle melden sollen, was das Risiko von unbemerkten Verstößen erhöht. Die Dokumentation früherer Vorfälle wird nicht ordnungsgemäß geführt, was die Analyse früherer Vorfälle und die Verbesserung der Reaktionsstrategien erschwert. Keine klaren Zuständigkeiten oder Eskalationsprozesse, was zu Verwirrung bei der Bearbeitung von Vorfällen führt.
💡 Wie kann man das beheben? Einrichtung eines zentralen Meldesystems für Vorfälle, das gewährleistet, dass die Mitarbeiter Sicherheitsvorfälle (z. B. Phishing, Malware, unbefugter Zugriff) problemlos melden können. Führen Sie eine Dokumentation früherer Vorfälle, insbesondere der Maßnahmen, die ergriffen wurden, um ähnliche Vorfälle in Zukunft zu entschärfen. Zuweisung von Rollen für die Reaktion auf Vorfälle mit definierten Zuständigkeiten (z. B. Vorfallsmanager, technischer Leiter, Kommunikationsleiter) und Erstellung klarer Reaktionspläne für allgemein erwartete oder extrem ungünstige Vorfälle. Implementieren Sie einen Eskalationsprozess, um sicherzustellen, dass schwerwiegende Vorfälle umgehend der Geschäftsleitung und ggf. externen Aufsichtsbehörden gemeldet werden.
⭐ Extra: Führen Sie regelmäßig Übungen zur Reaktion auf Vorfälle durch, einschließlich Tabletop-Übungen und realitätsnaher Simulationen wie Phishing-Tests.
📌 Zugehöriger ISO 27001-Abschnitt: A: 8.2 - Identitäts- und Zugriffsmanagement
🔍 Was fehlt? Die Mitarbeiter haben mehr Zugang zu Daten und Systemen als nötig, was das Risiko von Insider-Bedrohungen und Datenschutzverletzungen erhöht. Die Zugriffsrechte werden nicht regelmäßig überprüft, was dazu führt, dass z. B. ehemalige Mitarbeiter immer noch Zugriff auf sensible Systeme haben, die sie nicht benötigen. Der Zugang zu Informationen wird uneinheitlich gewährt, anstatt standardisierte Rollen und die Grundsätze der geringsten Privilegien zu verwenden. Kein formales Verfahren für die Genehmigung, Änderung oder den Entzug des Zugangs, so dass unklar ist, wer Änderungen genehmigen kann. Schwache oder nicht vorhandene Protokollierung und Überwachung von Zugriffsaktivitäten, was die Erkennung von unberechtigtem Zugriff oder potenziellen Sicherheitsvorfällen erschwert.
💡 Wie behebt man das Problem? Führen Sie eine rollenbasierte Zugriffskontrolle (RBAC) ein und befolgen Sie den Grundsatz der geringsten Privilegien, um sicherzustellen, dass die Nutzer nur den für ihre Aufgaben erforderlichen Mindestzugriff haben. Vermitteln Sie diese bewährten Verfahren allen Mitarbeitern, damit auch sie Nichtkonformitäten erkennen können. Führen Sie regelmäßige Zugriffsüberprüfungen durch (z. B. vierteljährlich durch die Eigentümer der Anlagen), um zu überprüfen, ob die Zugriffsrechte mit den Aufgaben übereinstimmen und unnötiger Zugriff entfernt wird. Führen Sie einen klaren Genehmigungs- und Widerrufsprozess für die Gewährung und den Entzug von Zugriffsrechten ein und stellen Sie sicher, dass Manager und Sicherheitsteams die Änderungen überwachen. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme, um das Risiko eines unbefugten Zugriffs zu verringern.
⭐ Extra: Automatisieren Sie die Verwaltung der Zugriffskontrolle mit Lösungen für das Identitäts- und Zugriffsmanagement (IAM), um die Bereitstellung, Verfolgung und Aufhebung der Bereitstellung zu optimieren. Führen Sie detaillierte Zugriffsprotokolle und richten Sie Warnmeldungen für verdächtige Aktivitäten ein, z. B. für fehlgeschlagene Anmeldeversuche oder die Ausweitung von Berechtigungen.
📌 Zugehöriger ISO 27001-Abschnitt: A.5.19 - Management der Lieferantenbeziehungen
🔍 Was fehlt? Unklare Kategorisierung der Lieferanten auf der Grundlage der Priorität und der erforderlichen Sicherheitsgarantie (z. B. Zertifizierung, Fragebogen, Audit, keine). Keine formellen Sicherheitsvereinbarungen mit den Lieferanten, so dass die Organisation anfällig für Angriffe auf die Lieferkette ist. Keine vertraglichen Verpflichtungen, die sicherstellen, dass wichtige Lieferanten ISO 27001, CIS18 oder andere bewährte Verfahren einhalten. Fehlen eines Offboarding-Prozesses bei der Beendigung von Lieferantenbeziehungen, was zu Risiken wie verwaisten Konten, verbleibenden Zugriffsberechtigungen oder unkontrollierten Datenübertragungen führt.
💡 Wie kann man das beheben? Kategorisieren Sie Ihre Lieferanten nach Priorität (z. B. auf der Grundlage ihrer Verbindung zu Ihren Diensten, der Sensibilität der von ihnen verarbeiteten Daten und ihrer Austauschbarkeit) und nach Ihrer Verhandlungsmacht. Legen Sie klare Sicherheitskriterien für wichtige Lieferanten fest und verlangen Sie z. B. Zertifizierungen, Compliance-Berichte, unabhängige Audits oder ausgefüllte Sicherheitsfragebögen als Sicherheitsnachweis. Nehmen Sie Sicherheitsklauseln in die Verträge auf, um die Einhaltung der gesetzlichen und behördlichen Vorschriften zu gewährleisten.
📌 Zugehöriger Abschnitt der ISO 27001: A.6.3 - Sensibilisierung, Ausbildung und Schulung
🔍 Was fehlt? Die Zuständigkeiten der Mitarbeiter in Bezug auf Informationen und Cybersicherheit sind unklar. Die Mitarbeiter werden nicht systematisch im Hinblick auf die Sicherheit geschult, so dass sie anfällig für Phishing-Angriffe, schwache Passwörter und Social Engineering sind. Es gibt kein strukturiertes Schulungsprogramm, oder die Schulungen werden uneinheitlich durchgeführt, ohne dass die Teilnahme der Mitarbeiter verfolgt wird. Unternehmen versäumen es, Schulungsinhalte auf der Grundlage neuer Bedrohungen, gesetzlicher Änderungen oder früherer Sicherheitsvorfälle zu aktualisieren.
💡 Wie kann man das beheben? Machen Sie den Mitarbeitern die Verantwortlichkeiten für die Sicherheit glasklar. Das kann z. B. bedeuten, dass sie ihre schriftlichen Sicherheitsrichtlinien regelmäßig akzeptieren und sie bei der täglichen Arbeit befolgen. Führen Sie ein Programm zur Förderung des Sicherheitsbewusstseins ein, das wichtige Themen wie Phishing, Passwortsicherheit, sichere Fernarbeit und die Meldung von Vorfällen abdeckt. Verfolgen Sie sowohl die Akzeptanz der Richtlinien als auch die Teilnahme an Schulungen und führen Sie Aufzeichnungen. Führen Sie regelmäßig Auffrischungskurse durch und aktualisieren Sie die Inhalte auf der Grundlage der neuesten Bedrohungen, Compliance-Anforderungen und realen Vorfälle.
⭐ Extra: Nutzen Sie interaktive Schulungsmethoden wie Phishing-Simulationen, spielerisches Lernen und Quizze, um das Engagement und den Wissenserhalt sicherzustellen.
📌 Zugehöriger ISO 27001-Abschnitt: A.8.1.1 - Bestandsaufnahme der Vermögenswerte
🔍 Was fehlt? Den Unternehmen fehlt ein umfassendes und aktuelles Inventar der Informationsbestände, was zu mangelnder Transparenz und erhöhten Sicherheitsrisiken führt. Keine klare Zuweisung der Eigentumsverhältnisse, so dass unklar ist, wer für die Verwaltung, die Dokumentation und den Schutz der einzelnen Bestände verantwortlich ist. Das Bestandsverzeichnis wird nicht regelmäßig überprüft, was zu veralteten oder falschen Aufzeichnungen führt. Keine Klassifizierung der Bestände auf der Grundlage von Sensibilität, Kritikalität oder gesetzlichen Anforderungen.
💡 Wie kann man das beheben? Einrichtung eines zentralen Asset-Management-Systems, das Software-Assets, Hardware-Assets, Informations-Assets (Daten, Datenbanken, Dokumente), physische Assets und Human Assets umfasst. Zuweisung eines Eigentümers für jeden Vermögenswert, der für dessen Sicherheit, Wartung und Entsorgung verantwortlich ist. Kategorisieren Sie Vermögenswerte nach Priorität oder detaillierter nach der CIA-Trias. Führen Sie regelmäßige Überprüfungen durch, um sicherzustellen, dass die Aufzeichnungen korrekt und aktuell sind.
⭐ Extra: Implementierung eines automatisierten Tools zur Erkennung von Vermögenswerten, um neue Vermögenswerte zu erkennen und zu verfolgen.
📌 Zugehöriger ISO 27001-Abschnitt: A.18.1.1 - Identifizierung der geltenden Rechtsvorschriften und vertraglichen Vereinbarungen
🔍 Was fehlt? Die Unternehmen versäumen es, die rechtlichen, regulatorischen und vertraglichen Anforderungen systematisch zu ermitteln, zu dokumentieren und einzuhalten.
💡 Wie kann man das beheben? Führen Sie ein Rechtsregister, in dem die einschlägigen anderen gesetzlichen oder vertraglichen Anforderungen an die Informationssicherheit aufgeführt sind. Aktualisieren Sie diese Liste regelmäßig.
Wir haben uns also einige häufige Nichtkonformitäten bei ISO 27001-Audits angeschaut. Diese sind häufig auf Lücken in der Dokumentation, eine uneinheitliche Umsetzung und mangelnde Überwachung zurückzuführen. Dies sind jedoch nur allgemeine Beispiele, da das Informationssicherheitsprogramm jeder Organisation immer einzigartiger wird, insbesondere wenn der Reifegrad zunimmt.
Aber wie bereits eingangs gesagt, bieten Abweichungen eine Gelegenheit zum Lernen und Wachsen. Sie sollten nicht als rein negative Dinge gesehen werden.
Ihr Informationssicherheitsprogramm ist ein kontinuierlicher Verbesserungsprozess, der durch technologische Aktualisierungen in Ihrer Umgebung, Änderungen bei der Umsetzung bestimmter Richtlinien, der Behandlung von Risiken oder Vorfällen oder durch andere Fehler und Änderungen aktualisiert wird. Ein gut gepflegtes ISMS mit regelmäßigen Audits und Aktualisierungen ist der Schlüssel zum reibungslosen Bestehen von ISO 27001-Audits und zur Aufrechterhaltung Ihrer Konformität. 🚀
