Zertifizierung nach ISO 27001: Für Sicherheit in der Cloud

Systeme für die Erhebung, Verarbeitung oder Speicherung von Daten sind beim Cloud Computing nicht weniger Gefahren ausgesetzt als innerhalb einer On-Premises-Umgebung. Die Einführung eines Informationssicherheits-Managementsystems (ISMS) ist daher ein guter Ausgangspunkt für den Schutz Ihrer Informationen vor Cyber-Bedrohungen.

Aufgrund des breiten Anwendungsbereichs wissen viele Geschäftsinhaber jedoch nicht, wo sie beim Thema Cloud Security am besten anfangen sollen. Wenn Informationssicherheit in der Cloud von entscheidender Bedeutung ist, kann die internationale Norm ISO 27001 als ausgezeichnete Richtlinie dienen.

Was ist die ISO 27001?

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements, vormals bekannt als ISO/IEC 27001:2005, spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten ISMS.

Ein ISMS ist ein Rahmenwerk von Richtlinien und Verfahren für den Umgang mit Informationssicherheit. Es umfasst alle rechtlichen, physischen und technischen Kontrollen, die in den Prozess des Informationsrisikomanagements einer Organisation eingebunden sind.

Die von der International Organization for Standardization (ISO) in Zusammenarbeit mit der International Electrotechnical Commission (IEC) herausgegebene ISO 27001 konzentriert sich auf die Einrichtung, die Umsetzung, den Betrieb, das Monitoring, die Überprüfung, die Wartung und die Verbesserung eines Informationssicherheits-Managementsystems.

Was ist der Zweck der ISO 27001?

Wann immer Informationen online gespeichert werden, stellt sich die Frage nach deren Sicherheit in der Cloud, der Cloud Security. Wie können Unternehmen sicherstellen, dass ihre Daten vor Angriffen von Cyber-Kriminellen geschützt sind?

Die ISO 27001 unterstützt Unternehmen mit einer Reihe von Richtlinien und Vorgaben dabei, ihre Informationen in der Cloud kosteneffizient zu schützen. Darüber hinaus erhalten Unternehmen im Anschluss an eine erfolgreiche ISO 27001 Zertifizierung ein international anerkanntes Zertifikat, mit dem sie sich einen Namen als Unternehmen mit hoher Cloud Security machen und ihre Geschäftsmöglichkeiten verbessern können.

Der Einfluss der ISO 27001 ist so gross, dass einige Länder bestimmte Branchen mittlerweile zur Implementierung dieser Norm verpflichten. Die Gesetze sind hierbei von Land zu Land verschieden, daher ist es immer ratsam, sich über die Vorschriften innerhalb Ihrer Region zu informieren.

Sowohl Unternehmen als auch Einzelpersonen können sich nach ISO 27001 zertifizieren lassen. Für ein Unternehmen ist die Zertifizierung einfach. Das Unternehmen muss hierfür ein ISMS nachweisen, welches alle Aspekte der Norm abdeckt. Eine akkreditierte Zertifizierungsstelle muss dann ein Zertifizierungsaudit durchführen.

Einzelpersonen, die sich zertifizieren lassen möchten, können sich zu einer Schulung anmelden und durch das Bestehen der Prüfung den Erwerb der erforderlichen Kenntnisse nachweisen. Das Zertifikat ist nach Ausstellung drei Jahre gültig, in denen die Zertifizierungsstelle regelmässig Überwachungsaudits durchführt, um die Umsetzung zu bewerten.

Eine ISO 27001 Zertifizierung lässt sich somit nicht erreichen, indem eine Checkliste ausgefüllt und diese zur Genehmigung eingereicht wird. Es erfordert harte Arbeit und die Zusammenarbeit von internen und externen Beteiligten.

Halten sich Einzelpersonen oder Unternehmen nicht an die in der Norm beschriebenen Richtlinien und Verfahren für Sicherheit in der Cloud, riskieren sie, bei einem späteren Audit durchzufallen und möglicherweise ihre Zertifizierung zu verlieren. Ein harter Verlust insbesondere in Regionen, in denen Unternehmen ohne Zertifizierung nicht tätig sein dürfen.

Das C.I.A.-Prinzip

Das C.I.A.-Prinzip – Confidentiality, Integrity, Availability – bezeichnet drei Sicherheitsziele im Rahmens eines ISMS:

• Vertraulichkeit (Confidentiality): Nur autorisierte Personen sollten Zugang zu Informationen haben, insbesondere zu vertraulichen Daten. Datei- und Datenträgerverschlüsselungen, Zugriffskontrolllisten und Unix-Dateiberechtigungen sind einige Massnahmen, mit denen Unternehmen Vertraulichkeit realisieren können.

• Integrität (Integrity): Datenintegrität ist von grösster Bedeutung für die Informationssicherheit. Nur autorisierte Personen dürfen die Daten verändern können. Zur Gewährleistung der Datenintegrität gehört auch, dass nicht autorisierte Änderungen oder Löschungen rückgängig gemacht werden können.

• Verfügbarkeit (Availability): Informationen sollten jederzeit für autorisierte Personen verfügbar sein. Unter anderem Stromausfälle, Netzwerkausfälle und Sabotage stellen ein Risiko für die Verfügbarkeit von Informationen dar.

Da es keinen allgemeingültigen Ansatz für die Informationssicherheit gibt, müssen Personen, die für das Management von Informationssicherheitsrisiken verantwortlich sind, Sicherheitskontrollen basierend auf ihrer Risikobewertung anwenden.

Einfach ausgedrückt basiert die Norm auf einem Risikomanagementprozess, der zunächst feststellt, wo Bedrohungen bestehen und anschliessend durch die Einführung von Sicherheitskontrollen systematisch gegen diese vorgeht.

Die Norm, die einen risikobasierten Ansatz für Informationssicherheit verfolgt, definiert einen Planungsprozess in sechs Schritten:

1. Definition einer Sicherheitsrichtlinie

2. Definition des Umfangs des ISMS

3. Durchführung einer Risikobewertung

4. Management der identifizierten Risiken

5. Auswahl der Kontrollziele und der zu implementierenden Kontrollen

6. Erstellung einer Anwendbarkeitserklärung

Da die ISO 27001 Unternehmen lediglich eine Checkliste von Kontrollmassnahmen bietet, sollten diese in Erwägung ziehen, neben dieser Norm auch die ISO/IEC 27002:2005 zu übernehmen. Sie enthält eine umfangreiche Auswahl an Kontrollzielen für die Informationssicherheit und eine Reihe von allgemein anerkannten Sicherheitskontrollen.

Oft kommt die Frage auf, ob die ISO 27001 konform ist mit der Datenschutz-Grundverordnung, der DSGVO bzw. GDPR. Die ISO 27001 gibt nur einen Rahmen für die Entwicklung eines ISMS vor und deckt damit nicht die allgemeinen von der Europäischen Union eingeführten Regeln zur Verarbeitung personenbezogener Daten ab. GDPR-Compliance wird jedoch durch die Kombination der ISO 27001 und der ISO 27701 sichergestellt.

Was sind ISO 27001-Kontrollen?

ISO 27001-Kontrollen sind Schutzmassnahmen oder anders gesagt Verfahren, die implementiert werden müssen, um Risiken auf ein akzeptables Niveau zu senken. Diese Verfahren können folgender Art sein:

• Technische Kontrollen: Sie werden hauptsächlich in der Abteilung für Informationssysteme implementiert und umfassen alles von Software- und Hardware- bis hin zu Firmware-Komponenten. Das Erstellen von Backups oder die Installation von Antiviren-Software beispielsweise gehören zu den grundlegenden technischen Kontrollen.

• Organisatorische Kontrollen: Hierzu gehört die Definition wie sich Benutzer und System erwartungsgemäss verhalten werden. Zugriffskontrollrichtlinien und BYOD-Richtlinien (Bring Your Own Device) sind einige der Kontrollen, die üblicherweise zum Einsatz kommen.

• Rechtliche Kontrollen: Sie stellen sicher, dass festgelegte Regeln und Verhaltensweisen mit anderen Unternehmensvorschriften vereinbar sind.

• Physikalische Kontrollen: Sie umfassen die Verwendung von Geräten, mit denen Menschen physisch interagieren, z. B. Überwachungskameras, Alarmsysteme oder Schlösser.

• Kontrolle des Faktors 'Mensch': Hierbei wird den Mitarbeitenden das Bewusstsein für die sichere Durchführung ihrer Handlungen vermittelt. Hierzu gehören Schulungen zum Sicherheitsbewusstsein und interne Auditorentrainings.

Sicherheit in der Cloud

Das Labor-Monitoring ist für die Flexibilität und Agilität im täglichen Laborbetrieb von entscheidender Bedeutung. Und da mehr und mehr Unternehmen aus der Pharma-, Life Science-, Biotech- und Gesundheitsindustrie ihre Geräte, Rechenzentren, Geschäftsprozesse und mehr in die Cloud verlagern, ist für sie Cloud Security unerlässlich.

Die gute Nachricht ist: Sicherheit in der Cloud kann gewährleistet und digitale Informationen können geschützt werden, indem Unternehmen die internationale Norm ISO/IEC 27001 implementieren. Innerhalb der ISO/IEC 27000 Normenfamilie ist sie die bekannteste Compliance-Norm.

Die 1986 entwickelte ELPRO Cloud ist eine sichere Cloud-Datenbanklösung, die Ihre wertvollen Daten vor Sicherheitsverletzungen, unberechtigtem Zugriff und anderen Bedrohungen schützt.