Seit längerem unterstützt die internationale ISO/IEC 27000-Normenfamilie Organisationen dabei, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken effektiv zu mindern. In der ISO/IEC 27001 werden Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) spezifiziert. Im Anhang der Norm findet sich eine Auflistung mit allgemein empfohlenen Maßnahmenzielen und entsprechenden Sicherheitsmaßnahmen im Kontext eines ISMS. Die ISO/IEC 27002 ergänzt diese Sicherheitsmaßnahmen um konkrete Umsetzungsempfehlungen und stellt damit eine Art Leitfaden bereit.
Neue Struktur der ISO 27002 sorgt für mehr Übersichtlichkeit
Die neu erschienene Fassung ISO/IEC 27002:2022 stellt eine umfassende Überarbeitung der letzten Version dar. Hierbei sticht besonders die umfangreiche Restrukturierung der Norm ins Auge. In der alten Fassung wurden die insgesamt 114 Sicherheitsmaßnahmen in 14 übergeordneten Kategorien aufgeführt. Die Kategorien gliederten sich dabei weiter in 35 Unterkategorien auf, denen die einzelnen Sicherheitsmaßnahmen zugeordnet wurden. In der aktuellen Fassung wurde die Anzahl der übergeordneten Kategorien auf 4 reduziert. Die Kategorie „People controls“ enthält Maßnahmen, die einzelne Menschen betreffen, „Physical controls“ umfasst Maßnahmen, die sich auf physische Objekte beziehen. Maßnahmen, die sich auf Technologien beziehen, werden unter „Technological controls“ aufgeführt. Alle weiteren Maßnahmen sind unter der Kategorie „Organizational controls“ zu finden. Die einzelnen Sicherheitsmaßnahmen sind den Kategorien direkt zugeordnet, eine weitere Untergliederung in Unterkategorien ist entfallen. Die Anzahl der Sicherheitsmaßnahmen hat sich auf 93 verringert.
Weniger Maßnahmen … oder doch nicht?
Auch wenn auf den ersten Blick insgesamt 21 Sicherheitsmaßnahmen weggefallen sind, zeigt sich bei genauerem Vergleich, dass einige der Maßnahmen lediglich zusammengeführt wurden. Bei den meisten Maßnahmen lässt sich diese Konsolidierung leicht nachvollziehen. Eine wertvolle Hilfestellung bietet hier die tabellarische Zuordnung von Maßnahmen der alten Fassung zu Maßnahmen der neuen Fassung im Anhang der Norm. Bei einigen wenigen Maßnahmen hat es jedoch selbst unter Zuhilfenahme der Tabelle den Anschein, dass diese gänzlich entfallen sind. Schaut man sich die Maßnahmen im Detail an, wird man aber auch hier fündig. So wird beispielsweise die Maßnahme „9.1.2 Access to networks and network services“ der alten Fassung, welche den Zugriff auf Netzwerk und Netzwerkdienste auf autorisierte Nutzer beschränkt, gemäß tabellarischer Zuordnung in der Maßnahme „5.15 Access control“ abgebildet. Netzwerke oder Netzwerkdienste werden in der Maßnahmenbeschreibung allerdings nicht explizit erwähnt, stattdessen wird hier der unautorisierte Zugriff auf „Informationen und andere zugehörige Assets“ behandelt. Schlägt man in Kapitel 3 den Begriff „Asset“ nach, wird jedoch auch explizit das Netzwerk aufgeführt. Außerdem werden in den Umsetzungshinweisen zur Maßnahme 5.15 auch Netzwerkdienste erwähnt.
In der folgenden Tabelle werden weitere Konsolidierungen aufgeführt, die erst auf den zweiten Blick auszumachen sind:
| Maßnahme in ISO/IEC 27002:2013 | Zuordnung Maßnahme in ISO/IEC 27002:2022 |
| 11.2.5 Removal of Assets | Das Entfernen von Werten vom Betriebsgelände findet in Punkt d) der Umsetzungshinweise von „7.9 Security of equipment and assets off-premises“ Erwähnung, laut dem – sofern notwendig und praktikabel – das Entfernen von Ausrüstung und (Speicher-)Medien vom Betriebsgelände dokumentiert und autorisiert werden muss. |
| 14.1.1 Information security requirements analysis and specification | Die Identifikation von Sicherheitsanforderungen bei der Beschaffung und Erweiterung von IT-Systemen wird nur noch indirekt in „5.8 Information security in project management“ adressiert. In Bezug auf Software sind die Anforderungen allerdings weiter in „8.26 Application security“ konkretisiert. |
| 14.2.3 Technical review of applications after operating platform changes | Für Änderungen auf Betriebssystemebene wird keine eigene Maßnahme mehr aufgeführt. Diese Arten von Changes werden nun im Rahmen der allgemeinen Maßnahme “8.32 Change management“ behandelt. |
| 14.2.4 Restriction on changes to software packages | Für die Limitierung von Softwareänderungen (durch den Anwender, nicht den Hersteller) auf ein Minimum, wurde ebenfalls auf eine eigene Maßnahme verzichtet. Auch hier wird in der tabellarischen Zuordnung auf „8.32 Change management“ verwiesen. Bei genauerer Suche findet sich allerdings in den Umsetzungshinweisen von „8.8 Management of technical vulnerabilities“ ein Abschnitt, der sich mit Softwareänderungen beschäftigt und 1:1 aus der alten Maßnahme übernommen wurde. |
Neue Maßnahmen bringen die ISO-Norm 27002 wieder auf den aktuellen Stand der Technik
Es sind also keineswegs Maßnahmen gänzlich entfallen. Es wurden lediglich bestimmte Maßnahmen zusammengelegt. Dafür sind allerdings einige durchweg neue Maßnahmen hinzugekommen. In der folgenden Tabelle werden sämtliche neu eingeführte Maßnahmen mit kurzen Beschreibungen aufgelistet. Da die Norm aktuell nur in englischer Sprache zur Verfügung steht, handelt es sich hierbei um deutsche Übersetzungen, die von der später veröffentlichten offiziellen deutschen Version abweichen können.
| Bezeichnung | Beschreibung |
| 5.7 Threat intelligence | Informationen über Informationssicherheitsgefährdungen werden gesammelt und analysiert, um Transparenz im Hinblick auf die Gefährdungslage der Organisation zu schaffen und angemessene Maßnahmen ergreifen zu können. Threat Intelligence wird hierbei in drei Ebenen unterteilt: Strategisch: Austausch von high-level Informationen über die sich verändernde Gefährdungslandschaft Taktisch: Informationen über Methodiken, Tools und Technologien von Angreifern Operativ: Details über bestimmte Attacken inklusive technischer Indikatoren Außerdem werden in den Umsetzungshinweisen Kriterien und Anforderungen aufgeführt, die Threat Intelligence erfüllen sollte. |
| 5.23 Information security for use of cloud services | Um die Informationssicherheit bei der Nutzung von Clouddiensten gewährleisten zu können, sollten Prozesse für Erwerb, Nutzung, Management und Ausstieg von Clouddiensten gemäß den Informationssicherheitsanforderungen etabliert werden. Neben der Erstellung einer themenspezifischen Richtlinie sollten besonders die Verantwortlichkeiten von Serviceprovidern und der Organisation (Kunde des Clouddienstes) klar geregelt und umgesetzt werden. Die Umsetzungshinweise gehen hier insbesondere auf die Inhalte ein, die in Dienstleistungsvereinbarungen abgedeckt werden sollten. |
| 5.30 ICT readiness for business continuity | Die sogenannte “ICT readiness” sollte auf Basis von Business Continuity Zielen und ICT Continuity Anforderungen geplant, implementiert, aufrechterhalten und getestet werden. Mit “ICT readiness” wird hier die Fähigkeit der eingesetzten Informations- und Kommunikationstechnologie verstanden, die geforderten Business Continuity Ziele sind im Falle einer Störung zu erreichen. Zu diesem Zweck müssen auf Grundlage der Business Impact Analyse (BIA) ICT Continuity Strategien gewählt werden, auf dessen Basis dann ICT Continuity Pläne entwickelt, implementiert und getestet werden. |
| 7.4 Physical security monitoring | Um unautorisierten Zugang zu verhindern, sollte das Betriebsgelände kontinuierlich überwacht werden. Hierfür können verschiedene Arten von Systemen eingesetzt werden, wie Alarmsysteme, Videoüberwachung oder Kontakt- und Bewegungssensoren. Auch eine Überwachung mit Wachpersonal ist denkbar. Bei Wahl und Implementierung (insbesondere bei Videoüberwachung) sollten immer geltende Gesetze und Regularien berücksichtigt werden, um den Datenschutz zu gewährleisten. |
| 8.9 Configuration management | Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken sollten etabliert, dokumentiert, implementiert, überwacht und überprüft werden. Auf diese Weise wird ein ordnungsgemäßer Betrieb mit angemessenen Sicherheitseinstellungen gewährleistet. Außerdem werden unautorisierte oder fehlerhafte Änderungen verhindert. Neben der Definition und Implementierung von entsprechenden Prozessen, der Aufzeichnung von Konfigurationsänderungen und der Überwachung mit geeigneten Tools, sollten Standardvorlagen für die sichere Konfiguration definiert werden. Die Umsetzungshinweise liefern hierzu wichtige Empfehlungen. |
| 8.10 Information deletion | Informationen in Informationssystemen, Geräten oder sonstigen Speichermedien sollten gelöscht werden, wenn sie nicht länger benötigt werden. Hierdurch kann die Offenlegung von sensiblen Informationen verhindert werden. Außerdem können so gesetzliche, regulatorische und vertragliche Anforderungen im Hinblick auf die Löschung von Informationen erfüllt werden. Neben allgemeinen Informationen werden in den Umsetzungshinweisen gesonderte Empfehlungen zu Löschmethoden dargelegt. |
| 8.11 Data masking | Um die Offenlegung sensibler Daten (einschließlich personenbezogener Daten) zu verhindern und gesetzliche, regulatorische und vertragliche Anforderungen einzuhalten, sollte “Data masking” genutzt werden. Unter diesem Begriff wird eine Reihe von Techniken verstanden, mit denen sensible Daten verschleiert werden. Beispiele für solche Techniken sind Anonymisierung und Pseudonymisierung. Die Nutzung von “Data masking” sollte im Einklang mit Richtlinien für Zugangskontrolle und weiteren anwendbaren themenspezifischen Richtlinien sowie gesetzlichen Anforderungen erfolgen. |
| 8.12 Data leakage prevention | Auf Systemen, Netzwerken und jeglichen sonstigen Geräten, die sensible Informationen verarbeiten, speichern oder übertragen, sollten Maßnahmen ergriffen werden, um eine unautorisierte Offenlegung der Daten zu erkennen und verhindern zu können. Neben Maßnahmen wie der angemessenen Klassifikation von Informationen oder der Überwachung von Übertragungskanälen wie E-Mail oder USB-Geräten, können spezielle Tools eingesetzt werden, um die Offenlegung von Daten zu verhindern. Diese Tools können Daten identifizieren, Datennutzung und -transfer überwachen sowie Maßnahmen ergreifen, um Datenabfluss zu verhindern. |
| 8.16 Monitoring activities | Für Netzwerke, Systeme und Anwendungen sollte anomales Verhalten überwacht und angemessene Maßnahmen getroffen werden, um potenzielle Informationssicherheitsvorfälle zu evaluieren. Für die Überwachung sollten Monitoringlösungen eingesetzt werden, die automatisierte Alarmmeldungen im Falle von Abweichungen generieren können. In den Umsetzungshinweisen finden sich konkrete Empfehlungen zu Aspekten, die im Rahmen des Monitorings überwacht werden sollten. |
| 8.23 Web filtering | Um Systeme vor der Kompromittierung durch Malware zu schützen und den Zugriff auf unautorisierte Webinhalte zu verhindern, sollte der Zugang zu externen Webseiten gesteuert werden. Die Organisation sollte hierzu die Arten von Websites ermitteln, zu denen Angestellte keinen Zugang haben dürfen und den Zugriff auf solche Seiten mit entsprechenden Techniken sperren. |
| 8.28 Secure coding | Im Rahmen der Softwareentwicklung sollten Prinzipien für die sichere Programmierung Anwendung finden, um die Sicherheit der Software zu gewährleisten und so die Anzahl von potenziellen Schwachstellen in der Software zu reduzieren. Die Prinzipien sind nicht statisch und sollten einem kontinuierlichen Verbesserungsprozess unterliegen. Die Vorschläge in den Umsetzungshinweisen sind nach Phasen strukturiert: – Planung und Vorbereitung vor der Programmierung – Überlegungen während der Programmierung – Überprüfung und Wartung, nach Inbetriebnahme der Software |
Attribute – Ein Instrument zur Darstellung zielgruppengerechter Sichten
Neben der strukturellen Anpassung und der Einführung von neuen Maßnahmen wurde noch eine weitere markante Änderung der Norm vorgenommen. Jeder Maßnahme sind nun fünf Attribute mit entsprechenden Attributwerten zugeordnet. Die Attribute erlauben es, der Organisation, die Maßnahmen nach verschiedenen Eigenschaften zu gruppieren und so zielgruppengerechte Sichten zu erzeugen, beziehungsweise die Maßnahmen zu filtern. In der folgenden Tabelle sind die fünf Attribute mit einer kurzen Beschreibung und den möglichen Attributwerten aufgelistet:
| Attributname | Beschreibung | Attributwerte |
| Control type | Mit diesem Attribut können Maßnahmen unter dem Blickwinkel betrachtet werden, wann und wie die Maßnahme Risiken in Bezug auf das Auftreten eines Informationssicherheits-vorfalls reduziert. | Preventive, Detective, Corrective |
| Information security properties | Dieses Attribut gibt Aufschluss darüber, zu welchem der drei Schutzziele der Informationssicherheit die Maßnahme einen Beitrag leistet. | Confidentiality, Integrity, Availability |
| Cybersecurity properties | Mit den “Cybersecurity properties” werden den Maßnahmen passende Cybersecurity Konzepte aus dem Cybersecurity Framework der ISO/IEC 27110 zugeordnet. | Identify, Protect, Detect, Respond, Recover |
| Operational capabilities | Mit diesem Attribut wird eine anwendungsbezogene Perspektive der Maßnahmen ermöglicht. | Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, Information security assurance |
| Security domains | “Security domains” ist ein Attribut, dass die Maßnahmen vier übergeordneten Bereichen der Informationssicherheit zuordnet, die ihrerseits weitere Unterbereiche enthalten. | Governance and Ecosystem: Information System Security Governance & Risk Management, Ecosystem cybersecurity management Protection: IT Security Architecture, IT Security Administration, Identity and access management, IT Security Maintenance, Physical and environmental security Defence: Detection, Computer Security Incident Management Resilience: Continuity of operations, Crisis management |
Den zugeordneten Attributwerten sind im Dokument „#“-Zeichen vorangestellt, um sie im Dokument leicht ausfindig zu machen. Im Anhang befindet sich außerdem eine kompakte Tabelle, in der alle Maßnahmenbezeichner den entsprechenden Attributwerten zugeordnet sind. Neben den fünf neu eingeführten Attributen können Organisationen auch eigene Attribute definieren und den Maßnahmen zuordnen, um individuelle Bedürfnisse abzubilden. Weitere Attribute könnten beispielsweise der Implementationsstatus, die Priorität oder betroffene Assets sein.
Fazit
Mit der neuen Fassung wurde die in die Jahre gekommene ISO/IEC 27002 umfassend restrukturiert und an die aktuelle Bedrohungslage angepasst. Durch die deutlich reduzierte Anzahl von Kategorien, den Verzicht auf Unterkategorien und die Zusammenführung bestimmter Maßnahmen, wirkt die Norm deutlich kompakter und aufgeräumter. Gleichzeitig erlauben die neu eingeführten Attribute, die Maßnahmen nach eigenen Wünschen sinnvoll gruppieren zu können. Auch wenn die Maßnahmen weitestgehend übernommen wurden, sind die Formulierungen und Beschreibungen nachgeschärft worden und wirken allgemein verständlicher. Die neu eingeführten Maßnahmen sind nicht als state-of-the-art Instrumente anzusehen, sondern tragen den Entwicklungen der vergangenen Jahre Rechnung und bringen die Norm wieder auf den Stand der Technik.
Was bedeutet die neue Fassung der ISO 27002 für ihre Organisation?
Sie betreiben ein ISMS nach ISO/IEC 27001 und fragen sich, was die neue Fassung der Norm für Sie bedeutet? Da die Zertifizierung auf Basis der ISO/IEC 27001 erfolgt und hier noch keine neue Fassung vorliegt, ergibt sich durch die Aktualisierung der ISO/IEC 27002 noch kein unmittelbarer Handlungsbedarf. Es ist allerdings in diesem Jahr auch mit einer neuen Version der ISO/IEC 27001 zu rechnen, welche die neue ISO/IEC 27002 im Anhang A abbildet. Auch wenn sie ab dem Zeitpunkt der Veröffentlichung noch eine Übergangsfrist für die Umsetzung der Änderungen eingeräumt bekommen, ist es doch empfehlenswert, sich bereits jetzt mit den umfassenden Änderungen der ISO/IEC 27002 auseinanderzusetzen.
ADVISORI hilft Ihnen dabei, die Neuerungen der Norm in Ihr bestehendes ISMS zu integrieren und so frühzeitig die Grundlage für eine Rezertifizierung auf Basis des aktualisierten Standards zu legen. Profitieren Sie von unserer umfassenden Expertise im Bereich ISMS und speziell der ISO 27000-Normenfamilie und sprechen Sie uns an!
Über den Autor
Felix Schuhmacher ist als Berater im Bereich Information Security bei der ADVISORI FTC GmbH tätig. Neben der Entwicklung datengetriebener Lösungen wirkte Felix Schuhmacher in seinen Projekten unter anderem in Bereichen wie der Security Awareness und dem Informationssicherheitsmanagement mit. Durch seine Kenntnisse in den Bereichen ISO27k, BAIT, MaRisk, SOX und KRITIS ist er seit einigen Jahren an der Schnittstelle zwischen IT und Compliance erfolgreich tätig.
