Nach fast zehn Jahren wurde der international anerkannte führende Standard für Informationssicherheit – die ISO/IEC 27001 – überarbeitet und im Oktober 2022 als „ISO/IEC 27001:2022“ neu veröffentlicht. Der Geschäftsführer der staatlich akkreditierten und auf Informationssicherheit spezialisierten Zertifizierungsorganisation CIS - Certification & Information Security Services GmbH und VÖSI-Präsident, Klaus Veselko, klärt auf, was neu ist und welche Fristen zu beachten sind.

Die ISO/IEC 27001 ist die wichtigste internationale Norm für Informationssicherheit. Sie unterstützt Organisationen dabei, Informationssicherheitsmaßnahmen zu erarbeiten, zu implementieren sowie laufend zu verbessern. Die Norm deckt präventive Maßnahmen ab, um Informationen und Daten zu schützen. Auch reaktive Maßnahmen, um konkrete Sicherheitsvorfälle im Ernstfall bestmöglich abzufedern, sind in der Norm enthalten. Im Oktober 2022 wurde die neue Version der ISO/IEC 27001 von der ISO (International Organization for Standardization) veröffentlicht. „Nach der letzten Revision im Jahr 2013 war eine Überarbeitung des Standards längst überfällig. Besonders seit dem rasanten Digitalisierungsanstieg in Betrieben hat sich auch die Bedrohungslage branchenunabhängig zugespitzt. Cyberattacken wurden und werden zunehmend professionalisiert“, so CIS-Geschäftsführer Klaus Veselko (Bild oben, c Foto Weinwurm).

Der Global Threat Report von Crowdstrike (Link) zeigte etwa eine Zunahme von rund 82 % Ransomware-bedingter Datenlecks (2.686 Angriffe) im Jahr 2021 und mit nur einer Stunde und 32 Minuten eine deutlich kürzere Zeitspanne, die Angreifer benötigen, um sich Zugriff zu Systemen zu verschaffen. „Entsprechende Sicherheitsmaßnahmen schnell umzusetzen, ist also essentiell. Damit steht oder fällt oft der Erfolg und die Reputation eines Unternehmens“, so Veselko weiter. Eine Zertifizierung nach ISO/IEC 27001 entspricht dem aktuellsten, international anerkannten Stand der Technik und stellt Informationssicherheit auf mehreren Ebenen sicher.

Neuerungen der Revision der ISO/IEC 27001:2022
Während die ISO/IEC 27001:2013 unter den Namen „Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ veröffentlicht wurde, trägt die neue Version den Titel „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits-Managementsysteme – Anforderungen“. Statt dem alleinigen Fokus auf Informationssicherheit bekommen nun auch die Themen Cybersicherheit und Datenschutz einen höheren Stellenwert in der Normenwelt und somit eine gewichtigere Rolle in Unternehmen. „Die Grenzen zwischen den unterschiedlichen Themen verschwimmen zunehmend, sodass eine vernetzte Betrachtung im Sinne einer ‚Security of Everything‘-Mentalität notwendig ist“, ist sich der IT-Experte sicher.

Die neue Version ist in vier praxisnahe Themenbereiche strukturiert (organisatorisch, personell, physisch und technisch). Nach diesen vier Themenbereichen sind auch die entsprechenden Maßnahmen (engl. Controls) für Informationssicherheit gruppiert – die 114 Maßnahmen der früheren Version aus 2013 wurden nun auf 93 reduziert und gänzlich neu strukturiert. Von bisher 114 Maßnahmen ist eine einzige Maßnahme weggefallen (Removal of assets), andere Maßnahmen wurden – u. a. zum Zweck der besseren Übersichtlichkeit – hingegen zu inhaltlich ähnlichen Themen zusammengefasst. Jede dieser 93 Maßnahmen ist aktuell wiederum mit fünf Attributen verknüpft (Art der Maßnahme, Schutzziel, Sicherheitskonzept etc.), welche die Security-Teams in der Praxis unterstützen sollen.

„Dies soll für eine bessere Einstufung der Maßnahmen und somit mehr Praxisorientierung und Verständlichkeit in der Umsetzung sorgen. Betriebe können so ihre Sicherheitsmaßnahmen zielgenauer gruppieren und unterschiedliche Sichtweisen auf die Maßnahmen erhalten“, so Veselko weiter. „Die Maßnahmen für Informationssicherheit, wie sie im Anhang A der ISO/IEC 27001:2022 definiert sind, finden sich auch in der ISO/IEC 27002 wieder. Dort werden sie nicht nur generell angeführt, sondern detailliert als Implementierungsleitfaden beschrieben.“

Zeitlicher Ablauf und Fristen
Betriebe, die ihr Managementsystem nach ISO/IEC 27001:2013 zertifiziert haben, müssen dieses bis Ende Oktober 2025 auf die neue Version umstellen, da zu diesem Zeitpunkt die festgelegte dreijährige Übergangsfrist endet und Zertifikate nach dem alten Standard ab dann ihre Gültigkeit verlieren. CIS wird ab Anfang 2023 Neu- und Erstzertifizierungen nach der Version ISO/IEC 27001:2022 durchführen bzw. anbieten. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

Proaktive Vorbereitung als Um und Auf
Betriebe, die sich bereits strukturiert mit Informationssicherheit beschäftigen, brauchen keine fundamentalen Veränderungen ihres Informationssicherheitsmanagementsystems zu befürchten. „Es ist jedoch unerlässlich, sich über die bevorstehenden Änderungen und deren Auswirkungen auf die individuelle Geschäftspraxis bewusst zu werden. CIS bietet seit Anfang 2022 Update-Trainings inklusive praktischen Umsetzungshinweisen an“, so Veselko. „Prozesse, Richtlinien und Werkzeuge sollten generell laufend hinsichtlich der drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität reflektiert werden, um weiterhin der sich ständig verändernden Bedrohungslage und dem Stand der Technik Rechnung zu tragen.“

Rolle der CIS im Zertifizierungsprozess
Aufgrund der staatlichen Akkreditierung bei Akkreditierung Austria (im Bundesministerium für Arbeit und Wirtschaft angesiedelt) ist das österreichische Dienstleistungsunternehmen CIS - Certification & Information Security Services GmbH berechtigt, Zertifizierungen nach ISO/IEC 27001:2022 durchzuführen und international gültige Zertifikate auszustellen. Die CIS ist als Zertifizierungsorganisation im Bereich Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren und Business Continuity Management tätig. Die Experten der CIS sind zudem in vielen internationalen Normungsgremien sowie im Präsidium des VÖSI (Verband Österreichischer Software Innovationen) vertreten, wodurch stets der aktuellste Wissenstand bei Audits und Trainings gewährleistet wird.