Schwachstellenmanagement in ISO 27001/ ISO 27002

Im Rahmen des Schwachstellenmanagement sollen die Schwachstellen in den Systemen eines Unternehmens identifiziert, priorisiert und behandelt werden. Nicht jedes Risiko kann mit angemessenen Mitteln behoben werden. In der folgenden Anleitung werden die zentralen Punkte aus der ISO 27002 (Schwachstellenmanagement) und der ISO 27005 (Informationssicherheits-Risikomanagement) berücksichtigt.  

5 Schritte im Schwachstellenmanagement

Die ISO 27002 Norm stellt einen detaillierten Leitfaden als Ergänzung zu den Sicherheitskontrollen der ISO 27001 dar.  Die International Standards Organisation (ISO) bezeichnet die ISO 27002 Norm  als Referenzsatz allgemeiner Informationssicherheitskontrollen einschließlich einer Anleitung zur Implementierung. Damit möchte man ihnen helfen bei der Implementierung von Informationssicherheitskontrollen. Die international anerkannten Handlungsempfehlungen sind Ideengeber für die Entwicklung organisationsspezifischer Informationssicherheitsmanagement-Richtlinien.

1. Identifizierung von Vermögenswerten mit möglichen Schwachstellen

EDV Geräte (Notebooks, SSDs, Tablets) beinhalten auch zu schützende Informationen. Diese Vermögenswerte enthalten manchmal sehr sensible Daten. Häufig sind sie für wichtige Geschäftsvorgänge erforderlich. Ein Verlust oder eine Manipulation dieser Informationen wäre schädlich für die Organisation.

2. Führen Sie die Risikobewertung durch

Die Risikobewertung ist der Prozess der Identifizierung von Schwachstellen in diesen Vermögenswerten. Eine Schwachstellenanalyse (auch bezeichnet als „Schwachstellenscan“) ermöglicht eine detailliertere Bewertung. 

3. Dokumentieren Sie Ihre Ergebnisse

Erstellen Sie einen Bericht, indem Sie die wichtigsten Risiken nach Prioritäten ordnen. Im Anschluss erarbeiten Sie unternehmensspezifische Strategien zur Risikominderung. Hieraus könnten Sie etwa eine Maßnahmen ableiten, wie etwa die Einführung neuer Richtlinien zur Risikominderung. Formulieren Sie die Beschreibungen der Risikominderungsstrategien  detailliert genug, um eine Schritt-für-Schritt-Anleitung bereit zu stellen.

4. Setzen Sie ihre Sanierungsstrategien um

Nachdem Sie relevante Erkenntnisse gewonnen haben, müssen Sie die erkannten Schwachstellen durch entsprechende Maßnahmen beheben. Behalten sie den Überblick, welche Abhilfestrategien sie schon umgesetzt haben.

5. Überprüfen Sie den Erfolg Ihrer Strategien

Vergessen sie nicht zu kontrollieren, dass die festgestellten Schwachstellen tatsächlich in einem wirtschaftlichen und erforderlichen Niveau behandelt wurden. Durch die Dokumentation der 5 Schritte, stellen Sie die notwendige Transparenz für ein Zertifizierungsaudit sicher. Betrachten Sie den Prozess des Schwachstellenmanagements als einen fortlaufenden Kreislauf.

Ansatz für das Schwachstellenmanagement

Der Schwerpunkt der ISO 27002 Norm liegt auf einer Risikobewertung. Wir wollen mit unserem ISMS die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen schützen. Daher ist Schwachstellenmanagement ein wichtiger Bestandteil des Gesamtansatzes der Norm zum Risikomanagement. Die ISO 27001 versteht ein Risiko als eine Kombination aus einem Vermögenswert, einer Bedrohung und einer Schwachstelle. Wenn etwas gefährdet ist, müssen wir das Informationssicherheitsrisiko verantwortungsbewusst behandeln.

Wir setzen die Kontrollen (ISO 27001) mit dem Leitfaden aus ISO 27002 um

ISO 27002 hilft Ihnen beim Aufbau des ISMS, denn sie agiert als Leitfaden für die Auswahl und Umsetzung der in ISO 27001 aufgeführten Kontrollen. Die Abkürzung ISMS steht für Informationssicherheitsmanagementsystem. Folgende praktische Anleitung zur Implementierung eines ISMS berücksichtigt und die Anforderungen der ISO 27001:

Erstellen Sie ein Inventar der Vermögenswerte

Ein Inventar ist eine Liste der Informationsgüter ihrer Organisation. Die Verwaltung des Bestands erleichtert die strukturierte Vorgehensweise zur  Verringerung der Informationssicherheitsrisiken. Unter Vermögenswerten werden sie Speichermedien, EDV Systeme und vertraulichen Informationen auflisten. Vergessen Sie nicht ihre EDV Ausrüstung, Gebäude, gemietete Räumlichkeiten mit in diese Liste zu übertragen. Für das Schwachstellenmanagement nehmen Sie in die Liste nur Objekte mit potentiellen technischen Schwachstellen auf.

Legen Sie Rollen und Verantwortlichkeiten fest

Sie müssen hier einiges an Zeit einplanen, denn Schwachstellenmanagement geht ins Detail. Denken Sie bei jedem Vermögenswert was passieren könnte. Brainstorming hilft da. Dennoch bleibt es ein komplexer Prozess. Jede zu erledigende Aufgabe stimmen Sie mit den relevanten Mitarbeitern ab und dokumentieren eine Zielvereinbarung. Jede Aufgabe muss eine verantwortliche Person benannt haben.

Mit einem Zeitplan reagieren Sie effizienter auf Schwächen

Machen sie es sich zum obersten Ziel Schwachstellen sofort zu erkennen und beheben. Betreiben Sie effektives Schwachstellenmanagementsystem. Die Geschäftsleitung sollte ihre Belegschaft darin unterstützen. Legen Sie einen Zeitrahmen für die Reaktion auf die Entdeckung von Schwachstellen fest. Die ISO 27001 erwartet von ihnen diese Problemzonen in einem angemessenen Zeitraum zu behandeln.

Ein Audit-Protokoll stärkt die Verbindlichkeit

Ein Auditprotokoll für die Maßnahmen steigert die verbindliche Natur des Schwachstellenmanagementsystems. Das interne Audit sollte hier einen angemessenen Zeitraum für die Überprüfung des Schwachstellenmanagement aufwenden. Die Auditoren der Zertifizierungsstelle werden später definitiv sich das Schwachstellenmanagement ihrer Organisation näher ansehen.

Schwachstellenmanagement und Reaktion auf Vorfälle aufeinander abstimmen

Stimmen Sie Ihre Schwachstellenmanagementprozesse mit der Reaktion auf Vorfälle ab. Auch die DSGVO fordert von Unternehmen, dass Unternehmen auf Datenschutzverletzungen reagieren und die Ursachen abstellen. Berücksichtigen eventuelle gesetzliche und vertragliche Verpflichtungen zur Meldung von Sicherheitsvorfällen.

Das ISMS kontinuierlich verbessern

Ein effektives und nachhaltiges Informationssicherheitsmanagementsystem (ISMS) benötigt ein wirksames Schwachstellenmanagement. Daher prüfen Sie fortlaufend ihre Systeme auf mögliche Schwachstellen. Bleiben Sie auf dem laufenden, da immer wieder neue Schwachstellen bekannt werden.

ISO 27002 ist keine Voraussetzung für die ISO 27001-Zertifizierung

Die Berücksichtigung der ISO 27002 Norm ist keine Voraussetzung für erfolgreiche ISO 27001-Zertifizierung Ihres ISMS. Zertifizierungsstellen können ihr Unternehmen nicht nur nach ISO 27002 zertifizieren. Dennoch bleibt Schwachstellenmanagement eine der wichtigsten Komponenten für eine wirksame Informationssicherheit.