Security · 18. November 2019 0

Informationssicherheitsmanagementsystem nach ISO/IEC 27001 Part II – Bedrohungen, Gesetze und Missachtung

Im zweiten Teil der Artikelreihe zum Thema “Informationssicherheitsmanagementsystem nach ISO/IEC 27001” geht es um Bedrohungen, Gesetze und deren Missachtung.

Bedrohungen

Bedrohungen sind bspw. höhere Gewalt, menschliche Unachtsamkeit, technisches Versagen oder vorsätzliche Handlungen. Die Wirksamkeit einer Bedrohung entsteht jedoch erst durch das aktive ausnutzen von Schwachstellen, welche sich in der Konzeption, der Implementation, der Konfiguration, dem Betrieb oder im Unternehmen wiederfinden. Laut dem Marktforschungsunternehmen Gartner werden bis 2020 99 Prozent der ausgenutzten Schwachstellen diejenigen sein, die Sicherheits- und IT-Fachleuten seit mindestens einem Jahr bekannt sind. Weitere erfolgreiche Angriffe entstehen durch eine Schatten-IT, d.h. durch private Geräte von Mitarbeitern und der darauf befindlichen Software, die für die Erfüllung von Aufgaben im Unternehmenskontext eingesetzt und nicht vom Unternehmen richtlinienkonform verwaltet werden. Dies lässt sich auf eine fehlende oder zu restriktive „Bring your own Device“ (BYOD)-Strategie sowie fehlende Strafen zurückführen. Hinzu kommen vermehrt Angriffe auf Geräte im Bereich des Internet der Dinge (IdT, engl. Internet of Things IoT), da hier die Benutzerfreundlichkeit gegenüber der Sicherheit zunehmend im Mittelpunkt steht und Gerätehersteller Probleme haben, Bedrohungen durch schwachen Authentifizierungsverfahren entgegenzuwirken.

Die Hintergründe für Angriffe auf technische wie auch nicht-technische Systeme sind unterschiedlich. Industrie- und Wirtschaftsspionage, die nicht nur Unternehmen als Ziel haben, sondern auch Kunden des Unternehmens und den verbundenen Services, ist weiterhin nicht zu vernachlässigen, wie das Bundeskriminalamt (BKA) in einem Ergebnisbericht einer Sekundäranalyse zusammenfasst. Laut einer Studie des Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) aus dem Jahr 2015 waren 51 Prozent aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Allerdings haben nur 53 Prozent der Betroffenen eine interne Untersuchung durchgeführt, 30 Prozent externe Spezialisten hinzugezogen und 20 Prozent staatliche Stellen eingeschaltet. Letzteres wurde aus Angst vor Reputationsschäden eher zögernd in Betracht gezogen. Weiterhin ist weltweit eine Zunahme der professionellen und zum Teil erfolgreichen Cyberangriffe, was einen gezielten Angriff von außen bedeutet, zu verzeichnen. Monetäre Anreize sind hier die primäre Motivation. Waren es in der Vergangenheit noch sogenannte „Script Kiddies“, die ihr Unwesen trieben, um anderen zu imponieren, hat sich die Cyberkriminalität zu einem professionellen Geschäft entwickelt. Als „Cybercrime as a Service“ wird es auf internationalen Marktplätzen angeboten und so für Interessierte zugänglich.

Laut einer Sicherheitsstudie der Fachzeitschrift <kes> und Microsoft im Jahr 2018 betrug der größtmögliche Schaden nach einem erfolgreichen Angriff und den direkt damit verbundenen Kosten in Deutschland durchschnittlich rund 45 Tsd. Euro, die Ausfallzeit lag in Summe bei durchschnittlich 25 Stunden. Die Gefährdungen gehen in erster Linie auf Malware zurück, d.h. auf Viren, Würmer und Trojaner, gefolgt von Irrtum und Nachlässigkeit von Mitarbeitern, Mängel der Dokumentation, Hacking, Software-Mängel/Defekte, Informationsdiebstahl/Wirtschaftsspionage, Manipulation und höhere Gewalt. Zu einem ähnlichen Ergebnis kommt auch Malwarebytes, eine US-amerikanisches IT-Sicherheitsfirma, in ihrem Report „State of Malware“ aus dem Jahr 2019 für das Gebiet Europa, naher Osten und Afrika (engl. EMEA). In Deutschland sieht dieser die Bedrohung des Informationsdiebstahl/Wirtschaftsspionage als größte Gefährdung an.

Normen und Gesetze

ISO/IEC 27001

Die ISO/IEC 27001, im allgemeinen Sprachgebrauch oft nur ISO 27001 genannt, ist eine internationale Norm der ISO/IEC 27000-Familie, welche sich dem Themenblock ISMS widmet. In dieser sind die Anforderungen für die Einführung, Umsetzung, Betrieb, Überwachung, Überprüfung Aufrechterhaltung und Verbesserung eines ISMS definiert, die auf sämtliche Organisationen anwendbar ist. Die Anforderungen beziehen sich auf die Umsetzung von Sicherheitsmaßnahmen, welche an die Bedürfnisse der anzuwendenden Organisation angepasst werden können. Die Ableitung erfolgt von den übergreifenden Organisationsrisiken. Eines der Vorteile der ISO/IEC 27001 ist es, die Norm mit anderen Normen in Einklang zu bringen. Zu diesen zählen bspw. die ISO 9001, welche sich mit Qualitätsmanagementsystemen befasst, oder die ISO/IEC 20000-1, welche sich mit dem IT Service Management (ITSM) befasst. Ziel der Harmonisierung ist es, eine einheitliche und integrierte Implementierung sowie den Betrieb eines ISMS mit anderen Managementsystemen innerhalb einer Organisation zu gewährleisten. Im Allgemeinen verfügt die Geschäftsleitung einer Organisation mit einem ISMS über ein Mittel, um einerseits die Informationssicherheit zu überwachen und zu kontrollieren und andererseits das Geschäftsrisiko zu reduzieren sowie den rechtlichen, regulatorischen und internen Anforderungen gerecht zu werden.

BSI IT-Grundschutz

Der IT-Grundschutz ist ein Standard des BSI, der in den frühen 1990er Jahren entwickelt wurde und im deutschsprachigen Raum verbreitet ist. Dieser wurde in den vergangenen Jahren so angepasst, dass er mit der ISO/IEC 27001 kompatibel ist, um auch im internationalen Umfeld Schritt zu halten. Gerade die Kompatibilität mit der ISO/IEC 27001 wurde stellenweise so ausgebaut, dass der IT-Grundschutz dem Gegenüber einen Mehrwert bietet soll. Dokumentiert ist der Standard im IT-Grundschutz-Kompendium, welches standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen und IT-Systeme bietet und in einzelnen Bausteinen beschreibt. Der IT-Grundschutz hat zum Ziel, für alle Informationen einer Organisation einen angemessenen Schutz zu bieten. Die Umsetzung erfolgt in geeigneter Kombination von organisatorischen, personellen, infrastrukturellen und technischen Sicherheitsanforderungen. Dadurch wird ein Sicherheitsniveau erreicht, das dem jeweiligen Schutzbedarf für geschäftsrelevante Informationen als angemessen und ausreichend angesehen wird. Die Anforderungen des IT-Grundschutz bieten nicht nur eine Basis für kritische IT-Systeme und Anwendungen, sondern erläutert darüber hinaus die Möglichkeiten zur Erreichung eines höheren Sicherheitslevel. Der Aufbau des IT-Grundschutz-Kompendiums ist so gestaltet, dass er für die bessere Planung und Strukturierung im heterogenen Bereich der Informationstechnik und deren Einsatzumgebung das Baukastenprinzip nutzt. Dabei thematisieren die einzelnen Bausteine typische Abläufe von Geschäftsprozessen und Bereiche der IT-Unterstützung, wie bspw. das Notfallmanagement, Komponenten von IT-Systemen, Netzwerke und Infrastrukturen. Neben den BSI Standards 200-1 bis 200-3 sowie 1004, welche sich mit den Themen ISMS (200-1), IT-Grundschutz-Methodik (200-2), Risikoanalyse auf der Basis von IT-Grundschutz (200-3) sowie Notfallmanagement (100-4) auseinandersetzen, bildet das IT-Grundschutz-Kompendium die Basis des BSI IT-Grundschutzes ist. Für eine Zertifizierung nach ISO/IEC 27001 auf Basis von IT-Grundschutz dient seit dem 1. Februar 2018 das IT-Grundschutz-Kompendium als Prüfungsgrundlage.

DSGVO

Im Jahr 2016 verabschiedete die Europäische Union die Datenschutz-Grundverordnung (DSGVO), welche am 25.05.2016 veröffentlicht wurde und die EG-Datenschutzrichtlinie von 1995 ersetzt. Seit der Veröffentlichung galt eine zweijährige Übergangsfrist, so dass die DSGVO und das neue Bundesdatenschutzgesetzt (BDSG) am 25.05.2018 in Kraft getreten sind, welche ein neues Datenschutzrecht in der Europäischen Union und deren Mitglieder, aber auch in Deutschland, regelt. Ziel der neuen Regelung ist es, den Datenschutz zu verbessern und vereinheitlichen. Die DSGVO regelt grundsätzlich die Verarbeitung personenbezogener Daten und soll so einerseits zum bewussten Umgang mit ihnen beitragen und andererseits die digitale Wirtschaft im europäischen Binnenmarkt fördern. Für Organisationen heißt dies auch, dass neue Datenschutzpflichten in Kraft treten und bisher gültige verschärfen. Die Verschärfung betrifft ebenfalls die Bußgeldzahlung bei Verstößen. Die in 99 Artikeln aufgeteilte DSGVO findet in öffentlichen wie auch in nicht-öffentlichen Stellen Anwendung, so dass für alle bei der Verarbeitung von personenbezogenen Daten das gleiche Recht gilt. Von den 99 Artikeln regelt die eine Hälfte das materielle Datenschutzrecht, welches allgemeine Bestimmungen und Grundsätze, die Rechte der betroffenen Personen, die Pflichten der verarbeitenden Stellen sowie die Übermittlung personenbezogener Daten an Drittländer enthält. Die andere Hälfte regelt die Datenschutzaufsicht, die Regelungskompetenzen und weitere formelle Themen.

Die Verarbeitung von Daten in Organisationen beinhalten auch personenbezogene Daten, wie bspw. Name, Anschrift und Möglichkeiten der Kontaktaufnahme, welche im Sinne der Datensicherheit und des Datenschutzes zu behandeln sind. Eine klare Trennung dieser Daten hinsichtlich deren Verarbeitungsnotwendigkeit oder nicht ist auf Basis der DSGVO schwierig. Die DSGVO schafft zumindest den Zusammenhang zum Daten- bzw. Informationsschutz, da sie Bezug auf die Schutzmechanismen, die Schutzziele (CIA) und dem Risikomanagement der ISO/IEC 27001 nimmt. Die Schutzziele sind laut Artikel 32 DSGVO durch technische und organisatorische Maßnahmen (TOM) nach Stand der Technik zu gewährleisten, ohne Bezug auf konkrete Handlungsanweisung zu nehmen.

IT-Sicherheitsgesetz

Die zunehmend steigende Bedeutung von IT-Systemen, getrieben durch Themen wie die Digitalisierung oder Industrie 4.0, birgt auch immer mehr Gefahren für das Gemeinwesen. Angriffe auf IT-Systeme sind nicht nur das Werk von Script-Kiddies oder Kleinkriminellen, sondern Instrumente von Terroristen, Geheimdiensten oder organisierter Kriminalität. Um die Sicherheit der Kritischen Infrastrukturen (KRITIS) zu gewährleisten, leistet die Bundesregierung mit dem seit Juli 2015 gültigen „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ ihren Beitrag dazu und verpflichtet Betreiber zur Einhaltung. Ziel des Gesetzes ist es, IT-Systeme und digitale Infrastrukturen weltweit zu den sichersten zu machen. Zu den Betreibern von KRITIS zählen bspw. Organisationen oder Einrichtungen in den Bereichen Energie, Wasser, Finanzen, Ernährung, Informationstechnik, Telekommunikation oder Gesundheit. Beeinträchtigungen der Versorgungsdienstleistung oder gar Ausfälle können erhebliche Folgen für die Wirtschaft, den Staat und die Gesellschaft in Deutschland aufweisen. Ein weiteres Ziel des Gesetzes ist es, die IT-Sicherheit von Organisationen der Bundesverwaltung zu verbessern, um Bürgern im Internet einen besseren Schutz zu bieten. Einzelne Regelungen gelten ebenso für Betreiber kommerzieller Webangebote. Die Betroffenheit lässt sich anhand der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIGesetz (BSI-Kritisverordnung – BSI-KritisV)“ in den verschiedenen Sektoren bestimmen. Für Betreiber von KRITIS existieren zwar branchenspezifische Sicherheitsstandards (B3S), wie bspw. die ISO/IEC 27001 oder der BSI IT-Grundschutz, die für die Umsetzung der IT-Sicherheit hilfreich sind und vom BSI als „Stand der Technik“ angesehen werden. Dennoch gibt es laut BSI-Gesetz (BSIG) keine Verpflichtung für die Umsetzung dieser Standards, wenn die Anforderungen gemäß §8a (1) BSIG anderweitig erfüllt werden. Verpflichtend ist jedoch nach BSI-KritisV die Meldepflicht einer Kontaktstelle sowie allgemein IT-Störungen zu melden, die Anforderungen gemäß §8a (1) BSIG umzusetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.

Missachtungen von Gesetzen

Die Missachtung der Einhaltung des IT-Sicherheitsgesetz, der DSGVO oder anderen Gesetzen und Verordnungen beinhaltet nicht nur Risiken, sondern birgt auch finanziellen Schaden oder gar Reputationsverlust. Letzteres kann zum Erliegen des Geschäftszweck führen. Artikel 83 DSGVO regelt „Allgemeine Bedingungen für die Verhängung von Geldbußen“, indem Aufsichtsbehörden aufgefordert werden, dass diese für Verstöße gegen die Verordnung gemäß Absatz 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Je nach Schwere des Verstoßes regelt Artikel 83 Absatz 4 DSGVO ein Bußgeld „von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs .. je nachdem, welcher Betrag höher ist“, wenn bspw. ein Verstoß gegen TOM eintritt. Artikel 83 Absatz 5 DSGVO beziffert ein Bußgeld „von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs .. je nachdem, welcher Betrag höher ist“, wenn bspw. gegen die Grundsätze der Verarbeitung verstoßen wird oder die Nichtbefolgung einer Anweisung der Aufsichtsbehörde erfolgt. Demzufolge kann durch fehlende Maßnahmen, wie sie bspw. die ISO/IEC 27001 vorgibt, erheblicher Schaden für Organisationen entstehen. Das deutsche Unternehmen Knuddels GmbH & Co. KG wurde im Jahr 2018 mit einem Bußgeld in Höhe von 20.000 Euro belegt, nachdem durch einen Hackerangriff im gleichen Jahr personenbezogene Daten von ca. 330.000 Nutzern erbeutet wurden. Die Strafe fiel im Vergleich zur DSGVO milder aus, da das Unternehmen in Zusammenarbeit mit dem Landesbeauftragten für Datenschutz und Informationssicherheit (LfDI) in Baden-Württemberg bei der Aufklärung sowie bei der Umsetzung geeigneter Gegenmaßnahmen bespielhaft mitwirkte. Anders sieht es für das Unternehmen British Airways aus, dass einer Ankündigung der britischen Datenschutzbehörde (ICO) zufolge für einen Verstoß gegen die DSGVO ca. 204 Millionen Euro Bußgeld zahlen soll. Vorausgegangen war auch hier ein erfolgreicher Angriff auf personenbezogene Daten von ca. 500.000 Kunden. Abgesehen von den unterschiedlichen Behörden in verschiedenen Ländern sind die Bußgeldzahlungen von vielen Faktoren abhängig und nicht auf jede Organisation übertragbar und beziehen sich allerdings auf dieselbe Rechtsgrundlage.