Informationssicherheitsmanagement - 22. März 2018

Sind Sie sicher?

Mit einer ISO-27001-Zertifizierung lassen sich zwei Fliegen mit einer Klappe schlagen. Die eigene Organisation und die ver­wendeten Daten werden geschützt. Gleichzeitig kann die Kanzlei Mandanten und Ge­schäfts­part­nern zeigen, dass sie verantwortungsvoll und sicher mit den anvertrauten Daten umgeht.

Informationssicherheit ist weltweit ein sehr wichtiges Thema, das aufgrund der vielen Angriffe auf die Sicherheitsinfrastruktur und entdeckten Sicherheitslücken in Hardware und Software immer mehr in den Fokus rückt (vgl. Die Lage der IT-Sicherheit in Deutschland 2017, Bundesamt für Sicherheit in der Informationstechnik, BSI). In jüngster Zeit wurde die CPU-Sicherheitslücke von Spectre und Meltdown entdeckt. Die Schwachstellen können unter anderem dazu benutzt werden, sensible Daten aus dem Speicher zu lesen, zum Beispiel private Zertifikatsschlüssel oder Pass­wör­ter. Doch muss sich auch eine Durchschnittskanzlei intensiv damit befassen? Eindeutig ja.
Auch bei Kanzleien wurden schon Cyberangriffe festgestellt. Ein Beispiel sind die sehr er­folg­rei­chen Social-Engineering-Angriffe, bei denen Kriminelle viele verschiedene Methoden wie Be­lau­schen, Telefonieren und E-Mails nutzen, um ihre Opfer zu manipulieren und dadurch vertrauliche Informationen zu ­erhalten. Die Angreifer versuchen, entweder die Daten der Mandanten zu steh­len, um dann die Kanzlei zu erpressen, oder sie versuchen – angeblich im Auftrag des Chefs –, einen Mitarbeiter zu einer Geldüberweisung zu veranlassen.
(Mehr zum Social Engineering lesen Sie im Beitrag Angriff auf allen Ebenen)
Geschäftsführer einer Steuerberatungskanzlei sind verantwortlich für die Aufbau- und Ablauf­organisation und die strategischen Fragen. In Zeiten zunehmender Cyberangriffe (vgl. BSI-­Lagebericht 2017) gehört dazu auch, eine Arbeitsumgebung zu schaffen, die ein hohes Maß an Informationssicherheit garantiert.

Sicherheitsexperten finden

Dazu empfiehlt es sich, Sicherheitsberater oder Experten zurate zu ziehen, um mit ihnen gemeinsam die eigene Organisation zu analysieren, Risiken zu erkennen und zu bewerten, um schließlich ein Sicherheitskonzept zu erstellen und wirkungsvolle Maßnahmen zu planen und umzusetzen. Gute Sicherheitsberater findet man unter anderem über den zentralen IT-­Sicher­heitsdienstleister des Bunds, dem BSI. Hier kann man Kontakt zu Sicherheitsberatern aufnehmen, die ihre Qualifikation durch eine BSI-Zertifizierung erworben haben und damit ihr Fachwissen nachweisen. Eine andere Option sind zertifizierte Sicherheitsberatungsfirmen. Auch hier haben sich die Berater einer Fachprüfung unterzogen, zum Beispiel als ISO-27001-Auditor.

ISO-Norm als Basis

Eine gute Basis für die Analyse der eigenen Aufbau- und Ablauforganisation ist die Norm EN ISO/IEC 27001. Diese internationale Norm für Informationssicherheit beschreibt die Anforderungen für das Einrichten und Realisieren eines dokumentierten Informationssicherheits-Managementsystems ebenso wie die Handhabung und Verbesserung. Sie besteht aus einem Managementteil (Kapitel 4 bis 10) und dem Anhang (A 5 bis A 18).
Im Managementteil sind die An­for­de&shyr­ungen an ein Informationssicherheits-Managementsystem beschrieben. Beispielsweise soll der Anwendungsbereich (Scope) definiert werden. Soll sich das Managementsystem auf die gesamte Kanzlei beziehen oder nur auf einen Teilbereich (vgl. Kapitel 4.3 – Festlegen des Anwendungsbereichs des Informationssicherheits-Managementsystems)?

Vertraulichkeit, Verfügbarkeit, Integrität

Welche Ziele verfolgt der Kanzleiinhaber bei der Informationssicherheit? (vgl. Kapitel 6.2 – Informationssicherheitsziele und Planung für deren Erreichung). Meist ist es die Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität. Diese Ziele müssen operationalisiert werden: Welche Vertraulichkeitsstufen soll es geben und mit welchen Maßnahmen setzt man die jeweiligen Vertraulichkeitsklassen um (vgl. A 8.2 – Informationsklassifizierung)? Soll es Zutritts- und/oder Zugangsbeschränkungen geben (vgl. A 9.4 – Zugangssteuerung für Systeme und Anwendungen)? Welche Daten dürfen nur verschlüsselt an Dritte weitergegeben werden (vgl. A 10 – Kryptographie)?
Die Forderung nach Verfügbarkeit bezieht sich darauf, wie lange zum Beispiel Server und Clients ausfallen dürfen. Meist sind es nur wenige Stunden täglich. Das muss eine Backup-Strategie berücksichtigen. (Mehr zum Thema Notfallkonzept lesen Sie hier.)
Um Integrität zu gewährleisten, spielt die kanzleiinterne Patch- und Zugriffs-Policy eine wichtige Rolle. Welche Patches muss man sofort installieren? Dürfen alle Mitarbeiter auf alle Mandantendaten zugreifen oder welche Daten müssen besonders geschützt werden?
Welche Rollen und Verantwortlichkeiten soll es geben (vgl. Kapitel 5.3 – Rollen, Verantwortlichkeiten und Befugnisse der Organisation)? Bei der Analyse der einzelnen Prozesse sollte man alle Tätigkeiten beschreiben und auf den Wertschöpfungsbeitrag hin untersuchen. Lassen sich Genehmigungsschritte, Kontrollen, Bearbeiterwechsel oder redundante Prozessschritte reduzieren? Oft fällt erst bei der Beschreibung der einzelnen Prozesse auf, dass sich einige Schritte ohne Qualitätsverlust verkürzen ließen. Dass beispielsweise ein elektronischer Prozess nicht mehr ausgedruckt werden muss, um ihn später wieder manuell einzuscannen, wie die Unterschrift des Chefs oder manuelle Dateneingaben.

Umgang mit Risiken und Chancen

Die Informationssicherheit soll zu einem integrierten Bestandteil der ­täglichen Arbeit werden.

Die Norm beschreibt auch, wie man mit Risiken und Chancen umgehen soll (vgl. Kapitel 6 – Maßnahmen zum Umgang mit Risiken und Chancen). Bei der Analyse der kanzleiinternen Prozesse findet man in der Regel auch einige Risiken, die die Zielerreichung der Prozesse verhindern könnten. Die Risiken werden nach Eintrittswahrscheinlichkeit und Schadenshöhe klassifiziert. Das BSI hat 47 elementare Gefährdungen beschrieben, die auf ihr Risiko untersucht werden sollen. Beispiel Feuer (G 01): Es kommt häufig vor, dass elektrische Kleingeräte, wie Kaffeemaschinen oder Tischleuchten, unsachgemäß installiert oder aufgestellt sind und dadurch Brände verursachen. Beispiel Verschmutzung, Staub, Korrosion (G 04): Handwerkliche Tätigkeiten können viel Staub verursachen, der bei fehlendem Schutz durch die Lüftungsschlitze in ein PC-Gehäuse eindringen kann und das Netzteil unbrauchbar macht.
Mit der Umsetzung der Sicherheitsanforderungen (den sogenannten Controls) in Anhang A ist jedes Unternehmen, egal welcher Größe, gegen mögliche Angriffe gut geschützt. Anhand der Ergebnisse der Risikoanalyse lässt sich ein Sicherheits- oder Notfallkonzept erarbeiten, das die gefundenen Risiken auf ein für die jeweilige Kanzlei akzeptables Maß reduzieren lässt sowie Kosten und Nutzen abwägt. Ein solches Konzept fordert auch die Norm im Control A 5-Informationssicherheitsrichtlinien (mehr dazu auch im Beitrag Nummer sicher).
Ebenso wichtig wie die technische Seite ist die menschliche. Die Informationssicherheit soll zu einem integrierten Bestandteil der täglichen Arbeit werden. Daher ist die Schulung und Sensibilisierung der Mitarbeiter ein zentrales und wichtiges Ziel. Hierfür eignen sich jährlich stattfindende Präsenzschulungen und auch Wirksamkeitstests im Alltag.

Jährlich oder anlassbezogen überprüfen

Haben sich in letzter Zeit die IT-Systemlandschaft oder wesentliche Teile der Organisation geändert oder ist die Eintrittswahrscheinlichkeit eines Risikos gestiegen oder gesunken, so sind das Sicherheitskonzept und die damit verbundenen Sicherheitsmaßnahmen an die neue Situation anzupassen. Hilfestellung bietet hier der Anhang der ISO 27001 mit Themen wie:

  • Personalsicherheit (zum Beispiel Informationssicherheitsbewusstsein, -ausbildung und -schulung)
  • Zugangssteuerung (zum Beispiel Verschlüsselung, Zugangssteuerung für Systeme und Anwendungen)
  • Betriebssicherheit (zum Beispiel Schutz vor Schad-Software oder Datensicherung)
  • Kommunikationssicherheit (zum Beispiel Netzwerksicherheit)

Für die Zertifizierung der Kanzlei nach ISO 27001 ist es notwendig, alle Sicherheitsanforderungen der Norm umzusetzen. Viele wichtige Punkte wurden hier genannt, es fehlen jedoch insbesondere noch die internen Audits und die Managementbewertung (vgl. Kapitel 9.2 – Internes Audit). Die regelmäßigen internen Audits sollen prüfen, ob alle Maßnahmen des Sicherheitskonzepts umgesetzt sind und auch gelebt werden. Das Ergebnis dieser Audits ist dann Bestandteil der Managementbewertung (vgl. Kapitel 9.3 – Managementbewertung). Dabei bewertet die Kanzleileitung alle Aspekte der Informationssicherheit, um ihre Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Mit der Umsetzung aller empfohlenen und selbst definierten Sicherheitsanforderungen steht einer Zertifizierung nach ISO 27001 nichts mehr im Wege.

MEHR DAZU

finden Sie auf der Internet-Seite des Bundesamts für Sicherheit in der Informationstechnik: www.bsi.bund.de

ISO 27001-Zertifikate auf der Basis von IT-Grundschutz

Die Lage der IT-Sicherheit in Deutschland 2017

Zum Autor

Reinhard Muth

DATEV eG, Bereich Managementsysteme und Rechteprüfung

Weitere Artikel vom Autor