In Erstgesprächen zum Thema ISO 27001 klären wir häufig ein Missverständnis auf: Ist die ISO 27001 eine Checkliste für Cybersecurity?
Vor kurzem sprach ich mit dem IT-Leiter eines Unternehmens, der genau dies Frage hatte.
Ein wichtiger Kunde hatte ihm mitgeteilt, dass er zukünftig nur noch mit ihm zusammenarbeiten könne, wenn sein Unternehmen ein ISO 27001-Zertifikat vorweisen kann.
Cybersecurity? Kein Problem...
"Kein Problem", hatte der IT-Leiter zum Kunden gesagt, "wir sind sicherheitsmäßig gut aufgestellt. Das Zertifikat können wir im Handumdrehen vorzeigen."
Dann hatte sich der IT-Leiter die ISO 27001 Norm gekauft und angefangen zu lesen... Und war ziemlich verwundert: Seitenweise Text, aber keine einzige Anforderung, welche IT-Systeme wie zu konfigurieren wären. Keine Tipps für Firewalls, keine Routerkonfigurationen, keine technischen Details zu Anti-DoS-Maßnahmen. Nichts!
Keine Checkliste für Cybersecurity?
Anders als eine Checkliste ist die ISO 27001 nicht als starres Regelwerk aufgebaut, sondern als flexible Struktur, die sich an die spezifischen Bedürfnisse und Anforderungen des Unternehmens anpasst und ständig weiterentwickelt werden kann. Unternehmen müssen bestimmte Anforderungen erfüllen, um ISO 27001-konform zu sein. Dazu gehört beispielsweise die Erstellung von Sicherheitsrichtlinien, die Durchführung von Risikoanalysen und -bewertungen, die Umsetzung von unternehmensspezifischen Sicherheitsmaßnahmen und die kontinuierliche Überwachung und Verbesserung des eigenen Schutzes.
Die ISO 27001 ist somit ein Werkzeug, das Unternehmen dabei unterstützt, ihre Informationssicherheit auf ein höheres Niveau zu bringen. Sie bietet eine strukturierte Vorgehensweise, um Risiken zu minimieren und das Vertrauen der Kunden zu stärken. Eine Zertifizierung nach ISO 27001 ist jedoch kein Selbstzweck, sondern ein Beweis dafür, dass das Unternehmen ein hohes Niveau an Informationssicherheit erreicht hat.
In Zeiten, in denen Cyberangriffe und Datenlecks immer häufiger werden, ist die ISO 27001 ein wichtiger Bestandteil eines umfassenden IT-Sicherheitskonzepts. Sie hilft Unternehmen dabei, potenzielle Schwachstellen zu identifizieren und effektive Maßnahmen zu ergreifen, um sich vor Angriffen zu schützen.
Keine Checkliste? Warum ist das sinnvoll?
Der IT-Leiter war skeptisch. Ohne Checkliste hätte er ja überhaupt nichts, an das er sich halten konnte. Woher sollte er denn jetzt wissen, ob er mit allem fertig sei? Wieso ist denn so schwer, eine gute verlässliche Liste an exakten technischen Maßnahmen herzustellen? Wie muss man denn jetzt den Firewall konfigurieren, damit es richtig ist? Und welcher Virenscanner muss denn nun auf die Windows 11 PCs, damit die sicher sind?
Die ISO 27001 bietet genau das nicht.
Und das ist auch sinnvoll so. Denn die Norm ist einheitlich für die gesamte Welt, einheitlich für alle Kulturen, für alle Länder, für alle Unternehmen - die mit den unterschiedlichsten Technologien arbeiten. Oder sogar ganz ohne.
Die ISO 27001 ist technologieagnostisch
Die ISO 27001 - Checkliste für Cybersecurity ist sie nicht. Sie sagt nur aus, um welche Themen sich eine Organisation zu kümmern hat, der Rest ist jedem Unternehmen selbst überlassen. Und das ist auch gut so. Denn ein umfassendes Kompendium für alle möglichen Technologien vorzuhalten und Systemkonfigurationen gegen alle Angriffe vorzustellen ist einfach unmöglich. Vom Aufwand, alles schön up to date zu halten, mal ganz zu schweigen.
Der Ansatz der ISO 27001 ist eine Ebene darüber. Die Stoßrichtung ist diese:
- Welche Informationen verarbeitet das Unternehmen?
- Welche sind davon schützenswert?
- Wo sind diese Informationen gespeichert?
- Welchen Risiken sind sie dabei ausgesetzt?
- Welche Risiken sind dabei die gefährlichsten?
- Wie kann diese senken?
Die ISO 27001 bietet für konkrete Cybersecurity und IT-Security einen sehr hilfreichen prozessorientierten "Überbau". Detaillierte Anweisungen, wie man den Microsoft 365 Tenant sicher konfiguriert, sucht man in ihr aus gutem Grund vergebens.
Unser Tipp
Betrachten Sie die ISO 27001 nicht als "schlechte Checkliste für Cybersecurity", sondern als hilfreichen Ratgeber, der Ihnen für eine gesamtheitliche Informationssicherheit einen Arbeitsansatz gibt. Schließlich möchten Sie ja auch lieber mit vertretbarem Aufwand ein paar große IT-Risiken aus der Welt schaffen als mit viel Aufwand ein paar vernachlässigbare. - Und genau dafür ist diese Norm super hilfreich!
ISO 27001 - Checkliste für Cybersecurity?
Die ISO 27001 bietet keine Checkliste für Cybersecurity, sondern ein Rahmenwerk für eine gesamtheitliche Sicht auf das Thema Informationssicherheit. Wenn Sie Interesse haben, können Sie sich gleich hier einen kostenlosen Gesprächstermin buchen. Oder Sie schreiben uns direkt hier rechts unten etwas in den Chat! Wir freuen uns!
