Kapitel 13 des Anhang A „Kommunikationssicherheit“ hat zum Ziel, Informationen und Informationssysteme vor unberechtigtem Zugriff oder Modifikationen zu schützen. Die Wirksamkeit eines Systems wird daran gemessen, wie gut es seinen Zweck erfüllt und gleichzeitig die Möglichkeit aufrechterhält, nutzbare Ergebnisse zu liefern.
Kommunikationssicherheit ist ein wichtiger Teil eines ISMS (Informationssicherheits-Managementsystems), das all die Bereiche abdeckt, in denen für die Organisation eine Gefahr von Sicherheitslücken besteht. Dies gilt auch für jegliche Dritte, die mit den IT-Systemen der Organisation in Kontakt sind.
Dieser Beitrag behandelt Kommunikationssicherheit sowie Maßnahmen zu deren Gewährleistung und betont, wie wichtig es ist, Informationen und Informationssysteme vor unberechtigtem Zugriff oder Modifikation zu schützen.
Was ist Anhang A.13?
Thema von Anhang A.13 ist Kommunikationssicherheit – ein weites Feld, das Hardware, Software, Verfahren und Beschäftigte umfasst, die die Übertragung von Informationen an Speicherorten, über Übertragungsleitungen und über Radiowellen sichern.
Hardware, Software, Verfahren und Beschäftigte werden in diesem Zusammenhang wie folgt definiert:
Hardware
Die physischen Komponenten eines Systems (z. B. Computer, Drucker und Faxgeräte), die Ausrüstung oder Komponenten beinhalten, welche Daten in Informationen umwandeln.
Software
Programme oder Betriebssysteme, die zum Betrieb dieser Geräte eingesetzt werden, z. B. Textverarbeitungsprogramme wie Microsoft Word oder Grafikdesignprogramme wie Adobe Illustrator.
Verfahren
Die von einer Organisation aufgestellten Regeln, die deren Mitarbeitern Richtlinien für die Ausführung ihrer Arbeit im Kontext der Organisation bereitstellen. Beispiele dafür sind: Passwortschutzrichtlinien zum Schutz von Dateien mit vertraulichen Daten vor unberechtigtem Zugriff oder Verschlüsselungsalgorithmen zur Verwendung während der Übertragung vertraulicher Dokumente über unsichere Netzwerke.
Beschäftigte
Die Mitarbeiter in einer Organisation, deren Tätigkeit sich auf die übergreifende Sicherheitspolitik auswirkt. Beispiele dafür sind: Mitarbeiter, die in Beiträgen in den sozialen Medien exklusive Informationen über finanzielle Transaktionen eines Kunden veröffentlichen und so unabsichtlich vertrauliche Informationen über ihren Arbeitgeber offenlegen.
Es empfiehlt sich, Anhang A.13 in Verbindung mit den anderen Maßnahmen (Controls) der ISO 27001 sowie dem Aufbau eines ISMS zu verbinden.
Was ist Kommunikationssicherheit?
Kommunikationssicherheit ist ein Bestandteil der Informationssicherheit, das wiederum ein Teil der IT-Sicherheit ist. Informationssicherheit bezeichnet die Richtlinien und Verfahren, die erstellt wurden, um zu gewährleisten, dass Daten über ihren gesamten Lebenszyklus hinweg sicher bleiben.
Im Mittelpunkt steht die Absicherung vor unerlaubten Zugriffen auf Netzwerke, Computer, Smartphone sowie der Schutz vor Cyberbedrohungen. Ein System gilt nur dann als wirksam, wenn es seinen Zweck erfüllt, ohne dabei Komplikationen für seine Nutzer zu verursachen.
Anhang A.13 gilt auch für jegliche Dritte wie Lieferanten und Kunden, die mit den IT-Systemen der Organisation in Kontakt sind. Darunter fallen Websites, E-Mails, Datenspeicher und Verarbeitungssysteme.
Weshalb ist Kommunikationssicherheit wichtig?
Im geschäftlichen Kontext hilft Kommunikationssicherheit bei der Prävention folgender Risiken:
- Finanzielle Schäden: das Risiko, dass unberechtigte Offenlegung, Modifizierung, Zerstörung oder missbräuchliche Verwendung von Informationen zu spürbaren Verlusten wie Diebstahl oder Betrug führen können.
- Reputationsschäden: das Risiko eines Imageschadens für das Unternehmen oder die Marke und/oder eine verringerte Kundenloyalität aufgrund der Nichterfüllung von Sicherheitsbestimmungen und/oder mangelhaften Managementpraktiken. Dies kann zu Kunden- und Auftragsverlusten sowie einem Umsatzrückgang und Gewinneinbruch führen.
- Verlust des öffentlichen Vertrauens: das Risiko, dass vertrauliche Informationen aufgrund unzureichender Sicherheitsmaßnahmen auf nicht angemessene Weise offengelegt werden.
Was sind die Maßnahmen (Controls) in Anhang A.13?
A.13.1 Netzwerksicherheitsmanagement
Ziel dieses Kapitels ist der Schutz von Daten in Netzwerken und der dazugehörigen Informationsverarbeitungssysteme. Die zwei wichtigsten Aspekte in diesem Abschnitt sind das Management der Netzwerksicherheit und die Aufrechterhaltung von Datenintegrität und -verfügbarkeit.
A.13.1.1 Netzwerkkontrollen
Das Netzwerk eines Unternehmens muss vor Eindringung, Überwachung und anderen Formen der Datenmanipulation gesichert sein. Um Ihre Firma vor externen Bedrohungen zu schützen, müssen Sie ein tiefgreifendes Verständnis über die Anforderungen, Gefahren und Assets Ihres Netzwerks haben. Bei der Erarbeitung einer Sicherheitsrichtlinie sollten Sie sowohl interne als auch externe Bedrohungen miteinbeziehen.
Relevante Maßnahmen umfassen u. a.:
- Firewall- und Präventivsysteme
- Listen über Zugriffssteuerungen
- Verbindungssteuerungen
- Endpunktüberwachung
- Trennung von Netzwerken
A.13.1.2 Sicherheit von Netzwerkdiensten
Die Einrichtung von Sicherheitsmaßnahmen zum Schutz von Daten, die über das Netzwerk gesendet werden, sollte im Einklang mit den Ergebnissen der Risikobewertung durchgeführt werden. Bei der Erarbeitung von Netzdienstevereinbarungen sollten Sicherheitsnormen, Geschäftsanforderungen und mögliche Risiken berücksichtigt werden.
A.13.1.3 Trennung in Netzwerken
Für verschiedene Nutzergruppen und Informationsnetzwerke sollten getrennte Systeme vorhanden sein. Zonen mit Zugriff für die Öffentlichkeit, bestimmte Abteilungen, kritische Informationen oder die Geschäftsführung sollten separat verwaltet werden. Dabei sollte keine gegenseitige Abhängigkeit bestehen; es ist sicherer, dass jeder Dienst seine eigenen Verfahren handhabt.
A.13.2 Informationsübertragung
Diese Maßnahme gewährleistet die Sicherheit aller Daten, die an das Unternehmen gesendet und von innerhalb oder außerhalb des Unternehmens empfangen werden.
A.13.2.1 Informationsübertragungsrichtlinien und -verfahren
Zur Sicherung der Daten, die über Ihr Netzwerk übertragen werden, benötigen Sie Richtlinien. Dabei sollte eine Vielfalt von Normen berücksichtigt werden, und es müssen Richtlinien und Verfahren für die Übertragung dieser Risiken vorliegen.
A.13.2.2 Vereinbarungen über die Informationsübertragung
Die Vereinbarungen Ihres Unternehmens mit externen Vertretern sollten ausdrücklich angeben, dass jegliche übertragene oder empfangene Daten geheim gehalten und unversehrt bleiben müssen. Der Schutz physischer und digitaler Kopien von Informationen sollte im Einklang mit den spezifischen Kategorisierungsnormen der Vereinbarung geschehen.
A.13.2.3 Elektronische Nachrichten
Digitale Nachrichtensysteme müssen vor Cyberbedrohungen geschützt und mit spezifischen Kriterien zur angemessenen elektronischen Nachrichtenübermittlung für verschiedene Arten von Inhalten verknüpft sein. Wenn vertrauliche Finanzinformationen über elektronische Kommunikationskanäle ohne angemessene Sicherheitsvorkehrungen gesendet werden, kann es zu Identitiätsdiebstahl und Betrug kommen. Verschlüsselung, maskierte Kommunikation und Überwachung müssen Teil dieser Maßnahmen sein.
A.13.2.4 Vertraulichkeit und Geheimhaltungsvereinbarungen
Geheimhaltungsvereinbarungen sind für den Datenschutz unerlässlich. Wenn es um die Vertraulichkeit von Daten geht, müssen Sie die Anforderungen und Rechte Ihres Unternehmens von vornherein klarstellen. Die Vereinbarung sollte nach Genehmigung durch die Führungsebene regelmäßig überprüft, überarbeitet und aktualisiert werden.
Im Allgemeinen lassen sich Geheimhaltungsvereinbarungen in folgende Gruppen einteilen:
- Allgemeine oder gegenseitige Geheimhaltung
- Bedingungen für die Kundennutzung
- Lieferanten- oder Partnervereinbarungen
- Anstellungsverträge
- Datenschutzrichtlinien
Fazit
Beim Aufbau der Kommunikationssicherheit sollten Sie nicht vergessen, dass viele verschieden Faktoren eine Rolle spielen, u. a. welche Ausrüstung Sie wählen und wie Sie Nachrichten versenden. Folgen Sie in Zweifelsfällen immer den bewährten Vorgehensweisen Ihrer Organisation. Anhang A.13 ist für die Umsetzung von ISO 27001 von höchster Bedeutung, da er auf gute Sicherheitspraktiken hinweist und Ihnen einen Wettbewerbsvorteil bietet.
Für weitere Fragen rund um die Umsetzung von Anhang A.13, aber auch allen anderen Controls der ISO 27001, stehen wir Ihnen jederzeit zur Verfügung.
Roadmap zur ISO 27001 Zertifizierung
Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001.
Hier kostenlos herunterladen