Best Practices für das Cybersecurity-Management anhand der ISO 27032

Cyberkriminalität zählt inzwischen zu den größten Sicherheitsrisiken von Unternehmen. ISO 27032 ist ein Standard, der speziell für den Bereich Cybersicherheit formuliert wurde, um diese Risiken adäquat abzudecken. Die ISO 27032 ergänzt die Norm ISO 27001, die allgemeine Maßnahmen zur Erhöhung der Sicherheit in Unternehmen definiert.

In diesem Artikel besprechen wir die Best Practices zur Einrichtung von Cybersicherheitsmaßnahmen („Controls“, „Kontrollen“), die von der ISO 27032 empfohlen werden und die Sie als Unternehmen zur Abmilderung von Sicherheitsrisiken implementieren sollten.

Wie definiert die ISO-Norm den Cyberspace?

Unter Cyberspace versteht man ein extrem komplexes und vielfältiges Ökosystem – ein Netz aus Beziehungen zwischen Personen, Programmen und physischen Standorten, welches das Speichern, Verarbeiten, Übertragen und Bereitstellen einer Vielfalt von Informationen ermöglicht.

Um als Unternehmen im Cyberspace agieren zu können, ohne dass die eigenen Daten offen zugänglich sind oder kompromittiert werden, braucht es starke Sicherheitsprotokolle. Die ISO-Norm gibt daher Richtlinien vor, mit denen Sie für mehr Sicherheit bei Ihren Interaktionen im Cyberspace sorgen können.

Was genau ist die ISO 27032?

Die ISO 27032 (ISO/IEC 27032:2012) ist ein Standard für die Cybersicherheit. Ihr Ziel ist, sensible Daten während des Datenaustausches vor unerlaubtem Zugriff oder Abändern durch Hacker oder Saboteure zu schützen. Sie gibt Ressourcen an die Hand, mit denen Unternehmen ihre Sicherheit intern managen können, und stellt Methoden vor, mit denen sich Onlinetätigkeiten und -aktivitäten absichern lassen, darunter Software- und Datenmanagement-Services. Als wesentlichen Bestandteil sieht sie Schulungsmaßnahmen für Personen vor, die diese Ressourcen verantworten und konkret handhaben.

Zu ihren Zielen gehört, einerseits die Zusammenarbeit zwischen den Komponenten wie dem CSF (CyberSecurity Framework) zu ermöglichen und andererseits Lücken abzudecken, die bisherige Standards zur Cybersicherheit nicht berücksichtigen.

Die ISO 27032 hat im Wesentlichen vier Schwerpunkte: 

  • Informationssicherheit
  • Netzwerksicherheit
  • Internetsicherheit
  • Schutz kritischer Dateninfrastrukturen

Die ISO 27032 wurde ursprünglich 2012 herausgegeben, wird jedoch aktuell überarbeitet, um folgende Aspekte mit aufzunehmen: 

  • Überblick zum Ist-Stand der Internetsicherheit
  • Beteiligte und ihre Rollen bei der Internetsicherheit
  • Zusätzliche Empfehlungen von Maßnahmen zur Behebung der häufigsten Problemquellen im Hinblick auf Cybersicherheit
  • Bezugnahme auf andere Standards, um ein vollständigeres Bild zu Risikomanagement und Sicherheitsmaßnahmen zu zeichnen

Die neue Version der ISO 27032 wird den Titel haben „Cybersicherheit – Richtlinien für die Internetsicherheit“ und 2023 herauskommen.

Wozu brauche ich die ISO 27032?

Da wir uns zunehmend im Cyberspace bewegen, besteht auch vermehrt die Gefahr der Datenkompromittierung. Daher ist die ISO 27032 ein Muss für alle Unternehmen und Organisationen. Die ISO 27032 bietet Richtlinien zur Einrichtung eines Richtlinienrahmenwerks im Unternehmen und zur Aufsetzung von Prozessen, die langfristig aufrecht erhalten werden können.

Sie unterstützt bei der Erkennung und Kategorisierung der Prozesse, die am anfälligsten für Cybergefahren sind, und ermöglicht damit Maßnahmen zu treffen, die sowohl Kunden als auch andere Interessenvertreter schützen. Somit ist sie ein ausgezeichnetes Mittel, allen Beteiligten zu signalisieren, dass Sie auf Cybergefahren vorbereitet sind und Mechanismen eingerichtet haben, um angemessen mit ihnen umzugehen, sollten sie auftreten.

Die ISO 27032 sieht außerdem Schulungen zur Cybersicherheit vor. In diesen lernen Ihre Mitarbeitenden die Sicherheitsprotokolle gegen Phishing-Attacken, Cyberstalking, Hacker, Datendiebstahl, Malware und sonstige digitale Überwachung kennen und umzusetzen.

Auch wenn die Ziele der ISO 27032 denen der ISO 27001 auf den ersten Blick zu ähneln scheinen, liegt der Fokus der ISO 27032 dediziert auf Cybersicherheit. Die ISO 27001 behandelt hingegen weiter gefasste Aspekte der Informationssicherheit und Sicherheitsprotokolle im Allgemeinen.

Worin unterscheiden sich Informationssicherheit und Cybersicherheit? Die Antwort finden Sie hier.

Welcher Unterschied besteht zwischen der ISO 27032 und ISO 27001?

Die beiden Normen hängen eng miteinander zusammen. Die ISO 27001 definiert die Anforderungen zur Einrichtung eines ISMS, die ISO 27032 bietet mit gezielten Empfehlungen ergänzend eine Richtschnur zur Erlangung von Cybersicherheit. Anders ausgedrückt: Der Fokus der ISO 27001 liegt auf Ihrer Organisation und Ihren Informationssicherheits-Managementsystemen (ISMS), während die ISO 27032 auf den Cyberspace bezogen ist und ein Rahmenwerk darstellt, das Zusammenarbeit fördert und speziell Problematiken adressiert, die unterschiedliche Sicherheitsbereiche im Cyberspace betreffen.

Der größte Unterschied besteht allerdings darin, dass die ISO 27032 keinen zertifizierbaren Standard darstellt. Sie ist ein Maßnahmenkatalog, den Sie zusätzlich zur ISO 27001 implementieren sollten, um Ihre Organisation im Cyberspace besser zu schützen.

Worin bestehen die Maßnahmen der ISO 27032?

Voraussetzung für die erfolgreiche Implementierung technischer Maßnahmen („Controls“) gemäß ISO 27032 sind: eine solide Cybersicherheitspraxis und die Umsetzung bereits im Unternehmen vorhandener Informationssicherheitskontrollen nach ISO 27001. Wenn ein Unternehmen bereits ISO 27001-Konformität erlangt hat, ist es leichter, die Maßnahmen für Cybersicherheit anzuwenden.

Folgende technische Maßnahmen schlägt die ISO 27032 zur Erlangung von Cybersicherheit vor:

1. Sicher programmierter Code

Das Ziel des sogenannten „Secure Coding“ liegt darin sicherzustellen, dass alle Daten, die über ein Netzwerk empfangen und gesendet werden, verschlüsselt sind und nur vom angedachten Empfänger entschlüsselt werden können. Secure Coding stellt demnach sicher, dass vertrauliche Daten nicht von Dritten abgefangen oder gestohlen werden können.

2. Netzwerküberwachung und NDR-Sicherheit

Monitoring der Netzwerke stellt sicher, dass Netzwerkdienste stabil und zuverlässig funktionieren. Daneben schützt es die Netze vor Schadaktivitäten, wie Denial-of-Service-Attacken (DDoS) oder die Ausnutzung von Schwachstellen im Softwarecode. Network Detection & Response (NDR) sorgt für die Abwehr und Minimierung von Schäden, die von solchen Attacken verursacht werden, und stellt im Angriffsfall die Funktionsfähigkeit der Netze sehr schnell wieder her.

3. Kontrollen auf Serverebene

Hierbei geht es darum, sicheren Zugriff aus dem Cyberspace auf die eigenen Server zu gewähren und sie vor unautorisiertem Zugriff zu schützen. Dies lässt sich erreichen, indem auf jedem Server Mechanismen zur starken Authentifizierung implementiert werden, indem der gesamte Datenverkehr zwischen den Servern verschlüsselt wird oder indem für alle Anwendungen im Softwareentwicklungslebenszyklus ein Managementsystem für sichere Konfigurationen eingerichtet wird.

4. Kontrollen auf Anwendungsebene

Maßnahmen, die auf dieser Ebene zur Anwendung kommen: starke Authentifizierung bei jeder Applikation, Verschlüsselung aller Daten mit starkem Schlüsselmanagement sowie Pflicht zur klaren Dokumentation, wie Daten bearbeitet und gespeichert werden.

5. Kontrollen an den Arbeitsplätzen der Nutzer

Diese Maßnahmen schützen die End-User-Infrastruktur im gesamten Unternehmen vor bekannten Schwachstellen und Attacken. Sie lassen sich mit einem Mix aus Aufklärung, Schulungen und Awareness-Programmen bei der Belegschaft implementieren.

Was sind die Vorteile von Cybersecurity Management?

Die ISO 27032 behandelt ebenfalls die Verwaltung von Cybersicherheitsprotokollen. Sollten Sie noch keine Strategie zum Managen Ihrer Cybersicherheit haben, empfehlen wir Ihnen, die folgenden wichtigen Punkte in Ihren Überlegungen zu berücksichtigen.

Cybersecurity Management kann Sie wie folgt unterstützen:

  • Es schützt die Daten und Datensicherheit Ihres Unternehmens vor Cybergefahren– ISO 27032 ist eine effektive Cybersicherheitsstrategie, die unternehmenseigene Informationen und Daten vor Hackern und anderen Cyberkriminellen schützt. Daneben bietet sie Antworten darauf, wie am besten mit weit verbreiteten Cybergefahren umzugehen ist, denen die Geräte einzelner Anwender, die Netzwerke oder die kritische Infrastruktur ausgesetzt sind.
  • Es stärkt die Fachkenntnisse innerhalb Ihrer Organisation und die dauerhafte Umsetzung/Aufrechterhaltung Ihres Cybersicherheitsprogramms– Die ISO 27032 deckt die vollständige Palette an Maßnahmen ab: von Risikoanalyse über Informationssicherheitsmanagement bis hin zu Vorfallsmanagement und Business Continuity-Planung. Sie bietet außerdem eine Richtschnur, wie Sie im Unternehmen eine Cybersicherheitskultur etablieren und Schulungsprogramme entwickeln, die Ihren Mitarbeitenden helfen, ihre geschäftlichen Ziele zu erreichen.
  • Es stärkt das Vertrauen aller Beteiligten in Ihre Sicherheitsmaßnahmen– Alle Parteien, mit denen Sie als Unternehmen zu tun haben, sind sich der Gefahren durch Cyberangriffe zunehmend bewusst. Sie möchten daher sicherstellen, dass ihre personenbezogenen Daten sicher geschützt und im Cyberspace keinem Risiko ausgesetzt sind. Unternehmen, die Maßnahmen zur Erhöhung ihrer Cybersicherheit ergreifen, erhöhen daher das Vertrauen ihrer Konsumenten.
  • Es sorgt für schnellere Reaktion und Wiederaufnahme des Geschäftsbetriebs im Angriffsfall– Vorhandene Cybersicherheitsprozesse sorgen bei einer Cyberattacke dafür, dass Sie schnell reagieren und entstandene Schäden schnell beheben können. Dies verhindert gegebenenfalls Rechtsklagen oder hohe Strafen, die mit dem Verlust von Daten einhergehen können.

Wie können Sie Cybersicherheit dauerhaft aufrecht erhalten?

Nach dem Einrichten von Maßnahmen zur Gewährleistung von Cybersicherheit und der Aufsetzung einer starken Managementstrategie nach ISO 27035 ist es ebenso wichtig dafür zu sorgen, dass die Prozesse dauerhaft korrekt aufrecht erhalten und gepflegt werden.

Über regelmäßiges Training Ihrer Mitarbeitenden können Sie erreichen, dass sie wachsam bleiben und genau wissen, wie sie sich in einem Angriffsfall oder bei einem sonstigen Cybersicherheitsvorfall zu verhalten haben. Damit sparen Sie im Ernstfall wertvolle Zeit und können den Vorfall so lange eindämmen, bis er gelöst ist.

Regelmäßige Überarbeitung und Überwachung der implementierten Strategie sorgen für effiziente Umsetzung der einzelnen Kontrollen. Bestehen Lücken in Ihrer Strategie, werden diese im Rahmen der regelmäßigen Überprüfung aufgedeckt und können noch rechtzeitig geschlossen werden.

Fazit

Cybersicherheit ist bereits in den meisten Unternehmen ein Muss und stellt inzwischen eine wichtige Komponente der Compliance-Verfahren für Datensicherheit dar. Für Unternehmen, die erst noch Prozesse zur Cyberabsicherung ihrer Systeme einrichten müssen, stellt die ISO 27032 die ideale Lösung dar. Denn sie hilft nicht nur, Lücken innerhalb der Organisation zu erkennen, sondern schlägt auch die nötigen Mittel vor, um diese zu schließen.

Image CTA Expert Male 2 Image CTA Expert Male 2 MOBILE

Wir unterstützen Sie bei der Implementierung 

Wenn Sie Hilfe beim Thema Cybersicherheit helfen wir Ihnen gerne weiter

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000