ISO 27001 Maßnahmen: Alle Controls aus Anhang A im Überblick

Die ISO 27001 ist die internationale Norm für den Aufbau, die Implementierung und Instandhaltung eines Informationssicherheits-Managementsystems. Dabei werden die Anforderungen an das ISMS durch die sogenannten ISO 27001 Controls definiert.

Bei den ISO 27001 Controls, im Folgenden auch als ISO 27001 Maßnahmen bezeichnet, handelt es sich um Verfahren, mit denen die Risiken für die Informationssicherheit im Rahmen der Norm erheblich verringert werden. Dabei werden alle Risiken berücksichtigt - technologische, organisatorische, physische und menschliche.

Die Zertifizierung nach ISO 27001 hilft Unternehmen dabei, ihre Informationssicherheitsprozesse zu verbessern, Abläufe zu standardisieren und Vertrauen bei Kunden aufzubauen. Der Anhang A (Annex A) ist dabei die Übersicht über alle relevanten Referenzmaßnahmenziele der Norm: 93 Controls eingeteilt in vier Kategorien.

Je nach Art und Charakter Ihrer Organisation sind unterschiedliche Controls relevant, Beim Aufbau Ihres ISMS müssen Sie daher die jeweiligen Anforderungen beachten. Um den Standard erfolgreich anwenden zu können, müssen Unternehmen und Manager ihre eigenen Risiken erkennen und verstehen, welche Maßnahmen sie ergreifen müssen.

Aus diesem Grund haben wir eine praktische Übersicht aller 4 Kategorien und ihren 93 Controls aus Anhang A der ISO 27001 zusammengestellt. Erfahren Sie alles zum Schutz Ihrer Informationen.

Was ist ISO 27001 und warum sollten Unternehmen sie einführen?

ISO 27001 ist ein universelles Framework für Informationssicherheit. Die Zertifizierung gilt als internationaler Standard für Informationssicherheit und dient als Leitfaden für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystem (ISMS).

2022 fand die dritte Überarbeitung der Norm statt - ISO 27001:2022 ist die aktuelle Version der Anforderungen.

Die Maßnahmen (Controls) der ISO 27001 sind auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen von Unternehmen ausgerichtet. Gleichzeitig definieren diese drei Eigenschaften die Schutzziele der Informationssicherheit, durch deren Erfüllung ein unbefugter Zugriff sowieVerstöße und Geldbußen im Zusammenhang mit Daten eingedemmt werden können.

Darüber hinaus gewährleistet die Zertifizierung nach ISO 27001 nicht nur eine robuste Informationssicherheit, sondern entspricht auch einem Großteil (ca. 70 %) der Anforderungen der neuen NIS2-Richtlinie, die ein höheres Cybersicherheitsniveau innerhalb der EU bieten soll. Dadurch erlangt die ISO 27001 zusätzliche Bedeutung und Relevanz unter den Sicherherheitsstandards.

Was ist der ISO 27001 Annex A?

Der Anhang A der ISO 27001 (ISO 27001 Annex A) ist der wohl bekannteste Anhang aller ISO-Normen. Er ist ein essenzielles Instrument für das Management von Informationssicherheitsrisiken und enthält eine Liste mit Sicherheits- oder Schutzmaßnahmen, die zur Stärkung der Sicherheit von Informationswerten zum Einsatz kommen.

Die ISO 27001 Maßnahmen werden im Anhang A der ISO 27001 beschrieben und definieren Standardmaßnahmen, die Organisationen zum Schutzihrer Informationen einsetzen können.

Vorstellen kann man sich den Annex A vereinfacht als ein Portfolio von Maßnahmen zur Informationssicherheit, aus dem eine bedarfsgerechte Auswahl zu treffen ist. Diese Auswahl richtet sich nach dem von Ihnen definierten Anwendungsbereiches Ihres ISMS. Sie können dabei aus den 93 in Anhang A spezifizierten Maßnahmen diejenigen herausgreifen und auswählen, die für das Anwendungsszenario in Ihrer Organisation relevant sind.

ISO 27001 vs. ISO 27002: Was ist der Unterschied?

Die ISO 27001 ist ein Framework, der Unternehmen ein grundlegendes Verständnis der Controls und Klauseln in Anhang A vermittelt. Der Anhang beschreibt die Controls nicht in der Tiefe, aber vermittelt Ihnen eine Vorstellung davon, welche Ziele Sie zum Erhalt Ihrer Informationssicherheit erreichen müssen.

Zu jeder Maßnahme gibt es eine einzeilige Erklärung zu ihrem Ziel. Nun stellt sich jedoch die Frage, wie die Controls umgesetzt werden sollen?

Und hier kommt die ISO 27002 ins Spiel. Sie ist eine weitere Norm der ISO 27000-Normen-Reihe und enthält zusätzlich Ausarbeitungen, die näher auf die jeweiligen Maßnahmen eingehen.

Während ISO 27001 den Anhang A enthält und kurz auf die einzelnen Maßnahmen eingeht, geht ISO 27002 mehr ins Detail. Sie deckt das Ziel jeder Maßnahme ab, erklärt, wie sie funktioniert, und beschreibt, wie Unternehmen die Einhaltung der Vorschriften erfolgreich erreichen können.

Erfahren Sie mehr über die Unterschiede zwischen ISO 27001 und ISO 27002 in diesem Blog-Artikel.

ISO 27001:2022 Anhang A - Controls

Wie wir inzwischen wissen, enhält Anhang A der ISO 27001, eine Liste von Controls, die je nach Unternehmenskontext ausgewählt und entsprechend umgesetzt werden müssen, um eine starke Infrastruktur für die Informationssicherheit zu schaffen.

Das übergeordnete Ziel der ISO 27001-Norm ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Die Umsetzung ermöglicht Organisationen:

• Die Erfüllung der sich ständig ändernden gesetzlichen Anforderungen durch ein einziges Regelwerk.
  
  
• Die Bedeutung von Informationssicherheit gegenüber internen und externen Stakeholdern zu demonstrieren, wodurch Sie zudem einen Wettbewerbsvorteil erlangen.
  
  
• Sicherheitsvorfälle zu eindemmen und Bußgelder zu vermeiden.
  
  
• Prozesse und Aufgaben zu definieren und die Organisationsstruktur zu verbessern. Aber was sind die Controls und wie setzt man sie effektiv ein?

ISO 27001:2022: Elf neue Controls

Die Controls aus der ISO 27001 Annex A (Anhang A) sind die Maßnahmen, Unternehmen an die Hand gegeben wird, um Risiken erheblich zu verringern. Welche Maßnahmen eine Organisation wählt, wird auf Basis einer Risikoanalyse ermittelt.

Seit 2022 wurden der ISO 27001 elf neue Controls hinzugefügt, die unterschiedlichen Kategorien zugeordnet werden:

A.5.7 Threat intelligence

Unternehmen sind dazu verpflichtet, Daten über potenzielle Gefahren für die Informationssicherheit zu erfassen und einer eingehenden Analyse zu unterziehen.

A.5.23 Information security for the use of cloud services

Unternehmen sind dazu angehalten, die Informationssicherheit für die Nutzung von Cloud-Diensten festzulegen und zu verwalten.

A.5.30 ICT readiness for business continuity

Unternehmen müssen einen ICT (Information and Communications Technology) -Kontinuitätsplan erstellen, um die betriebliche Widerstandsfähigkeit aufrechtzuerhalten.

A.7.4 Physical security monitoring

Es ist erforderlich, dass Unternehmen geeignete Überwachungsinstrumente einsetzen, um externe und interne Unbefugte zu erkennen und ihnen die Hände zu binden.

A.8.9 Configuration management

Unternehmen müssen Richtlinien für die Dokumentation, Implementierung, Überwachung und Überprüfung von Konfigurationen in ihrem gesamten Netzwerk festlegen.

A.8.10 Information deletion

Das Dokument enthält Anleitungen zur Verwaltung der Datenlöschung zur Einhaltung von Gesetzen und Vorschriften.

A.8.11 Data masking

Es werden Techniken zur Datenmaskierung für personenbezogene Daten (personal identifiable information, PII) zur Einhaltung von Gesetzen und Vorschriften bereitgestellt.

A.8.12 Data leakage prevention

Unternehmen sind verpflichtet, technische Maßnahmen zu ergreifen, um die Offenlegung und/oder Extraktion von Informationen zu erkennen und zu verhindern.

A.8.16 Monitoring activities

Es werden Richtlinien zur Verbesserung der Netzwerküberwachungsaktivitäten bereitgestellt, um anomales Verhalten zu erkennen und auf Sicherheitsereignisse und -vorfälle zu reagieren.

A.8.23 Web filtering

Unternehmen müssen Zugangskontrollen und Maßnahmen zur Beschränkung und Kontrolle des Zugangs zu externen Websites durchsetzen.

A.8.28 Secure coding

Die Unternehmen sind dazu verpflichtet, bewährte Grundsätze des secure coding zu implementieren, um Schwachstellen zu verhindern, die durch unzureichende Kodierungsmethoden verursacht werden könnten.

ISO 27001: Vier Control Gruppen

Der Einfachheit halber sind die Controls in Anhang A in verschiedene Gruppen eingeteilt. Dadurch wird der Kontext der Controls und der Bereich der anwendbaren Risiken unterteilt. Aber was sind die relevanten Kategorien und wo finden sie Anwendung?

Es gibt 93 Controls nach ISO 27001 Anhang A, die mehrere Bereiche einer Organisation abdecken - diese Maßnahmen sind in vier verschiedene Kategorien (Sets) unterteilt.

Das erleichtert es, die jeweiligen Controls selektiv auf Ihre Organisation anzuwenden.

Jede Kategorie kann einem bestimmten Schwerpunktbereich innerhalb Ihrer Organisation zugeordnet werden. Entgegen der landläufigen Meinung sind sie nicht alle IT-bezogen.

Die Einteilung der Controls in vier Kategorien hilft Organisationen zu entscheiden, wer für die Umsetzung der Maßnahmen verantwortlich ist und welche Maßnahmen für die jeweilige Organisation gelten.

So können beispielsweise technologische Controls von der IT-Abteilung durchgeführt werden, während organisatorische Controls von Ihrem Operations-Team durchgeführt werden können.

Um einen besseren Überblick zu erhalten, finden Sie hier eine Liste der vier verschiedenen Kategorien von Kontrollen:

• Organisational Controls (37 Maßnahmen)
  
  
• People Controls (8 Maßnahmen)
  
  
• Physical Controls (14 Maßnahmen)
  
  
• Technological Controls (34 Maßnahmen)

Organisational Controls: Maßnahmen zur organisatorischen Sicherheit

Organisatorische Controls umfassen in der Regel alles, was nicht unter die Themen Menschen, Technik oder physische Sicherheit fällt. Dazu gehören zum Beispiel das Identitätsmanagement, die Zuständigkeiten und die Sammlung von Beweisen.

Neue organisatorische Maßnahmen umfassen:

• 5.7: Threat Intelligence
  
  
• 5.23: Information security for the use of cloud services
  
  
• 5.30: ICT readiness for business continuity

Insbesondere Threat Intelligence ist eine spannende Innovation in diesem Bereich – diese Maßnahme geht über die Erkennung bösartiger Domänennamen hinaus. Threat Intelligence hilft Organisationen, besser zu verstehen, wie sie angegriffen werden können.

People Controls: Personalbezogene Maßnahmen zum Schutz des Personals

Der Bereich der personellen Controls umfasst nur acht Maßnahmen. Hier geht es darum, wie Mitarbeiter bei ihrer täglichen Arbeit mit sensiblen Informationen umgehen - dazu gehören zum Beispiel die Themen Homeoffice/Remote Work, Geheimhaltungsvereinbarungen und Screenings. Darüber hinaus sind auch Onboarding- und Offboarding-Prozesse sowie Zuständigkeiten für die Meldung von Vorfällen relevant.

Physical Controls: Physische Maßnahmen für den Schutz der Organisation

Zu den physischen Controls gehören die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Diebstahl, Naturkatastrophen und vorsätzliche Zerstörung schützen.

Unter den physischen Controls gibt es eine neue Maßnahme:

• 7.4: Physical security monitoring

Technological Controls: Technologische Maßnahmen für die technische Sicherheit

Technologische Controls umfassen die Bereiche Authentifizierung, Verschlüsselung und Verhinderung von Datenverlusten. Zum Schutz der Daten muss die Technik entsprechend gesichert werden. Verschiedene Ansätze wie Zugriffsrechte, Netzwerksicherheit und Datenmaskierung tragen dazu bei, dies zu erreichen.

Zu den neuen technologischen Controls gehören:

• 8.1: Data masking
  
  
• 8.9: Configuration management
  
  
• 8.10: Information deletion
  
  
• 8.12: Data leakage prevention
  
  
• 8.16: Monitoring activities
  
  
• 8.23: Web filtering
  
  
• 8.28: Secure coding

In diesem Bereich ist eine Innovation besonders wichtig: die Verhinderung von Datenlecks (Data leak prevention). Aber auch die Webfilterung ist erwähnenswert: Dieser Control beschreibt, wie Organisationen den Online-Verkehr filtern sollten, um zu verhindern, dass Nutzer potenziell schädliche Websites besuchen.