Häufige Fallstricke, die bei der ISO 27001-Zertifizierung zu vermeiden sind

Die Umsetzung von ISO 27001 bietet Ihnen als Organisation mehrere Vorteile, darunter die leichtere Einhaltung rechtlicher Anforderungen, eine bessere Datensicherheit und ein größeres Vertrauen der Interessengruppen.

Der Haken: Die erfolgreiche Umsetzung der Norm kann für Organisationen, die dies zum ersten Mal tun, eine große Herausforderung darstellen.

Da die ISO 27001-Norm so konzipiert ist, dass sie an jede Organisation angepasst werden kann, gibt es mehrere Fälle, in denen Unternehmen bei der Umsetzung Fehler machen können.

Auf der Grundlage unserer umfangreichen Erfahrung in der Zusammenarbeit mit verschiedenen Kunden unterschiedlicher Branchen haben wir eine Liste der häufigsten Fallstricke zusammengestellt, denen Unternehmen bei der Umsetzung der Norm begegnen, und geben Tipps, wie Sie diese vermeiden können.

Falsche Definition des Anwendungsbereichs

Es kann schwierig sein, den richtigen Umfang für die Einführung des ISMS in Ihrem Unternehmen zu finden. Organisationen setzen sich oft zu ehrgeizige Ziele für die Umsetzung ihres ISMS, was dazu führt, dass mehrere überflüssige und nicht benötigte Kontrollen und Prozesse eingeführt werden. Dies kann zu Ressourcenverschwendung, erhöhten Kosten für die Informationssicherheit und demotivierten Mitarbeitenden führen, die unerreichbaren Zielen hinterherjagen.

Andererseits kann es vorkommen, dass eine Organisation ihren Geltungsbereich zu eng definiert und die erforderlichen Kontrollen nicht eingeführt werden. Dies kann zur Nichteinhaltung der ISO 27001-Norm führen und den Anschein erwecken, dass Ihre Organisation ihr ISMS während des Zertifizierungsaudits nicht im Griff hat.

Geringes Engagement der Führungsebene

Engagement In vielen Organisationen wird die Umsetzung der ISO 27001 als eine IT-Übung betrachtet, für die die IT-Abteilung des Unternehmens zuständig ist.

In Wirklichkeit handelt es sich um eine Managementnorm für die Informationssicherheit. Die oberste Führungsebene einer Organisation sieht möglicherweise nicht den Wert, den die Umsetzung von ISO 27001 für das Unternehmen hat, und zögert, sich voll und ganz für die Umsetzung einzusetzen.

Zu wenige Ressourcen

Oft wird die Umsetzung der ISO 27001 von einer bestimmten Person oder einem Team innerhalb der Organisation übernommen. Diese Art von Ansatz kann zu Informationssicherheitssilos führen, in denen nur sehr wenige Personen die Kontrollen und Verfahren rund um das ISMS und andere Aspekte der Norm kennen. Der Verlust dieser Personen könnte den Zusammenbruch des gesamten ISMS zur Folge haben.

Erfahren Sie in unserem kostenlosen Leitfaden über die häufigsten Fallstricke bei der ISO 27001-Zertifizierung, welche zwei weiteren Fallstricke für alle Unternehmen typisch sind und wie Sie diese Fallstricke vermeiden können.

Wie lange dauert es, sich nach ISO 27001 zertifizieren zu lassen?

In der Regel kann der Prozess je nach Größe und Komplexität des Unternehmens 6 bis 12 Monate dauern. Durch den Einsatz geeigneter Lösungen wie der DataGuard-Plattform kann der Prozess auf bis zu 3 Monate verkürzt werden (ebenfalls abhängig von den Eigenschaften des Unternehmens).

Diese Phase wird als „Ramp-Up-Phase“ bezeichnet, in der der Hauptteil der Arbeit geleistet wird. Sie führen eine Gap-Analyse durch, die darauf abzielt, bis zu 50 % der wichtigsten Risiken Ihres Unternehmens in bis zu 8 Wochen zu schließen.

Um den Prozess zu durchlaufen, müssen Sie Folgendes tun:

• Festlegung des Anwendungsbereichs
• Aufbau eines Informationssicherheits-Managementsystems
• Identifizierung und Management von Risiken
• Aufbau eines Schutzes Ihrer Informationswerte
• Bestehen Sie Ihr ISO 27001-Audit
• Aufrechterhaltung Ihres ISMS, Erhalt Ihres Zertifikats

Und wenn Sie eine Skalierung anstreben, sollten Sie lieber früher als später damit beginnen. Es ist einfacher, Ihr ISMS parallel zum Wachstum Ihres Unternehmens zu skalieren.

Wie läuft die ISO 27001-Zertifizierung ab?

Die Zertifizierung nach ISO 27001 bietet Unternehmen zahlreiche Vorteile, stellt sie aber auch vor große Herausforderung. Beispielsweise ist die Implementierung eines ISMS kein einfacher Prozess.

Das Resultat ist den Aufwand jedoch allemal wert, da ein ISMS effektiv zur Risikominderung in der Informationssicherheit, zum Beispiel bei Cyber- oder Hackerangriffen, beiträgt.

Grundsätzlich läuft jeder Zertifizierungsprozess folgendermaßen ab:

1. Vorbereitung: Das Unternehmen muss ein Informationssicherheits-Managementsystem einrichten, das den Anforderungen der ISO 27001 entspricht. Dazu gehört die Erstellung einer Informationssicherheitspolitik, die Festlegung von Zielen und Maßnahmen sowie die Implementierung dieser Maßnahmen in den IT- und Geschäftsprozessen.
   
   
2. Voraudit/internes Audit: Ein von Ihnen ausgewählter Auditor (Informationssicherheitsbeauftragter, Beratungsagentur, oder externer CISO) führt ein internes Voraudit durch, um die Umsetzung des ISMS zu bewerten. Dabei werden die Dokumentation des ISMS, die Umsetzung der Maßnahmen und die Wirksamkeit des ISMS überprüft.
   
   
3. Zertifizierungsaudit: Ein unabhängiger Auditor führt ein Zertifizierungsaudit durch, um die Einhaltung der Anforderungen der ISO 27001 zu bestätigen. Dabei werden alle Bereiche des ISMS, einschließlich der technischen und organisatorischen Maßnahmen, überprüft.
   
   
4. Zertifikatserteilung: Wenn das Zertifizierungsaudit erfolgreich ist, wird dem Unternehmen ein Zertifikat für das ISMS nach ISO 27001 ausgestellt.

Doch nun beginnt die eigentliche Arbeit, da die ISO 27001-Zertifizierung alle 3 Jahre erneuert werden muss. Daher empfiehlt es sich, die Zertifizierung stets aufrechtzuerhalten, um die Vermögenswerte Ihres Unternehmens dauerhaft zu schützen und die Sicherheit Ihrer Informationen fortlaufend zu gewährleisten.

Darüber hinaus müssen die Unternehmen das jährliche Überwachungsaudit bestehen, um die Einhaltung der Vorschriften zu überprüfen und zu verhindern, dass die Zertifizierung vor Ablauf des Dreijahreszyklus erlischt.

“Wenn eine Organisation, die vom externen Prüfer durchgeführte Überwachungsprüfung nicht besteht, kann ihre ISO 27001-Zertifizierung möglicherweise auslaufen, bevor die volle Dreijahresfrist abgelaufen ist. Die Überwachungsaudits werden in der Regel jährlich durchgeführt, um die laufende Einhaltung der ISO 27001-Norm zu gewährleisten. Wird die Konformität nicht aufrechterhalten, wird die Zertifizierung möglicherweise nicht für den gesamten 3-Jahres-Zeitraum erneuert.”
Larissa Bruns, Associate Consultant Tech Practice Professional Services

Was sind die Vorteile einer ISO 27001-Zertifizierung?

Die Vorteile der Einführung von ISO 27001 sind zahlreich - sowohl für Ihr Unternehmen als auch für externe Parteien und Interessengruppen.

Hier finden Sie einen Überblick über die wichtigsten:

• Risikomanagement: Die Aufrechterhaltung der ISO 27001-Zertifizierung impliziert effektives Risikomanagement. Dadurch stellen Sie sich, dass Risiken rechtzeitig identifiziert, bewertt und behandelt werden.
• Eindämmung finanzieller Verluste: Ihr Unternehmen oder Ihre Organisation kann erhebliche finanzielle Verluste, z.B. verursacht durch Ransomware-Angriffe, effektiver verhindern.
• Gewinn neuer Aufträge: Mit einem zertifizierten ISMS können Sie sich von der Konkurrenz abheben und das Vertrauen potenzieller Kunden gewinnen.
• Vertrauenssteigerung: Möglicherweise können Sie Ihre Investitionen leichter sichern; die Investoren werden sich der Bedrohung durch Ransomware-Angriffe immer mehr bewusst. Durch eine Zertifizierung können Sie nicht nur das Vertrauen von Investoren, sondern auch das Ihrer gewinnen, denn insbesondere technikaffine Kunden wollen wissen, wie Sie sicher mit Daten umgehen.
• USP: Das Versprechen, die Daten Ihrer Kunden zu schützen, kann zum Alleinstellungsmerkmal Ihrer Marke werden.
• Etablierung von Prozessen: Die Einrichtung von Prozessen und Verfahren für den Umgang mit Daten kann auch eine Steigerung der betrieblichen Effizienz bedeuten. Denn jetzt haben Sie einen Standardprozess anstelle unterschiedlicher Methoden.
• Verbesserter Ruf der Marke: Die Kunden wollen wissen, wie Sie mit ihren Informationen umgehen, und die Zertifizierung nach ISO 27001 ist das ultimative Versprechen, dass Sie die Informationssicherheit ernst nehmen.

Ist es ausreichend die ISO 27001 einzuhalten?

Wenn Sie ein Managementsystem für die Informationssicherheit einrichten möchten, ist ISO 27001 die ultimative Grundlage, die die Anforderungen der meisten Unternehmen an die Einhaltung von Vorschriften und die Informationssicherheit erfüllt.

Was Ihre Kunden und Lieferanten verlangen, hängt davon ab, wo Ihr Unternehmen tätig ist. ISO 27001 ist ein international anerkannter Standard, der als Goldstandard bekannt ist, unabhängig vom geografischen Standort oder der Branche. Sie sollte für jeden Anwendungsfall ausreichen, aber wenn Sie sich unsicher sind, ist eine erste Beratung durch einen Experten für Informationssicherheit sinnvoll.

Zertifizierung nach ISO 27001 erhalten

Akkreditierte vs. nicht-akkreditierte Zertifizierung

Wie wir bisher erfahren haben, ist die Zertifizierung nach ISO 27001 für Unternehmen nicht zwingend erforderlich. Es wird jedoch empfohlen, die Norm zumindest einzuhalten. Aber was ist der Unterschied zwischen einer ISO 27001-Zertifizierung und ISO 27001 Konformität? Im Allgemeinen müssen Sie die drei Arten der Kommunikation über die Umsetzung von ISO 27001 verstehen:

• ISO 27001-konform
• ISO 27001 zertifiziert
• Zertifizierung nach ISO 27001 durch eine amtlich zugelassene (akkreditierte) Zertifizierungsstelle

Der Unterschied besteht darin, dass eine unabhängige dritte Zertifizierungsstelle eine akkreditierte Zertifizierung validiert. Eine nicht akkreditierte Zertifizierung bedeutet, dass Sie die ISO-Normen umgesetzt haben, sich aber weder einem externen Audit unterzogen haben noch ein Zertifikat einer externen Zertifizierungsstelle erhalten haben.

In Deutschland gibt es eine ganze Reihe unabhängiger und akkreditierter Zertifizierungsstellen. Diese werden von der deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditiert. m Bereich ISO 27001 sind derzeit folgende Zertifizierungsstellen in Deutschland akkreditiert:

• DQS BIT GmbH
• PwC Certification Services GmbH
• TÜV Rheinland
• TÜV Nord
• TÜV SÜD
• BSI Group
• DEKRA
• VDE
• IHK

Oft verlangen bestimmte vertragliche Vereinbarungen eine offizielle akkreditierte Zertifizierung. Abgesehen davon ist es sehr empfehlenswert, eine akkreditierte Zertifizierung zu erlangen - Sie können sie in Ihrer Kommunikation mit Kunden verwenden und eine externe Bewertung Ihrer Informationssicherheit vornehmen lassen, um sicherzustellen, dass Ihr ISMS in Ordnung ist.

Wir empfehlen Ihnen, sich ausschließlich von akkreditierten Stellen zertifizieren zu lassen. Geschäftspartner erkennen Zertifizierungen oft nicht an, wenn sie nicht von einer internationalen Akkreditierungsstelle bestätigt wurden.

Tatsächlich beziehen sich die meisten Verträge, die eine ISO 27001-Zertifizierung vorschreiben, implizit auf die Zertifizierung durch eine akkreditierte Stelle. Einen vollständigen Artikel über die akkreditierte vs. nicht akkreditierte ISO 27001-Zertifizierung können Sie hier lesen.

Durchführen einer Risikobewertung

Die Durchführung einer Risikobewertung ist nicht so einfach, wie man vielleicht denkt. Zunächst einmal gibt es viele verschiedene Ansätze für Risikobewertungen. Es ist zwar nicht unbedingt üblich, aber die effektivste Methode, um Risiken zu erfassen, ist die szenariobasierte. Das bedeutet, dass frühere Ereignisse berücksichtigt und riskante Szenarien analysiert werden, die ein Problem verursachen könnten.

Die Risikobewertung umfasst folgende Punkte:

1. Identifizieren und bewerten Sie potenzielle Risiken
2. Risiken behandeln - hier entscheiden Sie, wie Sie mit den Risiken umgehen wollen. Z.B. Akzeptieren, Vermeiden, Übertragen, Abschwächen.
3. Überprüfen Sie die Restrisiken.

Eine Plattform wie DataGuard kann Ihnen dabei helfen, die Risikobewertung auf effiziente Weise mit einem getesteten und bewährten Verfahren durchzuführen. Lesen Sie den vollständigen Artikel über die Durchführung der ISO 27001-Risikobewertung in 7 Schritten hier.

Umsetzung von Kontrollen und eines Risikobehandlungsplans zur Bewältigung von Risiken

Ein wesentlicher Bestandteil Ihres Informationssicherheitsprogramms ist der Risikobehandlungsplan. Dieser Plan ist allumfassend und dient der Durchführung von Maßnahmen, um die Möglichkeit oder die Folgen von Risiken entweder zu akzeptieren, zu vermeiden, zu übertragen oder abzuschwächen.

Von größter Bedeutung im Rahmen eines Risikobehandlungsplans ist der Aspekt der Umsetzung. Seine Bedeutung liegt in der Gewährleistung der tatsächlichen Durchführung der Risikobehandlungsverfahren.

Lesen Sie weiter mehr zum Risikomanagement nach ISO 27001.

Vervollständigen Sie Ihre ISMS-Dokumentation

Die Dokumentation des Informationssicherheits-Managementsystems ist die Grundlage Ihres ISMS und der wichtigste Bestandteil für die Erlangung und Aufrechterhaltung Ihrer Zertifizierung. Wenn es nicht dokumentiert ist, ist es nicht relevant.

Bei der Dokumentation gibt es viele Dinge zu beachten. Um Ihnen einen vollständigen Überblick über die für die ISO 27001-Zertifizierung erforderliche Dokumentation sowie Informationen zur Erstellung dieser Dokumentation zu geben, haben wir eine detaillierte Liste für die Dokumentation erstellt, aus der Sie auch die Verantwortlichkeit und den Aufwand entnehmen können:

Definition des Anwendungsbereichs des ISMS (Informationssicherheits-Managementsystem)

Der Geltungsbereich des ISMS wird im so genannten "Scope Document" festgelegt. Darin wird definiert, für welche Bereiche Ihres Unternehmens das ISMS gilt.

Ihr ISMS muss nicht zwangsläufig im gesamten Unternehmen ausgerollt werden, sondern nur in den relevanten Abteilungen und Bereichen. Bei kleineren Unternehmen wird es jedoch in der Regel alle Abteilungen abdecken.

Koordination und Dokumentation der Leitlinie zur Informationssicherheit

Die Ziele, die Ihr Unternehmen mit Ihrem ISMS erreichen will, sollten in der Leitlinie zur Informationssicherheit klar definiert werden. Aus diesem Dokument sollte auch hervorgehen, warum die Informationssicherheit in Ihrem Unternehmen oberste Priorität hat und dass die Geschäftsleitung für die Leitlinie verantwortlich ist. Dies muss nicht von der Geschäftsleitung selbst formuliert werden, sondern muss immer von den notwendigen Interessengruppen genehmigt werden. In der ISO-Norm sind bereits die folgenden Ziele für die Informationssicherheit festgelegt:

This does not have to be formulated by management themselves but must always be approved the necessary stakeholders. The ISO standard already specifies the following information security objectives:

• Vertraulichkeit der Daten
• Verfügbarkeit von Daten
• Integrität der Daten

Definition der Methoden zur Risikobewertung und zum Risikomanagement

Sie müssen die Risiken Ihres Unternehmens ermitteln, sie einzeln bewerten und eine geeignete Methodik für das Risikomanagement festlegen. Die Bewertung sollte immer vom jeweiligen Risikoverantwortlichen durchgeführt und letztlich von der Geschäftsleitung genehmigt werden.

Darüber hinaus sollte dieser Bereich innerhalb des Unternehmens koordiniert werden, idealerweise mit Ihrer ISO-, CISO- oder Risikomanagementabteilung. Da dieser Prozess regelmäßig wiederholt werden muss, kann er vor allem für kleine und mittlere Unternehmen, die über keine internen Sicherheits- und Risikoexperten verfügen, einen hohen Aufwand bedeuten. Wiederholungen finden statt, wenn neue Vermögenswerte im Unternehmen vorhanden sind, die eine Risikobewertung erfordern.

Vorbereitung einer Erklärung zur Anwendbarkeit

Im Rahmen dieses Schrittes sollte sich Ihr interner Informationssicherheitsbeauftragter oder CISO mit den jeweiligen Fachabteilungen abstimmen, welche der 93 in Anhang A der ISO 27001:2022 genannten Controls durchgeführt werden müssen bzw. für das Unternehmen relevant sind.

Die ISO 27001 hat verschiedene Bereiche wie Kryptographie, Personalsicherheit oder Betriebssicherheit festgelegt. Unternehmen können einige dieser Bereiche mit einer entsprechenden Begründung ausschließen. Wenn ein Unternehmen zum Beispiel keine Ladezone hat, ist es einfach nicht notwendig, Regeln für Ladezonen aufzustellen.

Laden Sie unser kostenloses E-Book herunter, um sich über alle 22 Dokumentationsanforderungen zu informieren.

Wenn Sie sich für die Zusammenarbeit mit Experten wie DataGuard oder einem externen Berater entscheiden, können Sie Dokumentationsvorlagen erhalten, die Ihre manuelle Arbeit im Vergleich zur Erstellung von Grund auf erheblich reduzieren.

Weitere Informationen zur ISMS-Dokumentation gibts in diesem Video: 

Durchführung von internen Audits: Wie man dabei vorgeht

Interne Audits sind entscheidend für den langfristigen Erfolg bei der Erlangung und Aufrechterhaltung Ihrer ISO 27001-Zertifizierung. Sie sollten regelmäßig von Mitarbeitern des Unternehmens durchgeführt werden, im Gegensatz zu externen Auditoren, die in Ihr Unternehmen kommen, um Ihr ISMS zu bewerten.

Allerdings sind Unabhängigkeit und Qualifikation ein Muss für die Tätigkeit eines internen Auditors. Eine weitere Möglichkeit ist die Durchführung interner Audits mit externen Beratern, wie den Experten von DataGuard, die ebenfalls regelmäßige Audits anbieten. Interne Audits sind die beste Möglichkeit, Lücken in Ihrer Dokumentation zu finden und diese zu verbessern.

Wenn Sie sich zum ersten Mal zertifizieren lassen, stellt das interne Audit sicher, dass Sie alles haben, was Sie brauchen, um Ihre Zertifizierung auf Anhieb zu bestehen.

Eine Checkliste für interne Audits hilft Ihnen, den Überblick über die notwendigen Schritte in diesem Prozess zu behalten. Hier finden Sie einen Überblick über die Schritte eines internen Audits:

1. Überprüfung der Dokumentation
• Die gesamte Dokumentation des Verwaltungs- und Kontrollsystems sollte überprüft werden, um sicherzustellen, dass sie vollständig, korrekt und aktuell ist.
• Ein Team sollte mit dieser Aufgabe betraut werden.
• Das Team sollte klare Anweisungen erhalten, die es bei der Durchführung der Überprüfung zu befolgen hat.
• Die Dokumentation sollte auf Vollständigkeit, Genauigkeit, Konsistenz und Eignung für den vorgesehenen Zweck geprüft werden.
• Der Prüfer kontrolliert dann, ob Sie die erforderlichen Unterlagen haben und ob sie den Normen entsprechen.
2. Management Review
• Das Management-Review-Team sollte die Unterlagen noch einmal durchgehen, um sicherzustellen, dass alle relevanten Informationen aufgezeichnet wurden und dass keine Informationen in den Unterlagen fehlen oder ausgelassen wurden.
• Schließlich muss die Leitung den Bericht durchsehen und die Prüfungsergebnisse berücksichtigen. Stellen Sie sicher, dass alle notwendigen Änderungen und Korrekturmaßnahmen umgesetzt werden.

Hier finden Sie eine vollständige Übersicht über die Durchführung eines internen Audits.

Wie lange dauert es, sich auf ein externes ISO 27001-Audit vorzubereiten?

Je nach Größe Ihres Unternehmens oder Ihrer Organisation können Sie in bis zu 8 Wochen prüfungsreif sein. Wenn Sie sich für den manuellen Weg entscheiden und Ihre Dokumentation von Grund auf neu erstellen, kann dies mindestens 4 Monate dauern.

Es gibt einige Hauptanforderungen, die Sie erfüllen müssen, um Ihre ISO 27001 zu erhalten. Um Ihnen dabei zu helfen, haben wir eine Reihe von Checklisten zusammengestellt, die Ihnen einen Überblick über alles geben, was Sie für Ihre Zertifizierung benötigen. Hier finden Sie eine Übersicht der groben Vorbereitungsdauer, abhängig von der Unternehmensgröße:

• 1 bis 20 Mitarbeiter - bis zu 3 Monate
• 20 bis 50 Mitarbeiter - 3 bis 5 Monate
• 50 bis 200 Mitarbeiter - 5 bis 8 Monate
• Mehr als 200 Mitarbeiter - 8 bis 20 Monate

Weiterhin ist es wichtig, verschiedene andere Variablen zu berücksichtigen, die sich auf die Zeit auswirken können, die Sie für den Erhalt der Zertifizierung benötigen:

• Die Anzahl der Personen, die am ISMS-Implementierungsprojekt beteiligt sind (im Verhältnis zur Größe des Unternehmens)
• Der Zeitaufwand, den der Einzelne bereit ist, für das Projekt aufzuwenden
• Engagement / Befürwortung / Unterstützung durch die Führung
• Die Größe des Unternehmens und die Komplexität
• Verfügbarkeit eines externen Auditors für die Durchführung des externen Audits

Bei der Implementierung Ihres ISMS kann es zu unvorhergesehenen Herausforderungen kommen, die auch die Zertifizierung verzögern können.

In unserer kostenlosen Roadmap für die Zertifizierung erfahren Sie alles, was Sie über den Weg zur Zertifizierung wissen müssen.

Laden Sie Ihren kostenlosen Leitfaden herunter.

“Unser Zeitplan betrug weniger als 6 Monate, und ohne DataGuard wäre das unmöglich gewesen.”