ESecurity Cert

Organisatorische und technische Herausforderungen der neuen ISO/IEC 27002:2022

Im Fe­bruar 2022 wurde die neue ISO/IEC 27002:2022 veröff­ent­licht, wel­che die ISO/IEC 27002:2013-10 er­setzt. Bei der neuen Aus­gabe der ISO 27002 han­delt es sich dies­mal um eine kom­plette Über­ar­bei­tung der be­ste­hen­den Fas­sung, was sich be­reits durch den Ti­tel wi­der­spie­gelt. War bis­her von „In­for­ma­tion tech­no­logy — Se­cu­rity tech­ni­ques — Code of prac­tice for in­for­ma­tion se­cu­rity con­trols“ die Rede, so ist die Be­zeich­nung der neuen ISO/IEC 27002:2022: „In­for­ma­tion se­cu­rity, cy­ber­se­cu­rity and pri­vacy pro­tec­tion — In­for­ma­tion se­cu­rity con­trols“. Es wird deut­lich, wie die ak­tua­li­sier­ten Maßnah­men, die An­for­de­run­gen an die IT-Si­cher­heit in den nächs­ten Jah­ren wie­der mehr in den Fo­kus rücken.

Was ist die ISO/IEC 27002?

Die in­ter­na­tio­nale Norm ISO/IEC 27002 kon­kre­ti­siert die im An­hang A der ISO/IEC 27001 auf­geführ­ten Maßnah­men, zeigt An­lei­tun­gen zur Um­set­zung der Maßnah­men zur In­for­ma­ti­ons­si­cher­heit auf und enthält wei­terführende Hin­weise. Die ISO/IEC 27002 wird oft auch als Im­ple­men­tie­rungs­leit­fa­den zur Um­set­zung der An­for­de­run­gen der ISO/IEC 27001 be­zeich­net, wo­bei die ISO/IEC 27002 nicht ver­pflich­tend um­zu­set­zen ist. Die Norm ISO/IEC 27002 als sol­che kann im Ge­gen­satz zur ISO/IEC 27001 nicht zer­ti­fi­ziert wer­den kann. Eine neue, glei­chermaßen über­ar­bei­tete ISO/IEC 27001 wird in den nächs­ten Mo­na­ten eben­falls er­war­tet. Ge­genwärtig ist da­von aus­zu­ge­hen, dass sich die Ände­run­gen im We­sent­li­chen auf den An­hang A be­schränken wer­den und nicht auf die Ka­pi­tel 4-10. Dies zeigte auch be­reits die ISO/IEC 9001, die auch zu den Ma­nage­ment­sys­temnor­men gehört und von Ka­pi­tel 4-10 sehr ähn­lich zu de­nen der bis­he­ri­gen ISO/IEC 27001 auf­ge­baut ist. Die ISO 9001:2015 wurde im letz­ten Jahr noch durch das tech­ni­sche Ko­mi­tee ISO/TC 176/SC 2 „Stra­te­gic Plan­ning and Ope­ra­ti­ons Task Group“ (SPOTG) in Ab­stim­mung mit den Mit­glieds­or­ga­ni­sa­tio­nen un­verändert bestätigt. Eine Über­ar­bei­tung er­folgte so­mit nicht.

Neue Struktur der ISO/IEC 27002:2022

Be­stand die bis­her be­kannte ISO/IEC 27002 aus 14 Kon­troll­be­rei­chen mit 35 Maßnah­men­zie­len und 114 Kon­trol­len (Maßnah­men), so be­steht die ISO/IEC 27002:2022 aus 4 The­men­ge­bie­ten mit 93 Maßnah­men / Kon­trol­len. Von den 93 Kon­trol­len sind 11 Kon­trol­len kom­plett neu, eine Kon­trolle wurde ge­stri­chen (11.2.5 Ent­fer­nen von Wer­ten). Die übri­gen Kon­trol­len wur­den zu­sam­men­ge­fasst so­wie ergänzt / kon­kre­ti­siert. Wenn­gleich die num­me­ri­sche An­zahl der Kon­trol­len ge­sun­ken ist, ist ob­jek­tiv be­trach­tet der Um­fang der An­for­de­run­gen durch die neuen Kon­trol­len ge­stie­gen.

Die ISO de­fi­niert „Con­trol" als eine Maßnahme, die ein Ri­siko steu­ern kann. Jede Maßnahme in der neuen ISO/IEC 27002 wurde um zwei zusätz­li­che Ele­mente ergänzt, die hel­fen sol­len, die Maßnah­men selbst bes­ser zu ver­ste­hen, zu klas­si­fi­zie­ren und zu im­ple­men­tie­ren. Bei den In­for­ma­tio­nen han­delt es sich um die At­tri­but­ta­belle so­wie den Zweck der je­wei­li­gen Maßnahme. Der Auf­bau der ein­zel­nen Maßnahme ist:

Control Title

Kurzbezeichnung der Maßnahme

Attribute Table (Neu)

Attributstabelle für die einzelne Maßnahme

Control

Beschreibung der Maßnahme

Purpose (Neu)

Erläuterung, warum die Maßnahme umgesetzt werden sollte

Guidance

Implementierungshilfe, wie die Maßnahme umgesetzt werden kann

Other information

Ergänzender Hinweis oder Verweise auf andere einschlägige Dokumente

An­hand der At­tri­bute können die Maßnah­men grup­piert, ka­te­go­ri­siert und ge­fil­tert wer­den. Zu­dem sol­len sie hel­fen, die Maßnah­men aus einem an­de­ren Blick­win­kel als dem der In­for­ma­ti­ons­si­cher­heit zu be­trach­ten (ent­schei­dend ist hier die je­wei­lige Ziel­gruppe). Ins­ge­samt können so ver­schie­dene An­sich­ten er­stellt wer­den, die es ermögli­chen, The­men aus ei­ner be­stimm­ten Per­spek­tive zu be­trach­ten und ziel­grup­pen­ge­recht dar­zu­stel­len. Je­der Maßnahme wur­den fol­gende At­tri­bute zu­ge­wie­sen:

 

Die Attributwerte am Beispiel des Cyber Security Concepts ist:

  • Iden­ti­fi­zie­ren - Ent­wick­lung ei­nes Verständ­nis­ses der Or­ga­ni­sa­tion für das Ma­nage­ment von Cy­ber­si­cher­heits­ri­si­ken für Sys­teme, Vermögens­werte, Da­ten und Fähig­kei­ten.
  • Schützen - Ent­wick­lung und Um­set­zung von Schutzmaßnah­men für die Be­reit­stel­lung kri­ti­scher In­fra­struk­tur­dienste.
  • Er­ken­nen - Ent­wick­lung und Um­set­zung ge­eig­ne­ter Maßnah­men, um das Auf­tre­ten ei­nes Cy­ber­si­cher­heits­er­eig­nis­ses zu er­ken­nen.
  • Rea­gie­ren - Ent­wick­lung und Um­set­zung ge­eig­ne­ter Maßnah­men, um auf er­kannte Cy­ber­si­cher­heits­vorfälle zu rea­gie­ren.
  • Wie­der­her­stel­lung - Ent­wick­lung und Um­set­zung ge­eig­ne­ter Ak­ti­vitäten zur Auf­recht­er­hal­tung von Plänen für die Wi­der­standsfähig­keit und zur Wie­der­her­stel­lung von Fähig­kei­ten oder Diens­ten, die durch ein Cy­ber­si­cher­heits­er­eig­nis be­einträch­tigt wur­den.

Die neue Struk­tur der ISO/IEC 27002 ändert sich nun da­hin­ge­hend, dass es statt der be­kann­ten 14 Ab­schnitte (An­nex A.5 - A:18) es nur noch vier Ka­te­go­rien gibt. Diese wer­den als The­men­ge­biet (Thema / „Theme“) be­zeich­net:

  • Or­ga­niza­tion Con­trols (Cause 5): 37 Maßnah­men / Kon­trol­len
  • Pople Con­trols (Cause 6): 8 Maßnah­men / Kon­trol­len
  • Phy­sis­cal Con­trols (Cause 7): 14 Maßnah­men / Kon­trol­len
  • Tech­no­lo­gi­cal Con­trols (Cause 8): 34 Maßnah­men / Kon­trol­len

11 neue Kontrollen / Maßnahmen

Wie zu­vor be­reits ge­schil­dert, sind ins­ge­samt 11 neue Kon­trol­len / Maßnah­men hin­zu­ge­kom­men. Auf die ein­zel­nen Kon­trol­len möch­ten mir im Nach­gang je­weils ein­ge­hen, um ins­be­son­dere die An­for­de­run­gen die­ser auf­zu­zei­gen.

 

A.5.7 Threat Itelligence

Information relating to information security threats should be collected and analysed to produce threat intelligence.

  • Bedrohungsanalyse – Threat Intelligence (TI) ist nichts anderes, als die Bedrohungen, die von außen auf die Organisation wirken, zu verstehen und einordnen zu können. D. h. TI soll dabei unterstützen, sich genau vor diesen Bedrohungen wirksam zu schützen, die am meisten Schaden für die Organisation anrichten könnten. Hierfür braucht es Mechanismen zur Identifikation, Erfassung und Analyse von Bedrohungen.
  • Typische Bedrohungen: Phishing Angriffe, Social Engineering, Unbefugter Zugriff (intern, extern), Schadcode, Netzausfall, …
  • Je besser die Analyse (im Vorfeld und andauernd), umso effizienter die Maßnahmen zur Adressierung der Bedrohungen (z. B. (Security) Incident Management, Monitoringaktivitäten, Virenschutz, Netzwerkschutz)
  • Die Meldung über potenzielle Angriffsquellen und -arten kann auch über Dienstleister oder sonstige Institutionen erfolgen.

A.5.23 Information security for use of cloud services

Processes for acquisition, use, management and exit from cloud services should be established in accordance with the organization’s information security requirements.

  • Cloud Services – Der Fokus der Maßnahme liegt explizit auf dem Erwerb, der Nutzung & dem Betrieb sowie der Beendigung von Cloud-Diensten in Bezug auf die individuellen Sicherheitsanforderungen der Organisation.
  • Die Risiken und Maßnahmen in Zusammenhang mit der Nutzung von Cloud-Diensten sollten bekannt sein (Cloud Richtlinie, Cloud Konzept).
  • Häufige Feststellungen aus der Praxis
  • Die Sicherheitsanforderungen sind nicht ermittelt – „der Cloud Dienstleister wird sich schon kümmern“
  • Verantwortlichkeiten werden im Vorfeld nicht angemessen definiert
  • Wirksame Trennung zwischen einzelnen Organisationen in der Cloud wird nicht geprüft
  • Keine Überlegungen im Hinblick auf Exit-Strategie – Wie bekomme ich meine Daten wieder aus der Cloud?

A.5.30 ICT readiness for business continuity

ICT readiness should be planned, implemented, main-tained and tested based on business continuity objectives and ICT con-tinuity requirements.

  • ICT = Information and Communication Technology (ICT)
  • Kurz zusammengefasst müssen die ICT-Komponenten auf eine po-tenzielle Störung vorbereitet sein, um die benötigten Ressourcen und Informationen schnellstmöglich wieder verfügbar zu machen.
  • Man kommt um ein ganzheitliches Business-Continuity-Management (BCM) nicht mehr herum. Dies inkludiert u. a.
  • Durchführung einer Business Impact Analyse (BIA) auf Geschäfts-prozessebene
  • Ableiten der Recovery Time Objective (RTO)
  • Ableiten der Recovery Point Objectives (RPO)
  • Durchführen eines Risk Assessments
  • Ableiten BCM Strategie und Notfallkonzept

A.7.4 Physical security monitoring

Premises should be continuously mon-itored for unauthorized physical access.

  • Durch geeignete Überwachungsinstrumente soll verhindert werden, dass sich Unbefugte unerlaubt Zutritt zu bestimmten Bereichen verschaffen. D. h., dass bestimmte Bereiche, wie z. B. die Liegenschaft, Gebäude, Büroräume, etc. kontinuierlich über-wacht werden sollen. Ein unbefugter Zutritt soll somit rechtzeitig erkannt werden.
  • Maßnahmen können sein:
  • Videoüberwachung
  • Bewegungsmelder
  • Alarmanlagen

A.8.9 Configuration management

Configurations, including security configurations, of hardware, software, services and networks should be established, documented, implemented, monitored and reviewed.

  • Prozesse und Werkzeuge müssen definiert und implementiert werden, um die jeweiligen Konfigurationen/Einstellungen (einschließlich Sicherheitskonfigurationen) für Hardware, Software, Dienste (z. B. Cloud-Dienste) und Netzwerke zu dokumentieren und zwar über den gesamten Lebenszyklus hinweg.
  • Man kann Erfahrungen aus dem Asset Management nutzen. Aber nicht jedes Asset ist auch gleichzeitig ein Configuration Item (CI), also eine Servicekomponente, ein Infrastrukturelement oder ein anderes Element, das verwaltet werden muss, um einen Service erfolgreich bereitzustellen (inkl. Abhängigkeiten).
  • Je nach Größe der Organisation wird man – schon alleine um die CIs überwachen zu können – nicht um die Einführung eines Tools (CMDB) umher kommen.

A.8.10 Information deletion

Information stored in information systems, devices or in any other storage media should be deleted when no longer required.

  • Sofern nichts gegen eine längere Aufbewahrung spricht (z. B. gesetzliche Anforderungen) sollten Informationen/Daten gelöscht bzw. vernichtet werden. Grundlage hierfür ist ein Archivierungs- und Aufbewahrungskonzept.
  • Die Prinzipien sind aus dem Datenschutz schon bekannt und wurden hier lediglich erweitert.
  • Die Lösch- und Entsorgungsmechanismen sind dabei zu definieren. Anforderungen an Cloud-Dienstleistungen sowie mobile Endgeräte sind zu berücksichtigen. Dienstleister müssen einbezogen werden.

A.8.11 Data masking

Data masking should be used in accordance with the organization’s topic-specific policy on access control and other related topicspecific policies, and business requirements, taking applicable legislation into consideration.

  • In den letzten Jahren haben anonymisierte oder pseudonymisierte Daten zunehmend an Bedeutung gewonnen (siehe EU-DSGVO). Die Daten auf die notwendige Menge zu beschränken, die für die Erledigung einer Aufgabe notwendig ist, ist kein neues Konzept.
  • Mittels „Datenmaskierung“ soll der Schutz der Daten erhöht werden.
  • Beim Data Masking wird eine strukturell ähnliche aber inauthentische Version der Daten erstellt, so dass diese bspw. für Softwaretests oder Benutzerschulungen verwendet werden können (das Format der Daten bleibt erhalten)
  • Umsetzung auf Datenbankebene bspw. durch Datenschutz-Module oder –Funktionen aus der Implementierung der DSGVO

A.8.12 data leakage prevention

Data leakage pre-vention measures should be applied to systems, networks and any other devices that process, store or transmit sensitive information.

  • Die Fähigkeit, eine Extraktion von Daten zu erkennen, ist von wesentlicher Bedeutung. Mit steigender Nutzung von Cloud-Diensten und Endgeräten steigt die Notwendigkeit, diese Dienste auf Datenverluste hin zu überwachen.
  • DLP geht davon aus, dass Firewall und Virenscanner versagen und sich die Schadsoftware somit im internen Netz verbreitet, so dass Datenverluste möglich sind
  • Ziel von DLP: Sensible Daten sollen identifiziert und deren Verbreitung sowie Nutzung kontrolliert werden (Sicherstellung der Vertraulichkeit)
  • Umsetzung in der Regel mit erhöhtem Aufwand verbunden, da u.a. ein umfassendes Konzept im Vorfeld erstellt werden sollte.
  • DLP-Produkte sind als Software oder als Module bestehend aus Hard- und Software möglich.

A.8.16 Monitoring activities

Networks, systems and applications should be monitored for anomalous behaviour and appropriate actions taken to evaluate potential information security incidents.

  • Die proaktive Überwachung von Aktivitäten, die von Standards oder Erwartungen abweichen, ist erforderlich
  • Durch das Monitoring sollen Netzwerk- und Anwendungsverhalten überwacht werden, um Anomalien zu erkennen
  • Die Norm meint das „Klassische Monitoring“, aber auch bspw. die Überwachung der Protokolle von Antivirus, Intrusion Detection System, Intrusion prevention System, Webfilter, Firewalls…
  • Grundsätzlich Erfüllbarkeit der Kontrolle für ein Großteil der Unternehmen ohne große Zusatzaufwände möglich, Erweiterung um bspw. IDS; IPS etc. notwendig und sinnvoll

A.8.23 Web filtering

Access to external websites should be managed to reduce exposure to malicious content

  • Ziel: Schutz vor bspw. Viren oder Phishing-Material, Ausfiltern von Websites, welche risikobehaftet sind
  • Umsetzung durch einen Webfilter (Contentfilter), der heutzutage häufiger bereits Teil eines Proxy-Servers oder der Firewall ist
  • Webfilter können Inhalte blockieren (die bspw. von der Qualität der Website abhängen) oder den Inhalte der Seite live auswerten und entsprechend blockieren
  • Webfiltertypen: Bspw. Block List & Allow List Filters (Black- & White-Listing), Stichwort- und Inhaltsfilter

A.8.28 Secure encoding

Secure coding principles should be applied to software development.

  • Ziel: Festlegung eines Mindeststandards für die sichere Kodierung
  • Eine Berücksichtigung / Betrachtung im bisherigen Kapitel A.14.2 erfolgte bisher nur unzureichend, mit A.8.28 erfolgt die Präzisierung
  • Die Standards sollen aktuelle reale Bedrohungen, die Verwendung kontrollierter Umgebungen für die Entwicklung und die Gewährleistung der Kompetenz der Entwickler berücksichtigen.

Fazit und Ausblick

Eine Ak­tua­li­sie­rung der be­ste­hen­den ISO/IEC 27002 nach bei­nahe neun Jah­ren war mehr als überfällig - dies zei­gen so­wohl die ISO/IEC 27001, als auch die ISO/IEC 27002 aus 2013. Für bei-de Nor­men ist je­weils fünf Jahre nach dem In­kraft­tre­ten eine Über­ar­bei­tung vor­ge­se­hen, wel­che planmäßig im März 2018 be­gann, al­ler­dings dann mehr als drei Jahre an­dau­erte bis zu ers­ter Ent­wurfs­fas­sung in 2021.

Es zeigt sich, dass der Schwer­punkt nun nicht mehr nur auf der Tech­no­lo­gie liegt, son­dern auf dem Schutz der Pri­vat­sphäre und der Cy­ber­si­cher­heit. Es er­ge­ben sich so­wohl Vor­teile für Un­ter­neh­men, die be­reits nach der ISO/IEC 27001 zer­ti­fi­ziert sind, aber auch für noch nicht zer­ti­fi­zierte Un­ter­neh­men. Die neuen Con­trols sind um­fas­sen­der für die Bekämp­fung von In­for­ma­ti­ons­si­cher­heits­ri­si­ken ge­eig­net.

Auf die ISO/IEC 27002 wird aus der nor­ma­ti­ven ISO/IEC 27001 im An­hang A re­fe­ren­ziert. Da­mit ist die ISO/IEC 27002 zen­tra­ler Be­zugs­punkt für Zer­ti­fi­zie­run­gen nach ISO/IEC 27001. Eine Ände­rung der ISO/IEC 27002 er­for­dert al­ler­dings auch eine Ände­rung vom An­nex A der ISO/IEC 27001. Eine fi­na­li­sierte Veröff­ent­lich­tung der ISO/IEC 27001 ist ge­plant, al­ler­dings nicht fi­nal ab­seh­bar, ob dies on Q3/Q4 2022 oder erst in 2023 er­folgt.

Un­ter­neh­men mit einem im­ple­men­tier­ten ISMS soll­ten die Um­stel­lung be­reits be­gin­nen zu pla­nen und Res­sour­cen dafür be­reit­zu­stel­len. Trotz „nur“ über­wie­gen­den Ände­run­gen des An­hangs A der ISO/IEC 27001, ist der Auf­wand durch um­fas­sende Struk­turände­rung der ISO/IEC 27002 nicht zu un­ter­schätzen. Wir emp­feh­len - ins­be­son­dere da bis­her noch keine Da­ten veröff­ent­licht wur­den, bis wann die Um­set­zung der neuen An­for­de­run­gen zu er­fol­gen hat - da­her spätes­tens in 2023 ein Pro­jekt zur Um­stel­lung zu in­iti­ie­ren. Ein we­sent­li­cher Fak­tor ist in dem Zu­sam­men­hang natürlich die fi­nale Veröff­ent­li­chung der neuen ISO/IEC 27001.

Interessanter Fakt IT-Sicherheitskatalog - Ausblick für ISO/IEC 27001?

Ende März / An­fang April 2022 er­folgte Veröff­ent­li­chung der neuen Kon­for­mitäts­be­wer­tungs­pro­gramme zur Ak­kre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len für den IT-Si­cher­heits­ka­ta­log gemäß

§ 11 Ab­satz 1a und 1b EnWG. In die­sen heißt es:

„Au­dits zur Erst- oder Re­zer­ti­fi­zie­rung und Über­wa­chungs­au­dits im Rah­men des IT-Si­cher­heits­ka­ta­logs gemäß § 11 Ab­satz 1a EnWG ha­ben spätes­tens nach Ab­lauf von zwei Jah­ren seit de­ren Veröff­ent­li­chung ver­pflich­tend auf Ba­sis der ak­tua­li­sier­ten Fas­sun­gen zu er­fol­gen. Bei Au­dits zur Erst- oder Re­zer­ti­fi­zie­rung und Über­wa­chungs­au­dits können bis zu die­sem Zeit­punkt da­her al­ter­na­tiv auch die zu­vor gel­ten­den Fas­sun­gen berück­sich­tigt wer­den.“

An die­ser Stelle wird kon­kret von ei­ner Um­set­zungs­zeit von zwei Jah­ren ge­spro­chen. Ggf. ist dies eben­falls für die ISO/IEC 27001 her­an­zu­zie­hen.

Ha­ben Sie Fra­gen, so kon­tak­tie­ren Sie uns gern.

Marc Alex­an­der Luge | Juli 2022