Kennen Sie das auch? Schon Tage vor dem Audit sind die Verantwortlichen in heller Aufregung, die aktuellen Änderungen in den Dokumenten werden eingepflegt, Freigaben werden hektisch erteilt und die Mitarbeiter bekommen noch schnell die letzten Hinweise und Verhaltensregeln eingebläut.

Nein? Bei Ihnen ist das alles anders? Herzlichen Glückwunsch! Dann sind Sie hervorragend vorbereitet und können sich jetzt einem anderen Artikel zuwenden.

Wenn das bei Ihnen aber doch so oder so ähnlich aussehen sollte, dann lesen Sie bitte weiter. Denn ein Audit für die ISO 27001 Zertifizierung oder die Rezertifizierung zu bestehen ist gar nicht schwer, wenn Sie die hier aufgeführten Tipps befolgen.

Übersicht

  1. Seien Sie vorbereitet
  2. Halten Sie Ihre Dokumentation aktuell
  3. Ihre Awareness – Ihr Success
  4. Zeigen Sie Format
  5. Riskieren Sie etwas
  6. Fazit

1. Seien Sie vorbereitet

„Wenn jemand sich nicht auf seine Chance vorbereitet hat, macht ihn sie nur lächerlich“ soll Pablo Picasso einmal gesagt haben. Für das Audit gilt natürlich das gleiche. Gehen Sie also gut vorbereitet in das Überprüfungsgespräch.

Es menschelt

Auf was kommt es zunächst besonders an? Als erstes einmal auf Sie selbst. Überlegen Sie einmal, wie Ihre innere Einstellung zum bevorstehenden Audit und insbesondere zu den Auditoren ist. Sind Sie eher verkrampft und unruhig oder stehen Sie dem Ganzen sogar mit Ablehnung gegenüber? Dann gehen Sie bitte noch einmal in sich. Öffnen Sie sich. Je offener Sie den Auditoren gegenüber treten, umso mehr Selbstvertrauen strahlen Sie aus und umso mehr Vertrauen bringen die Auditoren Ihnen auch entgegen.

Wissen wo es steht

Nichts kann mehr Unsicherheit verbreiten, als wenn Sie im Audit nach Ihren Unterlagen suchen müssen. Stellen Sie sich einmal die folgende typische Situation vor:

Sie haben soeben den Prüfern sehr ausführlich erläutert, wie Sie Ihre Dokumente lenken und wie der damit verbundene Prozess genau abläuft. Und jetzt sollen Sie das Dokument zeigen, in dem Ihre Dokumentenlenkung beschrieben ist. Kein Problem, denken Sie und greifen ins … Leere.

Das verwünschte Dokument war doch die letzte Woche genau unter diesem Link zu finden. Allerdings wurde es in Anbetracht des Audits noch einmal aktualisiert und liegt jetzt an einem neuen Speicherort. Gut, nach kurzer Suche haben Sie es glücklicherweise gefunden. Wenn Ihnen das zwei-, dreimal während des Zertifizierungsaudits passiert, was glauben Sie, wie die Auditoren Ihr Engagement in Sachen Qualität einschätzen?

Die Technik

Nicht zu vergessen sei auch die Technik. Stellen Sie sicher, dass Beamer, Computer und was Sie sonst noch für die Präsentation benötigen auch funktioniert. Und haben Sie für den Fall der Fälle einen Plan B. Ein zweiter Beamer, ein Ersatznotebook, usw. retten garantiert Ihren Audit-Tag.

2. Halten Sie Ihre Dokumentation aktuell

„Gestalten heißt aktuell dabei sein, heißt stets unzufrieden sein,
Stillstand heißt niemals vorwärts gehen, heißt immer rückwärts sehen.“

Harry Truschzinsk

Sie denken jetzt vielleicht: „Ist doch klar, dass wir unsere Dokumente aktuell halten müssen!“ Und trotzdem passiert es im Vorfeld der Überprüfung, dass Sie Ihre Dokumente reviewen und dann den entsprechenden Eintrag in der Dokumentenhistorie doch nicht aktualisieren.

Haben Sie ein Auge darauf, was sich seit dem letzten Audit geändert hat. Entwickelte sich Ihr Geschäft weiter, ist das in aller Regel offensichtlich und wird auch entsprechend in Ihrer Dokumentation berücksichtigt. Kleine Veränderungen sind da viel unauffälliger und werden deshalb gerne übersehen.

Selbst wenn alles beim Alten geblieben ist und es bei Ihnen keine Veränderung gab, dokumentieren Sie auch das auf jeden Fall.

3. Ihre Awareness – Ihr Success

„Nach meiner Auffassung entstehen Dinge zuerst im Bewusstsein.“

Dalai Lama 

Unterschiedliche Auffassung von Awareness

Der Begriff “Security-Awareness” wird zum Teil sehr unterschiedlich ausgelegt und interpretiert. So stellt es sich dann auch in der Praxis dar. Es ist unbestritten, dass Mitarbeiter im Umgang mit Informationssicherheit geschult und sensibilisiert werden sollen. Die konkreten Maßnahmen dazu sind jedoch sehr unterschiedlich. Angefangen bei der alljährlichen Sicherheitsbelehrung, in der die Mitarbeiter innerhalb einer Stunde die IT-Sicherheitsrichtlinien des Unternehmens erläutert bekommen, bis hin zur marketing-technisch aufgezogenen Awareness-Kampagne, die sich über mehrere Monate hinzieht.

Bewusstsein schaffen

Awareness heißt Bewusstsein schaffen. Bewusstsein im Umgang mit Informationssicherheit in Ihrem Unternehmen. Letztendlich müssen Sie entscheiden, wie Sie eine erfolgreiche Awareness für sich umsetzen. Eines dürfte aber klar sein: Die Mitarbeiter für das Thema zu sensibilisieren, ist ein Prozess und keine einmalige Angelegenheit. Ähnlich wie die Verkehrserziehung bei Kindern, darf die Erwachsenen-Awareness für Informationssicherheit immer wieder geschult werden.

Die Methoden und Tools, die Sie dabei anwenden, sind so vielfältig, dass dies den Rahmen hier sprengen würde. Deshalb gehe ich nur kurz darauf ein, wie Adiccon Awareness lebt.

Awareness bei Adiccon

Jährlich entwickeln fachkundige Mitarbeiter einen Katalog von Fragen rund um das Thema Informationssicherheit. Dabei werden Fragen gestellt, die sich mit den unternehmenseigenen Richtlinien befassen aber auch mit aktuellen Themenstellungen wie z.B. dem Umgang mit Social Media oder Phishing-Attacken.

Im Rahmen der Maßnahme geben wir den Mitarbeitern die Möglichkeit über die Wirksamkeit und Umsetzbarkeit der Sicherheitsmaßnahmen zu berichten. Über diese Rückkopplung erreichen wir eine hohe Akzeptanz der Sicherheitsrichtlinien und zugleich auch eine Verbesserung der Maßnahmen.

Darüber hinaus erhalten die Mitarbeiter Meldungen über aktuelle Sicherheitslücken, Vorfälle und empfohlene Softwareupdates.

Der Erfolg unserer Awareness-Maßnahme ist z.B. dadurch zu belegen, dass im Audit-Zeitraum 2018/2019 kein fehlerhaftes Nutzerverhalten zu einem Security Incident führte.

Netter Nebeneffekt: Die Auditoren erwähnen die Awareness-Maßnahme regelmäßig ausdrücklich in der Rubrik „besonders positive Beobachtungen“.

Manchmal passiert es doch

Vor kurzem wurde ein großer deutscher Verlag von dem Trojaner Emotet befallen. Redaktionell befasst sich das Medienhaus u.a. mit dem Thema Informationssicherheit. Das zeigt wieder einmal, dass es grundsätzlich jeden erwischen kann. Umso wichtiger ist das Thema Awareness zu sehen. Wenn tatsächlich etwas passiert, sind die Mitarbeiter informierter und können bessere Entscheidungen im Umgang mit dem Vorfall treffen.

4. Zeigen Sie Format

„So genau wie nötig, nicht so genau wie möglich.“

Das Einfachheitsprinzip in den Technikwissenschaften

Die formalen Aspekte eines Audits sind im Wesentlichen (und das sollte keine Überraschung sein) Vollständigkeit, Normkonformität, Angemessenheit bezogen auf das Unternehmen, der Geltungsbereich und die Lenkung von Dokumenten.

Im Abschnitt 2 ging es bereits um die Aktualität Ihrer Dokumente. Vollständig müssen Sie aber auch sein. Dabei berücksichtigen Sie bitte, dass Maßnahmen durchaus schrittweise umgesetzt werden können. Niemand geht davon aus, dass Sie alle Verbesserungsmaßnahmen bis zum Tag des Audits implementiert haben. Viel entscheidender ist an dieser Stelle, einen gelebten KVP (Kontinuierlichen Verbesserungsprozess) darstellen zu können, der die Weiterentwicklung ISMS glaubhaft aufzeigt.

Auf 2 Normaspekte möchte ich hier besonders eingehen, da diese erfahrungsgemäß im Rahmen des Audits gern diskutiert werden.

Interessierte Parteien

Zugegeben, mit diesem Punkt haben wir uns lange sehr schwer getan. Was sind denn interessierte Parteien? Ein Blick zu den Kollegen vom Qualitätsmanagement mit der Infografik zu den interessierten Parteien half hier weiter. Wenn wir demnach Kunden, Mitarbeiter, Lieferanten, Banken, Behörden, usw. als jeweils interessierte Partei sehen, können wir auch deren individuelle Erwartungen an die Informationssicherheit festhalten.

Um den Nutzen der Liste für uns zu steigern, haben wir sie ergänzt. Wie bedeutend eine Partei für unser Unternehmen und wie häufig der Kontakt mit dieser Partei ist, wurden als zusätzliche Kriterien aufgenommen. Damit sehen wir auf einen Blick z.B. im Bereich der Behörden unterschiedliche Einschätzungen für Berufsgenossenschaft und Finanzamt.

Wenn Sie diese Übersicht der interessierten Parteien jetzt noch sinnvoll um die gesetzlichen Anforderungen ergänzen, sind Sie in diesem Punkt gut für das Audit gerüstet.

Gerne schicke ich Ihnen die Liste auf Nachfrage zu. Klicken Sie dazu einfach auf diesen Mail-Link.

Umgang mit Ausschlüssen

Der Anhang A der ISO27001 beinhaltet insgesamt 114 Controls (Maßnahmen) in 14 Bereichen. Generell müssen Sie alle Controls berücksichtigen. Das heißt jedoch nicht, dass alle Controls für Sie auch relevant sind. Nichtrelevante Controls müssen Sie daher ausschließen und das nachvollziehbar begründen.

Je mehr Ausschlüsse Sie vorweisen, umso intensiver wird im Audit darüber gesprochen. Für den Auditor muss der Ausschluss nachvollziehbar, transparent und logisch sein.

Wenn Sie also beispielsweise das Maßnahmenziel “A.6.2.2 Telearbeit” für sich ausgeschlossen haben, gleichzeitig aber ein VPN (das Sie typischerweise dazu verwenden, um von außerhalb auf Ihr Netzwerk zuzugreifen) betreiben, sollten Sie gute Argumente für den Ausschluss haben.

Auf der anderen Seite müssen Sie, falls Sie den Ausschluss zurücknehmen, eine Richtlinie und unterstützende Sicherheitsmaßnahmen für Telearbeitsplätze erstellen und umsetzen.

5. Riskieren Sie etwas

“Wir müssen das Unbeherrschbare vermeiden und das Unvermeidbare beherrschen.” 

Hans Joachim Schellnhuber

Risikomanagement

Das Risikomanagement ist Kernstück der ISO 27001. Die Phasen im Risikomanagement-Prozesses sind dabei ermitteln, bewerten, behandeln und überwachen. Achten Sie unbedingt darauf, den Prozess sauber und nachvollziehbar zu dokumentieren.

In vielen Fällen nutzen Unternehmen dafür Excel als das Tool ihrer Wahl. Je nach Umfang wird dies schnell unübersichtlich und nicht mehr handhabbar. Wir haben einige Jahre dafür ein Tool eingesetzt, das uns insbesondere im Risikomanagement-Prozess unterstützt hat. Allerdings hat das Programm auch einige Schwächen. Deshalb entwickeln wir mit einigen unserer Kunden aktuell eine Software, die genau die Anforderungen abdeckt. Sollten Sie Interesse an Details dazu haben, nutzen Sie den Mail-Link.

Die folgenden Abschnitte befassen sich mit dem Risikomanagement-Prozess im Allgemeinen. Wenn Sie mit dem Thema bereits vertraut sind, springen Sie gerne ans Ende.

 

Assets ermitteln

„Ein Asset (Vermögenswert) ist alles, was für das Unternehmen einen Wert hat und daher geschützt werden muss. Bei der Identifizierung von Vermögenswerten ist zu berücksichtigen, dass ein Informationssystem nicht nur aus Hard- und Software besteht.“

So beschreibt es die Norm ISO/IEC 27005, Information Security Risk Management.

Hier sollten Sie Ihren Geltungsbereich im Fokus behalten, damit Sie nicht über das Ziel hinaus schießen.

Nehmen Sie z.B. einen Fotografen. Das weitaus wichtigste Asset dieser Berufsgruppe sind sicherlich die Augen des Fotografen. Im Sinne eines unternehmensweiten Risikomanagements sollte dieses Asset auch unbedingt betrachtet werden. Aus informationstechnischer Sicht liegt es jedoch außerhalb des Fokus.

Im Kontext der Informationssicherheit spielen dann vielmehr die Digital-Kamera, die Speicherkarten oder die Cloud-Lösung für das Backup der Fotos eine zentrale Rolle.

 

Risiko bewerten

Es gibt sicherlich verschiedene Möglichkeiten der Risikobewertung. Bewährt hat sich die klassische Formel:

S * p = R, Schadenshöhe * Eintrittswahrscheinlichkeit = Risiko

Die Herausforderung liegt darin, die Schadenshöhe, aber auch die Eintrittswahrscheinlichkeit abzuschätzen. Schadenshöhen lassen sich auf Grundlage von Bedrohungsszenarien beurteilen. Nutzen Sie dafür z.B. Bedrohungs- und Schwachstellenkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder der ISO 27005.

 

Risikobehandlung

Die anzuwendenden Strategien der Risikobehandlung sind Vermeidung, Reduktion, Transfer oder Akzeptanz. Um Risiken zu reduzieren, stehen Ihnen grundsätzlich zwei Möglichkeiten offen. Sie verringern das Schadensausmaß oder die Wahrscheinlichkeit, dass ein bestimmtes Schadensereignis eintritt. Beide Faktoren führen dazu, das Risiko herabzusetzen. Selbstverständlich können Sie Risiken auch ganz eliminieren, indem Sie z.B. im obigen Beispiel auf den Einsatz von Cloud-Diensten ganz verzichten. In der Regel ist das aber keine wirkliche Alternative. Dahingegen lassen sich bestimmte Risiken aber transferieren oder abwälzen. Etwa durch eine entsprechende Versicherung. Schließlich bleibt Ihnen noch die Wahl ein Risiko zu akzeptieren. Da Sie ohnehin nach eingehender Risikobehandlung Ihre Risiken nicht auf null reduziert haben werden, ist es notwendig, sich den Restrisiken zu stellen und ein Risiko-Akzeptanz-Niveau zu definieren.

Der Anhang A

Mit dem Anhang A der ISO 27001 haben Sie einen umfangreichen Anforderungskatalog für die Risikobehandlung in der Hand. Er beschreibt Maßnahmen und Maßnahmenziele, die Sie bei der Risikobehandlung berücksichtigen müssen. Wie so oft hat auch diese Medaille zwei Seiten. Die Controls zeigen keine konkreten Maßnahmen auf. Auf der anderen Seite lässt Ihnen das aber Spielraum, wie Sie Ihre eigenen Anforderungen umsetzen.

Bei dem o.g. Fotografen spielt z.B. der Punkt A.8.3 Handhabung von Datenträgern eine Rolle. Dabei geht es um das Ziel, die unerlaubte Offenlegung, Veränderung, Entfernung oder Zerstörung von Information, die auf Datenträgern gespeichert ist, zu unterbinden.

Im dazu entsprechenden Control A.8.3.2 Entsorgung von Datenträgern wird deshalb auch gefordert: Nicht mehr benötigte Datenträger werden sicher und unter Anwendung formaler Verfahren entsorgt.

Wie das konkret bei Ihnen umgesetzt wird, sagt die Norm jedoch nicht. Das müssen Sie für sich selbst entscheiden, beschreiben und die Entsorgung dokumentieren.

 

Überprüfen

Und ja, Risiken verändern sich. Sei es, weil Sie Maßnahmen zur Risikoreduktion umgesetzt haben, weil sich die Bedrohungslage für ein Risiko verändert hat oder weil sich ganz einfach Ihr Geschäft weiterentwickelt hat. Es gibt eine Reihe von Anlässen, Risiken neu bewerten zu müssen. Unser Fotograf beispielsweise musste sich, als er von der analogen auf die digitale Kamera umstieg, auf einmal mit den Risiken, die mit Speicherkarten zusammenhängen, auseinander setzen.

6. Fazit

Die in diesem Artikel aufgezeigten Punkte helfen Ihnen dabei, wichtige Aspekte für ein ISO 27001-Audit zu berücksichtigen. Gehen Sie die einzelnen Punkte für sich durch und stellen Sie insbesondere Ihre Einstellung zum bevorstehenden Audit auf die Probe. Sehen Sie die Auditoren nicht als Gegner, sondern vielmehr als Verbündete, die Ihnen dabei helfen, besser zu werden und Ihr Sicherheitsniveau anzuheben. Gerade vor dem Hintergrund täglich zunehmender Bedrohungen auf Ihre Informationssicherheit sollten Sie diese Chance nutzen.

Die Adiccon hat sich zum Ziel gesetzt, Ihr Unternehmen auf ein höheres Sicherheitsniveau zu bringen. Nutzen Sie unsere Expertise für Ihre Sicherheit und vereinbaren Sie einen unverbindlichen Termin.

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit

Ähnliche Artikel:

Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?

26 Vorteile durch die Einführung eines ISMS: Risikominimierung, Kostensenkung, Transparenz der Geschäftsprozesse

IT-Sicherheit in Kliniken: Ganzheitliches IT-Risikomanagement als Grundlage für einen umfassenden Schutz