Wie lassen sich die Anforderungen der ISO 27001 im Bezug auf technische Schwachstellen erfüllen? Wir beantworten die wichtigsten Fragen. Und wir geben konkrete Empfehlungen, wie Sie die Anforderungen der Norm in der Praxis umsetzen können.
Bedeutung der ISO 27001
Die DIN ISO/IEC 27001, oder verkürzt nur ISO 27001 genannt, definiert, welche Anforderungen ein ISMS (Informationssicherheitsmanagementsystem) erfüllen muss. Viele Jahre galt die ISO 27001:2013, im Jahr 2017 wurde die Norm leicht angepasst. Aktuell ist die ISO 27001:2022 gültig.
Ein ISMS besteht aus Verfahren und Regeln innerhalb einer Organisation, die dazu dienen die Informationssicherheit dauerhaft
- zu definieren,
- zu steuern,
- zu kontrollieren,
- aufrechtzuerhalten und
- fortlaufend zu verbessern.
Insbesondere wird das ISMS für die in der ISO 27001 geforderte Informationssicherheitsrisikobeurteilung herangezogen. Der Prozess der Risikobeurteilung muss:
Risiken im Hinblick auf die Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen bewerten
Risikoeigentümer identifizieren
Die Folgen des Eintritts des jeweiligen Risikos abschätzen und quantifizieren
Eintrittswahrscheinlichkeiten bestimmen
Risiken gemäß ihrer potentiellen Folgen und Eintrittswahrscheinlichkeit priorisieren
klare Kriterien für die Risikoakzeptanz beinhalten
Die ISO 27001 hat technische Schwachstellen im Blick
Um die Anforderungen der ISO 27001 zu erfüllen, müssen Sie in der Informationssicherheitsrisikobeurteilung technische Schwachstellen zwingend erfassen und bewerten.
Der normative Anhang A der ISO/IEC 27001 geht im Abschnitt 12.6 explizit auf die Handhabung von technischen Schwachstellen ein. Das Verzeichnis der Maßnahmen aus dem Anhang A können Sie als PDF unter anderem hier herunterladen.
Im Anhang A der ISO 27001 wird unter A.12.6. festgehalten, dass Sie die Ausnutzung technischer Schwachstellen zu verhindern haben. Unter Control A.12.6.1 (“Handhabung von technischen Schwachstellen”) steht:
“Information über technische Schwachstellen verwendeter Informationssysteme wird rechtzeitig eingeholt, die Gefährdung der Organisation durch derartige Schwachstellen wird bewertet und angemessene Maßnahmen werden ergriffen, um das dazugehörige Risiko zu behandeln.”
Diese im normativen Anhang A der ISO 27001 geforderte Maßnahme zur Behandlung von technischen Schwachstellen lässt sich nur durch einen konsequent umgesetzten Schwachstellenmanagementprozess erfüllen. Dieser benötigt eine passende technische Infrastruktur sowie die dazugehörige Fachkompetenz der Nutzer.
Nicht bestimmbares Risiko = höchstmögliches Risiko!
Aus zahlreichen Gesprächen mit Informationssicherheits- und IT-Verantwortlichen wissen wir, dass in den meisten deutschen Unternehmen aktuell kein funktionierender (fortlaufender!) Prozess zum Umgang mit technischen Schwachstellen zu finden ist. Hierzu zählen auch viele Unternehmen, die bereits ein zertifiziertes ISMS in ihrer Organisation umgesetzt haben.
Oftmals führen Unternehmen in Vorbereitung auf eine ISMS-Zertifizierung eine Schwachstellenüberprüfung mittels eines einmaligen Schwachstellenscans bzw. Penetrationstests durch. Allerdings hat ein einmaliger Scan eine nur sehr begrenzte Halbwertszeit!
Es ist wie im Falle einer einmaligen Systemüberprüfung auf Viren bzw. Schadsoftware: Die Ergebnisse verlieren mit jedem weiteren Tag sukzessive ihren Informationswert und ihre Gültigkeit, denn die gescannten Systeme und die IT-Infrastruktur insgesamt verändern sich. Dazu verändert sich ebenso die Gefährdung durch das Aufkommen neuer Schwachstellen und Angriffsmethodiken.
Wiederkehrende Überprüfungen sind dementsprechend dringend notwendig. Doch diese werden nur von den wenigsten IT-Managern durchgeführt bzw. in Auftrag gegeben. Das bedeutet: Viele Unternehmen sind im Bezug auf ihr Informationssicherheitsrisiko im Blindflug unterwegs!
Eine Informationssicherheitsrisikobeurteilung ohne
die Kenntnis der technischen Schwachstellen,
und die tiefgehende Überprüfung der IT-Systeme
erlaubt keine realistische Risikobeurteilung – weder der Eintrittswahrscheinlichkeit noch der Schadenpotentiale.
Demzufolge ist das Risiko für die IT-Sicherheit und somit für die Informationssicherheit nicht bestimmbar. In der Konsequenz muss vom höchstmöglichen Risiko für das jeweilige Unternehmen ausgegangen werden.
Das ITSiG 2.0 fordert ISMS in immer mehr Unternehmen
Der deutsche Bundestag hat im Frühjahr 2021 das neue IT-Sicherheitsgesetz 2.0 (ITSiG 2.0) verabschiedet. Seit der Neufassung des Gesetzes stehen mehr Unternehmen in der Pflicht, ein ISMS aufzubauen und sich nach ISO/IEC 27001 oder branchenspezifischen Standards (B3S) zertifizieren zu lassen.
So hat man die Kriterien zur Feststellung, ob ein Unternehmen oder ein Betreiber als Kritische Infrastruktur (KRITIS) zu werten ist, angepasst. Ein Beispiel: In der Energiewirtschaft lag der Schwellenwert für Energieerzeuger bis zur Gesetzesnovelle bei 420 Megawatt für die Versorgung von rund 500.000 Menschen. Im ITSiG 2.0 hat man den Schwellwert auf 36 Megawatt gesenkt.
Das überarbeitete IT-Sicherheitsgesetz ist nicht nur relevant für Unternehmen aus dem KRITIS-Bereich. Auch Unternehmen, die im besonderen öffentlichen Interesse stehen, werden durch das ITSiG 2.0 erfasst. Dazu gehören unter anderem Rüstungsfirmen und Hersteller von IT-Produkten für die Verarbeitung von Verschlusssachen.
Zudem fordert der Gesetzgeber von der produzierenden Industrie, ein ISMS zu betreiben und dieses zertifizieren zu lassen. Zulieferer der Automobilindustrie haben beispielsweise eine Zertifizierung gemäß TISAX zu erbringen.
Maßnahmenkatalog: So funktioniert ein Prozess nach der ISO 27001-Norm
Um den Anforderungen des normativen Anhang A der ISO 27001 gerecht zu werden, ist ein Schwachstellenmanagementprozess unverzichtbar.
Wie in vielen anderen prozessorientierten Managementsystemen kommt auch im Schwachstellenmanagement das altbekannte Prinzip des PDCA-Zyklus (Plan-Do-Check-Act) zum Einsatz. In der Umsetzung sieht der Schwachstellenmanagementprozess folgendermaßen aus:
In den folgenden Absätzen zerlegen wir den Prozess in seine Einzelteile. Wir schauen uns die erforderlichen Prozessschritte an, um den Anforderungen der ISO 27001 für die Erkennung und Beseitigung von technischen Schwachstellen gerecht zu werden.
Schritt 1: Datenerhebung und Scan-Vorbereitung
Zunächst müssen Sie ermitteln, welche IT-Assets vorhanden sind und welche speziellen Eigenschaften bei der Überprüfung auf Schwachstellen berücksichtigt werden sollen. Dem ISMS und dem Asset-Managementsystem entnehmen Sie die erforderlichen Daten. Dies sind vorwiegend technische Daten wie IP-Adressen, Netzwerkinfrastruktur- und Betriebssysteminformationen. Aus diesen Daten stellen Sie die richtigen Parameter für die Durchführung zusammen und bereiten die Scan-Konfiguration vor.
Stehen Ihnen die Asset-Informationen nicht zur Verfügung? Dann müssen Sie in einer initialen Erhebung – beispielsweise durch einen sogenannten Discovery-Scan – einen Gesamtüberblick über die in Ihrer IT-Infrastruktur befindlichen IT-Assets aufbauen.
Schritt 2: Scan durchführen und Schwachstellen identifizieren
Die Überprüfung führen Sie mit der zuvor erstellten Scan-Konfiguration durch. Aus dem Scan resultiert üblicherweise eine lange Liste von technischen Schwachstellen, die dem jeweiligen, überprüften IT-Asset zugeordnet sind. Sie stellen die relevanten Informationen über Systemschnittstellen dem ISMS zur Verfügung.
Erfahrungsgemäß werden bei einer Überprüfung sehr häufig Komponenten bzw. IT-Systeme entdeckt, die bislang nicht im Asset-Management erfasst waren. Die über die Scans gesammelten Informationen (beispielsweise IP-Adressen, Betriebssysteme usw.) übernehmen Sie in das Asset-Managementsystem.
Schritt 3: Bewertung der Ergebnisse
Zur Bewertung der Schwachstellen wird zunächst das Common Vulnerability Scoring System (CVSS) herangezogen. Diese Metrik berücksichtigt verschiedene Eigenschaften einer Schwachstelle. Dazu zählen unter anderem:
Angriffsvektor: Welche Art von Zugriff benötigt ein Angreifer, um die Schwachstelle ausnutzen zu können?
Angriffskomplexität: Wie komplex ist die Ausnutzung der Schwachstelle für einen Angreifer?
Authentisierung: Muss der Angreifer zuerst Benutzerrechte erlangen, um die Schwachstelle ausnutzen zu können?
Der CVSS-Score alleine reicht aber nicht aus, um die Bedeutung der Schwachstellen zu beurteilen! Selbst eine als schwerwiegend geltende technische Schwachstelle kann im unternehmensspezifischen Kontext ungefährlich sein. Und eine vermeintlich harmlose Schwachstelle führt unter Umständen zum Ausfall weiter Teile Ihrer Infrastruktur.
Wichtig ist somit, dass Sie eine valide Bewertung durchführen. Sie müssen einschätzen, welche Auswirkungen die erfolgreiche Ausnutzung einer Schwachstelle auf
Vertraulichkeit,
Integrität,
und Verfügbarkeit
der IT-Infrastruktur und Informationswerte Ihres Unternehmens haben könnte. Die potentiellen Auswirkungen müssen Sie im Kontext der Gegebenheiten Ihres Unternehmens – insbesondere der bestehenden Geschäftsprozesse – bewerten.
Ist in Ihrem Unternehmen bereits ein ISMS vorhanden? Dann gibt es bereits eine Dokumentation, in der die Bedeutung einzelner IT-Systeme und Informationswerte festgehalten wurde.
Schritt 4: Priorisierung
Haben Sie eine Bewertung der Schwachstellen vorgenommen, müssen Sie die Umsetzung von Verbesserungsmaßnahmen priorisieren.
Kernfragen, die Sie sich dabei stellen, sind:
Welche Schwachstellen haben bei erfolgreicher Ausnutzung durch einen potentiellen Angreifer das größte Schadenspotential?
Mit welcher Wahrscheinlichkeit wird die jeweilige Schwachstelle erfolgreich ausgenutzt werden können?
Bei der Priorisierung der Maßnahmen sollten Sie auch erfassen, wie groß die Hürden sind, um eine Schwachstelle erfolgreich zu schließen. Hier drei Beispiele:
Handelt es sich um eine Schwachstelle, die durch das recht einfache Einspielen eines bereits verfügbaren Software-Patches geschlossen werden kann?
Muss ein Beschaffungsantrag für eine Industrie-Firewall gestellt werden, weil bestimmte Produktionssysteme von der übrigen IT-Infrastruktur isoliert werden müssen?
Ist eine Neuanschaffung nötig, da sich das gefährdete System nicht vernünftig schützen lässt und damit ein Risiko für die restliche IT-Infrastruktur darstellt?
Das Ergebnis des Priorisierungsprozesses ist ein Plan, der die umzusetzenden Verbesserungsmaßnahmen und die verfügbaren Ressourcen berücksichtigt.
Schritt 5: Zuweisung
Die Anforderungen der ISO/IEC 27001-Norm verlangen eindeutige Risikoeigentümer. Dementsprechend müssen Sie eine bereits identifizierte, bewertete und priorisierte Schwachstelle einem Verantwortlichen zuweisen. So kann dieser die festgelegten Verbesserungsmaßnahmen umsetzen.
Im Idealfall besteht bei Ihnen bereits ein Change-/Incident-Managementsystem. Damit können Sie die Zuweisung des Risikos und des Maßnahmenkatalogs (“Tickets”) leicht durchführen, anstatt mit fehleranfälligen Excel-Listen zu arbeiten.
Schritt 6: Verbessern und beheben
Der Risikoeigentümer hat dafür zu sorgen, dass die empfohlenen Verbesserungsmaßnahmen zur Behebung oder Linderung der ihm zugewiesenen Schwachstellen durchgeführt werden. Er dokumentiert die umgesetzten Maßnahmen im Change-/Incident-Management-System und ergänzt notwendige Asset-Informationen im ISMS – beispielsweise der zutreffende Patch-Level.
Schritt 7: Nachverfolgen / verifizieren / wiederholen
Am Ende der Prozesskette müssen Sie nachverfolgen und verifizieren, ob der Verantwortliche die Verbesserungsmaßnahmen tatsächlich umgesetzt hat. Hierzu zählt auch die technische Überprüfung. Erst nachdem erneut erfolgreich ein Test durchgeführt wurde, markieren Sie die Schwachstellen im Change-/Incident-Managementsystem als behoben. Damit beginnt der Schwachstellenmanagementprozess im Sinne des Plan-Do-Check-Act-Prinzips von vorne.
Weshalb ist ein sich wiederholender Prozess so wichtig? Den Zyklus müssen Sie gemäß der ISO 27001 fortlaufend durchführen. Denn wie bereits erwähnt, stehen Sie ständig diesen Herausforderungen gegenüber:
Die “Schwachstellenlandschaft” befindet sich im stetigen Wandel.
Angreifer entwickeln schnell Exploits für neue Schwachstellen.
Die IT-Infrastruktur Ihres Unternehmens verändert sich fortlaufend.
Daher können die Anforderungen des normativen Anhang A der ISO 27001 nur mittels eines zyklischen Schwachstellenmanagements und den damit verbundenen Verbesserungsmaßnahmen effektiv erfüllt werden.
Das bedeutet zusammengefasst:
Sie müssen Informationen über technische Schwachstellen rechtzeitig einholen.
Sie haben eine Bewertung jeder Schwachstelle durchzuführen. Beachten Sie dabei die tatsächliche Gefährdung Ihrer Organisation durch die jeweilige Schwachstelle.
Ergreifen Sie passende, einzelne Verbesserungsmaßnahmen oder einen umfassenden Maßnahmenkatalog, um das Risiko für Ihr Unternehmen gezielt zu senken.
Wie Sie die hohen Anforderungen der ISO 27001 gesichert umsetzen können
Nur mit einem ausgereiften Prozess für das Schwachstellenmanagement ist Ihr Unternehmen in der Lage, die vielfältigen Bedrohungen deutlich zu minimieren und den Anforderungen der ISO 27001 gerecht zu werden.
Die Einführung eines effektiven Prozesses ist jedoch leichter gesagt als getan! Wenn Ihr Unternehmen einen Schwachstellenmanagementprozess etablieren oder einen bestehenden, rudimentären Prozess verbessern möchte, steht es üblicherweise vor drei wesentlichen Herausforderungen:
Fehlende technische Infrastruktur: Es fehlen die entsprechenden Systeme, um Schwachstellen gezielt erfassen zu können.
Mangelnde personelle Kapazitäten: Sie haben nicht genügend interne Experten, die den gesamten Prozess betreuen können.
Eingeschränkte Erfahrung: Den Verantwortlichen fehlt es an Erfahrung in der Einführung von geeigneten Schwachstellenmanagementprozessen
Was ist die Lösung, um lange Anlaufphasen und Verzögerungen in der Einführung eines effektiven Schwachstellenmanagementprozesses zu verhindern? Sie können spezialisierte Dienstleister engagieren, um sofort startklar zu sein.
Trovent: Ihr Partner für Schwachstellenmanagement
Unser Team liefert das notwendige Gesamtpaket als Dienstleistung. Wir haben die passende Lösung parat, um die hohen Anforderungen der ISO 27001 für technische Schwachstellen zu erfüllen – von der Erkennung bis hin zur Bewertung und Beseitigung.
Zum Trovent-Dienstleistungspaket zählt:
Die technische Infrastruktur, um Schwachstellen zu erfassen.
Die personelle Kapazität für die Durchführung der Scans sowie für die Bewertung, Priorisierung, Nachverfolgung und Verifikation der identifizierten Schwachstellen.
Hierbei legen wir größten Wert darauf, dass sich unsere Dienstleistung nahtlos in Ihre bestehenden Unternehmensprozesse integrieren lässt. Derart lässt sich die Einführung und die Verbesserung eines Schwachstellenmanagementprozesses reibungslos durchführen. In diesem Zusammenhang stehen unsere erfahrenen Berater selbstverständlich auch für die Optimierung Ihrer Prozesse im IT-Sicherheitsbetrieb zur Verfügung.
Sie würden gerne mehr erfahren? Kontaktieren Sie uns!
Angriffsfläche kennen. Risiko reduzieren.
Zum Abschluss lässt sich festhalten:
Nur derjenige, der seine potentielle Angriffsfläche kennt, diese fortlaufend analysiert und erkannte Schwachstellen aktiv bewertet und beseitigt, ist in der Lage, die Anforderungen der ISO 27001 sowie den allseits geforderten Stand der Technik zu erfüllen.
Bilder: iStock, Trovent, Freepik