DQS im Dialog
DQS Website Abonnieren

Schwachstellenmanagement im Kontext von ISO 27001

Im Fokus von ISO 27001 stehen die schützenswerten Informationen eines Unternehmens: ihr Schutz, ihre Vertraulichkeit, ihre Integrität sowie ihre Verfügbarkeit. Bei ISO 27001 handelt es sich um eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Die Norm beschreibt Anforderungen zur Einrichtung, Umsetzung, zum Betreiben sowie zur Optimierung eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Das Hauptaugenmerk des Managementsystems liegt hierbei auf der Identifizierung, dem Umgang sowie der Behandlung von Risiken.
© iStock Schwachstellenmanagement im Kontext von ISO 27001

Welche Gefahren und Risiken gibt es für die Informationssicherheit?

Schwachstellenmanagement im Kontext von ISO 27001 bezieht sich auf technische Schwachstellen. Diese können zu Bedrohungen für die IT-Sicherheit von Unternehmen und Organisationen führen. Hierzu gehören:

  • Ransomware, eine Erpressungssoftware, die zur Verschlüsselung von Datenträgern und zur Erlangung kompromittierender Information führen kann
  • Remote Access Trojaner (RAT), der einen Fernzugriff auf das Netzwerk erlauben kann
  • Phishing und SPAM, die zu einem Kontrollverlust per E-Mail führen können. Hier ist ein besonders beliebtes Einfallstor die Datenschutz-Grundverordnung (DSG-VO) und die Aufforderung in einer E-Mail, per Klick auf einen Link Kundendaten zu überprüfen. Oftmals scheinen die Absender Banken oder auch PayPal zu sein.
  • DDoS/Botnetze, die aufgrund riesiger Datenpakete zur Beeinträchtigung der Verfügbarkeit und Integrität der Systeme führen können
  • Staatliche unterstützte Cyberterroristen, Aktivisten, Kriminelle sowie Innentäter, die vielfältigste Bedrohungen mit sich bringen
  • Mangelhafte oder fehlende Prozesse

Um Schwachstellen und Sicherheitslücken zu identifizieren, die aus diesen Gefahren entstehen, bedarf es einer Schutzbedarfsfeststellung mit ISO 27001, weil so ein systematisches Schwachstellenmanagement zur Absicherung der IT-Infrastruktur bei kontinuierlicher Schwachstellenanalyse (Vulnerability Assessment) entsteht.

Mangelhafte Prozesse – eine Gefahr für die Informationssicherheit?

Ohne einen Prozess der Analyse von Systemprotokollen und Logdaten, Kenntnisse der technischen Schwachstellen sowie eine tiefergehende Überprüfung der IT-Systeme ist eine realistische Risikobeurteilung nicht möglich. Ebenso wenig erlaubt ein mangelnder oder fehlerhafter Prozess eine Festlegung von Kriterien zur Risikoakzeptanz oder die Bestimmung des Risikoniveaus – wie in ISO 27001 gefordert.

Daraus folgt, dass das Risiko für die IT-Sicherheit und somit für die Informationssicherheit eines Unternehmens nicht bestimmbar ist und vom höchstmöglichen Risiko für dieses Unternehmen ausgegangen werden muss.

Schwachstellenmanagement im Kontext von ISO 27001: Infrastruktur optimal absichern

Eine mögliche angemessene Maßnahme zur Absicherung der IT-Infrastruktur ist das Management möglicher Schwachstellen und Sicherheitslücken. Dabei werden regelmäßig systematische, über das Netzwerk gesteuerte, Überprüfungen (Scanning) und Penetrationstests aller Systeme auf technische Schwachstellen durchgeführt. Daraus ermittelte Schwachstellen werden im Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 festgehalten.

Webinaraufzeichnung

Webinaraufzeichnung

Schwachstellenmanagement im Kontext von ISO 27001

In unserer kostenfreien Webinaraufzeichnung erhalten Sie folgende Informationen:

✓ Anforderungen zur Informationssicherheitsrisikobeurteilung
✓ Was sagt der normative Anhang A zu technischen Schwachstellen?
✓ Bewertung von technischen Schwachstellen
✓ Schwachstellenmanagement – der immerwährende Prozess

Zur Anmeldung…

Ebenfalls ist es wichtig, die Gefahren für die IT-Sicherheit – sowie die übergreifende Informationssicherheit – festzulegen. Die technischen Schwachstellen sind dabei nach Schweregrad (CVSS) zu priorisieren und letztendlich zu beheben. Eine Beurteilung des Restrisikos durch verbleibende technische Schwachstellen sowie letztendlich eine Risikoakzeptanz fallen gleichfalls unter das Schwachstellenmanagement nach ISO 27001.

Um den Schweregrad einer Schwachstelle zu bewerten, wird der Industriestandard „CVSS – Common Vulnerability Scoring System“ herangezogen. Ein Gesamtwert von 0 bis 10 wird aus den Base Score Metrics ermittelt, die sich u.a. mit diesen Fragen beschäftigen: Wie „nah“ muss der Angreifer dem verwundbaren System kommen (Attack Vector)? Wie leicht kommt der Angreifer ans Ziel (Attack Complexity)? Welche Zugriffsrechte sind für die Ausnutzung der Schwachstelle Voraussetzung (Priviliges Required)? Benötigt man Mithelfer, z.B. ein Benutzer, der zunächst einem Link folgen muss (User Interaction)? Wird die Vertraulichkeit beeinträchtigt (Confidentiality Impact)?

Einen CVSS-Rechner finden Sie auf den Seiten des US-amerikanischen National Institute of Standards and Technology (NIST)

Wie kann sich ein Unternehmen vor einer technischen Schwachstelle schützen?

Ein Unternehmen kann sich beispielsweise präventiv gegen Schadsoftware schützen, indem es Maßnahmen zur Erkennung, Vorbeugung und Datensicherung in Verbindung mit einer angemessenen Sensibilisierung der Nutzer einführt und umsetzt. Im Detail bedeutet dies: Um die Ausnutzung einer technischen Schwachstelle beim Schwachstellenmanagement im Kontext von ISO 27001 zu verhindern, ist es notwendig,

  • rechtzeitig Informationen über die technischen Schwachstellen der verwendeten Informationssysteme einzuholen,
  • deren Gefährlichkeit zu bewerten und
  • angemessene Maßnahmen zu ergreifen.

Dies kann durch die Installation von Sicherheitspatches (Patch Management), die Isolation gefährdeter IT-Systeme oder letztlich über Systemabschaltungen erfolgen. Weiterhin müssen Regeln für die Softwareinstallation durch Benutzer festgelegt und umgesetzt werden.

Wichtige Fragen zum Schwachstellenmanagement und dem ISO 27001-Sicherheitskonzept

Im Rahmen eines Audits könnten die folgenden Fragen gestellt werden, weshalb es sinnvoll ist, sich im Vorfeld mit ihrer Beantwortung zu befassen:

  • Haben Sie Rollen und Verantwortlichkeiten für den Umgang mit und die Überwachung von technischen Schwachstellen festgelegt?
  • Haben Sie Informationsquellen in Erfahrung gebracht, mit deren Hilfe technische Schwachstellen identifiziert werden können?
  • Gibt es eine Frist, innerhalb derer auf die Benachrichtigung und Aufdeckung einer Sicherheitslücke mit Maßnahmen reagiert wird?
  • Haben Sie eine Risikobewertung der Schwachstellen u.a. mit Blick auf die Unternehmenswerte durchgeführt?
  • Kennen Sie Ihre technischen Schwachstellen?

Wenn Sie sich einen umfassenden und fundierten Überblick über die Bedrohungen Deutschlands im Cyber-Raum verschaffen möchten, finden Sie hier als Informationsquelle den „Lagebericht zur IT-Sicherheit 2019“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) als PDF.

Fazit

Das Schwachstellenmanagement im Kontext von ISO 27001 ist ein kontinuierlicher Prozess, der regelmäßig durchgeführt werden muss. Laut ISO 27001 müssen die Ergebnisse dabei gültig sein. Dies bedeutet, dass eine einmalige Schwachstellenprüfung und Bewertung von Risiken zur Einführung oder Zertifizierung zu einem späteren Zeitpunkt, beispielsweise bei einer Rezertifizierung, nicht mehr gültig ist.

Ein Schwachstellenscan ist nur genau im dem Moment gültig, in dem er durchgeführt wird. Aber werden später Softwareaktualisierungen durchgeführt oder Veränderungen in der Topologie vorgenommen, können diese zu neuen Schwachstellen führen.

Daher ist es für jede Organisation wichtig, die Prozesse des Schwachstellenmanagements kontinuierlich nachzuverfolgen, zu verifizieren, zu wiederholen und die entsprechenden Informationen in das Informationssicherheits-Managementsystem zu tragen.

FAQ DQS

Zertifizierung nach ISO 27001

Mit welchem Aufwand müssen Sie rechnen, um Ihr ISMS nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich kostenfrei und unverbindlich.

Wir freuen uns auf das Gespräch mit Ihnen.

Jetzt Anfrage senden

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fra­gen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.