Skip links
opened book

Änderungen der ISO 27001:2022 im Vergleich zur ISO 27001:2013: Ein Überblick

Die ISO/IEC 27001 ist eine international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Im vergangenen Jahr konnten sich Organisationen erstmals nach der neusten Version der Norm ISO 27001:2022 zertifizieren lassen. Diese bringt wesentliche Änderungen und Ergänzungen mit sich.

In diesem Artikel werden die wichtigsten Unterschiede zwischen der ISO 27001:2013 und der ISO 27001:2022 beleuchtet, die neuen Controls vorgestellt und aus diesen Handlungsempfehlungen für Unternehmen unterschiedlichster Größe abgeleitet und vorgestellt.

Hintergrund der Änderungen:

Seit der Veröffentlichung der ISO 27001:2013 hat sich das Bedrohungsumfeld erheblich verändert. Neue Technologien, zunehmende Digitalisierung und sich entwickelnde Cyber-Bedrohungen haben unter anderem die Anforderungen an Informationssicherheitssysteme verstärkt. Um diesen Veränderungen gerecht zu werden und die Norm an die neuen Herausforderungen anzupassen, wurde die ISO 27001 überarbeitet und 2022 neu veröffentlicht.

Die Überarbeitung zielt darauf ab, die Norm praxisnaher zu gestalten, sie an aktuelle Entwicklungen im Bereich der Informationssicherheit anzupassen und die Komplexität zu reduzieren. In diesem Kontext wurden Erfahrungen aus der Praxis sowie Rückmeldungen von Anwendern berücksichtigt.

Wesentliche Änderungen in der ISO 27001:2022

Die wichtigsten Änderungen in der ISO 27001:2022 im Vergleich zur ISO 27001:2013 umfassen sowohl strukturelle Anpassungen als auch inhaltliche Aktualisierungen der Controls.

    Die Struktur der ISO 27001:2022 wurde vereinfacht und die Controls wurden in vier Hauptkategorien eingeteilt:

    • Organisatorische Controls (37)
    • Personenbezogene Controls (8)
    • Physische Controls (4)
    • Technologische Controls (34)

    Zusätzliche und aktualisierte Controls

    Zu den in der ISO 27001:2013 enthaltenen Controls wurden in der Überarbeitung des Standards einige Controls grundlegend überarbeitet und weitere Controls ergänzt.

    Insgesamt wurden die 114 auf 93 Controls reduziert, die in 35 Steuerungsziele zusammengefasst sind. Die wichtigsten neuen Controls sind die folgenden:

    Threat Intelligence (A.5.7)

    Diese Maßnahme erfordert, dass Informationen über Bedrohungen gesammelt und diese analysiert werden, um geeignete Abhilfen und präventive Maßnahmen ergreifen zu können. In diesem Kontext kann es sich neben Informationen über bestimmte Angriffe, um Methoden und Technologien, die von Angreifern eingesetzt werden, auch um Angriffstrends handeln.

    Die genannten Informationen sollten interne als auch externe Quellen, wie bspw. Herstellerberichte oder Ankündigungen, umfassen und gesammelt werden.

    Cloud Security (A.5.23)

    Mit dieser Maßnahme wird gefordert, dass Sicherheitsanforderungen für Cloud-Dienste festzulegen sind. Die Sicherheitsanforderungen beziehen sich auf den Erwerb, die Nutzung, die Verwaltung sowie für die Beendigung der Nutzung von Cloud-Diensten.

    Die Maßnahme zielt darauf ab, die sich in der Cloud befindenden Daten besser schützen zu können.

    ICT Readiness for Business Continuity (A.5.30)

    Anhand dieser Maßnahme soll sichergestellt werden, dass die Informations- und Kommunikationstechnologien auf potenzielle Störungen vorbereitet sind. Dadurch sollen die benötigten Informationen und Ressourcen auch bei Störungen zur Verfügung stehen. Die Maßnahme bezieht sich neben der Planung und der Implementierung auch auf die Wartung und die Prüfung der Bereitschaft.

    Physical Security Monitoring (A.7.4)

    Bei dieser Maßnahme müssen sensible Bereiche überwacht werden, um nur befugten Personen den Zugang zu ermöglichen. Dazu können Büros, Produktionsanlagen, Lagerhäuser und andere Räumlichkeiten gehören.

    Configuration Management (A.8.9)

    Diese Maßnahme zielt darauf ab, dass der gesamte Zyklus der Sicherheitskonfiguration für die von der Organisation eingesetzten Technologien verwaltet werden. Dadurch soll ein angemessenes Sicherheitsniveau gewährleistet werden und unbefugte Veränderungen vermieden werden. Die Maßnahme umfasst die Definition, die Implementierung, Überwachung als auch die Überprüfung der Konfiguration.

    Data Masking (8.11)

    Mithilfe dieser Maßnahme wird erzwungen, dass die Datenmaskierung gemeinsam mit der Zugriffssteuerung verwendet wird. Anhand dessen soll die Offenlegung sensibler Informationen begrenzt werden. In erster Linie sind personenbezogene Daten betroffen, da diese durch Datenschutzbestimmungen stark reglementiert sind. Neben diesen können jedoch auch weitere Kategorien sensibler Daten einbezogen werden.

    Data Leakage Prevention (8.12)

    Diese Maßnahme zielt darauf ab, verschiedene Maßnahmen gegen Datenlecks zu ergreifen, um die unbefugte Offenlegung sensibler Informationen zu verhindern und solche Vorfälle rechtzeitig zu erkennen. Dies schließt Informationen in IT-Systemen, Netzwerken oder beliebigen Geräten ein.

    Handlungsempfehlungen für Unternehmen

    Klein und mittlere Unternehmen (KMU)

    • Den Fokus auf grundlegende Sicherheitsmaßnahmen setzen:
      KMUs sollten sich zunächst auf die Umsetzung der grundlegendsten Controls konzentrieren, wie z.B. Zugangskontrollen und Datensicherung, um dadurch einen größtmöglichen Nutzen für die Organisation erzielen.
    • Ressourcenplanung:
      Es ist wichtig, Ressourcen gezielt für die Implementierung der Norm einzuplanen. Externe Beratung kann helfen, effizienter vorzugehen und die wesentlichen Aspekte abzudecken.
    • Schrittweise Umsetzung:
      Eine schrittweise Einführung der neuen Anforderungen kann die Belastung für die Organisation reduzieren und eine nachhaltige Integration der Sicherheitsmaßnahmen fördern.

    Große Unternehmen und Konzerne

    • Ganzheitlicher Ansatz:
      Große Unternehmen sollten die neuen Anforderungen in ein umfassendes Sicherheitskonzept integrieren, welches alle Geschäftsbereiche abdeckt.
    • Kontinuierliches Monitoring:
      Ein Fokus auf das kontinuierliche Monitoring und die regelmäßige Überprüfung der Sicherheitsmaßnahmen ist entscheidend, um auf neue Bedrohungen flexibel reagieren zu können.
    • Cloud Security:
      Da große Unternehmen häufig Cloud-Dienste nutzen, ist die Implementierung der neuen Cloud-spezifischen Controls von großer Bedeutung.
    • Lieferantenmanagement:
      Die neuen Anforderungen an das Lieferantenmanagement sollten in die bestehenden Prozesse integriert werden, um Risiken in der Lieferkette zu minimieren.

    Fazit

    Die ISO 27001:2022 stellt eine notwendige Weiterentwicklung der Norm dar, um den gestiegenen Anforderungen im Bereich der Informationssicherheit gerecht zu werden. Durch die Einführung neuer und die Überarbeitung bestehender Controls bietet sie einen zeitgemäßen Rahmen, um Informationssicherheitsrisiken sowie -Anforderungen effektiv zu managen. Unternehmen sollten die Gelegenheit nutzen, ihre Sicherheitsstrategien zu überprüfen und die neuen Anforderungen schrittweise zu implementieren, um ihre Widerstandsfähigkeit gegenüber aktuellen und zukünftigen Bedrohungen zu stärken.