ISO 27032: Aufbau eines Cybersicherheit-Managements

Was ist Security Posture?

Der Sicherheitsstatus oder Security Posture eines Unternehmens umfasst seine Netze, Informationssicherheit, Netzsicherheit, Datensicherheit und Internetsicherheit sowie Penetrationstests, Risikomanagement für Anbieter, Schwachstellenmanagement, Verhinderung von Datenschutzverletzungen, Schulungen für Mitarbeiter zur Vermeidung von Social-Engineering-Angriffen und andere Sicherheitskontrollen.

Die Sicherheitsvorkehrungen eines Unternehmens sind jedoch nicht statisch. Vielmehr ändert sie sich ständig, um auf neue Schwachstellen und Bedrohungen in der Cybersicherheitslandschaft zu reagieren. Daher gehen Unternehmen von isolierten Tools und veralteten Sicherheitsstrategien zu einem durchgängigen Sicherheitskonzept über, das vor diesen neuen Bedrohungen und Schwachstellen schützen kann.

Wie ein starkes Sicherheitskonzept Unternehmen schützt Ein starkes Sicherheitskonzept zielt darauf ab, Unternehmen vor Cybersecurity-Bedrohungen zu schützen, indem es das Eindringen von Malware und Datenverletzungen erkennt und verhindert und den Diebstahl von geistigem Eigentum verhindert. Ein Unternehmen, das beispielsweise von seinen Mitarbeitern, Drittanbietern und Kunden verlangt, sich mit einer Zwei-Faktor-Authentifizierung oder einer Multifaktor-Authentifizierung - oder zumindest mit komplexen Passwörtern - bei seiner Website anzumelden, kann die Unternehmensdaten besser schützen. Darüber hinaus kann die Implementierung von Firewall-, Antiviren- und Anti-Malware-Tools als Teil einer starken Sicherheitsstruktur einem Unternehmen helfen, Cyberangriffe abzuwehren, indem es Cyberkriminellen erschwert wird, in das Netzwerk einzudringen und sensible Informationen zu stehlen. Die Implementierung von Anti-Phishing- und E-Mail-Sicherheits-Tools als Teil eines umfassenden Sicherheitskonzepts kann einem Unternehmen dabei helfen, zu verhindern, dass Spam den Weg in die Posteingänge der Benutzer findet. Diese Tools scannen auch Nachrichten und entfernen alle bösartigen Inhalte, bevor sie an den Mailserver des Unternehmens weitergeleitet werden.

Strategien zur Stärkung der Sicherheit Unternehmen sehen sich ständig mit einer Vielzahl von Herausforderungen im Bereich der Cybersicherheit konfrontiert, zum Beispiel mit der Frage, wie sie große Angriffsflächen reduzieren, ihre IT-Ressourcen schützen und Hacker davon abhalten können, in ihre Systeme einzudringen. Es gibt eine Reihe von Möglichkeiten, wie Unternehmen ihre Sicherheitsvorkehrungen verbessern können, um diesen Herausforderungen zu begegnen: Schaffung eines Rahmenwerkes für die Cybersicherheit. Unternehmen sollten ihre Sicherheitsanforderungen mit den Zielen des Unternehmens in Einklang bringen.

Unternehmen sollten ihre Sicherheitsanforderungen mit den Zielen des Unternehmens in Einklang bringen. Durchführung einer Risikobewertung. Bei einer Risikobewertung wird der Grad der Verwundbarkeit der Anlagen eines Unternehmens ermittelt. Anhand der Ergebnisse können Unternehmen feststellen, was sie tun müssen, um ihre Sicherheitslage zu verbessern, und die Sicherheitskontrollen ermitteln, die sie zum Schutz des Unternehmens vor künftigen Angriffen einführen sollten.

Bei einer Risikobewertung wird der Grad der Verwundbarkeit der Anlagen eines Unternehmens ermittelt. Anhand der Ergebnisse können Unternehmen feststellen, was sie tun müssen, um ihre Sicherheitslage zu verbessern, und die Sicherheitskontrollen ermitteln, die sie zum Schutz des Unternehmens vor künftigen Angriffen einführen sollten. Risiken priorisieren. Nach der Identifizierung der Schwachstellen sollten Unternehmen diese anhand des Gesamtrisikos, das sie für das Unternehmen darstellen, einstufen und festlegen, woran zuerst gearbeitet werden soll.

Nach der Identifizierung der Schwachstellen sollten Unternehmen diese anhand des Gesamtrisikos, das sie für das Unternehmen darstellen, einstufen und festlegen, woran zuerst gearbeitet werden soll. Implementierung automatisierter Cybersicherheits-Tools . Der Einsatz automatisierter Tools kann dazu beitragen, die Reaktionszeiten auf Vorfälle zu verkürzen und Hacker daran zu hindern, in das Netzwerk einzudringen.

. Der Einsatz automatisierter Tools kann dazu beitragen, die Reaktionszeiten auf Vorfälle zu verkürzen und Hacker daran zu hindern, in das Netzwerk einzudringen. Mitarbeiter schulen. Sicherheitsschulungen sollten Teil des Onboarding-Prozesses sein. Darüber hinaus sollten Unternehmen ihre Mitarbeiter regelmäßig auf ihr Wissen über die Cybersecurity-Richtlinien des Unternehmens, einschließlich ihrer sozialen Medien, testen.

Sicherheitsschulungen sollten Teil des Onboarding-Prozesses sein. Darüber hinaus sollten Unternehmen ihre Mitarbeiter regelmäßig auf ihr Wissen über die Cybersecurity-Richtlinien des Unternehmens, einschließlich ihrer sozialen Medien, testen. Kontrolle der administrativen Zugriffsrechte. Unternehmen sollten nur einer kleinen Gruppe von Mitarbeitern administrative Zugriffsrechte gewähren. Wenn zu viele Personen die Möglichkeit haben, Hardware- und Betriebssystemeinstellungen zu ändern, kann dies katastrophale Auswirkungen auf die Sicherheitslage des Unternehmens haben.

Unternehmen sollten nur einer kleinen Gruppe von Mitarbeitern administrative Zugriffsrechte gewähren. Wenn zu viele Personen die Möglichkeit haben, Hardware- und Betriebssystemeinstellungen zu ändern, kann dies katastrophale Auswirkungen auf die Sicherheitslage des Unternehmens haben. Überprüfen der Sicherheitskennzahlen. Anhand von Sicherheitskennzahlen können Unternehmen die Wirksamkeit ihrer Cybersicherheitspraktiken genau messen. Kenngrößen können Unternehmen auch dabei helfen, Wege zur Risikominderung zu finden und Prioritäten für künftige Risiken zu setzen. Die Effektivität eines Programms für Sicherheitskennzahlen hängt stark davon ab, was Unternehmen messen wollen. Daher ist es wichtig, dass Unternehmen die Kennzahlen verfolgen, die sich aus betrieblicher und strategischer Sicht auf das Geschäft auswirken. Abbildung 1: Mit einer Reihe von Maßnahmen lässt sich der Sicherheitsstatus eines Unternehmens verbessern.

Internetsicherheit Teil 1: Was ist eigentlich Hacking?

Generell gilt: Die meisten Systeme sind hackbar. Dennoch sind ein paar Geräte besonders anfällig für Hacking-Angriffe.

“Smarte” Geräte sollen ihren Nutzern eigentlich das Leben leichter machen. Dazu speichern sie Passwörter, Standortinformationen und viele weitere Daten der Nutzer. Hat ein Hacker jedoch einmal Zugriff zu so einem Gerät, ist es für ihn ein Leichtes, von Webseite zu Webseite zu springen und die Passwörter zu nutzen, um sich Zugang zu Plattformen, Online-Shops oder Ähnlichem zu verschaffen.

WLAN-Router werden in der Regel mit vorgespeicherten Anmeldedaten (inklusive schwer zu merkendem Passwort) geliefert, sind aber dennoch nicht wirklich sicher. Die vom Anbieter generierten Anmeldedaten, unterscheiden sich zwar von Unternehmen zu Unternehmen, haben aber häufig einheitliche “Strukturen”. Viele Hacker kennen diese Strukturen und können sich daher in wenigen Minuten in die Router hacken.

Das Bild einer abgeklebten Webcam ist vielen bekannt. Und das aus gutem Grund. Sowohl die in Laptops integrierten Webcams, als auch die separat angeschlossenen Kameras sind überdurchschnittlich anfällig für Malware. Selbst wenn die Kamera augenscheinlich abgeschaltet ist, könnten Fremde gerade einen Einblick in das private Arbeitszimmer haben.

Immer wieder kommt es bei Mailing-Anbietern und sozialen Medien zu Datenlecks. Dabei werden Datensätze veröffentlicht, durch die Passwörter für Hacker einfach zugänglich sind. Wer darüber hinaus für mehrere Plattformen das gleiche Passwort benutzt, ist leichte Beute für die Hacker. Hat ein Hacker erstmal Zugriff zu einer Social-Media-Plattform, so kann er private Daten abrufen und mit den vernetzten Kontakten kommunizieren. Nicht selten entsteht dabei eine Verkettung mehrerer Hacking-Opfer.

Obwohl die Betriebssysteme iOS und Android recht hacking-sicher sind, gibt es Verbraucher, die diese vorgespeicherte Software vom Smartphone löschen. Sogenannte “Smartphones mit Jailbreak” besitzen ohne weitere Installation von Schutz-Softwares keinerlei Schutz gegen Hacking-Angriffe und sind somit ein leichtes Ziel für Hacker.

ISO 27032: Aufbau eines Cybersicherheit-Managements

Wie definiert die ISO-Norm den Cyberspace?

Unter Cyberspace versteht man ein extrem komplexes und vielfältiges Ökosystem – ein Netz aus Beziehungen zwischen Personen, Programmen und physischen Standorten, welches das Speichern, Verarbeiten, Übertragen und Bereitstellen einer Vielfalt von Informationen ermöglicht.

Um als Unternehmen im Cyberspace agieren zu können, ohne dass die eigenen Daten offen zugänglich sind oder kompromittiert werden, braucht es starke Sicherheitsprotokolle. Die ISO-Norm gibt daher Richtlinien vor, mit denen Sie für mehr Sicherheit bei Ihren Interaktionen im Cyberspace sorgen können.

Was genau ist die ISO 27032?

Die ISO 27032 (ISO/IEC 27032:2012) ist ein Standard für die Cybersicherheit. Ihr Ziel ist, sensible Daten während des Datenaustausches vor unerlaubtem Zugriff oder Abändern durch Hacker oder Saboteure zu schützen. Sie gibt Ressourcen an die Hand, mit denen Unternehmen ihre Sicherheit intern managen können, und stellt Methoden vor, mit denen sich Onlinetätigkeiten und -aktivitäten absichern lassen, darunter Software- und Datenmanagement-Services. Als wesentlichen Bestandteil sieht sie Schulungsmaßnahmen für Personen vor, die diese Ressourcen verantworten und konkret handhaben.

Zu ihren Zielen gehört, einerseits die Zusammenarbeit zwischen den Komponenten wie dem CSF (CyberSecurity Framework) zu ermöglichen und andererseits Lücken abzudecken, die bisherige Standards zur Cybersicherheit nicht berücksichtigen.

Die ISO 27032 hat im Wesentlichen vier Schwerpunkte:

Informationssicherheit

Netzwerksicherheit

Internetsicherheit

Schutz kritischer Dateninfrastrukturen

Die ISO 27032 wurde ursprünglich 2012 herausgegeben, wird jedoch aktuell überarbeitet, um folgende Aspekte mit aufzunehmen:

Überblick zum Ist-Stand der Internetsicherheit

Beteiligte und ihre Rollen bei der Internetsicherheit

Zusätzliche Empfehlungen von Maßnahmen zur Behebung der häufigsten Problemquellen im Hinblick auf Cybersicherheit

Bezugnahme auf andere Standards, um ein vollständigeres Bild zu Risikomanagement und Sicherheitsmaßnahmen zu zeichnen

Die neue Version der ISO 27032 wird den Titel haben „Cybersicherheit – Richtlinien für die Internetsicherheit“ und 2023 herauskommen.

Wozu brauche ich die ISO 27032?

Da wir uns zunehmend im Cyberspace bewegen, besteht auch vermehrt die Gefahr der Datenkompromittierung. Daher ist die ISO 27032 ein Muss für alle Unternehmen und Organisationen. Die ISO 27032 bietet Richtlinien zur Einrichtung eines Richtlinienrahmenwerks im Unternehmen und zur Aufsetzung von Prozessen, die langfristig aufrecht erhalten werden können.

Sie unterstützt bei der Erkennung und Kategorisierung der Prozesse, die am anfälligsten für Cybergefahren sind, und ermöglicht damit Maßnahmen zu treffen, die sowohl Kunden als auch andere Interessenvertreter schützen. Somit ist sie ein ausgezeichnetes Mittel, allen Beteiligten zu signalisieren, dass Sie auf Cybergefahren vorbereitet sind und Mechanismen eingerichtet haben, um angemessen mit ihnen umzugehen, sollten sie auftreten.

Die ISO 27032 sieht außerdem Schulungen zur Cybersicherheit vor. In diesen lernen Ihre Mitarbeitenden die Sicherheitsprotokolle gegen Phishing-Attacken, Cyberstalking, Hacker, Datendiebstahl, Malware und sonstige digitale Überwachung kennen und umzusetzen.

Auch wenn die Ziele der ISO 27032 denen der ISO 27001 auf den ersten Blick zu ähneln scheinen, liegt der Fokus der ISO 27032 dediziert auf Cybersicherheit. Die ISO 27001 behandelt hingegen weiter gefasste Aspekte der Informationssicherheit und Sicherheitsprotokolle im Allgemeinen.

Worin unterscheiden sich Informationssicherheit und Cybersicherheit? Die Antwort finden Sie hier.

Welcher Unterschied besteht zwischen der ISO 27032 und ISO 27001?

Die beiden Normen hängen eng miteinander zusammen. Die ISO 27001 definiert die Anforderungen zur Einrichtung eines ISMS, die ISO 27032 bietet mit gezielten Empfehlungen ergänzend eine Richtschnur zur Erlangung von Cybersicherheit. Anders ausgedrückt: Der Fokus der ISO 27001 liegt auf Ihrer Organisation und Ihren Informationssicherheits-Managementsystemen (ISMS), während die ISO 27032 auf den Cyberspace bezogen ist und ein Rahmenwerk darstellt, das Zusammenarbeit fördert und speziell Problematiken adressiert, die unterschiedliche Sicherheitsbereiche im Cyberspace betreffen.

Der größte Unterschied besteht allerdings darin, dass die ISO 27032 keinen zertifizierbaren Standard darstellt. Sie ist ein Maßnahmenkatalog, den Sie zusätzlich zur ISO 27001 implementieren sollten, um Ihre Organisation im Cyberspace besser zu schützen.

Worin bestehen die Maßnahmen der ISO 27032?

Voraussetzung für die erfolgreiche Implementierung technischer Maßnahmen („Controls“) gemäß ISO 27032 sind: eine solide Cybersicherheitspraxis und die Umsetzung bereits im Unternehmen vorhandener Informationssicherheitskontrollen nach ISO 27001. Wenn ein Unternehmen bereits ISO 27001-Konformität erlangt hat, ist es leichter, die Maßnahmen für Cybersicherheit anzuwenden.

Folgende technische Maßnahmen schlägt die ISO 27032 zur Erlangung von Cybersicherheit vor:

1. Sicher programmierter Code

Das Ziel des sogenannten „Secure Coding“ liegt darin sicherzustellen, dass alle Daten, die über ein Netzwerk empfangen und gesendet werden, verschlüsselt sind und nur vom angedachten Empfänger entschlüsselt werden können. Secure Coding stellt demnach sicher, dass vertrauliche Daten nicht von Dritten abgefangen oder gestohlen werden können.

2. Netzwerküberwachung und NDR-Sicherheit

Monitoring der Netzwerke stellt sicher, dass Netzwerkdienste stabil und zuverlässig funktionieren. Daneben schützt es die Netze vor Schadaktivitäten, wie Denial-of-Service-Attacken (DDoS) oder die Ausnutzung von Schwachstellen im Softwarecode. Network Detection & Response (NDR) sorgt für die Abwehr und Minimierung von Schäden, die von solchen Attacken verursacht werden, und stellt im Angriffsfall die Funktionsfähigkeit der Netze sehr schnell wieder her.

3. Kontrollen auf Serverebene

Hierbei geht es darum, sicheren Zugriff aus dem Cyberspace auf die eigenen Server zu gewähren und sie vor unautorisiertem Zugriff zu schützen. Dies lässt sich erreichen, indem auf jedem Server Mechanismen zur starken Authentifizierung implementiert werden, indem der gesamte Datenverkehr zwischen den Servern verschlüsselt wird oder indem für alle Anwendungen im Softwareentwicklungslebenszyklus ein Managementsystem für sichere Konfigurationen eingerichtet wird.

4. Kontrollen auf Anwendungsebene

Maßnahmen, die auf dieser Ebene zur Anwendung kommen: starke Authentifizierung bei jeder Applikation, Verschlüsselung aller Daten mit starkem Schlüsselmanagement sowie Pflicht zur klaren Dokumentation, wie Daten bearbeitet und gespeichert werden.

5. Kontrollen an den Arbeitsplätzen der Nutzer

Diese Maßnahmen schützen die End-User-Infrastruktur im gesamten Unternehmen vor bekannten Schwachstellen und Attacken. Sie lassen sich mit einem Mix aus Aufklärung, Schulungen und Awareness-Programmen bei der Belegschaft implementieren.

Was sind die Vorteile von Cybersecurity Management?

Die ISO 27032 behandelt ebenfalls die Verwaltung von Cybersicherheitsprotokollen. Sollten Sie noch keine Strategie zum Managen Ihrer Cybersicherheit haben, empfehlen wir Ihnen, die folgenden wichtigen Punkte in Ihren Überlegungen zu berücksichtigen.

Cybersecurity Management kann Sie wie folgt unterstützen:

Es schützt die Daten und Datensicherheit Ihres Unternehmens vor Cybergefahren – ISO 27032 ist eine effektive Cybersicherheitsstrategie, die unternehmenseigene Informationen und Daten vor Hackern und anderen Cyberkriminellen schützt. Daneben bietet sie Antworten darauf, wie am besten mit weit verbreiteten Cybergefahren umzugehen ist, denen die Geräte einzelner Anwender, die Netzwerke oder die kritische Infrastruktur ausgesetzt sind.

Es stärkt die Fachkenntnisse innerhalb Ihrer Organisation und die dauerhafte Umsetzung/Aufrechterhaltung Ihres Cybersicherheitsprogramms – Die ISO 27032 deckt die vollständige Palette an Maßnahmen ab: von Risikoanalyse über Informationssicherheitsmanagement bis hin zu Vorfallsmanagement und Business Continuity-Planung. Sie bietet außerdem eine Richtschnur, wie Sie im Unternehmen eine Cybersicherheitskultur etablieren und Schulungsprogramme entwickeln, die Ihren Mitarbeitenden helfen, ihre geschäftlichen Ziele zu erreichen.

Es stärkt das Vertrauen aller Beteiligten in Ihre Sicherheitsmaßnahmen – Alle Parteien, mit denen Sie als Unternehmen zu tun haben, sind sich der Gefahren durch Cyberangriffe zunehmend bewusst. Sie möchten daher sicherstellen, dass ihre personenbezogenen Daten sicher geschützt und im Cyberspace keinem Risiko ausgesetzt sind. Unternehmen, die Maßnahmen zur Erhöhung ihrer Cybersicherheit ergreifen, erhöhen daher das Vertrauen ihrer Konsumenten.

Es sorgt für schnellere Reaktion und Wiederaufnahme des Geschäftsbetriebs im Angriffsfall – Vorhandene Cybersicherheitsprozesse sorgen bei einer Cyberattacke dafür, dass Sie schnell reagieren und entstandene Schäden schnell beheben können. Dies verhindert gegebenenfalls Rechtsklagen oder hohe Strafen, die mit dem Verlust von Daten einhergehen können.

Wie können Sie Cybersicherheit dauerhaft aufrecht erhalten?

Nach dem Einrichten von Maßnahmen zur Gewährleistung von Cybersicherheit und der Aufsetzung einer starken Managementstrategie nach ISO 27035 ist es ebenso wichtig dafür zu sorgen, dass die Prozesse dauerhaft korrekt aufrecht erhalten und gepflegt werden.

Über regelmäßiges Training Ihrer Mitarbeitenden können Sie erreichen, dass sie wachsam bleiben und genau wissen, wie sie sich in einem Angriffsfall oder bei einem sonstigen Cybersicherheitsvorfall zu verhalten haben. Damit sparen Sie im Ernstfall wertvolle Zeit und können den Vorfall so lange eindämmen, bis er gelöst ist.

Regelmäßige Überarbeitung und Überwachung der implementierten Strategie sorgen für effiziente Umsetzung der einzelnen Kontrollen. Bestehen Lücken in Ihrer Strategie, werden diese im Rahmen der regelmäßigen Überprüfung aufgedeckt und können noch rechtzeitig geschlossen werden.

Fazit

Cybersicherheit ist bereits in den meisten Unternehmen ein Muss und stellt inzwischen eine wichtige Komponente der Compliance-Verfahren für Datensicherheit dar. Für Unternehmen, die erst noch Prozesse zur Cyberabsicherung ihrer Systeme einrichten müssen, stellt die ISO 27032 die ideale Lösung dar. Denn sie hilft nicht nur, Lücken innerhalb der Organisation zu erkennen, sondern schlägt auch die nötigen Mittel vor, um diese zu schließen.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels