Alternativen zu ISO 27001

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit und Wissen. Die ISO 27001 ist dazu der Standard, der als Referenz dient. Der erste Teil der Norm beschreibt den Aufbau des ISMS. Darin enthalten sind der Kontext, die Ressourcen, die Risiko-Bewertung, Audits und Verbesserungen. Ergänzt kommen 114 (Version 2013) bzw. 93 Massnahmen (Version 2022) dazu. Die Norm gilt als komplex in der Umsetzung. Mit mindestens einem J...

Continue reading
  52 Hits
Tags:

Umsetzung eines ISMS mit BSI-Standards

In den vergangenen BlogArtikeln haben wir sehr viel über die Anforderungen an ein Informationssicherheitsmanagementsystems (kurz ISMS) kennengelernt. Wie die Umsetzung aussieht, wie man idealerweise vorgeht, fehlt aber komplett. Hier können die Standards 200-x des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) helfen.    © Storyblocks, Registriert auf Andreas Wisler  Das BSI hatte bereits im Dezember 2005 die ...

Continue reading
  141 Hits
Tags:

NIST Cybersecurity Framework

Das Cybersecurity Framework (CSF) des NIST (National Institute of Standards and Technology) ist ein Leitfaden, der Unternehmen hilft, die Risiken in der Informationssicherheit zu erfassen und zu verwalten. Bestehende Standards, Richtlinien und Praktiken werden darin referenziert. Die Schweiz hat das Framework übernommen und als IKT-Minimalstandard veröffentlicht. Es richtet sich vor allem an kritische Infrastrukturen, ist aber auch für Unternehme...

Continue reading
  75 Hits
Tags:

Der Weg zur Zertifizierung

Die Informationssicherheit ist ein wichtiges Thema. Auch in der Schweiz ist immer wieder von erfolgreichen Angriffen zu lesen, teilweise mit gravierenden Folgen für das betroffene Unternehmen. Mit dem Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS, wird dieses Thema nicht nur punktuell, zum Beispiel in der IT, angeschaut, sondern über das gesamte Unternehmen. Die Krönung ist die Zertifizierung nach ISO 27001. Akkreditierte Audit...

Continue reading
  336 Hits
Tags:

ISMS mit Tools

Ein Informationssicherheitsmanagementsystem, kurz ISMS, aufzubauen, benötigt viel Zeit, Wissen und Erfahrung. Das ISMS umfasst standardisierte Verfahren, Richtlinien und vorgegebene Massnahmen, um Risiken zu minimieren und Unternehmenswerte zu schützen. Die Anforderungen aus ISO 27001 (und anderen Normen) können zwar mit Word und Excel erstellt werden. Doch gerade die Erarbeitung im Team oder für die Nachvollziehbarkeit ist dies eine echte Heraus...

Continue reading
  822 Hits
Tags:

CISO und IT-SiBE sind das Gleiche. Oder doch nicht?

Vor einigen Monaten durfte ich für eine mittelgrosse Krankenkasse ein Mandat als IT-Sicherheitsbeauftragter (kurz IT-SiBe) übernehmen. Wie meistens gibt es beim Start viel zu tun und viele Entscheidungen zu treffen. Dabei ist es wichtig, wie diese Rolle organisatorisch in das Unternehmen eingebunden ist. Ist diese zu tief oder gar an der falschen Stelle angehängt, kann es sein, dass die Wege lange sind oder Informationen verloren gehen. Sind dann...

Continue reading
  623 Hits
Tags:

Open Source, wirklich kostenlos?

In vielen Unternehmen wird auf Open Source Software zurückgegriffen. Vermeintlich kostenlos wird die gewünschte Anwendung aus dem Internet heruntergeladen und auf dem Firmencomputer installiert. Doch Open Source ist nicht per se kostenlos, hohe Schadenersatzforderungen können die Folge sein. Wichtig daher, sich mit den verschiedenen Lizenz-Formen auseinanderzusetzen. © Storyblocks, Registriert auf Andreas Wisler Eine Lizenz stellt einen Vertrag z...

Continue reading
  364 Hits
Tags:

ISO 27022 - Informationssicherheitsprozesse

Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Die neue Norm definiert Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu schliessen. Zeit also, diese etwas genauer anzuschauen.   © Storyblocks, Registriert auf Andreas Wisler Die Norm trägt den offiziellen Titel «Information technology — Guidance on information security management syst...

Continue reading
  978 Hits
Tags:

Forensik – Spurensicherung

 Wurde ein erfolgreicher Cyber-Angriff auf ein Unternehmen verübt, gilt es Spuren zu sichern, um den Vorfall und das Vorgehen nachvollziehen zu können. Dabei gilt es einige Dinge zu beachten, um diese auch gerichtlich verwerten zu können (Beweismittel) und nicht Spuren zu zerstören. Hier kommt die IT-Forensik zum Einsatz. Wir kennen dies von TV-Sendungen wie CSI. Dich im echten Leben ist es doch nicht so einfach und so schnell. © Storyblocks...

Continue reading
  763 Hits
Tags:

Kanban - Werkzeug für die IT-Sicherheit?

In der Software-Entwicklung sind agile Methoden schon viele Jahre bekannt und werden gelebt. Die Produktivität und die Arbeitszufriedenheit erhöhen sich. Die Qualität leidet dabei nicht und konnte sogar verbessert werden. Doch wie sieht das in der Informationssicherheit aus? Können auch hier agile Werkzeuge helfen, diese zu erhöhen?   © Storyblocks, Registriert auf Andreas Wisler Was ist Kanban? Vielen ist Kanban nur als «viele Post-Its...

Continue reading
  463 Hits
Tags:

Revidierte Verordnung zum Datenschutzgesetz

Bereits viele Jahre wurde uns das neue Datenschutzgesetz versprochen. Immer wieder wurde es nach hinten verschoben. Nach vierjährigem Gesetzgebungsprozess wurde es Ende September 2020 vom Parlament verabschiedet. In Kraft ist es jedoch noch nicht, es fehlt die Verordnung dazu. Darin werden die Details geregelt. Am 23. Juni 2021 war es dann so weit, der Bundesrat hat den Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzges...

Continue reading
  402 Hits
Tags:

SIEM - Protokollierung und Überwachung

Monitoringsysteme zur Überwachung der Verfügbarkeit und schneller Reaktion auf Probleme sind heutzutage bei allen Unternehmen im Einsatz. Systeme, die die IT-Sicherheit und Policy-Verletzungen überwachen, sind hingegen selten anzutreffen. Die ISO 27001 fordert im Kapitel A.12.4 «Protokollierung» entsprechende Vorgaben. Dieser Artikel gibt eine Einführung in das Thema SIEM und Protokollierung. © Storyblocks, Registriert auf Andreas Wisler Dass ein...

Continue reading
  1390 Hits
Tags:

ISO 22301 – Vorbereitung auf den Ernstfall – Business Continuity

Wie schnell kann es passieren, und ein System fällt aus? Oder ein Hacker verschafft sich Zugriff auf das Firmen-Netzwerk und verschlüsselt alle Dateien? Oder ein Naturereignis zerstört Teile der Infrastruktur? Oder ein wichtiger Mitarbeitender fällt aus? Die Gründe für einen Unterbruch der (IT-) Dienstleistungen sind vielzählig. Daher ist es wichtig, sich bereits vor dem Eintreten eines solchen Ereignisses Gedanken zu machen und entsprechende Vor...

Continue reading
  1348 Hits
Tags:

ISO 27018 - Sicherheit in Cloud-Diensten

Um die Cloud führt heute praktisch kein Weg mehr vorbei. Viele Dienste laufen direkt in der Cloud oder nutzen Cloud-Speicher im Hintergrund. Oft werden auch schützenswerte oder sensitive Daten dem Cloud-Anbieter übergeben. Daher ist es wichtig, den richtigen Partner zu haben. Die ISO 27018 ermöglicht es dem Anbieter seinen Kunden zu zeigen, dass er sicher mit den anvertrauten Daten umgeht.  Die ISO/IEC 27018 wurde im Januar 2019 in der zweit...

Continue reading
  1164 Hits
Tags:

ISO 27004 - Informationssicherheit messen

Wer misst, misst Mist. Diesen Satz lernte ich gleich zu meiner Ausbildung zum Elektroniker. Dies gilt nicht nur bei der Elektrotechnik, auch bei der Messung der Informationssicherheit ist es wichtig zu definieren, was gemessen wird, wie dies durchgeführt wird und wie die Ergebnisse zu interpretieren sind. Die ISO 27004 hilft, genau dies durchzuführen.   © Storyblocks, Registriert auf Andreas Wisler Die Informationssicherheit zu messen, ist e...

Continue reading
  1647 Hits
Tags:

ISO 27002:2022 – Die Informationssicherheit in neuem Gewand

Mitte Februar wurde die ISO 27002:2022 veröffentlicht. Der Draft wurde bereits am 28. Januar 2021 den interessierten Personen zur Verfügung gestellt. Nach neun Jahren ist nun der Nachfolger der ISO 27002:2013 verfügbar. Während die Anforderungen an das ISMS (ISO 27001) unverändert bleiben, hat sich bei den so genannten Controls einiges getan. Dieser Artikel zeigt, was Sie erwartet und wie Sie die Veränderungen umsetzen können. Sollten S...

Continue reading
  5783 Hits
Tags:

Audit – Planung und Durchführung

An ein Audit werden hohe Anforderungen gestellt. Es geht nicht darum, mal schnell zu schauen und einen Bericht zu erstellen, sondern das Audit stellt eine Qualitätskontrolle dar. Werden die aus Normen und Standards, aber auch aus eigenen Richtlinien definierten Tätigkeiten auch entsprechend umgesetzt und gelebt? Einen Schuldigen für Fehler zu suchen, ist aber nicht das Ziel, sondern Abweichungen und Verbesserungsmöglichkeiten zu erkennen. Als Erg...

Continue reading
  1394 Hits
Tags:

Der Security Kreislauf

Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden. &nbs...

Continue reading
  1056 Hits
Tags:

Business Impact Analyse – Genügend vorbereitet auf einen Notfall

Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welch...

Continue reading
  1196 Hits
Tags:

ISO 27003 - Umsetzung eines ISMS

Viele Unternehmen sind daran ein Informationssicherheitssystem aufzubauen und damit die IT-Sicherheit nachhaltig zu erhöhen. Doch der Start stellt sich oft sehr harzig dar. Wo soll man nur beginnen? Welche Reihenfolge macht Sinn? Nur die ISO 27001 Norm zu lesen bietet zwar eine gute Übersicht und Einführung in die Thematik, doch was genau bei jedem Punkt verlangt wird, ist nicht immer auf den ersten Blick klar. Die ISO 27003 kann hier eine gute U...

Continue reading
  2072 Hits
Tags: