In den vergangenen BlogArtikeln haben wir sehr viel über die Anforderungen an ein Informationssicherheitsmanagementsystems (kurz ISMS) kennengelernt. Wie die Umsetzung aussieht, wie man idealerweise vorgeht, fehlt aber komplett. Hier können die Standards 200-x des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) helfen. © Storyblocks, Registriert auf Andreas Wisler Das BSI hatte bereits im Dezember 2005 die ...
Das Cybersecurity Framework (CSF) des NIST (National Institute of Standards and Technology) ist ein Leitfaden, der Unternehmen hilft, die Risiken in der Informationssicherheit zu erfassen und zu verwalten. Bestehende Standards, Richtlinien und Praktiken werden darin referenziert. Die Schweiz hat das Framework übernommen und als IKT-Minimalstandard veröffentlicht. Es richtet sich vor allem an kritische Infrastrukturen, ist aber auch für Unternehme...
Jedes Unternehmen besitzt Werte (Englisch: Assets), die es zu schützen gilt. Das Kapitel A.8 nimmt sich diesem Thema an und verlangt, dass diese Werte identifiziert und angemessene Verantwortlichkeiten zum Schutz definiert werden. © Storyblocks, Registriert auf Andreas Wisler Erfassen der Werte In einem ersten Schritt gilt es, alle Werte zu erfassen. Idealerweise werden diese in Kategorien gesammelt. Dies könnten beispielsweise sein: Arbeitsplatz...
Ein Informationssicherheitsmanagementsystem, kurz ISMS, aufzubauen, benötigt viel Zeit, Wissen und Erfahrung. Das ISMS umfasst standardisierte Verfahren, Richtlinien und vorgegebene Massnahmen, um Risiken zu minimieren und Unternehmenswerte zu schützen. Die Anforderungen aus ISO 27001 (und anderen Normen) können zwar mit Word und Excel erstellt werden. Doch gerade die Erarbeitung im Team oder für die Nachvollziehbarkeit ist dies eine echte Heraus...
Vor einigen Monaten durfte ich für eine mittelgrosse Krankenkasse ein Mandat als IT-Sicherheitsbeauftragter (kurz IT-SiBe) übernehmen. Wie meistens gibt es beim Start viel zu tun und viele Entscheidungen zu treffen. Dabei ist es wichtig, wie diese Rolle organisatorisch in das Unternehmen eingebunden ist. Ist diese zu tief oder gar an der falschen Stelle angehängt, kann es sein, dass die Wege lange sind oder Informationen verloren gehen. Sind dann...
In diesem Blogbeitrag vergleicht Can Adiguzel TISAX® mit ISO27001, taucht tief in beide Normen ein und fasst die Ergebnisse zusammen. Dabei wird nicht nur auf die Unterschiede eingegangen, sondern auch Gemeinsamkeiten und Synergien zwischen den beiden Standards aufgezeigt. Hier ist ein umfassender Vergleich zwischen TISAX® und ISO 27001. Hier geht es zum Original Post: https://360dt.de/tisax-iso-27001/ Was sind die ...
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 27. August 2021 die revidierten EU-Standardvertragsklauseln für eine Datenübermittlung in Länder ohne ein angemessenes Datenschutzniveau grundsätzlich anerkannt. Erforderlich ist allerdings, dass gewisse Anpassungen vorgenommen werden. © Storyblocks, Registriert auf Andreas Wisler Was ist der Hintergrund?Seit dem 15. Juni 2021 gelten die neuen EU-Standardvertragsklauseln...
In vielen Unternehmen wird auf Open Source Software zurückgegriffen. Vermeintlich kostenlos wird die gewünschte Anwendung aus dem Internet heruntergeladen und auf dem Firmencomputer installiert. Doch Open Source ist nicht per se kostenlos, hohe Schadenersatzforderungen können die Folge sein. Wichtig daher, sich mit den verschiedenen Lizenz-Formen auseinanderzusetzen. © Storyblocks, Registriert auf Andreas Wisler Eine Lizenz stellt einen Vertrag z...
Wurde ein erfolgreicher Cyber-Angriff auf ein Unternehmen verübt, gilt es Spuren zu sichern, um den Vorfall und das Vorgehen nachvollziehen zu können. Dabei gilt es einige Dinge zu beachten, um diese auch gerichtlich verwerten zu können (Beweismittel) und nicht Spuren zu zerstören. Hier kommt die IT-Forensik zum Einsatz. Wir kennen dies von TV-Sendungen wie CSI. Dich im echten Leben ist es doch nicht so einfach und so schnell. © Storyblocks...
In der Software-Entwicklung sind agile Methoden schon viele Jahre bekannt und werden gelebt. Die Produktivität und die Arbeitszufriedenheit erhöhen sich. Die Qualität leidet dabei nicht und konnte sogar verbessert werden. Doch wie sieht das in der Informationssicherheit aus? Können auch hier agile Werkzeuge helfen, diese zu erhöhen? © Storyblocks, Registriert auf Andreas Wisler Was ist Kanban? Vielen ist Kanban nur als «viele Post-Its...
Bereits viele Jahre wurde uns das neue Datenschutzgesetz versprochen. Immer wieder wurde es nach hinten verschoben. Nach vierjährigem Gesetzgebungsprozess wurde es Ende September 2020 vom Parlament verabschiedet. In Kraft ist es jedoch noch nicht, es fehlt die Verordnung dazu. Darin werden die Details geregelt. Am 23. Juni 2021 war es dann so weit, der Bundesrat hat den Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzges...
Monitoringsysteme zur Überwachung der Verfügbarkeit und schneller Reaktion auf Probleme sind heutzutage bei allen Unternehmen im Einsatz. Systeme, die die IT-Sicherheit und Policy-Verletzungen überwachen, sind hingegen selten anzutreffen. Die ISO 27001 fordert im Kapitel A.12.4 «Protokollierung» entsprechende Vorgaben. Dieser Artikel gibt eine Einführung in das Thema SIEM und Protokollierung. © Storyblocks, Registriert auf Andreas Wisler Dass ein...
Dieser Beitrag zeigt auf, was in welchen Kapitel der ISO 27001 Norm enthalten ist. Wo ein Dokument Pflicht ist, ist dies erwähnt. Die einzelnen Artikel gehen auf die Details ein. © Storyblocks, Registriert auf Andreas Wisler 4 Kontext der Organisation Im «ersten» Kapitel geht es darum die eigene Firma vorzustellen. Was macht die Firma, wer sind die interessierten Parteien, was haben diese für Erwartungen. Weiter gilt es den Anwendungs...
Wie schnell kann es passieren, und ein System fällt aus? Oder ein Hacker verschafft sich Zugriff auf das Firmen-Netzwerk und verschlüsselt alle Dateien? Oder ein Naturereignis zerstört Teile der Infrastruktur? Oder ein wichtiger Mitarbeitender fällt aus? Die Gründe für einen Unterbruch der (IT-) Dienstleistungen sind vielzählig. Daher ist es wichtig, sich bereits vor dem Eintreten eines solchen Ereignisses Gedanken zu machen und entsprechende Vor...
Um die Cloud führt heute praktisch kein Weg mehr vorbei. Viele Dienste laufen direkt in der Cloud oder nutzen Cloud-Speicher im Hintergrund. Oft werden auch schützenswerte oder sensitive Daten dem Cloud-Anbieter übergeben. Daher ist es wichtig, den richtigen Partner zu haben. Die ISO 27018 ermöglicht es dem Anbieter seinen Kunden zu zeigen, dass er sicher mit den anvertrauten Daten umgeht. Die ISO/IEC 27018 wurde im Januar 2019 in der zweit...
Wer misst, misst Mist. Diesen Satz lernte ich gleich zu meiner Ausbildung zum Elektroniker. Dies gilt nicht nur bei der Elektrotechnik, auch bei der Messung der Informationssicherheit ist es wichtig zu definieren, was gemessen wird, wie dies durchgeführt wird und wie die Ergebnisse zu interpretieren sind. Die ISO 27004 hilft, genau dies durchzuführen. © Storyblocks, Registriert auf Andreas Wisler Die Informationssicherheit zu messen, ist e...
Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welch...
An dieser Stelle folgen nach und nach Ressourcen rund um das Thema der ISO-Normen. © Storyblocks, Registriert auf Andreas Wisler ISACA Implementierungsleitfraden ISO/IED 27001:2013BSI - Fragebogen zur SelbsteinschätzungBSI - Leitfaden zur ImplementierungIT Unlimited - In 12 Schritten zur erfolgreichen ISO-IEC_27001_ZertifizierungHalkyn Consulting - ISO27001 compliance checklistGRC21 - ISO 27001 Implementation
Der erste Artikel dieser ISO-Reihe zeigte eine Übersicht über die ISO-Normen 27001 und 27002. Der zweite Teil geht auf das Kapitel 4 «Kontext des Unternehmens» ein. Aus meiner Erfahrung haben die Unternehmen damit am meisten Mühe. Da dies jedoch die Basis für alle weiteren Dokumente, Definitionen und Messpunkte darstellt, sollte genügend Zeit dafür reserviert werden. In einem ersten Schritt gilt es die folgende Anforderung zu erfüllen: «Die Organ...
Der dritte Teil geht auf das Normenkapitel 5 – Führung ein. Es genügt (nicht) mehr, dass die Geschäftsleitung zwar den Auftrag gibt, aber nicht aktiv mitarbeitet und die Umsetzung nicht unterstützt. Im BSI 100-1 steht sogar «Wenn Zielvorgaben aufgrund fehlender Ressourcen nicht erreichbar sind, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt bzw. die erforderli...