Die neue ISO / IEC 17799: Zertifizierung von Informationssicherheit in Spanien

PDF Zur Publikation in K & R

Ausgangslage

Informationen stellen Werte dar, deren Verlust oder Missbrauch ein Unternehmen empfindlich beeinträchtigen können. Information ist zweckbezogenes Wissen, das ein Unternehmen beim Handeln im Hinblick auf gesetzte Ziele benötigt (1). Mit wachsender Ausbreitung der Informationstechnologie und der fortschreitenden Vernetzung der Informatikmittel müssen Unternehmen und Organisationen mit neuen Sicherheitsrisiken fertig werden. Der Wettbewerb zwingt sie, auch in die Sicherung der immateriellen Werte zu investieren, um ihre Marktposition nicht zu gefährden. In Unternehmen und Behörden werden Informationen erzeugt, weitergegeben, aufbewahrt, verändert und wieder vernichtet. Dahinter steckt oft ein erheblicher Aufwand, der erbracht und bezahlt werden muss. Diesen Teil des Betriebsvermögens zu sichern und die Integrität der Informationsinhalte zu gewährleisten, ist daher eine Frage des Überlebens. In Anbetracht dessen darf Informationssicherheit nicht allein unter dem Kostenfaktor gesehen werden, sondern als Vorleistung, um Verluste zu vermeiden. Sicherheitsmaßnahmen bilden die Grundlage, um eine angemessene Informationssicherheit zu erreichen. Die große Komplexität des Themas und der galoppierende Fortschritt und Wandel im Bereich Informatik und Telekommunikation zwingen im Bereich der Informationssicherheit zu umfassenden und klar strukturierten Maßnahmen.

Die ISO (2) 17799

Die sogenannte ISO 17799 entstand vornehmlich aus dem Bedürfnis von Handel und Industrie nach einfach einsetzbaren Sicherheitsstandards. Hauptziel war es, eine gemeinsame Basis für Unternehmen und alle sonstigen Daten verarbeitenden Organisationen zu erstellen, die eine effektive Sicherheitsorganisation entwickeln, implementieren und messen wollen.

ISO ist eine nicht staatliche Dachorganisation der nationalen Standardisierungsbehörden und bemüht sich u. a. um die Angleichung der nationalen Normen. Die Mitglieder der 1947 entstandene Einrichtung sind Gesellschaften aus mehr als 140 Ländern, die Standardnormierungen auf nationaler Ebene aufstellen (3). Dazu gehören z. B. ANSI und DIN. Gemeinsames Ziel ist, die Entwicklung einer Normierung, um den internationalen  Waren- und Dienstleistungsaustausch zu fördern. Hierzu werden sogenannte Standards entwickelt. Darunter versteht man dokumentierte Vereinbarungen, die technische Spezifikationen und sonstige Kriterien aufstellen. Sie dienen als Richtlinien bzw. Definitionen und sollen gewährleisten, dass Waren, Produkte, Prozesse und Dienstleistungen gleichsam bestimmte Kriterien erfüllen. Deshalb werden sie allgemein auch als Qualitätsnormen bezeichnet.

1. Der Ursprung

Die ISO 17799 ist eine Qualitätsnorm, die sich unmittelbar vom British Standard (BS) 7799 ableitet. Unter der Leitung des Department of Trade and Industry (UK) und mit Hilfe einer Gruppe von führenden Organisationen wurde ein Code erarbeitet und im September 1993 offiziell verabschiedet. Zwei Jahre später erhielt dieser Code den offiziellen Status eines Britischen Standards (BS 7799), was es Unternehmen ermöglicht, sich entsprechend zertifizieren zu lassen (4).

2. Entwicklung

Die ISO hat nunmehr zusammen mit der internationalen elektrotechnischen Kommission (IEC) die Bearbeitung bzw. Anpassung der erfolgreichen BS 7799 in Angriff genommen und die ISO Norm 17799 entwickelt. Die ISO 17799 besteht wie das BS 7799 aus zwei Teilabschnitten. Die ISO 17799- 1, die weitgehendst dem BS 7799 – 1 entspricht wurde im Dezember 2000 verabschiedet und beinhaltet einen Code of Practice (Verhaltenskodex) zum Informationsmanagement. Dieser Kodex enthält eine Sammlung von rund 110 allgemein anerkannten Sicherheitsanforderungen, die grundsätzlich und für jedes Unternehmen gültig sind – sogenannte Baseline Controls oder Grundschutz-Maßnahmen. Die Struktur ist klar sie besteht aus zehn Hauptkapitel und ermöglicht es im doch recht komplexen Themenkreis Sicherheit die Übersicht zu bewahren. Bei den genannten zehn Hauptbereichen handelt es sich um:

(1) Sicherheitspolitik

(2) Sicherheitsorganisation

  • Informationssicherheitsinfrastruktur
  • Sicherheit bei Zugriff durch Dritte
  • Sicherheit bei Outsourcing

(3) Klassifizierung und Überwachung der Anlagen und Bestände

  • Inventarisierung
  • Hardware und Software
  • Schutzniveau festlegen

(4) Personelle Sicherheit

  • Auswahl und Ausbildung von Personal
  • Reaktionen auf Sicherheitsvorfälle / Fehlfunktionen

(5) Physische und umgebungsbezogene Sicherheit

  • Sicherheitsbereichen
  • Sicherheit der Einrichtungen

(6) Management der Kommunikation und Betriebsabläufe

  • Betriebsverfahren und -verantwortlichkeiten
  • Systemplanung, Annahme, Tests
  • Schutz vor virusbehafteter Software
  • Innerbetriebliche Sicherheitsmaßnahmen wie
  • Sicherheitskopien wichtiger Geschäftsdaten etc.
  • Netzwerkmanagement und -sicherheit
  • Umgang mit entfernbaren Medien
  • Informations- und Softwareaustausch

(7) Zugriffsüberwachung

  • Vergabe und Verwaltung von Zugriffsgruppen und deren Berechtigungen
  • Verantwortung der Benutzer
  • Netzzugriffsüberwachungen
  • Betriebssystemzugriffsüberwachungen
  • Anwendungszugriffsüberwachungen
  • Überwachung des Systemzugriffs und der Systembenutzung
  • Mobiles Arbeiten und Teleworking

(8) Systementwicklung und -wartung

  • Analyse der Sicherheitsforderungen
  • Sicherheit in Anwendungssystemen
  • Überwachung der Verschlüsselung
  • Sicherheit von Systemdateien
  • Sicherheit in Entwicklungs- und Wartungsprozessen

9) Geschäftskontinuitätsplanung

  • Planung und Überwachung bzgl. ihrer Effektivität für den Verlustfall

(10) Einhaltung der Vorgaben

  • Einhaltung gesetzlicher Forderungen
  • Review der Sicherheitspolitik
  • Systemauditgrundlagen und -zielstellungen

Zusammenfassend lässt sich sagen, dass es sich bei dem zuvor erwähnten Bereichen um eine Richtschnur für Unternehmen und Organisationen handelt, in der festgelegt wird, was das Unternehmen machen sollte, um eine effektive Sicherheitsverwaltung der Information zu erreichen. In diesem ersten Teil werden nur Ratschläge und Vorschläge unterbreitet, so dass man insoweit noch kein Zertifikat erlangen kann (5).

Zur Zeit arbeitet eine internationale Sachverständigengruppe im Auftrag der ISO an der ISO 17799 – 2, die voraussichtlich im Juni 2003 verabschiedet wird. In diesem zweiten Teil, der sogenannte besonderer Teil für das Sicherheitsverwaltungssystem der Information werden 127 Kontrollen festgelegt, die das Unternehmen im Rahmen der effektiven Sicherheitsverwaltung der Information einführen muss. Es beinhaltet folglich die zwingend einzuhaltende Schritte auf deren Grundlage dann ein entsprechendes Sicherheitszertifikat ausgestellt wird (6).

3. Nutzen und Zielsetzung

Die Zielsetzung der ISO / IEC 17799 ist es Organisationen aller Branchen und Größen zu ermöglichen, sich Klarheit über die Komplexität ihrer Informationstechnologie und deren Sicherheit zu verschaffen. Man ist sich jedoch bewusst, dass absolute Sicherheit unmöglich ist. Die Information ist ein sehr sensibles Gut, deren Sicherungsvorgaben gerade vor externen und internen Bedrohung schützen und den reibungslosen Ablauf der Unternehmenstägtigkeit garantieren soll, sowie mögliche Schäden minimieren und gleichzeitig die Geschäftsmöglichkeiten maximieren soll. Insbesondere soll durch diese Norm das Vertrauen des Verbrauchers, ein wesentliches Kriterium im Telekommunikationswesen und E – Commerce, gestärkt werden.

Die Informationssicherheit muss daher die Fähigkeit eines Netzes oder Informationssystems sein, mit einem vorgegebenen Niveau Störungen oder feindliche Attacken abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von gespeicherten oder übermittelten Daten und damit zusammenhängenden Diensten, die über dieses Netz oder Informationssystem  angeboten werden bzw. zugänglich sind, beeinträchtigen (7).

Es sind viele Unternehmen, die deshalb das bereits existente BS 7799 – 2 Zertifikat begehren. Ihr Ziel ist es ihr Image vor den Kunden zu verbessern und eine Sensibilisierung gegenüber dem Bedürfnis nach Datenschutz und letztendlich den Schutz der Privatsphäre zu signalisieren (8). Im Juli 2002 belief sich die Zahl der Unternehmen, die das Zertifikat des BS 7799-2 innehatten schon auf 140. Die Unternehmen stammen aus vierundzwanzig verschiedenen Ländern. Darunter befinden sich vorwiegend Unternehmen aus dem technologischen Bereich und aus der Telekommunikationswelt.

Der große Vorteil der ISO / IEC 17799 liegt darin, dass es im Vergleich zu anderen entsprechenden Gütesiegeln, die Zuständigkeit für Beglaubigungen – unter Berücksichtigung nationaler oder internationaler (BS, ISO) Qualitätsnormen – einem gesetzlich anerkannten und unabhängigen Dritten zuweist ( AENOR, LGAI, BuroVeritas usw.).

4. Juristische Aspekte der ISO/ IEC 17799

Die ISO begründet die Pflicht alle auf die Sicherheit der Information anwendbare Gesetze zu befolgen und systematisiert somit das sogenannte Recht der Informationstechnologien (IT Law). Der Schwerpunkt wird jedoch auf die Verwaltung der Sicherheit der Information gesetzt. Die Norm über die Sicherheitsverwaltung der Information setzt in seinem zwölften Kapitel dabei die Voraussetzungen fest, die jede Organisation erfüllen muss, um das gewünschte Zertifikat zu erlangen.

Aus juristischer Sicht werden in der ISO folgende Rechtsgebiete tangiert: Persönlicher Datenschutz, Urheberrecht, E – Commerce, Arbeitsrecht, sowie das Prozeßrecht, sofern es die Thematik der Beweiskraft der Information betrifft.

5. mittel bzw. Vorgehensweise im Sicherheits-management der Information

Um die Verwaltung der Sicherheit der Information zu optimieren, hat die ISO die Teilbereiche Sicherheit der Informatik (notwendige technische Ressourcen im Informationssystem des Unternehmens, wie z.B. Eingangskontrolle, firewalls, antivirus) und Organisatorische Aspekte (Übertragung und Verteilung der Haftung innerhalb des Unternehmens, Einführung einer Disziplinarordnung) getrennt geregelt und verschiedene Voraussetzungen festgesetzt. Nachfolgend werden die organisatorische Aspekte dargestellt:

a) Technische Mittel

  • § Grundlegende Sicherheitsmaßnahmen: Sicherheitsdokument, Funktionen und Verpflichtungen des Personals, Verzeichnis der Zwischenfälle, Identifizierung der Benutzer, Eingangskontrollen, Verwaltung der Datenträger und Sicherheitskopien und Datenwiederherstellung.
  • § Mittlere Sicherheitsmaßnahmen: Zusätzlich, die Verpflichtung alle zwei Jahre eine Betriebsprüfung durchzuführen.
  • § Hohe Sicherheitsmaßnahmen: Neben den grundlegenden und mittleren Sicherheitsmaßnahmen noch die Registrierung der Eingänge und die Verzeichnung der Telekommunikation.

Hervorzuheben ist Artikel 12 der die Pflichten der Netzprovider und Server sowie der Hotelbranche regelt. Diese Vorschrift sieht vor, dass die Daten bis zu maximal zwölf Monate gespeichert werden dürfen.

Es wird darüber hinaus geplant folgende Kriterien einzuführen bzw. auszuarbeiten:

b) Organisatorische Mittel

  • § Art der Daten, die je nach Dienstleistung gespeichert werden müssen
  • § Zwingende Speicherungsfrist
  • § Voraussetzungen für Speicherung, Verarbeitung und Schutz

In den Artikeln 13 – 17 wird die Haftung bei Verstößen gegen die zuvor genannten Voraussetzungen  festgelegt.

c) der strafrechtliche Aspekt

Darüber hinaus enthält die ISO einen strafrechtlichen Bereich, indem Sanktionen für Zuwiderhandlungen geregelt werden. Die ISO sieht Geldstrafen bis zu 600.000 € vor, sowie vorläufige (einstweilige) Maßnahmen. Besonders erwähnenswert sind:

  • § Vorübergehende Aufhebung der Tätigkeit des Serviceanbieters.
  • § Versiegelung, Aufbewahrung oder Beschlagnahme der Register, Datenträger und EDV – Archive.
  • § Öffentliche Bekanntgabe der normwidrigen Verstöße.

Es handelt sich somit im wesentlichen um eine Verordnung von Sicherheitsmaßnahmen. Auf subjektiver Ebene richtet sie sich nur an bestimmte Dienstleister, auf objektiver Ebene regelt sie die Verarbeitung von gespeicherter Information im Rahmen der unternehmerischen Tätigkeit. Dabei ist sie auf subjektiver Ebene viel enger gefaßt als auf objektiver (9).

Fazit

Informationen sind längst zu einem kritischen Erfolgsfaktor sowohl in Unternehmen als auch im öffentlichen Sektor geworden. Diese zu schützen ergibt sich damit von selbst. Technische Ansätze alleine greifen zu kurz. Ohne ein systematisches Management der Informationen gibt es keinen wirksamen Schutz. Mit der ISO17799 gibt es einen internationalen Standard, der als Basis für eine best practice dienen kann und global kommunizierbar ist. Die Zertifizierung nach dem Teil 2 wird insbesondere Organisationen helfen, die Kunden und anderen Stakeholders darlegen möchten, daß Vertraulichkeit, Integrität und Verfügbarkeit von Informationen stets gewährleistet sind.

José Luis Camilleri & Karl. H. Lincke

(1) Schiffer/von Schubert, Recht, Wirtschaft und Steuern im E-Business, (2002), S. 596.

(2) International Organization for Standardization –  iso, griech. gleich.

(3)Eicker, Online-Lexikon E-Business, Wirtschaftswoche 2003.

(4) Scheiber, Zertifizierung nach British Standard 7799, ÖQZ-Insider Mai 2000, S. 34.

(5) Die Wirksamkeit und Effektivität der sicherheitsfördernden Lösungen wird durch den internationalen Charakter der ISO geprägt, die von den entsprechenden Marktteilnehmern gemeinsam umgesetzt wird.

(6) Humphreys, Trust in e-biz, ISO Bulletin January 2003, S 7 ff. (S.10).

(7) Mitteilung der Europäischen Kommission an den Rat, Juni 2001 Nr. 298.

(8) Cerminara, Zertifizierung von Informationssicherheit, Profesional Computing 3-2002, S 14-16, S. 15.

(9) Humphreys, Trust in e-biz, ISO Bulletin January 2003, S 7 ff. (S.10).

Wenn Sie weitere Informationen benötigen,

Dieser Beitrag is nicht als Rechtsberatung zu verstehen

Verwandte Artikel