Nach dem Audit ist vor dem Audit
Für ISO-27001-Zertifizierungen auf Basis von IT-Grundschutz gibt es eine Reihe begleitender Dokumente, die als Prüfgrundlage herangezogen werden können. Zudem müssen Sicherheitsverantwortliche ihre zugrunde liegende Dokumentation gemäß den normativen Anforderungen aufrechterhalten – dabei gilt es einiges zu beachten. Der vorliegende Beitrag liefert eine Übersicht über relevante Tätigkeiten, die man im Vorfeld eines Audits durchführen sollte, inklusive individueller Bewertung und Vorbereitung.
„Im Rahmen des Zertifizierungsaudits wurde für den hier betrachteten Untersuchungsgegenstand festgestellt, dass die normativen Anforderungen für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz erfüllt werden. Es wird eine Zertifizierungsempfehlung des Untersuchungsgegenstands ausgesprochen.“ So oder so ähnlich kann ein Gesamtvotum als Ergebnis einer ISO-27001-Auditierung innerhalb des Auditberichtes lauten. Dabei bezeichnet „Untersuchungsgegenstand“ den Geltungsbereich der Zertifizierung.
Alle, die schon einmal ähnlich klingende Voten erhalten haben, wissen jedoch, dass es damit längst nicht getan ist: Die eigentliche Arbeit beginnt jetzt erst richtig. Die Zertifizierungsempfehlung für ein Informationssicherheits-Managementsystem (ISMS) bestätigt, dass die normativen Anforderungen erfüllt werden. In den Folgejahren muss man die Nachweiserbringung aufrechterhalten, damit das ISMS weiterentwickelt wird und wirksam bleibt.
Abgrenzung
Das eingangs skizzierte fiktive Gesamtvotum lässt erschließen, dass es sich um ein Zertifizierungsaudit gehandelt haben muss. Zu Beginn eines jeden Audits ist zu berücksichtigen, welches Audit ansteht: Grundsätzlich wird zwischen einer Erst-Zertifizierung, einer Neu-Zertifizierung und einem Überwachungsaudit unterschieden. Eine Erst-Zertifizierung ist, wie sich aus dem Namen schließen lässt, die initiale Zertifizierung eines Untersuchungsgegenstands – in den normativen Standards des BSI auch Informationsverbund genannt – und wird durch ein Zertifikat mit einer Gültigkeit von drei Jahren bestätigt. Zwei darauffolgende Überwachungsaudits im zweiten und dritten Zertifizierungsjahr sollen die Weiterentwicklung und die Wirksamkeit des Managementsystems überprüfen. Dabei ist innerhalb der Erst-Zertifizierung mit höherem Aufwand in Vorbereitung und auch Durchführung zu rechnen.
Sollten sich im Verlauf einer gültigen Zertifizierung im Untersuchungsgegenstand gravierende Änderungen ergeben haben oder gar neue Organisationseinheiten sowie Standorte hinzugekommen sein, könnte eine Neu-Zertifizierung erforderlich werden. Dies ist jedoch immer individuell zu bewerten und auch mit der Zertifizierungsstelle abzustimmen. Letztendlich entscheidet diese, ob die Gültigkeit der bestehenden Zertifizierung aufrechterhalten bleiben kann oder eine Neu-Zertifizierung angestrebt werden muss. Wie eine wesentliche Änderung im Untersuchungsgegenstand durch die Zertifizierungsstelle des BSI ausgelegt werden kann, wird im weiteren Verlauf dieses Artikels erläutert.
Nachbereitung des Audits
Wenn das Vor-Ort-Audit erfolgreich durchgeführt wurde, sollte man ausstehende Nachweise, die im Audit nicht erbracht werden konnten, möglichst zeitnah nachliefern. Zum Abschluss wird der Auditbericht durch das Auditteam finalisiert und an die Zertifizierungsstelle übersendet.
Innerhalb des Auditberichts dokumentiert das Auditteam, welche Beobachtungen in der jeweiligen Auditphase gemacht wurden. Um eine Vergleichbarkeit von Audits zu gewährleisten, sind normative Anforderungen definiert, wie die Auditdurchführung und die Dokumentation der Auditergebnisse erfolgen müssen. Beobachtungen werden in Form von Feststellungen notiert. Dabei ist zwischen schwerwiegenden Abweichungen, geringfügigen Abweichungen und Empfehlungen zu unterscheiden:
- Schwerwiegende Abweichungen werden ausgesprochen, wenn grundlegende Fehler und normative Abweichungen oder hohe Risiken im Sicherheitsmanagement identifiziert werden. Die Zertifizierung ist in Gefahr und lässt sich nicht aufrechterhalten – oder die Behebung der Mängel muss innerhalb einer von der Zertifizierungsstelle definierten Frist erfolgen. Zudem werden Nachprüfungen erforderlich sein.
- Geringfügige Abweichungen werden ausgesprochen, wenn normative Mängel festgestellt werden. Die Behebung muss im Rahmen der vom Auditteam definierten Frist erfolgen – beispielsweise zum nächsten Überwachungsaudit.
- Empfehlungen werden ausgesprochen, wenn die normativen Anforderungen eingehalten werden, das Auditteam jedoch Verbesserungspotenzial in der Umsetzung sieht. Die Umsetzungsfrist kann wie bei einer Abweichung geregelt werden. Da es sich aber um Empfehlungen handelt, kann die auditierte Organisation nach einer Bewertung entscheiden, der Empfehlung nicht nachzukommen. Wie bei allen Tätigkeiten im ISMS sind auch diese Entscheidungen nachvollziehbar zu dokumentieren.
Nach Erhalt des Auditberichts, im besten Fall zeitgleich mit der Übergabe an das BSI, sollte die auditierte Organisation diesen daraufhin prüfen, ob die dokumentierten Beobachtungen der eigenen Wahrnehmung entsprechen. Sollte es Differenzen geben, ist es empfehlenswert, diese in einem Gespräch mit dem Auditteam abzustimmen und mögliche Anpassungen im Bericht einzufordern.
Die Feststellungen aus dem Auditbericht sollte man zeitnah nach dem Audit bewerten, priorisieren und intern kommunizieren, da manche Feststellungen einen höheren Abstimmungsbedarf erfordern können. Dies betrifft vor allem die Behebung von Feststellungen auf Prozessebene, die mehrere Verantwortliche innerhalb des Untersuchungsgegenstands erfassen können. Im Gegensatz hierzu sind einfache Konfigurationseinstellungen auf IT-Systemen meist schneller umzusetzen. Aber auch diese können eine längere Vorlaufzeit benötigen – besonders wenn Abhängigkeiten zu anderen IT-Systemen bestehen und zudem interne Vorgaben zur Umsetzung von Änderungen eingehalten werden müssen.
Motivation zur Zertifizierung
Dass sich Organisationen oder Institutionen einem aufwendigen Zertifizierungsprozess unterziehen, kann unterschiedliche Gründe haben. Der wohl häufigste ist, dass im Rahmen einer Dienstleistungserbringung gegenüber Auftraggebern eine Zertifizierung als vertragliche Verpflichtung zugrunde gelegt wird – diese würde also unter die vertragliche Pflichterfüllung fallen. In die gleiche Kerbe schlägt auch die Erfüllung gesetzlicher Vorgaben: So wird beispielsweise durch das Energiewirtschaftsgesetz (EnWG) gefordert, dass sich Strom- und Gasnetzbetreiber nach dem aus § 11 Abs. 1a EnWG zugrundliegendem IT-Sicherheitskatalog einer ISO-27001-Zertifizierung unterziehen müssen.
Neben den genannten extrinsischen Motivationen sollte jede Organisationsleitung eine eigene Motivation zur Umsetzung eines Informationssicherheits-Managementsystems (ISMS) mitbringen. Inwiefern eine Nachweiserbringung durch eine Zertifizierungsstelle erforderlich ist, lässt sich dabei individuell entscheiden. In jedem Fall liefert ein ISMS einen strukturierten Ansatz, um vorhandene Risiken zu identifizieren und angemessen zu behandeln – dies kann auch bei wichtigen kaufmännischen Entscheidungen die Wirtschaftlichkeit von Maßnahmen sicherstellen.
Agilität des IT-Grundschutz-Kompendiums
Das IT-Grundschutz-Kompendium stellt die Prüfgrundlage zur Maßnahmenumsetzung im Rahmen einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz dar. Zu Beginn jedes Jahres erfolgt durch das BSI eine Aktualisierung und Veröffentlichung des Kompendiums. Diese Aktualisierung kann in bestimmten Fällen wichtige normative Änderungen enthalten, wie
- Veränderungen an Bausteinen und den darin enthaltenen Modellierungsvorschriften sowie Sicherheitsanforderungen,
- Verschiebungen von Sicherheitsanforderungen in andere Bausteine,
- den Wegfall von Sicherheitsanforderungen oder sogar neue Bausteine, deren Anwendbarkeit im eigenen Kontext zu bewerten ist.
Innerhalb der Zertifizierungs-Prüfgrundlage des BSI [1] wird die Gültigkeitsdauer für das jeweilige Kompendium festgelegt. Die Gültigkeitsdauer ist dabei ausschlaggebend, ob das Kompendium als Prüfgrundlage im Rahmen der eigenen Zertifizierung genutzt werden darf und bis wann die Migration auf die neue Version spätestens erfolgen sollte.
Erfolgt die Dokumentation der normativen Anforderungen aus dem Kompendium mithilfe eines ISMS-Tools, sollte geprüft werden, ob die Migration im Tool eigenständig geschehen kann oder der Softwarehersteller hinzuzuziehen ist. Die Erfahrung zeigt, dass man eine Migration sorgfältig planen sollte – der Aufwand ist von den Änderungen des Kompendiums abhängig, was in der Natur der Sache liegt. Wer sich etwas besser vorbereiten will und nicht bis zur finalen Veröffentlichung des aktualisierten Kompendiums warten möchte, kann sich über die Website des BSI informieren: Die veröffentlichten Community-Drafts [2] und Final Drafts der Bausteine ermöglichen einen guten Überblick, welche Änderungen und allem voran welche neuen Bausteine zu erwarten sind.
Nachdem die Migration des Kompendiums erfolgt ist, muss noch der Handlungsbedarf für den Untersuchungsgestand durch die Veränderungen geprüft, umgesetzt und bei Bedarf geplant werden. Die Umsetzungsprüfung kann dabei im Rahmen der bevorstehenden Aktualisierung der IT-Grundschutz-Checks eingeplant werden, welche erfahrungsgemäß mindestens jährlich durchgeführt werden sollte. Die Überprüfung wird somit auch der normativen Anforderung gerecht, aus der hervorgeht, dass die Sicherheitsmaßnahmen einem regelmäßigen Review unterzogen werden und den aktuellen Stand abbilden müssen.
Tipp: Nicht nur das Kompendium unterliegt einer regelmäßigen Aktualisierung – auch Begleitdokumente, wie das IT-Grundschutz-Zertifizierungsschema [3], das IT-Grundschutz-Auditierungsschema [4] oder die IT-Grundschutz-Methodik im Kontext von Outsourcing [5], erfahren regelmäßige Änderungen. In manchen Fällen sind diese so bedeutsam, dass sie vom Charakter her in den normativen BSI-Standard 200-2 überführt werden sollten. Hier wird das BSI in naher Zukunft sicherlich Nachbesserungen vornehmen. Es lohnt sich also, auch diese Begleitdokumente zu berücksichtigen. Denn das Auditteam ist in jedem Fall angewiesen, diese im Rahmen der Prüfung heranzuziehen.
Dynamik im Untersuchungsgegenstand
Veränderungen im ISMS sind frühzeitig zu identifizieren, nach den normativen und institutionseigenen Vorgaben zu bewerten und (innerhalb der Strukturanalyse) zu dokumentieren. Nicht nur bei Änderungen, sondern mindestens jährlich müssen darüber hinaus Schutzbedarfsfeststellungen, IT-Grundschutz-Checks sowie Risikoanalysen durchgeführt und aktualisiert werden.
Neben der stetigen Weiterentwicklung und Aktualisierung des ISMS können in Zeiten der Digitalisierung und damit einhergehend einer Effizienzsteigerung auch größere Änderungen bevorstehen: Technologie entwickelt sich weiter oder neu – das, wofür gestern noch Stift und Papier ausgereicht hat, benötigt heute bisweilen ganze Schränke mit Computing-Infrastruktur. Solche schnellen Veränderungen erfordern von den Sicherheitsverantwortlichen eine hohe Aufmerksamkeit und sehr gute organisatorische und technische Schnittstellen, um Anpassungen in der eigenen Organisation feststellen zu können.
Diesen Herausforderungen lässt sich mit etablierten Beschaffungsprozessen, einem vollumfänglichen Asset-Management sowie der Einbindung der Sicherheitsverantwortlichen in anstehende Projekte entgegenwirken. Hierdurch können Änderungen rechtzeitig erkannt werden, die gerade durch folgende Neuerungen entstehen können:
- neu definierte Geschäftsprozesse,
- neu etablierte Anwendungen,
- Auslagerung von Geschäftsprozessen oder Diensten sowie die Einbindung neuer Dienstleister,
- neue Infrastrukturkomponenten, die eine klassische Server-Architektur oder gar Containerisierung benötigen,
- neue Netzkomponenten sowie Kommunikationsverbindungen, neue Räume oder Gebäudeteile bis hin zu neuen Standorten.
Zur Aufrechterhaltung einer Zertifizierung sind die normativen Vorgaben immer einzuhalten. Wenn Infrastrukturkomponenten ersetzt oder migriert werden und dabei keine Veränderungen im Einsatz der bereits betrachteten Komponenten einhergehen, wird dies als „Infrastrukturerüchtigung“ eingestuft und bedarf in der Regel keiner Anpassung. Geschäftsprozesse oder Infrastrukturbestandteile können hingegen zu einer wesentlichen Veränderung des Untersuchungsbereichs führen, wenn die Art dieser Infrastrukturbestandteile noch nicht im Untersuchungsgegenstand vorhanden war oder sich wesentliche Änderungen in den Verantwortlichkeiten oder der Bereitstellung (z. B. durch Auslagerung) ergeben. Solche Veränderungen sind der Zertifizierungsstelle schriftlich mitzuteilen. Diese prüft, ob das Zertifikat unter den neuen Bedingungen aufrechterhalten werden kann oder eine Zertifikatserneuerung herbeigeführt werden muss. Eine angemessene Definition des Untersuchungsbereichs beugt dabei einer vorzeitigen Zertifikatserneuerung vor.
Wesentliche Änderungen im Untersuchungsgegenstand können beispielsweise durch Standortwechsel, Änderungen des Tätigkeitsfelds oder Erweiterung von Geschäftsfeldern in der Organisation, Auslagerung von Geschäftsprozessen oder einer Umstrukturierung der Organisation verursacht werden.
Wurde etwa entschieden, Geschäftsprozesse an Dienstleister auszulagern oder dass die Bereitstellung von Diensten durch Dienstleister beziehungswiese in der Cloud erfolgen soll, muss dies sorgfältig geprüft und gemäß den normativen Vorgaben bewertet werden: Die Schnittstellen zum Untersuchungsgegenstand sind zu benennen und die Abgrenzung klar zu formulieren. Wenn das Dienstleistungsunternehmen oder der Cloud-Diensteanbieter keine ISO-27001-Zertifizierung (nativ oder auf Basis von IT-Grundschutz) nachweisen kann, ist damit zu rechnen, dass dieser im nachfolgenden Audit mitgeprüft werden muss. Wie hoch der Prüfungsaufwand ist, hängt jeweils davon ab, wie die Auslagerungen im Untersuchungsgegenstand eingebunden und modelliert sind.
Hinweis: Alle Auslagerungen müssen im Rahmen der Re-/Neu-Zertifizierung einmalig geprüft werden. Kommt im Zertifizierungszyklus eine Auslagerung hinzu, müssen die hierfür vorgesehenen Bausteine aus der Schicht OPS.2 „Betrieb von Dritten“ im nächsten Überwachungsaudit mitgeprüft werden.
Angemessene Dokumentation
Mal eben unplanmäßig die Firmware-Version der Sicherheits-Appliance aktualisieren, da der Hersteller vor einer kritischen Schwachstelle in seinem Produkt gewarnt hat – wer kennt das nicht? Wie es kommen muss, passiert so etwas natürlich am Freitagabend und die vom Hersteller bereitgestellte Anleitung weicht von der eigenen Laufzeitumgebung ab – dadurch erfordert das Update mehr Zeit, als die ursprünglich anvisierte Stunde. Nachdem man abschließende Tests durchgeführt hat und die Appliance wieder ihren Zweck erfüllt, ist längst Zeit für Feierabend.
Eine solche Aktualisierung ist wichtig und es wurde richtig reagiert, diese unverzüglich umzusetzen. Aus der beschriebenen Firmware-Aktualisierung wird jedoch nicht klar, ob diese angemessen geplant und dokumentiert wurde. Außerdem bleibt unklar, ob die Wirksamkeit ausreichend geprüft wurde, was wesentlich für eine Nachweiserbringung im Sicherheitsmanagement ist. Gerade bei kritischen Änderungen an Systemen bedarf es eines Vier-Augen-Prinzips auf operativer Ebene, um der Nachweiserbringung gerecht zu werden!
Ein Sicherheitsmanagementsystem lebt nicht nur davon, dass man Sicherheitsmaßnahmen umsetzt, sondern auch von einer angemessenen Dokumentation. Für Dritte, im Falle einer Zertifizierung das Auditteam, muss erkennbar sein,
- welche Entscheidungen getroffen,
- welche Maßnahmen ergriffen wurden,
- wer die Umsetzung vorbereitet und begleitet hat sowie
- ob geprüft wurde, dass die Wirksamkeit gegeben ist.
Bei der Dokumentation ist zwischen Pflichtdokumenten, Vorgabedokumenten und Aufzeichnungen zu unterscheiden. Für die verschiedenen Rollen innerhalb eines Untersuchungsgegenstands existieren unterschiedliche Dokumentationsanforderungen, über die Tabelle 1 eine Übersicht gibt.
Die Aktualität der Dokumentation sollte man gemäß eigenen Vorgaben im Regelwerk aufrechterhalten. Abhängig von den zu erwartenden Änderungen kann der Zeitraum für eine Aktualisierung allerdings mehr als ein Jahr betragen. Grundsätzlich schreiben die normativen Standards vor, dass die Dokumentation aktuell zu halten ist und sie die aktuellen Gegebenheiten widerspiegeln muss.
Kontinuierlicher Verbesserungsprozess und Bewertung
Ein wesentliches Instrument im Sicherheitsmanagement ist die kontinuierliche Verbesserung der Sicherheitsprozesse, des Regelwerks und der enthaltenen Konzepte, der Maßnahmenumsetzung sowie der getroffenen Entscheidungen hinsichtlich ihrer Angemessenheit, Leistungsfähigkeit und Wirksamkeit. Im Verlauf dieses Beitrags wurden bereits einige Aspekte dieser Verbesserung näher beleuchtet.
Die Entwicklung und mögliche Verbesserungspotenziale im ISMS werden im Rahmen einer Managementbewertung aufgezeigt – diese kann als jährlicher Bericht zur Informationssicherheit an die oberste Leitung erfolgen. Sie erfüllt somit die Informationspflicht gegenüber der obersten Leitung zum aktuellen und geplanten Verlauf des Sicherheitsmanagements und gibt der Chefetage die Möglichkeit, gegenzusteuern.
Neben der wichtigen qualitativen Bewertung im gesamten Verlauf lässt sich im Rahmen einer quantitativen Bewertung Transparenz gegenüber dem Management auch durch das Heranziehen von Kennzahlen schaffen – etwa durch:
- Anzahl der Risiken gegenüber dem Vorjahr,
- Anzahl der umgesetzten Maßnahmen gegenüber dem Vorjahr,
- Anzahl aktualisierter Dokumente,
- Anzahl der Sicherheitsvorfälle,
- Anzahl durchgeführter und aktualisierter Schutzbedarfsanalysen,
- Anzahl durchgeführter und aktualisierter Risikoanalysen,
- Anzahl der Risiken und Einstufung nach Risikostufen,
- Anzahl reduzierter Risiken.
Fazit
Wer eine gute Planung aufgestellt hat und die hier genannten Meilensteine immer gut im Blick behält, sollte keine Überraschungen erleben. Aufgaben innerhalb des Sicherheitsmanagements können jedoch sehr intensiv und zeitraubend sein, sodass die Realität auch die beste Planung einholen kann – ehe man sich versieht, steht das nächste Audit vor der Tür. Sollte dieser Fall eintreten und nicht mehr viel Zeit für die Vorbereitung bleiben, liefert Tabelle 2 einen kurzen Überblick über die zentralen zu prüfenden Punkte, die für ein erfolgreiches Audit wesentlich sind. In diesem Sinne: Happy auditing!
Ivan Schulz ist Berater bei der HiSolutions AG
Literatur
[1] BSI, Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz nach dem IT-Grundschutz-Kompendium, Version 4.6, Februar 2023, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/Veroeffentl/Pruefgrundlagen_Kompendium.pdf
[2] BSI, Community Drafts, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Drafts/it-grundschutz-drafts_node.html
[3] BSI, Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz – Zertifizierungsschema, Version 2.1, Mai 2019, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Zertifizierungsschema_Kompendium.html
[4] BSI, Zertifizierungsschema [für die Vergabe eines ISO-27001-Zertifikats auf der Basis von IT-Grundschutz], www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/Zertifizierungsschema/schema_node.html
[5] BSI, Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz – Outsourcing, Version 2.2, April 2020, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Outsourcing_Kompendium.pdf