Mit der ISO 27001 erhal­ten Unternehmen die Möglichkeit Ihre Secu­ri­ty Aktiv­itäten ver­gle­ich­bar mit einem Qual­itäts-Man­age­ment Sys­tem – das in der Indus­trie und auch im Phar­ma-Bere­ich seit langem erfol­gre­ich etabliert ist — struk­turi­ert zu pla­nen und umzuset­zen.

Die ISO 27001 legt die Anforderun­gen an ein Infor­ma­tion Secu­ri­ty Man­age­ment Sys­tem (kurz ISMS) fest. Hier­bei wird ein kon­tinuier­lich­er Verbesserung­sprozess (KVP, siehe Link) fest­gelegt, der das Unternehmen befähigt in ein­er risikoori­en­tierten Vor­gangsweise die notwendi­gen Sicher­heits­maß­nah­men zu ermit­teln und in Folge zu imple­men­tieren und ständig zu verbessern. Oft wird ein ISMS als Soft­ware-Tool wahrgenom­men, was es aber nicht ist. Das ISMS ist eine Methodik und Vor­gangsweise, die im ersten Schritt nicht zwin­gend ein Soft­ware-Tool erfordert. In größeren Unternehmen kann natür­lich eine Soft­ware diese Methodik unter­stützen, ins­beson­dere wenn mehrere Bere­iche bzw. Per­so­n­en in den Betrieb des ISMS involviert sind.

Was sind die häufigsten Beweggründe für eine ISO 27001 Zertifizierung?

1) Der Wet­tbe­werb­svorteil

Die Nutzung ein­er 27001 Zer­ti­fizierung für Mar­ket­ing und Ver­trieb als Argu­ment gegenüber Kun­den, dass sich das Unternehmen im Bere­ich der Infor­ma­tion­ssicher­heit nach­weis­lich an anerkan­nte Stan­dards hält.

2) Haf­tung der Unternehmensleitung

Durch die Ein­führung und Zer­ti­fizierung eines IS Man­age­ment Sys­tems kann die per­sön­liche Haf­tung der Unternehmensleitung durch Ver­mei­dung eines Organ­i­sa­tionsver­schuldens reduziert wer­den.

3) Die Rolle für Kun­den des Unternehmens und Umset­zung von Stand der Tech­nik

Die Kun­den des Unternehmens kön­nen die ISO 27001 Zer­ti­fizierung unter anderem als Garantien gemäß dem Artikel 28 der DSGVO (Auf­tragsver­ar­beit­er) und gemäß Artikel 32 (Daten­sicher­heits­maß­nah­men) nutzen.

4) Vorteile bzw. Nutzen für das Unternehmen

Der Nach­weis, dass man sich um das The­ma Secu­ri­ty küm­mert und dies durch eine unab­hängige Stelle (der Zer­ti­fizier­er) bestätigt wird.

5) Vorteil für die Geschäfts­führung

Der Nach­weis, dass sich die Geschäft­sleitung um unternehmen­skri­tis­che Auf­gaben wie die IT-Secu­ri­ty küm­mert.

Die Umset­zung ein­er ISO 27001 befähigt ein Unternehmen ein angemessenes Sicher­heit­sniveau zu erre­ichen und zu hal­ten. Dies erfordert beson­ders die Unter­stützung des Man­age­ments (oft als Man­age­ment Kom­mit­ment beze­ich­net) und die Bere­itschaft diese Meth­ode nicht nur zu ver­schriftlichen, son­dern auch aktiv in die Geschäft­sprozesse zu inte­gri­eren.

Die kostengünstige Alternative

Einige Unternehmen nutzen eine Anlehnung an die Methodik und die Anforderun­gen der ISO 27001, jedoch ohne die abschließende Zer­ti­fizierung durchzuführen. Bei diesem Ansatz set­zt das Unternehmen auf inter­na­tion­al anerkan­nte Meth­o­d­en und Stan­dards. Hier­bei erre­icht man in vie­len Bere­ichen eine Umset­zung gemäß dem aktuellen Stand der Tech­nik.

Betrifft mich das neue Netz- und Informationssystemsicherheitsgesetz (NISG) und erfordert es eine ISO 27001 Zertifizierung?

Das NISG (https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_I_111/BGBLA_2018_I_111.html) bet­rifft nur definierte Branchen, die im §2 des Geset­zes definiert wer­den:

Energie, Verkehr, Bankwe­sen, Finanz­mark­t­in­fra­struk­turen, Gesund­heitswe­sen, Trinkwasserver­sorgung, Dig­i­tale Infra­struk­turen als Betreiber wesentlich­er Dien­ste. Darüber hin­aus auch Anbi­eter dig­i­taler Dien­ste wie zum Beispiel Online-Märk­t­plätze, Online-Such­maschi­nen und Cloud-Comut­ing-Dien­ste sowie die Ein­rich­tun­gen der öffentlichen Ver­wal­tung.

Ob ein Unternehmen die Anforderun­gen des Netz- und Infor­ma­tion­ssys­tem­sicher­heits­ge­setz als Betreiber wesentlich­er Dien­ste erfüllen muss, wird vom Bun­deskan­zler fest­gelegt und den betrof­fe­nen Unternehmen voraus­sichtlich ab Anfang Q2 2019 zugestellt.

Als Anbi­eter dig­i­taler Dien­ste muss man selb­st tätig wer­den und prüfen, ob die Anforderun­gen des NISG erfüllt wer­den müssen.

Für Betreiber wesentlich­er Dien­ste in Öster­re­ich gibt es keine ISO 27001 Zer­ti­fizierungspflicht, jedoch die Verpflich­tung in den fest­gelegten Sparten

  1. Gov­er­ance und Risiko­man­age­ment
  2. Umgang mit Liefer­an­ten und Drit­ten
  3. Sicher­heit­sar­chitek­tur
  4. Sys­temad­minin­is­tra­tion
  5. Iden­titäts- und Zugriff­s­man­age­ment
  6. Sys­temwartung und Betrieb
  7. Physis­che Sicher­heit
  8. Erken­nung von Vor­fällen
  9. Bewäl­ti­gung von Vor­fällen
  10. Betrieb­skon­tiuität
  11. Krisen­man­age­ment

entsprechende Maß­nah­men zu imple­men­tieren und inner­halb eines Zeitraumes von 3 Jahren den Nach­weis der oper­a­tiv­en Wirk­samkeit durch regelmäßige Audits zu erbrin­gen.

Obwohl es keine ISO 27001 Zer­ti­fizierungspflicht gibt, ist es unser­er Ansicht nach wesentlich eine struk­turi­erte Vor­gangsweise zu etablieren. Empfehlenswert ist hier das Map­pings der Sparten mit den Anforderun­gen der ISO 27001. Schlussge­fol­gert ist eine Nutzung der ISO 27001 sin­nvoll und empfehlenswert, da der KVP Prozess für die NISG Nach­weise genutzt wer­den kann.

Wie wichtig ist die Einführung eines ISMS Systems nach ISO 27001 für Lieferanten großer Auftraggeber?

Als Liefer­ant größer Auf­tragge­ber, z.B. für die Auto­mo­tive-Branche, Energiewirtschaft oder Phar­ma-Branche ist es nahezu unab­d­ing­bar den Nach­weis erbrin­gen zu kön­nen, dass angemessene Maß­nah­men zum Schutz von Infor­ma­tio­nen und per­so­n­en­be­zo­ge­nen Dat­en imple­men­tiert wur­den. Große Auf­tragge­ber fordern bere­its jet­zt oft­mals eine ISO 27001 Zer­ti­fizierung als Min­dester­forder­nis von ihren Liefer­an­ten. Dies hat ggfls. noch keinen unmit­tel­baren Ein­fluss auf laufende Verträge, jedoch ist zu erwarten, dass die ISO 27001 Zer­ti­fizierung in der Zukun­ft für Liefer­an­ten verpflich­t­end sein wird. Die Unternehmen sind daher gut berat­en sich frühzeit­ig mit ein­er ISMS Umset­zung und der ISO 27001 The­matik auseinan­derzuset­zten und diese sorgfältig zu pla­nen.

Die Auf­tragge­ber sehen fol­gende Vorteile in der Forderung ein­er 27001 Zer­ti­fizierung Ihrer Liefer­an­ten:

  • Anwen­dung der Zer­ti­fizierung als Garantie im Sinne der DSGVO Artikel 28 – Auf­tragsver­ar­beit­er
  • Erhöhung der Ver­trauenswürdigkeit des Liefer­an­ten bei der Ver­ar­beitung von sen­si­blen Infor­ma­tio­nen eines Auf­tragge­bers
  • Reduzierung des Aufwan­des im Ven­dor Man­age­ment, da keine indi­vidu­ellen Sicher­heitsvor­gaben mit dem Liefer­an­ten mehr ver­han­delt wer­den müssen
  • Reduzierung der Aufwände bei Liefer­an­te­nau­dits in Bezug auf die Infor­ma­tion­ssicher­heit
  • Höheres Rat­ing bei der Liefer­an­te­nauswahl für zer­ti­fizierte Unternehmen

Unternehmen, die heute bere­its den Ein­satz ein­er ISO 27001 Zer­ti­fizierung pla­nen, haben ggfls. heute bere­its einen Wet­tbe­werb­svorteil gegenüber Anbi­etern, die keine struk­turi­erte Vor­gangsweise ihrer Infor­ma­tions-Sicher­heit nach­weisen kön­nen oder dies pla­nen.

Welche anderen Unternehmen sind bereits ISO 27001 zertifiziert?

In ein­er Erhe­bung im Feb­ru­ar 2019 sind in Öster­re­ich rd. 150 Unternehmen nach ISO/IEC 27001 zer­ti­fiziert.

Die Top Bun­deslän­der mit zer­ti­fizierten Unternehmen:

  1. Wien: 61% der ISO 27001 zer­ti­fizierten Unternehmen sind aus Wien
  2. Oberöster­re­ich: 10%
  3. Steier­mark: 9%
  4. Tirol: 7%
  5. Vorarl­berg: 6%
ISO 27001 Zertifizierungen nach Branche

Bei den Branchen dom­miniert mit deut­lichem Abstand die IT-Branche, hier haben sich in den ver­gan­genen Jahren einige Rechen­zen­tren und Inter­net-Ser­vi­ce­provider nach ISO/IEC 27001 zer­ti­fizieren lassen.

Die Top Branchen mit ISO 27001 Zer­ti­fizierung:

  1. IT: 37% der ISO 27001 zer­ti­fizierten Unternehmen gehören zur IT Branche
  2. Energie- und Wasserver­sorgung: 14%
  3. Immo­bilien: 12%
  4. Indus­trie: 9%
  5. Öffentliche Stellen: 9%
  6. Gesund­heits- und Sozial­we­sen: 7%
ISO 27001 Zertifizierungen nach Branche

Die Anzahl von ISO 27001 zer­ti­fizierten Unternehmen in Öster­re­ich liegt deut­lich unter dem Durch­schnitt ander­er Län­der wie Deutsch­land. Ein Grund hier­für mag sein, dass Betreiber kri­tis­ch­er Infra­struk­turen gemäß dem IT-Sicher­heits­ge­setz 2016 (ver­gle­ich­bar mit dem öster­re­ichis­chen NISG von 2018) eine ISO 27001 Zer­ti­fizierung nach­weisen müssen und dies in Öster­re­ich nicht der Fall ist. Es gibt nur aus­gewählte akkred­i­tierte Zer­ti­fizierung­sun­ternehmen, die wesentliche Arbeit liegt in der struk­turi­erten Begleitung der Zer­ti­fizierung.

Hier­für geben wir ein einem der näch­sten Beiträge Tipps für einen erfol­gre­ichen Start ein­er Zer­ti­fizierung.