Soll ich mein Unternehmen nach ISO 27001 zertifizieren?

Mit der ISO 27001 erhalten Unternehmen die Möglichkeit Ihre Security Aktivitäten vergleichbar mit einem Qualitäts-Management System – das in der Industrie und auch im Pharma-Bereich seit langem erfolgreich etabliert ist — strukturiert zu planen und umzusetzen.

Die ISO 27001 legt die Anforderungen an ein Information Security Management System (kurz ISMS) fest. Hierbei wird ein kontinuierlicher Verbesserungsprozess (KVP, siehe Link) festgelegt, der das Unternehmen befähigt in einer risikoorientierten Vorgangsweise die notwendigen Sicherheitsmaßnahmen zu ermitteln und in Folge zu implementieren und ständig zu verbessern. Oft wird ein ISMS als Software-Tool wahrgenommen, was es aber nicht ist. Das ISMS ist eine Methodik und Vorgangsweise, die im ersten Schritt nicht zwingend ein Software-Tool erfordert. In größeren Unternehmen kann natürlich eine Software diese Methodik unterstützen, insbesondere wenn mehrere Bereiche bzw. Personen in den Betrieb des ISMS involviert sind.

Was sind die häufigsten Beweggründe für eine ISO 27001 Zertifizierung?

1) Der Wettbewerbsvorteil

Die Nutzung einer 27001 Zertifizierung für Marketing und Vertrieb als Argument gegenüber Kunden, dass sich das Unternehmen im Bereich der Informationssicherheit nachweislich an anerkannte Standards hält.

2) Haftung der Unternehmensleitung

Durch die Einführung und Zertifizierung eines IS Management Systems kann die persönliche Haftung der Unternehmensleitung durch Vermeidung eines Organisationsverschuldens reduziert werden.

3) Die Rolle für Kunden des Unternehmens und Umsetzung von Stand der Technik

Die Kunden des Unternehmens können die ISO 27001 Zertifizierung unter anderem als Garantien gemäß dem Artikel 28 der DSGVO (Auftragsverarbeiter) und gemäß Artikel 32 (Datensicherheitsmaßnahmen) nutzen.

4) Vorteile bzw. Nutzen für das Unternehmen

Der Nachweis, dass man sich um das Thema Security kümmert und dies durch eine unabhängige Stelle (der Zertifizierer) bestätigt wird.

5) Vorteil für die Geschäftsführung

Der Nachweis, dass sich die Geschäftsleitung um unternehmenskritische Aufgaben wie die IT-Security kümmert.

Die Umsetzung einer ISO 27001 befähigt ein Unternehmen ein angemessenes Sicherheitsniveau zu erreichen und zu halten. Dies erfordert besonders die Unterstützung des Managements (oft als Management Kommitment bezeichnet) und die Bereitschaft diese Methode nicht nur zu verschriftlichen, sondern auch aktiv in die Geschäftsprozesse zu integrieren.

Die kostengünstige Alternative

Einige Unternehmen nutzen eine Anlehnung an die Methodik und die Anforderungen der ISO 27001, jedoch ohne die abschließende Zertifizierung durchzuführen. Bei diesem Ansatz setzt das Unternehmen auf international anerkannte Methoden und Standards. Hierbei erreicht man in vielen Bereichen eine Umsetzung gemäß dem aktuellen Stand der Technik.

Betrifft mich das neue Netz- und Informationssystemsicherheitsgesetz (NISG) und erfordert es eine ISO 27001 Zertifizierung?

Das NISG (https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_I_111/BGBLA_2018_I_111.html) betrifft nur definierte Branchen, die im §2 des Gesetzes definiert werden:

Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, Digitale Infrastrukturen als Betreiber wesentlicher Dienste. Darüber hinaus auch Anbieter digitaler Dienste wie zum Beispiel Online-Märktplätze, Online-Suchmaschinen und Cloud-Comuting-Dienste sowie die Einrichtungen der öffentlichen Verwaltung.

Ob ein Unternehmen die Anforderungen des Netz- und Informationssystemsicherheitsgesetz als Betreiber wesentlicher Dienste erfüllen muss, wird vom Bundeskanzler festgelegt und den betroffenen Unternehmen voraussichtlich ab Anfang Q2 2019 zugestellt.

Als Anbieter digitaler Dienste muss man selbst tätig werden und prüfen, ob die Anforderungen des NISG erfüllt werden müssen.

Für Betreiber wesentlicher Dienste in Österreich gibt es keine ISO 27001 Zertifizierungspflicht, jedoch die Verpflichtung in den festgelegten Sparten

Goverance und Risikomanagement
Umgang mit Lieferanten und Dritten
Sicherheitsarchitektur
Systemadmininistration
Identitäts- und Zugriffsmanagement
Systemwartung und Betrieb
Physische Sicherheit
Erkennung von Vorfällen
Bewältigung von Vorfällen
Betriebskontiuität
Krisenmanagement

entsprechende Maßnahmen zu implementieren und innerhalb eines Zeitraumes von 3 Jahren den Nachweis der operativen Wirksamkeit durch regelmäßige Audits zu erbringen.

Obwohl es keine ISO 27001 Zertifizierungspflicht gibt, ist es unserer Ansicht nach wesentlich eine strukturierte Vorgangsweise zu etablieren. Empfehlenswert ist hier das Mappings der Sparten mit den Anforderungen der ISO 27001. Schlussgefolgert ist eine Nutzung der ISO 27001 sinnvoll und empfehlenswert, da der KVP Prozess für die NISG Nachweise genutzt werden kann.

Wie wichtig ist die Einführung eines ISMS Systems nach ISO 27001 für Lieferanten großer Auftraggeber?

Als Lieferant größer Auftraggeber, z.B. für die Automotive-Branche, Energiewirtschaft oder Pharma-Branche ist es nahezu unabdingbar den Nachweis erbringen zu können, dass angemessene Maßnahmen zum Schutz von Informationen und personenbezogenen Daten implementiert wurden. Große Auftraggeber fordern bereits jetzt oftmals eine ISO 27001 Zertifizierung als Mindesterfordernis von ihren Lieferanten. Dies hat ggfls. noch keinen unmittelbaren Einfluss auf laufende Verträge, jedoch ist zu erwarten, dass die ISO 27001 Zertifizierung in der Zukunft für Lieferanten verpflichtend sein wird. Die Unternehmen sind daher gut beraten sich frühzeitig mit einer ISMS Umsetzung und der ISO 27001 Thematik auseinanderzusetzten und diese sorgfältig zu planen.

Die Auftraggeber sehen folgende Vorteile in der Forderung einer 27001 Zertifizierung Ihrer Lieferanten:

Anwendung der Zertifizierung als Garantie im Sinne der DSGVO Artikel 28 – Auftragsverarbeiter
Erhöhung der Vertrauenswürdigkeit des Lieferanten bei der Verarbeitung von sensiblen Informationen eines Auftraggebers
Reduzierung des Aufwandes im Vendor Management, da keine individuellen Sicherheitsvorgaben mit dem Lieferanten mehr verhandelt werden müssen
Reduzierung der Aufwände bei Lieferantenaudits in Bezug auf die Informationssicherheit
Höheres Rating bei der Lieferantenauswahl für zertifizierte Unternehmen

Unternehmen, die heute bereits den Einsatz einer ISO 27001 Zertifizierung planen, haben ggfls. heute bereits einen Wettbewerbsvorteil gegenüber Anbietern, die keine strukturierte Vorgangsweise ihrer Informations-Sicherheit nachweisen können oder dies planen.

Welche anderen Unternehmen sind bereits ISO 27001 zertifiziert?

In einer Erhebung im Februar 2019 sind in Österreich rd. 150 Unternehmen nach ISO/IEC 27001 zertifiziert.

Die Top Bundesländer mit zertifizierten Unternehmen:

Wien: 61% der ISO 27001 zertifizierten Unternehmen sind aus Wien
Oberösterreich: 10%
Steiermark: 9%
Tirol: 7%
Vorarlberg: 6%

Bei den Branchen domminiert mit deutlichem Abstand die IT-Branche, hier haben sich in den vergangenen Jahren einige Rechenzentren und Internet-Serviceprovider nach ISO/IEC 27001 zertifizieren lassen.

Die Top Branchen mit ISO 27001 Zertifizierung:

IT: 37% der ISO 27001 zertifizierten Unternehmen gehören zur IT Branche
Energie- und Wasserversorgung: 14%
Immobilien: 12%
Industrie: 9%
Öffentliche Stellen: 9%
Gesundheits- und Sozialwesen: 7%

Die Anzahl von ISO 27001 zertifizierten Unternehmen in Österreich liegt deutlich unter dem Durchschnitt anderer Länder wie Deutschland. Ein Grund hierfür mag sein, dass Betreiber kritischer Infrastrukturen gemäß dem IT-Sicherheitsgesetz 2016 (vergleichbar mit dem österreichischen NISG von 2018) eine ISO 27001 Zertifizierung nachweisen müssen und dies in Österreich nicht der Fall ist. Es gibt nur ausgewählte akkreditierte Zertifizierungsunternehmen, die wesentliche Arbeit liegt in der strukturierten Begleitung der Zertifizierung.

Hierfür geben wir ein einem der nächsten Beiträge Tipps für einen erfolgreichen Start einer Zertifizierung.

Soll ich mein Unternehmen nach ISO 27001 zertifizieren?