Skip to the main content.

5 Min. Lesezeit

Data Breach - Vertrauen in Partner ist mehr als eine menschliche Angelegenheit geworden

Data Breach - Vertrauen in Partner ist mehr als eine menschliche Angelegenheit geworden

ISO/IEC 27001:2022 UND BNC - VERTRAUENSBILDUNG IM DIGITALEN ZEITALTER

DEM DAUERHAFTEN RISIKO VON DATENLECKS DURCH EINHEITLICHE STANDARDS BEGEGNEN 

 

In der sich schnell entwickelnden digitalen Landschaft sind Vertrauen und Sicherheit für Unternehmen zu einem zentralen Anliegen geworden. Als Antwort auf diese Herausforderung stellen ISO/IEC 27001:2022 und der BNC-Ansatz eine leistungsstarke Lösung dar, um standardisierte Informationssicherheitspraktiken zu etablieren und Risiken kompetent zu verwalten. Erfahren Sie, wie diese Zertifizierung und ihre Methodik Unternehmen dabei helfen, Vertrauen zu schaffen, Kunden und Partner zu überzeugen und ihren Ruf als vertrauenswürdige Akteure in einer datenzentrierten Welt zu festigen.

Vertrauen war schon immer von zentraler Bedeutung für zwischenmenschliche Beziehungen und die Grundlage für Verlässlichkeit, z. B. in der Diplomatie. Auch in der Wirtschaft spielt Vertrauen eine wichtige Rolle, doch angesichts der Zunahme von Cyberangriffen reicht dies nicht mehr aus. Heutzutage muss das Vertrauen in die Technologie und die Informationssicherheit hergestellt werden, und es müssen klare vertragliche Massnahmen für ungünstige Situationen festgelegt werden. Es kann jedoch eine Herausforderung sein, sicherzustellen, dass ein Partner in der Lage ist, diese Sicherheitsstandards zu erfüllen.

Die Auswirkungen von Cyberangriffen auf Partnerschaften betreffen die Unternehmen unmittelbar. Ihre Fähigkeit, Daten zu schützen, hängt von ihren geschäftlichen Anforderungen in Kunden-, Partner- oder Lieferantenbeziehungen ab. Dabei geht es um zwei wesentliche Aspekte: vertragliche Verpflichtungen, die Verantwortlichkeiten, Sorgfaltspflichten und Haftung festlegen, und die Sicherheitsfähigkeiten des Unternehmens, die die Grundlage für Vertrauen bilden und mit den entsprechenden vertraglichen Verpflichtungen übereinstimmen.

 

Herausforderungen des Datenschutzes in vernetzten Partnerschaften

Die Integration der Technologie in unser Leben hat dazu geführt, dass Daten in allen Bereichen von zentraler Bedeutung sind, von geschäftlichen Anrufen bis hin zu operativen Systemen, die oft über verschiedene geografische Gebiete hinweg genutzt werden. Dies wirft rechtliche und regulatorische Bedenken hinsichtlich des Eigentums, des Schutzes und der Verarbeitung von Daten auf, zumal verschiedene Stellen, die teils vertraglich verbunden sind, teils nicht, auf diese Daten zugreifen können.

In einer Zeit der Monetarisierung und des Diebstahls von Daten sind angemessene Schutzmassnahmen unerlässlich. Dazu gehört auch der Umgang mit Daten, die über verschiedene Plattformen wie SaaS/IaaS/PaaS gespeichert sind, wo Partnerschaften ein häufiges Thema sind. Solche Partnerschaften erfordern Vertrauen und Koordination, aber es stellen sich auch kritische Fragen:

 

// SIND DIE PARTNER ÜBER DIE SICHERHEIT INFORMIERT?

// KANN MAN SICH AUF SIE VERLASSEN, WENN ES UM DIE GENAUE BEWERTUNG ODER MELDUNG VON VERSTÖSSEN GEHT?

// WIE KANN MAN PARTNERSCHAFTEN BEWERTEN UND DARAUF VERTRAUEN, DASS SIE DIE SICHERHEITSSTANDARDS ERFÜLLEN?

 

Diese Herausforderungen unterstreichen die Notwendigkeit der Wachsamkeit bei der Verwaltung und dem Schutz von Daten in der heutigen vernetzten Welt.

 

Ein entscheidender Aspekt beim Aufbau von Vertrauen in die Informationssicherheit ist die Fähigkeit, in der "gleichen Sprache" zu kommunizieren und dadurch die Strategie, das Engagement und die Kontrollen des anderen zu verstehen. Eine robuste Lösung kann daher in einem normalisierten, standardisierten Rahmen gefunden werden, der idealerweise als Referenz in verschiedenen Sektoren anerkannt ist. Thomas Viguier, Berater für Cybersicherheit bei BNC, erklärt:

«Wir bei BNC sind fest davon überzeugt, dass wir durch ISO/IEC 27001:2022 Vertrauen in die Sicherheitslage schaffen, indem wir das Fachwissen unserer Experten nutzen und andere Rahmenwerke wie nDSG/nLPD oder GDPR einbeziehen. Dieser Ansatz ermöglicht es uns, eine gemeinsame Sprache auf Top-Management-Ebene zu etablieren und Themen wie Strategie, Entscheidungsfindung, Priorisierung, Ressourcenzuweisung und Prozessdefinition anzusprechen. Auf diese Weise führen wir unsere Kunden zu einem ausgereiften Verständnis komplexer Anforderungen im Zusammenhang mit gesetzlichen und vertraglichen Verpflichtungen.»

 

Dies ist jedoch nicht das Ende der Geschichte, wie die zentrale Frage zeigt:

// WIE KÖNNEN WIR SICHER SEIN, DASS ANDERE PARTEIEN, EINSCHLIESSLICH UNS SELBST, VERTRAUENSWÜRDIG SIND?
// KÖNNEN PARTNERSCHAFTEN ALS UNSEREN SICHERHEITSSTANDARDS ENTSPRECHEND ANGESEHEN WERDEN?

Die Gewissheit, ein engagiertes Gegenüber zu haben, das die Mindestkriterien einhält, lässt sich mit einer ISO/IEC 27001-Zertifizierung leicht nachweisen. Was aber, wenn die Organisation höhere, strengere Standards anwendet? Wie kann man sicherstellen, dass solche Standards auch eingehalten werden?

In solchen Fällen kommt die Norm mit einer Reihe spezifischer Massnahmen ins Spiel, zusätzlich zu

  • Unternehmensbewusstsein, Risikomanagement, Unterstützung und Engagement (Ziffern 4, 6, 7 und 8 sowie A.5.19, A.5.2) 
  • Lieferkettenmanagement, Audit und Überprüfung (A.5.21, A.5.20 und A.5.22) 
  • Einhaltung der Vorschriften (A.5.31) 
  • Definition der vertraglichen Anforderungen (A.5.31 und A.5.34) 
  • Definition von Informationssicherheitsmaßnahmen für Projekte (A.5.8)

Wie man sieht, gibt es 2 verschiedene Gruppen von Massnahmen: Klauseln und Annex-Kontrollen. Die Klauseln sind ein integraler Bestandteil des Rahmens, da sie den Kern des ISMS (Information Security Management System) definieren und die Grundlage für wichtige Grundsätze wie den risikobasierten Ansatz durch einen Risikomanagementprozess bilden. Andererseits sind die Kontrollen so konzipiert, dass sie die Organisation bei der Behandlung bestimmter Themen anleiten. Dieser zweistufige Ansatz ermöglicht die Implementierung von Mindestkontrollen für die Informationssicherheit, die auf den einzigartigen Kontext, die Realität und die Anforderungen der Organisation zugeschnitten sind

Da die Norm jedoch offen für Interpretationen ist und keine spezifischen Lösungen anbietet, ist Anleitung und Unterstützung bei der Umsetzung erforderlich.

«In diesem Sinne bietet BNC eine Methodik, die auf Risikomanagement, Geschäftsanforderungen und finanzieller Relevanz basiert. Obwohl einige Richtlinien oder Grundsätze in der Norm festgelegt sind, unterstützt BNC mit Beratung, Analyse und Perspektive, um die Werkzeuge zu erstellen und somit geeignete und konforme Lösungen zu implementieren, wie z.B. Informationssicherheitsstrategie, Organisation von Ressourcen, Incident Response Policy und Prozesse, Business Continuity Management Policy und Anforderungen, Risikomanagementkriterien und -anforderungen, unter anderem», erklärt Thomas.

 

DIE ROLLE DER ISO/IEC 27001:2022 BEI DER IDENTIFIZIERUNG VON INTERESSENSGRUPPEN UND DER SICHERHEITSBESTIMMUNG

Die ISO/IEC 27001:2022 Klausel 4.2 beschreibt die Anforderung an eine Organisation, ihre «interessierten Parteien» zu identifizieren und die damit verbundenen rechtlichen, regulatorischen und vertraglichen Verpflichtungen zu berücksichtigen. Wenn beispielsweise ein SaaS-Anbieter eine Zertifizierung anstrebt, muss er seine Kunden nicht nur als Einnahmequelle betrachten, sondern auch als potenzielle Ziele von Cyberangriffen, denen besondere Aufmerksamkeit gewidmet werden muss, um rechtliche, finanzielle oder regulatorische Auswirkungen zu verhindern. Dies führt zu gezielten Informationssicherheitsmassnahmen bei der Projektentwicklung, dem Vertragsmanagement und der Reaktion auf Vorfälle. Der BNC spielt eine Schlüsselrolle bei der Identifizierung von Stakeholdern und der Abstimmung der Visionen des Managements mit Sicherheitspraktiken. Darüber hinaus wirft der Standard Fragen zur Vertrauenswürdigkeit und zu Sicherheitsstandards auf und bekräftigt seine Rolle bei der Vertrauensbildung durch einen von Dritten genehmigten Risikomanagementprozess, der durch unabhängige Prüfungen und Zertifizierungen verifiziert wird.

 
Aufbau von Vertrauen und Sicherheit in vernetzten Partnerschaften: Nutzung der ISO/IEC 27001:2022-Zertifizierung

Die Lösung für den Aufbau von Vertrauen basiert auf der Erfassung von Beweisen, dem Risikomanagement und der strategischen Ausrichtung. Die Anwendung des BNC-Ansatzes mit ISO/IEC 27001:2022 bietet einen einzigartigen Vorteil: Die Zertifizierung bescheinigt die Qualität der Organisation und die Einhaltung robuster Informationssicherheitsstandards. Dadurch werden nicht nur die Strategien bestätigt, sondern auch der Ruf gestärkt.

Selbst wenn es Unklarheiten in Bezug auf Sicherheitsaspekte gibt, gewährleistet die Zertifizierung beider Parteien nach ISO/IEC 27001 ein seriöses Konzept für die Informationssicherheit, bei dem eine gemeinsame Methodik eingehalten wird.

Durch die Anwendung der BNC-Methode mit ISO/IEC 27001:2022 erhält die Organisation Vorteile, die über die Anerkennung als sicherer Partner hinausgehen. Diese Vorteile umfassen:

  • Verbesserter und glaubwürdiger Reifegrad der Informationssicherheit
  • Identifizierung eindeutiger Risiken im Zusammenhang mit der Organisation, ihren Tätigkeiten und ihren Produkten
  • Weiterentwicklung bestehender Fähigkeiten, sowohl technisch als auch organisatorisch
  • Entwicklung von neuen Fähigkeiten
  • Einhaltung der einschlägigen regulatorischen, rechtlichen und vertraglichen Anforderungen
  • Verbesserte Sichtbarkeit der Informationssicherheitsaspekte und -komponenten des Unternehmens (z. B. Vermögenswerte, Prozesse, Richtlinien, technische Maßnahmen, Verkehrskontrolle, IAM, BCM usw.)
  • Ermöglichung eines Verbesserungsprozesses innerhalb der Organisation hin zu höheren Informationssicherheitsstandards

 

Zusammenfassend lässt sich sagen, dass die beiden wichtigsten Bereiche, die durch die Vorteile hervorgehoben werden, das Bewusstsein und ein etablierter Reifegrad sind.

Für Organisationen, insbesondere für kleine und mittlere Unternehmen (KMU), ist dies ein Zeichen für Vertrauenswürdigkeit und Sicherheit. Die Sensibilisierung dient der Risikodiskussion, während der Reifegrad eine wirksame Umsetzung und Überwachung der Kontrollen gewährleistet.

Die Anwendung dieses Ansatzes stärkt das vertrauenswürdige Image eines KMU und signalisiert Interessengruppen und potenziellen Partnern, dass das Unternehmen bereit ist, sicher zu arbeiten. Die Zertifizierung zeigt die Reife des Unternehmens und die Bereitschaft für Partnerschaften und schafft Glaubwürdigkeit als zuverlässiger Anbieter.

Thomas Viguier, Cyber Security Consultant bei BNC, fasst zusammen:

«Zusammenfassend lässt sich sagen, dass die ISO/IEC 27001:2022 angesichts der zunehmenden Cyberangriffe zur Vertrauensbildung unerlässlich geworden ist. Die Zertifizierung ist zwar mit einem gewissen Aufwand verbunden, führt aber zu einem besseren Ruf, einer besseren Zusammenarbeit mit den Beteiligten und bietet Organisationen, insbesondere KMU, die Möglichkeit, ihre Sicherheit und ihre Geschäftsleistung zu verbessern.
Die Einführung von ISO/IEC 27001:2022 ist ein Weg zu Erfolg, Vertrauen und Wachstum in der heutigen datengesteuerten Welt.»

 

SASE Teil 1: Potenzial und Grenzen

6 Min. Lesezeit

SASE Teil 1: Potenzial und Grenzen

SASE entschlüsselt, Teil 1 Erfahren Sie mehr über die Vor- und Nachteile von SASE (Secure Access Service Edge) und wie Unternehmen mit den Grenzen...

Read More
SASE TEIL 2: Secure Access Service ohne «Edge»?

5 Min. Lesezeit

SASE TEIL 2: Secure Access Service  ohne «Edge»?

SASE entschlüsselt, Teil 2 Der Connection Point - Schlüssel zur Revolution des On-Premise-Zugriffs und Befreiung von der Cloud-Abhängigkeit Im...

Read More