DataTalks: Insights für eine zuverlässige Datenverfügbarkeit

Data Breach - Vertrauen in Partner mehr als menschliche Angelegenheit

Geschrieben von Thomas Viguier | 09.08.2023 16:42:19

ISO/IEC 27001:2022 UND BNC - VERTRAUENSBILDUNG IM DIGITALEN ZEITALTER

DEM DAUERHAFTEN RISIKO VON DATENLECKS DURCH EINHEITLICHE STANDARDS BEGEGNEN 

 

In der sich schnell entwickelnden digitalen Landschaft sind Vertrauen und Sicherheit für Unternehmen zu einem zentralen Anliegen geworden. Als Antwort auf diese Herausforderung stellen ISO/IEC 27001:2022 und der BNC-Ansatz eine leistungsstarke Lösung dar, um standardisierte Informationssicherheitspraktiken zu etablieren und Risiken kompetent zu verwalten. Erfahren Sie, wie diese Zertifizierung und ihre Methodik Unternehmen dabei helfen, Vertrauen zu schaffen, Kunden und Partner zu überzeugen und ihren Ruf als vertrauenswürdige Akteure in einer datenzentrierten Welt zu festigen.

Vertrauen war schon immer von zentraler Bedeutung für zwischenmenschliche Beziehungen und die Grundlage für Verlässlichkeit, z. B. in der Diplomatie. Auch in der Wirtschaft spielt Vertrauen eine wichtige Rolle, doch angesichts der Zunahme von Cyberangriffen reicht dies nicht mehr aus. Heutzutage muss das Vertrauen in die Technologie und die Informationssicherheit hergestellt werden, und es müssen klare vertragliche Massnahmen für ungünstige Situationen festgelegt werden. Es kann jedoch eine Herausforderung sein, sicherzustellen, dass ein Partner in der Lage ist, diese Sicherheitsstandards zu erfüllen.

Die Auswirkungen von Cyberangriffen auf Partnerschaften betreffen die Unternehmen unmittelbar. Ihre Fähigkeit, Daten zu schützen, hängt von ihren geschäftlichen Anforderungen in Kunden-, Partner- oder Lieferantenbeziehungen ab. Dabei geht es um zwei wesentliche Aspekte: vertragliche Verpflichtungen, die Verantwortlichkeiten, Sorgfaltspflichten und Haftung festlegen, und die Sicherheitsfähigkeiten des Unternehmens, die die Grundlage für Vertrauen bilden und mit den entsprechenden vertraglichen Verpflichtungen übereinstimmen.

 

Ein entscheidender Aspekt beim Aufbau von Vertrauen in die Informationssicherheit ist die Fähigkeit, in der "gleichen Sprache" zu kommunizieren und dadurch die Strategie, das Engagement und die Kontrollen des anderen zu verstehen. Eine robuste Lösung kann daher in einem normalisierten, standardisierten Rahmen gefunden werden, der idealerweise als Referenz in verschiedenen Sektoren anerkannt ist. Thomas Viguier, Berater für Cybersicherheit bei BNC, erklärt:

«Wir bei BNC sind fest davon überzeugt, dass wir durch ISO/IEC 27001:2022 Vertrauen in die Sicherheitslage schaffen, indem wir das Fachwissen unserer Experten nutzen und andere Rahmenwerke wie nDSG/nLPD oder GDPR einbeziehen. Dieser Ansatz ermöglicht es uns, eine gemeinsame Sprache auf Top-Management-Ebene zu etablieren und Themen wie Strategie, Entscheidungsfindung, Priorisierung, Ressourcenzuweisung und Prozessdefinition anzusprechen. Auf diese Weise führen wir unsere Kunden zu einem ausgereiften Verständnis komplexer Anforderungen im Zusammenhang mit gesetzlichen und vertraglichen Verpflichtungen.»

 

Dies ist jedoch nicht das Ende der Geschichte, wie die zentrale Frage zeigt:

// WIE KÖNNEN WIR SICHER SEIN, DASS ANDERE PARTEIEN, EINSCHLIESSLICH UNS SELBST, VERTRAUENSWÜRDIG SIND?
// KÖNNEN PARTNERSCHAFTEN ALS UNSEREN SICHERHEITSSTANDARDS ENTSPRECHEND ANGESEHEN WERDEN?

Die Gewissheit, ein engagiertes Gegenüber zu haben, das die Mindestkriterien einhält, lässt sich mit einer ISO/IEC 27001-Zertifizierung leicht nachweisen. Was aber, wenn die Organisation höhere, strengere Standards anwendet? Wie kann man sicherstellen, dass solche Standards auch eingehalten werden?

In solchen Fällen kommt die Norm mit einer Reihe spezifischer Massnahmen ins Spiel, zusätzlich zu

  • Unternehmensbewusstsein, Risikomanagement, Unterstützung und Engagement (Ziffern 4, 6, 7 und 8 sowie A.5.19, A.5.2) 
  • Lieferkettenmanagement, Audit und Überprüfung (A.5.21, A.5.20 und A.5.22) 
  • Einhaltung der Vorschriften (A.5.31) 
  • Definition der vertraglichen Anforderungen (A.5.31 und A.5.34) 
  • Definition von Informationssicherheitsmaßnahmen für Projekte (A.5.8)

Wie man sieht, gibt es 2 verschiedene Gruppen von Massnahmen: Klauseln und Annex-Kontrollen. Die Klauseln sind ein integraler Bestandteil des Rahmens, da sie den Kern des ISMS (Information Security Management System) definieren und die Grundlage für wichtige Grundsätze wie den risikobasierten Ansatz durch einen Risikomanagementprozess bilden. Andererseits sind die Kontrollen so konzipiert, dass sie die Organisation bei der Behandlung bestimmter Themen anleiten. Dieser zweistufige Ansatz ermöglicht die Implementierung von Mindestkontrollen für die Informationssicherheit, die auf den einzigartigen Kontext, die Realität und die Anforderungen der Organisation zugeschnitten sind

Da die Norm jedoch offen für Interpretationen ist und keine spezifischen Lösungen anbietet, ist Anleitung und Unterstützung bei der Umsetzung erforderlich.

«In diesem Sinne bietet BNC eine Methodik, die auf Risikomanagement, Geschäftsanforderungen und finanzieller Relevanz basiert. Obwohl einige Richtlinien oder Grundsätze in der Norm festgelegt sind, unterstützt BNC mit Beratung, Analyse und Perspektive, um die Werkzeuge zu erstellen und somit geeignete und konforme Lösungen zu implementieren, wie z.B. Informationssicherheitsstrategie, Organisation von Ressourcen, Incident Response Policy und Prozesse, Business Continuity Management Policy und Anforderungen, Risikomanagementkriterien und -anforderungen, unter anderem», erklärt Thomas.

 

DIE ROLLE DER ISO/IEC 27001:2022 BEI DER IDENTIFIZIERUNG VON INTERESSENSGRUPPEN UND DER SICHERHEITSBESTIMMUNG

Die ISO/IEC 27001:2022 Klausel 4.2 beschreibt die Anforderung an eine Organisation, ihre «interessierten Parteien» zu identifizieren und die damit verbundenen rechtlichen, regulatorischen und vertraglichen Verpflichtungen zu berücksichtigen. Wenn beispielsweise ein SaaS-Anbieter eine Zertifizierung anstrebt, muss er seine Kunden nicht nur als Einnahmequelle betrachten, sondern auch als potenzielle Ziele von Cyberangriffen, denen besondere Aufmerksamkeit gewidmet werden muss, um rechtliche, finanzielle oder regulatorische Auswirkungen zu verhindern. Dies führt zu gezielten Informationssicherheitsmassnahmen bei der Projektentwicklung, dem Vertragsmanagement und der Reaktion auf Vorfälle. Der BNC spielt eine Schlüsselrolle bei der Identifizierung von Stakeholdern und der Abstimmung der Visionen des Managements mit Sicherheitspraktiken. Darüber hinaus wirft der Standard Fragen zur Vertrauenswürdigkeit und zu Sicherheitsstandards auf und bekräftigt seine Rolle bei der Vertrauensbildung durch einen von Dritten genehmigten Risikomanagementprozess, der durch unabhängige Prüfungen und Zertifizierungen verifiziert wird.

Zusammenfassend lässt sich sagen, dass die beiden wichtigsten Bereiche, die durch die Vorteile hervorgehoben werden, das Bewusstsein und ein etablierter Reifegrad sind.

Für Organisationen, insbesondere für kleine und mittlere Unternehmen (KMU), ist dies ein Zeichen für Vertrauenswürdigkeit und Sicherheit. Die Sensibilisierung dient der Risikodiskussion, während der Reifegrad eine wirksame Umsetzung und Überwachung der Kontrollen gewährleistet.

Die Anwendung dieses Ansatzes stärkt das vertrauenswürdige Image eines KMU und signalisiert Interessengruppen und potenziellen Partnern, dass das Unternehmen bereit ist, sicher zu arbeiten. Die Zertifizierung zeigt die Reife des Unternehmens und die Bereitschaft für Partnerschaften und schafft Glaubwürdigkeit als zuverlässiger Anbieter.

Thomas Viguier, Cyber Security Consultant bei BNC, fasst zusammen:

«Zusammenfassend lässt sich sagen, dass die ISO/IEC 27001:2022 angesichts der zunehmenden Cyberangriffe zur Vertrauensbildung unerlässlich geworden ist. Die Zertifizierung ist zwar mit einem gewissen Aufwand verbunden, führt aber zu einem besseren Ruf, einer besseren Zusammenarbeit mit den Beteiligten und bietet Organisationen, insbesondere KMU, die Möglichkeit, ihre Sicherheit und ihre Geschäftsleistung zu verbessern.
Die Einführung von ISO/IEC 27001:2022 ist ein Weg zu Erfolg, Vertrauen und Wachstum in der heutigen datengesteuerten Welt.»