ISO 27001 Information Security Management Platform

Was ist eine Informationssicherheits-Politik?

Die Informationssicherheits-Politik ist das "Grundgesetz" für den Umgang mit Informationssicherheit in Ihrem Unternehmen. Sie definiert die strategische Ausrichtung und das Management-Commitment.

Muss-Inhalte einer IS-Politik:

• Geltungsbereich: Welche Bereiche/Systeme sind abgedeckt?
• Sicherheitsziele: Vertraulichkeit, Integrität, Verfügbarkeit
• Rollen & Verantwortlichkeiten: Wer ist wofür zuständig?
• Compliance-Anforderungen: DSGVO, NIS2, branchenspezifische Vorgaben
• Risikomanagement-Ansatz: Wie gehen wir mit Risiken um?
• Incident Management: Wie reagieren wir auf Sicherheitsvorfälle?

Praktische Umsetzung:

1. Management-Workshop (2-3 Stunden) mit Geschäftsleitung, IT, Legal, Compliance
2. Template nutzen: ISO 27001 Vorlagen oder BSI-Grundschutz
3. Anpassen: An Ihre Branche, Grösse und Risikoprofil anpassen
4. Review-Zyklus: Management-Approval, Legal-Review, CISO-Freigabe
5. Kommunizieren: Intranet, Schulungen, Onboarding, E-Mail-Kampagnen
6. Jährliche Überprüfung: Politik aktuell halten (mindestens jährlich oder bei wesentlichen Änderungen)

Typische Fehler vermeiden:

• ❌ Zu technisch: Politik soll für alle verständlich sein
• ❌ Zu lang: Maximal 2-3 Seiten für die Hauptpolitik
• ❌ Keine Verantwortlichkeiten: Klar benennen, wer was macht
• ❌ Nicht kommuniziert: Politik muss allen Mitarbeitenden bekannt sein

Was ist eine Risikobewertung?

Risikobewertung bedeutet: Welche Bedrohungen gibt es für unsere Informationswerte? Wie wahrscheinlich sind sie? Wie schlimm wären die Folgen?

Typische Informationssicherheits-Risiken:

• Cyberangriffe: Ransomware, Phishing, DDoS
• Datenverlust: Durch Fehler, Diebstahl oder technisches Versagen
• Insider-Bedrohungen: Absichtlich oder unabsichtlich durch Mitarbeitende
• Compliance-Verstösse: DSGVO-Bussen, regulatorische Sanktionen
• Verfügbarkeitsausfall: Systemausfälle, die den Betrieb stören

5-Schritte-Risikobewertungsprozess:

1. Asset-Identifikation: Was müssen wir schützen? (Daten, Systeme, Prozesse)
2. Bedrohungen identifizieren: Was kann schiefgehen? (Malware, Naturkatastrophen, menschliches Versagen)
3. Schwachstellen analysieren: Wo sind wir verwundbar? (ungepatchte Systeme, schwache Passwörter)
4. Risiko bewerten: Wahrscheinlichkeit × Auswirkung = Risiko-Score (z.B. 1-5 Skala)
5. Massnahmen definieren: Wie reduzieren wir das Risiko? (technisch, organisatorisch, personell)

Praktisches Tool: Risiko-Matrix

Nutzen Sie eine 5×5-Matrix:

• Achse 1: Wahrscheinlichkeit (1=sehr unwahrscheinlich, 5=sehr wahrscheinlich)
• Achse 2: Auswirkung (1=minimal, 5=katastrophal)
• Risiko-Score: 1-5 (niedrig), 6-12 (mittel), 13-25 (hoch)

Was sind Zugriffskontrollen?

Zugriffskontrollen stellen sicher, dass nur autorisierte Personen auf bestimmte Informationen oder Systeme zugreifen können – nach dem "Need-to-Know"-Prinzip.

Wichtige Zugriffskontrollen:

• Identifikation: Wer bist du? (Benutzername)
• Authentifizierung: Beweise es! (Passwort, MFA, Biometrie)
• Autorisierung: Was darfst du? (Berechtigungen, Rollen)
• Accountability: Was hast du getan? (Logging, Audit Trail)

Best Practices für Berechtigungsmanagement:

• Least Privilege: Minimale notwendige Rechte vergeben
• Separation of Duties: Kritische Funktionen auf mehrere Personen verteilen
• Regelmässige Reviews: Quartalsweise Überprüfung aller Berechtigungen
• Joiner/Mover/Leaver: Prozesse für Eintritt, Versetzung, Austritt
• Privileged Access Management (PAM): Besondere Kontrolle für Admin-Accounts

Technische Umsetzung:

• Identity & Access Management (IAM): Zentrale Verwaltung (z.B. Azure AD, Okta)
• Multi-Factor Authentication (MFA): Für alle kritischen Systeme Pflicht
• Single Sign-On (SSO): Vereinfacht Zugang und erhöht Sicherheit
• Access Reviews: Automatisierte Erinnerungen für Manager

Warum ist Security Awareness wichtig?

Menschen sind oft das schwächste Glied in der Sicherheitskette. 90% aller Sicherheitsvorfälle haben eine menschliche Komponente (Phishing, Social Engineering, Fehler).

Wichtige Schulungsthemen:

• Phishing-Erkennung: Wie erkenne ich gefälschte E-Mails?
• Passwort-Sicherheit: Starke Passwörter, Passwort-Manager, MFA
• Social Engineering: Manipulationstechniken erkennen
• Datenschutz: DSGVO-konforme Datenverarbeitung
• Mobile Security: Sichere Nutzung von Smartphones/Tablets
• Home Office Security: Sicheres Arbeiten von zu Hause
• Incident Reporting: Wie melde ich einen Sicherheitsvorfall?

Praktische Umsetzung:

1. Onboarding: Security-Schulung für alle neuen Mitarbeitenden (Tag 1)
2. Jährliche Pflichtschulung: 30-45 Minuten E-Learning für alle
3. Phishing-Simulationen: Quartalsweise simulierte Phishing-Mails (z.B. mit KnowBe4)
4. Security Champions: In jedem Team eine Person als Ansprechpartner
5. Security Newsletter: Monatliche Tipps & aktuelle Bedrohungen
6. Gamification: Quizzes, Challenges, Belohnungen für gutes Verhalten

Erfolgsmessung:

• Phishing-Klickrate: Ziel < 5% bei Simulationen
• Schulungs-Completion-Rate: Ziel 100%
• Incident-Meldungen: Mehr Meldungen = höhere Awareness
• Quiz-Ergebnisse: Durchschnitt > 80%

Was ist Incident Management?

Incident Management ist der strukturierte Prozess zur Erkennung, Bewertung, Reaktion und Wiederherstellung bei Sicherheitsvorfällen.

Typische Security-Incidents:

• Malware-Infektionen: Viren, Trojaner, Ransomware
• Datenlecks: Unbefugter Zugriff auf sensible Daten
• DDoS-Angriffe: Überlastung von Systemen
• Phishing-Erfolge: Mitarbeitende fallen auf Phishing rein
• Insider-Vorfälle: Absichtliche oder unabsichtliche Datenlecks
• Systemausfälle: Verfügbarkeitsprobleme durch technische Fehler

Incident Management Prozess (6 Phasen):

1. Vorbereitung: Incident Response Team, Tools, Playbooks
2. Erkennung & Analyse: SIEM, Monitoring, User-Meldungen
3. Eindämmung: Sofortmassnahmen (Isolation, Abschaltung)
4. Beseitigung: Root Cause beheben (Malware entfernen, Patch einspielen)
5. Wiederherstellung: Systeme wieder in Betrieb nehmen
6. Lessons Learned: Post-Incident Review, Verbesserungen

Business Continuity & Disaster Recovery:

• Business Impact Analysis (BIA): Welche Prozesse sind kritisch?
• Recovery Time Objective (RTO): Wie schnell muss es wieder laufen?
• Recovery Point Objective (RPO): Wie viel Datenverlust ist akzeptabel?
• Backup-Strategie: 3-2-1-Regel (3 Kopien, 2 Medien, 1 offsite)
• DR-Tests: Jährliche Tests der Wiederherstellungspläne

Warum ist Patch Management kritisch?

Ungepatchte Systeme sind eine der häufigsten Ursachen für erfolgreiche Cyberangriffe. Viele bekannte Angriffe (WannaCry, NotPetya) nutzten bekannte Schwachstellen aus.

Patch Management Prozess:

1. Inventarisierung: Welche Systeme/Software haben wir? (Asset Management)
2. Vulnerability Scanning: Automatische Suche nach Schwachstellen
3. Priorisierung: Kritische Patches zuerst (CVSS-Score, Bedrohungslandschaft)
4. Testing: Patches in Test-Umgebung prüfen
5. Deployment: Ausrollen in Produktion (gestaffelt)
6. Verification: Erfolgskontrolle & Dokumentation

Best Practices:

• Kritische Patches: Innerhalb 72 Stunden einspielen
• Normale Patches: Monatlicher Patch-Zyklus
• Automatisierung: WSUS, SCCM, Intune für Windows; Ansible/Puppet für Linux
• Exception Management: Klar definierte Ausnahmen (z.B. Legacy-Systeme)
• Vendor Management: Auch Third-Party-Software patchen

Vulnerability Management:

• Scanning: Wöchentliche Vulnerability Scans (Nessus, Qualys)
• Penetration Testing: Jährliche externe Pen-Tests
• Bug Bounty: Für öffentliche Systeme erwägen
• Threat Intelligence: Aktuelle Bedrohungen im Blick (CERT-Feeds)

Was ist Datenklassifizierung?

Datenklassifizierung bedeutet: Daten nach Schutzbedarf kategorisieren und entsprechende Sicherheitsmassnahmen anwenden.

Typische Klassifizierungsstufen:

• PUBLIC: Öffentlich zugängliche Daten (Website-Inhalte, Marketing)
• INTERNAL: Interne Daten (interne Dokumente, nicht-sensible E-Mails)
• CONFIDENTIAL: Vertrauliche Daten (Kundendaten, Finanzdaten, Personaldaten)
• RESTRICTED: Streng vertraulich (Geschäftsgeheimnisse, M&A-Daten, kritische IP)

Schutzmassnahmen pro Klassifizierung:

• PUBLIC: Keine besonderen Massnahmen
• INTERNAL: Zugriffskontrolle, Backup
• CONFIDENTIAL: Verschlüsselung at rest, Zugriffskontrolle, MFA, Backup, DLP
• RESTRICTED: Ende-zu-Ende-Verschlüsselung, strenge Zugriffskontrolle, HSM, Air-Gap-Backup

Verschlüsselung:

• At Rest: BitLocker, FileVault, Festplattenverschlüsselung
• In Transit: TLS 1.3, VPN, SSH
• In Use: Homomorphic Encryption (noch experimentell)
• Key Management: Zentrale Schlüsselverwaltung (Azure Key Vault, AWS KMS)

Backup-Strategie:

• 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 offsite
• Immutable Backups: Gegen Ransomware geschützt
• Regelmässige Tests: Quartalsweise Restore-Tests
• Retention: Aufbewahrungsfristen gemäss Compliance

Warum ist Supplier Security wichtig?

Viele erfolgreiche Angriffe erfolgen über die Lieferkette (Supply Chain Attacks). Ihre Sicherheit ist nur so stark wie die Ihrer schwächsten Lieferanten.

Supplier Risk Management Prozess:

1. Identifikation: Welche Lieferanten haben Zugriff auf unsere Daten/Systeme?
2. Klassifizierung: Kritikalität bewerten (High/Medium/Low Risk)
3. Due Diligence: Security Assessment durchführen
4. Vertragliche Regelungen: SLAs, Security-Klauseln, Audit-Rechte
5. Onboarding: Security-Anforderungen kommunizieren
6. Monitoring: Regelmässige Reviews (jährlich für High-Risk)
7. Offboarding: Zugriffe entziehen, Daten löschen

Security Assessment Methoden:

• Fragebögen: CAIQ, SIG Lite, eigene Security-Checklisten
• Zertifizierungen prüfen: ISO 27001, SOC 2, TISAX
• Pen-Tests: Bei kritischen Lieferanten
• On-Site Audits: Für Hochrisiko-Lieferanten

Vertragliche Sicherheitsklauseln:

• Datenschutz: DSGVO-konforme Datenverarbeitung (AVV)
• Sicherheitsvorfälle: Meldepflicht innerhalb 24h
• Audit-Rechte: Recht auf Security-Audits
• Subunternehmer: Genehmigungspflicht für Subunternehmer
• Datenrückgabe/-löschung: Bei Vertragsende

Kritische Lieferanten:

• Cloud-Provider (AWS, Azure, Google Cloud)
• SaaS-Anbieter mit Datenzugriff (CRM, HR, Finance)
• Managed Service Provider (MSP)
• Entwicklungsdienstleister mit Code-Zugriff

Warum sind Audits wichtig?

Audits helfen dabei herauszufinden: Funktioniert unser ISMS wirklich? Halten wir uns an unsere eigenen Regeln? Was können wir verbessern?

Arten von Audits:

• Interne Audits (1st Party): Durchgeführt von eigenen Mitarbeitenden
• Lieferanten-Audits (2nd Party): Prüfung von Lieferanten
• Zertifizierungs-Audits (3rd Party): Durchgeführt von akkreditierten Zertifizierungsstellen

Internes Audit-Programm:

1. Audit-Planung: Jährlicher Audit-Plan (alle Bereiche abdecken)
2. Auditor-Auswahl: Unabhängige Auditoren (nicht eigene Prozesse prüfen)
3. Audit-Durchführung:
   • Dokumentenprüfung (Policies, Prozesse)
   • Interviews (mit Prozessverantwortlichen)
   • Stichproben (z.B. Zugriffsrechte prüfen)
   • Technische Tests (z.B. Vulnerability Scans)
4. Audit-Bericht: Findings kategorisieren (Critical, Major, Minor, Observation)
5. Korrekturmassnahmen: Massnahmenplan mit Verantwortlichen und Deadlines
6. Follow-up: Umsetzung der Massnahmen verfolgen

Management Review:

Mindestens jährlich sollte das Top-Management das ISMS überprüfen:

• Input: Audit-Ergebnisse, Incidents, Risiken, Compliance-Status
• Bewertung: Ist das ISMS noch angemessen und wirksam?
• Output: Entscheidungen zu Verbesserungen, Ressourcen, Zielen

ISO 27001 Zertifizierung:

• Stage 1 Audit: Dokumentenprüfung (Readiness-Check)
• Stage 2 Audit: Vor-Ort-Audit (alle Controls prüfen)
• Surveillance Audits: Jährliche Überwachungsaudits
• Re-Zertifizierung: Alle 3 Jahre vollständiges Audit

Wichtige Security-Regulations:

• DSGVO: EU-Datenschutz-Grundverordnung (Bussen bis 4% Jahresumsatz)
• NIS2: EU-Richtlinie für Netzwerk- und Informationssicherheit (ab 2024)
• Schweizer DSG: Schweizerisches Datenschutzgesetz (revidiert 2023)
• PCI DSS: Payment Card Industry Data Security Standard
• HIPAA: Health Insurance Portability and Accountability Act (USA)
• SOX: Sarbanes-Oxley Act (für börsennotierte Unternehmen)

DSGVO-Compliance für Security:

• Rechtsgrundlage: Warum dürfen wir die Daten verarbeiten?
• Privacy by Design: Datenschutz von Anfang an mitdenken
• Datenschutz-Impact Assessment (DPIA): Bei Hochrisiko-Verarbeitung
• Betroffenenrechte: Auskunft, Löschung, Widerspruch, Portabilität
• Meldepflicht: Datenpannen innerhalb 72h an Behörde melden
• Auftragsverarbeitung: AVV mit allen Dienstleistern

NIS2-Anforderungen:

• Risikomanagement: Systematische Bewertung und Behandlung
• Incident Management: 24h Meldepflicht bei erheblichen Vorfällen
• Business Continuity: Notfallpläne und Backup-Systeme
• Supply Chain Security: Sicherheit der Lieferkette
• Verschlüsselung: Einsatz von Kryptografie
• Security Awareness: Schulungen für alle Mitarbeitenden

Compliance-Management-Prozess:

1. Regulatorische Landschaft verstehen: Welche Gesetze gelten für uns?
2. Gap-Analyse: Wo stehen wir? Was fehlt noch?
3. Massnahmenplan: Was müssen wir umsetzen? (Priorisierung)
4. Implementierung: Schrittweise Umsetzung
5. Dokumentation: Nachweis der Compliance (für Audits)
6. Monitoring: Kontinuierliche Überwachung neuer Anforderungen

Branchenspezifische Standards:

• Finanzsektor: FINMA, MaRisk, BAIT
• Gesundheitswesen: Swissmedic, FDA, HIPAA
• Energie: KRITIS, NIS2
• Automotive: TISAX, ISO 21434