16.05.2018

Dieselskandal in der Informationssicherheit?

Von Bodo Piening

Sie fragen sich, was der Dieselskandal mit Informationssicherheit zu tun hat? Auf den ersten Blick: Nichts. Doch schauen wir zunächst einmal auf die objektiven Fakten und Rahmenbedingungen zum Dieselskandal. Da sieht die Sache nämlich plötzlich ganz anders aus.

Grundlage sind die im Bereich der Dieselmotoren gültigen Abgasnormen Euro 5 und 6, die zulässige Grenzwerte für den Ausstoß von Luftschadstoffen definieren. Der Skandal bestand nun darin, dass die betroffenen Fahrzeuge zwar nach dieser Norm zertifiziert waren, aber die Grenzwerte trotzdem nicht eingehalten wurden, wenn auch in diesem Fall aufgrund von Manipulationen der Fahrzeughersteller.

Die Norm in der Informationssicherheit?
Auch im Bereich der Informationssicherheit gibt eine internationale Norm, die ISO 27001. Die Bedeutung dieser Norm hat vor dem Hintergrund neuer datenschutzrechtlicher Vorschriften (z. B. EU-Datenschutzverordnung) und der zunehmenden Bedrohung durch Cyberkriminalität in den letzten Jahren stark zugenommen. Viele Firmen werben mittlerweile mit einer entsprechenden Zertifizierung. Aber was für eine Aussagekraft hat diese Norm und ist ein entsprechendes Zertifikat tatsächlich mit einem hohen Maß an Sicherheit verbunden, so wie es häufig in diesem Zusammenhang beworben wird? Oder handelt es sich wie beim Dieselskandal um eine Norm ohne Wert?

ISO 27001 – Norm ohne Aussagekraft?
Um diese Frage zu beantworten, lohnt ein kurzer Blick auf die Prinzipien des dahinterstehenden Regelwerks.

Die ISO 27001 lässt sich grob in drei Teile gliedern: Neben einer Einleitung und Begriffsbestimmungen werden in einem Hauptteil in sieben Kapiteln Anforderungen an ein Managementsystem zur Informationssicherheit beschrieben, d. h. Verfahren und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Den dritten Teil bildet der Anhang mit den sog. »Controls«, in denen Ziele und Maßnahmen definiert werden. Diese Maßnahmen sind dabei sehr generisch und allgemein formuliert und enthalten keinerlei technische Vorgaben. So wird für die Entsorgung von Datenträgern lediglich die Maßnahme definiert: »Nicht mehr benötigte Datenträger werden sicher und unter Anwendung formaler Verfahren entsorgt.« Dies bietet einerseits den Unternehmen die Möglichkeit, diese Maßnahmen spezifisch auszuprägen, stellt zugleich aber auch einen Schwachpunkt der Norm dar.

Ein weiterer Schwachpunkt der Norm ist in ihrer Methodik begründet, deren Mittelpunkt die Risikoanalyse bildet. Abhängig von der Risikobewertung kann ein Unternehmen frei entscheiden, welche Maßnahmen in welcher Tiefe umzusetzen sind. So kann ein Unternehmen normkonform entscheiden, einzelne Maßnahmen nicht umzusetzen, da es zu der Entscheidung gelangt ist, dass das damit verbundene Risiko akzeptabel ist.

Ein dritter und letzter erwähnenswerter Punkt ist, dass eine Zertifizierung auch nur für einen Teil des Unternehmens oder der IT-Infrastruktur erworben werden kann, z. B. nur für die Systeme zum Webshop. Es lohnt sich also bei Unternehmen, die mit der Zertifizierung werben, genau hinzuschauen, wofür diese Zertifizierung erworben wurde.

Fazit
Mit einer Zertifizierung nach ISO 27001 wird bestätigt, dass im überprüften Unternehmen ein geplantes und kontrolliertes Vorgehen eingerichtet ist, um angemessene Informationssicherheit zu erreichen und aufrechtzuerhalten. Die Norm ISO 27001 besagt allerdings vor allem, dass eine taugliche Vorgehensweise zur Erreichung von Informationssicherheit existiert; aber nicht unbedingt, dass ein hohes Sicherheitsniveau existiert.

Übrigens: Kennen Sie schon unser Tool zur Messung des Reifegrades Ihrer Informationssicherheit?
Laden Sie sich dies kostenlos hier herunter.

Haben Sie Fragen, Anregungen oder Kritik, kontaktieren Sie uns. Wir befähigen und unterstützen Sie bei der effizienten und wirtschaftlichen Umsetzung Ihrer Anforderungen.

zurück