Was soll ISMS, SIEM und ISO 270XX sein?
Dieser Beitrag gibt Dir eine Übersicht ohne normiertes Kauderwelsch.
Starten wir!
- 1 Was ist ein ISMS?
- 2 Die kompakteste ISO 270XX Übersicht
- 2.1 ISO 27000 Übersicht und Definitionen
- 2.2 ISO 27001 ISMS
- 2.3 ISO 27002 Was ist Informationssicherheit?
- 2.4 ISO 27003 Implementierung von ISMS / SIEM
- 2.5 ISO 27004 Management Methoden
- 2.6 ISO 27005 Risikomanagement
- 2.7 ISO 27006 Audit / Überprüfung
- 2.8 ISO 27014 Governance
- 2.9 ISO 27018 Datenschutz in der Cloud
- 2.10 ISO 27031 Was mache ich im Notfall?
- 2.11 ISO 27032 Sicherheitstechniken
- 2.12 ISO 27033 Alles zum Netzwerk
- 2.13 ISO 27034 Sichere Anwendung
- 2.14 ISO 27035 IT-Security-Vorfälle
- 2.15 ISO 27036 Lieferketten Hacks vermeiden
- 2.16 ISO 27037 Computeruntersuchungen
- 3 Warum ein SIEM nutzen?
- 4 ISMS haben, oder nicht?
Was ist ein ISMS?
Eine ISMS (Information Security Management System) ist eine Software, welche die Informationssicherheit in einem Unternehmen definiert, steuert, kontrolliert, am Leben erhält und verbessert. Hä? Diese Definition bietet die ISO Norm 2700X an, aber diese ist verwirrend. In einfachen Worten lässt sich die ISO 27001 so beschreiben:
Die IT-Sicherheit ist unsichtbar, schwer überblickbar. Einem Computer sieht man nur schwer an, ob ein Krimineller diesen gerade versucht zu übernehmen. Die Software SIEM löst dieses Problem. Als zentrale Schalt- und Überwachungszentrale soll ein ihre Software und Hardware überwachen. Das Ziel ist es Hacking-Versuche zu erkennen, präventiv diese zu blocken und Schaden zu minimieren.
Die kompakteste ISO 270XX Übersicht
Die ISO 270XX ist keine einzelne Norm, sondern einen Normen-Familie / Sammlung. Jedes Unternehmen muss nicht zwangsläufig alle beachten:
ISO 27000 Übersicht und Definitionen
Diese Norm sollte jeder gelesen haben, der eine Übersicht gewinnen möchte. Die Norm lässt sich auf fast jede Organisation anwenden und gilt als universal.
ISO 27001 ISMS
Was sind die Anforderungen an ISMS? Was soll es können und wie kann ich dieses ins Unternehmen einbauen? Wie soll ich mit Sicherheitsrisiken in einem Unternehmen umgehen? Jedes Unternehmen hat eine unterschiedliche Akzeptanz für Risiken. Eine Bank darf 0 Risiko eingehen, während eine Open Source Unternehmen weniger zu verheimlichen hat.
ISO 27002 Was ist Informationssicherheit?
Informationssicherheit geht über IT-Sicherheit hinaus und befasst sich auch z. B. mit dem Schutz von physischen Dokumenten und Patenten.
ISO 27003 Implementierung von ISMS / SIEM
Wie sieht ein SIEM optimalerweise aus? Welche Eingaben soll das SIEM analysieren? Was passiert mit den Logeinträgen von Servern?
ISO 27004 Management Methoden
Auf den ersten Blick siehst Du einer Server-Farm nicht an, wie sicher diese aufgestellt ist. Deshalb versuchen Unternehmen Metriken zu entwickeln, um die IT-Sicherheit zu messen.
ISO 27005 Risikomanagement
Wie viel Risiko möchte ich als Unternehmen eingehen. Selbst wenn Du alle Sicherheitssteuerungen implementiert hast, musst Du ein Restrisiko akzeptieren. Eine Kühlung kann ausfallen oder eine Software einen Exploit haben.
ISO 27006 Audit / Überprüfung
Was passiert, wenn ein Prüfungsunternehmen eine Überprüfung der Normen durchführt? Was muss der Prüfer beachten, damit dieser mit einem guten Gewissen das Unternehmen zertifizieren darf.
ISO 27014 Governance
Wer macht, was wann wie? Wie sehen Überwachungs-, Überprüfungs- und Kommunikationsprozesse im Detail aus?
ISO 27018 Datenschutz in der Cloud
In der Cloud liegen die Unternehmensdaten und Kundendaten nicht mehr bei dem lokalen Unternehmen, sondern weltweit verteilt. Europäisches Recht erschwert die Speicherung von personenbezogenen Daten in anderen Ländern. Hust, DSGVO und Amerika 🙂
ISO 27031 Was mache ich im Notfall?
Business Continunity: Dein Unternehmen wurde gehackt? Die Ransomware-Software verlangt Geld für das Entschlüsseln der Daten? Ziele lieber Deinen Notfallplan aus der Schublade, anstatt in Panik zu verfallen.
ISO 27032 Sicherheitstechniken
Diese Richtlinie soll helfen einen Einstieg in den Bereich von Informations-, Netzwerk-, Internet- und Infrastruktur-Sicherheit zu erhalten. ISO erklärt Best Practices für die Umsetzung des Standards.
ISO 27033 Alles zum Netzwerk
Ist das Netzwerk sicher konfiguriert? Wer hat Zugriff auf welchen Server? Kriminelle haben es leicht bei einer unzureichenden Verschlüsselung und falscher Netzwerkplanung.
ISO 27034 Sichere Anwendung
Wie soll ein Unternehmen mit Anwendungen umgehen, sodass die Anwendungen sicher sind? Was passiert mit selbst entwickelten Anwendungen, die von einem Unternehmenskauf stammen?
ISO 27035 IT-Security-Vorfälle
Dein Unternehmen hat ein Sicherheitsleck! Was tun? Diese Guidelines geben Dir Richtlinien für eine schrittweise Herangehensweise an IT-Sicherheitsvorfälle.
ISO 27036 Lieferketten Hacks vermeiden
Du erhältst einen neuen Computer von dem Hardware-Unternehmen X. Glaubst Du dieser ist sicher? Könnte ein Überwachungschip oder Keylogger in dem Gehäuse stecken?
ISO 27037 Computeruntersuchungen
Die Computer Forensik versucht digitale Nachweise festzuhalten, wenn ein Vorfall im Unternehmen passiert. Unternehmen fragen Forensiker an, wenn eine Straftat stattfand oder ein Hack untersucht werden muss.
Warum ein SIEM nutzen?
- Überblick: Nur mit eine SIEM hast Du einen Überblick über Deine IT-Infrastruktur. Wie viele Computer hast Du im Unternehmen? Welche Software läuft auf diesen? Welche Daten gehen rein und raus? Warum ist die Unternehmenswebseite heute so langsam? Diese Fragen beantwortet Dir ein SIEM.
- Zentralität: Kriminelle greifen nicht immer die offensichtlichsten Punkte an. Sie versuchen, sich von Computer zu Computer zu bewegen (lateral). Finden Sie einen Client, von dem sie eine sich einem Admin-Computer
- Vorfallbehandlung: Wenn eine SIEM ein Hacking-Versuch erkennt, kannst Du vollautomatisch Aufgaben einleiten.
- Vorbereitend: Wenn das schlimmste Szenario X eintritt, soll in der IT-Abteilung keine Panik ausbrechen, sondern die Analysten ziehen ihre Notfallpläne aus der Schublade. Klare Checklisten mit allen Zuständigkeiten und Abläufen helfen bei der Wiederherstellung des gesunden Zustands der Infrastruktur.
- Verpflichtung: Unternehmen, die zur kritischen Infrastruktur gehören, müssen ein ISMS implementiert haben. Dazu gehören Energie Versorger, Krankenhäuser, Behörden und andere zentrale Unternehmen.
ISMS haben, oder nicht?
Wenn Du eine ISMS im Unternehmen integrierst, dann erhält das Unternehmen eine ISO 270XX Zertifizierung. Manche Kunden müssen auf diese Zertifizierung achten, weil diese nicht ihre Kundendaten an das nächst beste Garagen-IT-Unternehmen geben dürfen.
Das zertifizierte Unternehmen muss selbst ihre Lieferanten überprüfen, damit diese keine Suppy Chain Attack ausgesetzt sind. Käuft das Unternehmen eine Software ein, die eine Backdoor hat oder einen Exploit, dann macht sich das Unternehmen stark verletzbar.
Denkfehler der Zertifzierungen
- Keine tiefergehende Kontrolle: Hat ein Unternehmen die Möglichkeit alle zu pachtenden Systemen zu identifizieren, bedeutet das nicht, dass dies automatisch stattfindet. Wenn ein Exploit wie eine Log4J-Schwachstelle bekannt ist, muss das Unternehmen jede im Unternehmen verwendete Software kennen und kategorisiert haben, um blitzschnell patchen zu können.
- Langsam: Die ISO legt ihre Norm nicht alle 5 Minuten neu auf. Neue Schwachstellen und Hacking-Konzepte kommen jeden Tag hinzu, die das Potenzial haben, einen Konzern auszuschalten.
- Binaries von Zulieferer: Wenn Du Dir eine Binary von einem Zulieferer zukommen lässt, hast Du keinen Plan, was in der Binary an Code sich verbirgt. Backdoor, Malware oder Virus? Du musst dem Unternehmen X vertrauen, dass die Software ihre Korrektheit hat.
- Nicht gelebt: Was bringt Dir eine „Poilcy“ im Unternehmen, dass jeder Mitarbeiter jeden Tag ein Backup machen sollte. Die Realität sieht anders aus … im Audit zeigt das Unternehmen sich von der Schokoladenseite, die in der Regel ein Wunschdenken ist.
