Configuration Management gemäß ISO 27001:2022 – So vermeiden Sie eine Abweichung

Möchte Ihr Unternehmen eine Zertifizierung nach der neuesten ISO 27001 erhalten? Dann müssen Sie ein Configuration Management auf Basis aktueller Standards professionell implementieren! So meistern Sie die Herausforderung.

Denken Sie an die sichere Konfiguration Ihrer Systeme!

Die DIN EN ISO 27001 bzw. DIN/IEC 27001 – kurz ISO 27001 – ist eine wichtige Norm im Bereich der Cyber-Sicherheit. Im Oktober 2022 wurde die neueste Fassung, die DIN 27001:2022, veröffentlicht. Darauf folgte die DIN 27001:2024, die “nur” die deutsche Übersetzung darstellt.

Mit der Gültigkeit der ISO 27001:2022 müssen die betroffenen Unternehmen ihre Informationssicherheitsmanagementsysteme (ISMS) vollständig an die neuen Anforderungen anpassen. Eine der bedeutendsten Neuerungen ist die Einführung von Annex A – Control 8.9, wo es um das Configuration Management geht – auch bekannt als Secure Configuration oder Systemhärtung bzw. System Hardening

Dieser Punkt existierte in den vorherigen Versionen der Norm noch nicht. Daher müssen Unternehmen nun sicherstellen, dass sie die Anforderungen der sicheren Konfiguration erfüllen, um Nichtkonformitäten zu vermeiden. 

ISO 27002: Vergleich der Neuerungen und Änderungen im Vergleich zur vorherigen Fassung (Bild: nqa)
(Klicken Sie auf das Bild für eine größere Darstellung)

Hinweis: Eine Übersicht über die Gemeinsamkeiten und Unterschiede zwischen der “alten” ISO 27002:2017 und der “neuen” ISO 27002:2022 gibt es in diesem PDF von NQA.

ISO 27001: Was versteht man als Nichtkonformität?

Eine Nichtkonformität oder Abweichung liegt vor, wenn eine Anforderung der ISO 27001:2022 nicht erfüllt wird. Dies kann die Nichteinhaltung einer expliziten Anforderung der Norm sein. Oder ein ISO-Audit zeigt eine Diskrepanz zwischen den internen Vorgaben eines Unternehmens und der tatsächlichen Umsetzung auf.

Die Abweichungen lassen sich in zwei Kategorien einteilen:

1️⃣ Hauptabweichung (Major Non-Conformity)
Eine Hauptabweichung liegt vor, wenn bei Ihrem ISMS ein wesentlicher Aspekt der ISO 27001 nicht umgesetzt wurde. Der Auditor sieht darin die Wirksamkeit des gesamten Informationssicherheitsmanagementsystems als erheblich beeinträchtigt an.

2️⃣ Nebenabweichung (Minor Non-Conformity)
Eine Nebenabweichung ist weniger gravierend. Sie betrifft in der Regel kleinere, oft spezifische Mängel, die die Wirksamkeit des ISMS insgesamt nicht unmittelbar beeinträchtigen. Jedoch führen mehrere Audit-Ergebnisse mit dem Status “Minor Non-Confirmity” kumuliert zu einer “Major Non-Conformity”.

➡ Sie können eine Nebenabweichung erhalten, wenn Sie zum Beispiel einen Aspekt des geforderten Configuration Managements unzureichend erfüllen. Eine Hauptabweichung wäre, wenn Sie beispielsweise die sichere Konfiguration Ihrer Systeme komplett vernachlässigen.

Was sind die Folgen einer Haupt- oder Nebenabweichung?

Kommt es zu einer Hauptabweichung, müssen Sie mit diesen Konsequenzen rechnen:

🔷 Ihr ISO 27001:2002 Audit gilt als nicht bestanden. Ihr Unternehmen erhält damit keine Zertifizierung.

🔷 Sie erhalten eine Frist zur Behebung der Major Non-Conformity. Diese beträgt in der Regel zwischen drei und sechs Monate.

🔷 Innerhalb der Frist müssen Sie Nachweise erbringen, dass die festgestellten Mängel behoben wurden. 

🔷 In vielen Fällen wird ein Nach-Audit durchgeführt. Bei diesem überprüft der Auditor, ob die Korrekturmaßnahmen wirksam sind. 

🔷 Sind alle Nichtkonformitäten behoben, erhalten Sie ein ISO 27001 Zertifikat, das allerdings nur drei Jahre lang gültig ist.

Stellt man bei Ihrem ISMS-Audit eine Nebenabweichung fest, folgen daraus meist diese Schritte:

🔷 Die Zertifizierung wird unter der Bedingung erteilt, dass Sie die Nichtkonformität innerhalb weniger Monate beheben.

🔷 Ihr Unternehmen muss einen Plan zur Behebung der Minor Non-Conformity vorlegen und die Maßnahmen zur Korrektur nachweisen.

🔷 Die Auditoren überprüfen in zukünftigen Audits, ob die Korrekturmaßnahmen umgesetzt wurden. Ist dies nicht der Fall, werden die Nebenabweichungen zu Hauptabweichungen – und damit entfällt die Zertifizierung nach ISO 27001:2022.

Was ist mit “Configuration Management” in der ISO 27001:2022 gemeint?

Das Configuration Management gemäß ISO 27001:2022 – Annex A, Control 8.9 umfasst zahlreiche Maßnahmen. Ein wichtiger Punkt sind dabei die Security Controls. Deren Hauptziel ist es, die Angriffsflächen von IT-Systemen durch eine sichere Konfiguration zu reduzieren. Im Bereich der Informationssicherheit kennt man diese Tätigkeiten als Secure Configuration oder System Hardening bzw. Systemhärtung.

Was die Härtung von einzelnen Applikationen, Betriebssystemen und großen IT-Systemlandschaften bringt, verdeutlicht Ihnen dieses Video:

ISO 27001 Configuration Management: Beispiele für Abweichungen

Eine typische Abweichung ist, wenn es in Ihrem Unternehmen keine dokumentierten Prozesse gibt, um Änderungen an IT-Systemen nachzuvollziehen. Eine solche Nachlässigkeit gefährdet die gesamte Informationssicherheit eines Unternehmens.

Denn: Jede Veränderung – sei es die Installation einer neuen Software, eine überarbeitete Netzwerkkonfiguration oder ein Hardware-Austausch – muss genau dokumentiert und überwacht werden. Nur so lassen sich Fehler in der Konfiguration und damit mögliche Schwachstellen erkennen. Auch unzureichende Prüf- und Genehmigungsprozesse gelten in der ISO 27001 als “Non-Conformity”, ebenso unklare Verantwortlichkeiten bei der Implementierung und Überprüfung von neuen Assets.

Bedenken Sie immer: Jede noch so kleine Schwachstelle kann von Hackern ausgenutzt werden. Bei einer Kompromittierung ändern die Angreifer oft die Einstellungen, Passwörter oder Rechte der “gekaperten” Systeme, um weiter vorzudringen. Ohne professionelles Configuration Management, das unter anderem eine Dokumentation und Überwachung beinhaltet, bleiben unautorisierte Änderungen und somit ein Lateral Movement womöglich lange Zeit unbemerkt.

Konfigurationsmanagement: Grundlegende Maßnahmen zur Vermeidung von Abweichungen

Damit es bei Ihrem nächsten ISO 27001 Audit keine Neben- oder Hauptabweichungen gibt, die den Bereich “Configuration Management” bzw. “Secure Configuration” betreffen, sollten Sie folgendermaßen vorgehen:

Know-how

Beschäftigen Sie sich bis ins Detail mit den Anforderungen der ISO 27001:2022. Eignen Sie sich das benötigte Fachwissen an, um die erforderlichen Maßnahmen zu verstehen. Oder konsultieren Sie externe Experten für Configuration Management und System Hardening.

IST-Aufnahme

Überprüfen Sie, wie gut Ihre IT-Systeme gemäß der Norm konfiguriert und gesichert sind. Diese Checks lassen sich einfach mit einem Tool wie dem kostenfreien AuditTAP bewerkstelligen – für einzelne Anwendungen wie auch für komplette Betriebssysteme. 

Strategie

Entdecken Sie Mängel, zum Beispiel anhand des AuditTAP Reports, müssen Sie unverzüglich Maßnahmen zur Behebung und Pläne für die zeitliche Umsetzung entwickeln. Auch hier kann es ratsam sein, Dienstleister für Systemhärtung zu engagieren.

Maßnahmen

Lösen Sie so schnell wie möglich alle offenen Punkte, indem Sie geeignete Richtlinien einführen und passende Verfahren implementieren. Da die Härtung von Systemen sehr zeitaufwändig sein kann (es sind in der Regel hunderte Einstellungen pro Betriebssystem / Device anzupassen), sollten Sie den Prozess mit einem professionellen Hardening-Tool wie dem Enforce Administrator automatisieren. 

Überprüfung

Mit regelmäßigen internen Reviews stellen Sie sicher, dass alle Vorgänge im Configuration Management den Anforderungen der ISO 27001 entsprechen. Achten Sie auch hier auf die vollständige Dokumentation und Nachverfolgbarkeit, um Ihr nächstes ISO-Audit zu erleichtern.

Optimierung

Arbeiten Sie kontinuierlich daran, Ihre Richtlinien, Verfahren und einzelne Maßnahmen zu verbessern. Denken Sie hierbei nicht nur an Ihre Zertifizierung und die erforderlichen Maßnahmen, sondern hauptsächlich an den Schutz Ihrer IT-Systeme. Am Ende geht es um die Verbesserung der Informationssicherheit, einen erhöhten Datenschutz und um die Vermeidung von folgenschweren Cyber-Attacken!

Fazit

Der Punkt 8.9 der ISO 27001:2022 stellt wichtige Anforderungen an das Konfigurationsmanagement von IT-Systemen – und das ist auch gut so! Eine sichere Konfiguration stellt eine sehr wirksame präventive Sicherheitsmaßnahme dar, um Cyber-Angriffe abzuwehren und die Folgen einer Kompromittierung zu mindern.

Haben Sie Fragen zum Configuration Management gemäß der ISO 27001? Oder möchten Sie wissen, wie Sie Ihre Systeme richtig “härten” können? Wenden Sie sich gerne an uns!

💬 Schicken Sie uns Ihre Fragen oder Ihr Anliegen!

 

Bilder: Freepik, NQA

Schreibe einen Kommentar