„Corona und ISO/IEC 27001?“ mag so manche*r jetzt einwerfen. „Echt jetzt? Müssen wir uns noch damit beschäftigen?“ Ich denke: ja. Denn auch wenn jetzt mit den zunehmenden Impfungen Licht am Ende des Tunnels erkennbar ist, werden wir uns vermutlich noch länger mit den Ein- und Beschränkungen herumplagen müssen, die die Corona-Pandemie mit sich bringt. Und diese Ein- und Beschränkungen haben natürlich etwas mit einem Informationssicherheits-Managementsystem (ISMS) zu tun, das nach ISO/IEC 27001 aufgebaut ist. Wir beleuchten in diesem Beitrag die Frage, welche Folgen die Corona-Pandemie auf ein ISMS mit sich bringt, im Hinblick
- auf Betreiber eines ISMS,
- auf Auditoren, die die Einhaltung der ISO/IEC 27001 überprüfen sowie
- auf Zertifizierungsstellen, die ein ISO/IEC 27001-Zertifikat erteilen oder erteilt haben.
Weiter unten haben wir zudem Besonderheiten bei anderen Regelwerken kurz aufgeführt.
Für Betreiber eines ISMS
ISO/IEC 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). ISO/IEC 27001 ist damit anwendbar für ganz verschiedene Organisationen in ganz verschiedenen Branchen. Aus diesen Gründen ist jedes ISMS anders. Dennoch lassen sich ganz allgemeine Betrachtungen für ein ISO/IEC 27001-konformes ISMS im Hinblick auf COVID-19 ableiten.
Sehr schnell wurden Anfang 2020 viele Beschäftigte ins Home-Office geschickt. Es gibt Beschäftigte, die seit gut einem Jahr nicht mehr in ihrem Unternehmen waren, sondern ihre Tätigkeit aus dem Home-Office heraus nachgehen. Gut für Organisationen, wenn entsprechende Vorkehrungen bereits getroffen wurden. Insb. sind zu beachten:
- Richtlinien (vgl. A.5 der ISO/IEC 27001)
- Ausstattung mit Laptops (vgl. A.8 der ISO/IEC 27001)
- Spezielle Anforderungen an Remote-Tätigkeiten (vgl. A.6.2 der ISO/IEC 27001)
- Einrichtung von Remote-Zugängen (Firewall, Kryptographie, Netze) (vgl. A.9, A.12 und A.13 der ISO/IEC 27001)
Ganz zentrales Element eines ISMS ist die Risikoanalyse, hier sollten Home-Office-Tätigkeiten entsprechend betrachtet worden sein (vgl. Kap. 6 der ISO/IEC 27001). Darüber hinaus könnte evtl. die Erklärung zur Anwendbarkeit (Statement of Applicability – SOA) angepasst worden sein (vgl. Abs. 6.1.3 der ISO/IEC 27001)
Konnten Sie bei Ausbruch der Covid-19-Pandemie einfach ihre existierenden Notfallpläne aus der Schublade ziehen? Häufig wurden Pandemien nicht oder nur rudimentär betrachtet, beispielsweise, weil die Wahrscheinlichkeit als zu gering eingestuft wurde. Wichtig ist jetzt aber, die Notfallszenarien im Hinblick auf die Erfahrungen zu aktualisieren (vgl. A.16 der ISO/IEC 27001).
Wie steht es um die Aufrechterhaltung des Betriebes? Insbesondere wenn etwa in der Produktion Home-Office nur eingeschränkt möglich ist und wichtige Bereiche nur vor Ort in der Organisation erbracht werden können? Damit sollten also Business Continuity-Aspekte beachtet werden (vgl. A.17 der ISO/IEC 27001).
Zu den Auditoren
Bei akkreditierten ISO/IEC 27001-Zertifikaten gelten neben den nationalen Vorgaben der Akkreditierungsstelle – etwa der DAkkS in Deutschland – die internationalen Vorgaben der IAF (International Accreditation Forum). Grundsätzlich gilt für ISO/IEC 27001-konforme Informationssicherheits-Managementsysteme, dass diese jährlich einem Überwachungsaudit unterzogen werden müssen. Über IAF gibt es schon seit vielen Jahren Vorgaben für sogenannte Remote-Audits (MD4). Diese Regeln wurden nun häufig angewendet, um Remote-Audits durchzuführen – und um so die Fristen einzuhalten.
Grundsätzlich sind dabei die akkreditierten Zertifizierungsstellen relativ frei, die Art (Remote oder Präsenz) ihrer Audits und den jeweiligen Umfang festzulegen. Zentral ist, dass das Audit zu korrekten, objektiven, unabhängigen Beurteilungen kommt.
Anfang 2020 haben wir als bei der DAkkS akkreditierte Zertifizierungsstelle beispielsweise fast alle Verfahren auf Remote-Audits umgestellt und die Präsenz-Anteile dann im Sommer nachgeholt; dies funktionierte, als die Inzidenzwerte hinreichend niedrig waren. Inzwischen sind wir jedoch zusätzlich dazu übergegangen, auch Vor-Ort-Besichtigungen per Videokamera durchzuführen. Dazu führen wir intern sogenannte Risikobetrachtungen im Vorfeld und Nachgang durch, um die Gleichwertigkeit der Auditergebnisse sicherzustellen.
Wie sich dies in der Zukunft entwickeln wird, wird sich zeigen, denn dies zeigt die Erfahrung mit Remote-Audits: einerseits sind Remote-Audits deutlich anstrengender als Präsenz-Audits; auf der anderen Seite lassen sich aber viele Aspekte eines Audits sehr gut über die Ferne auditieren. Denkbar wäre beispielsweise, später gewisse Anteile eines Audits grundsätzlich als Remote-Audit durchzuführen – etwa die Einsichtnahme in einen internen Auditreport oder eine Managementbewertung.
Zu den Zertifizierungsstellen
Die akkreditierten Zertifizierungsstellen haben für die Durchführung von Erst- und Re-Zertifizierungsverfahren sowie für die jährlichen Überwachungsaudits Prozesse definiert; diese Prozesse haben sich aufgrund der Corona-Pandemie nunmehr verändert.
Typischerweise gelten folgende grundsätzlichen Erwägungen: Die Audits sollen vollständig oder größtenteils als Remote-Audits durchgeführt werden; dies kann per Telefon-, Web- oder Videokonferenz erfolgen. Es gelten die grundsätzlichen Vorgaben zur Durchführung von Remote-Audits. Remote-Audits sollen – sofern von der Einsatzplanung her möglich – von Auditoren durchgeführt werden, die den Kunden bereits kennen und schon vor Ort waren. Remote-Audits müssen von der Zertifizierungsstelle vorab freigegeben werden.
Sofern festgestellt wurde, dass eine Besichtigung von Standorten und Betriebsstätten vor Ort erforderlich ist, muss dieser Teil des Audits auf einen späteren Termin verschoben werden (innerhalb von 6 Monaten). Wenn die Remote-Audits nicht zum erforderlichen, kalkulierten Auditumfang durchgeführt werden konnten, ist ein Nachaudit erforderlich, dies soll dann innerhalb von max. 6 Monaten erfolgen.
Besonderheiten bei anderen Regelwerken
IT-Sicherheitskatalog gem. §11 Abs. 1a EnWG für Netzbetreiber
Hier sind zusätzliche Vorgaben der Bundesnetzagentur (BNetzA) zu beachten: Remote-Audits können zu maximal 50% (bei Überwachungsaudits) bzw. 70% (bei Re-Zertifizierungsaudits) erfolgen. Standorte und Betriebsstätten müssen Vor-Ort auditiert werden. Eine Verschiebung der Fristen um max. 6 Monate ist vorläufig weiterhin eingeschränkt zulässig. Voraussetzung für eine Verschiebung sind behördliche Auflagen. BNetzA: „Der ausgefallene Audittermin ist schnellstmöglich nachzuholen. Durch den Netzbetreiber ist detailliert nachzuweisen, dass die reguläre Durchführung des Audits angesichts der Corona-Pandemie vor dem Hintergrund einer internen Risikobeurteilung nicht möglich ist. Die Bundesnetzagentur behält sich vor, sich von den Zertifizierungsunternehmen bzw. den Kunden/Netzbetreibern entsprechende Nachweise vorlegen zu lassen. Die Bundesnetzagentur ist durch die Zertifizierungsstellen über die Verschiebung von Re-Zertifizierungsaudits, und die damit einhergehende Verlängerung der Zertifizierung für einen Zeitraum von nicht mehr als 6 Monaten über das ursprüngliche Ablaufdatum hinaus, zu informieren.“ Bei Netzbetreibern übrigens sind Home-Office-Tätigkeiten im Gegensatz zu einem Standard-ISMS häufig nicht zulässig.
IT-Sicherheitskatalog gem. §11 Abs. 1b EnWG für Energieanlagenbetreiber:
Hierzu gibt es noch keine dezidierten Vorgaben; hilfsweise werden häufig die o.g. Vorgaben herangezogen.
ISO 27001 auf der Basis von IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik:
Ähnlich wie bei akkreditierten Zertifizierungsstellen können Remote-Audits durchgeführt werden, inzwischen auch bei Erst-Zertifizierungen. Zunächst sollten nur Re-Zertifizierungs- und Überwachungsaudits durch Auditoren durchgeführt werden, die die jeweiligen Informationsverbünde gut kennen. Erforderlich ist nunmehr eine formlose Risikobewertung, in der dargestellt wird, „wie das Remote-Audit durchgeführt werden soll und welche Aspekte ggf. nicht ausreichend geprüft werden können“ [BSI]. Das BSI behält sich vor, ggf. dieses Audit teilweise zu begleiten.
KRITIS-Verfahren gem. §8a BSIG:
Bei Audits in Kritischen Infrastrukturen stellt das BSI im „Konzeptpapier: Remote-Prüfungen in der Corona-Pandemie“ vom 30.11.2020 fest, dass aus Sicht des BSI „die Durchführung einer Vor-Ort-Prüfung bei Betreibern Kritischer Infrastrukturen ein notwendiges Maß an Qualität [sicherstellt], damit ein Prüfer mit ausreichender Sicherheit die Absicherung gemäß § 8a Absatz 1 BSIG bestätigen kann. Die Durchführung einer Remote-Prüfung an Stelle einer Vor-Ort-Prüfung bei Betreibern Kritischer Infrastrukturen stellt daher grundsätzlich einen Prüfmangel dar.“ Gleichwohl werden Voraussetzungen genannt, bei denen eine Remote-Prüfung zulässig ist; die Bedingungen orientieren sich dabei an den Inzidenzwerten (Wert > 35). Ähnlich wie bei IT-Grundschutz und BSI TR-03109-6 ist eine Risikobewertung erforderlich, die jedoch im o.g. Konzeptpapier näher vorgegeben ist. Darüber hinaus werden im Anhang weitere Normen genannt, die berücksichtigt werden können, hier findet sich auch das IAF-Dokument MD4.
Smart Meter Gateway Administration gem. BSI TR-03109-6:
Auch diese Audits dürfen inzwischen vollständig remote erfolgen, auch hier ist eine formlose Risikobewertung erforderlich. BSI: „Bei der Risikobewertung sollten z.B. folgende Aspekte berücksichtigt werden: Vorliegen aller Dokumente für Auditphase 1, Größe des zu auditierenden Bereichs, Dislokation der Liegenschaften, Vorhandensein einer ISMS-Zertifizierung ggf. mit einem anderen Scope.“
Sind Ihnen noch andere Regelungen bekannt? Ich freue mich auf Ihr Feedback. Bleiben Sie Gesund!