In einer zunehmend digitalisierten Welt hat die Informationssicherheit eine immer höhere Relevanz. Unternehmen sind gefordert, ihre Daten zu schützen und gleichzeitig Anforderungen von Kunden, Partnern und Regulierungsbehörden zu erfüllen. In diesem Zusammenhang sind Standards wie ISO/IEC 27001, die Frameworks des NISTs (National Institute of Standards and Technology) und SOC 2® (Service Organization Control 2) von großer Bedeutung. Dieser Beitrag zeigt Unterschiede und Gemeinsamkeiten dieser Sicherheitsstandards auf, und behandelt dafür ihre spezifischen Ziele, sowie deren Anwendungsbereiche. In einem ersten Teil geben wir einen Überblick über die Standards

1. Überblick über die Standards

1.1 ISO/IEC 27001

Die ISO/IEC 27001 ist eine international anerkannte Norm für das Management von Informationssicherheit. Sie ist ein gemeinsamer Standard der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC). Sie legt Kriterien für die Einrichtung, Umsetzung, Überwachung, Überprüfung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS) fest. Ziel ist es, Schutzziele wie z. B., die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

1.2 NIST-Rahmenwerke

Das NIST hat diverse Rahmenwerke entwickelt, die Organisationen dabei unterstützen können, ihre Sicherheit zu verbessern. Diese Rahmenwerke sind flexibel, anpassbar und bieten eine Vielzahl von Richtlinien und Best Practices. Das Bekannteste in diesem Zusammenhang ist das NIST Cybersecurity Framework (CSF), das auf sechs zentrale Funktionen abstellt: Govern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

1.3 SOC 2®

SOC steht für „System and Organisation Controls“ und wird von dem AICPA (American Institute of Certified Public Accountants) herausgegeben. SOC 2® ist daher auch eher ein amerikanischer Standard, und wird überwiegend in den USA verwendet, genießt jedoch weltweite Anerkennung. SOC 2® ist ein Prüfungsstandard, der speziell für serviceorientierte Unternehmen entwickelt wurde, die Daten in der Cloud speichern oder verarbeiten. Der Fokus liegt auf den Prinzipien der Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz. Unternehmen, die SOC 2®-konform sind, demonstrieren, dass sie geeignete Sicherheitskontrollen implementiert haben, um die Daten ihrer Kunden zu schützen.

2. Vergleich der Standards

2.1 Zielsetzung und Anwendungsbereich

ISO/IEC 27001

Zielsetzung: Die Schaffung eines umfassenden Rahmens für das Management von Informationssicherheit. Die ISO/IEC 27001 konzipiert ein Managementsystem, welches sich auf die Einhaltung der folgenden drei Schutzziele der Informationssicherheit konzentriert:

  • Vertraulichkeit: Informationen sind ausschließlich autorisierten Benutzern zugänglich. Das Ziel der Informationssicherheit ist es sicherzustellen, dass Informationen vertraulich behandelt werden, um sie vor unbefugtem Zugriff und Offenlegung zu schützen. Um sicherzustellen, dass Kunden, Mitarbeiter und Geschäftspartner Vertrauen haben und sensible Daten vor unbefugten Personen geschützt sind, ist es äußerst wichtig, die Vertraulichkeit zu beachten. Vertrauliche Informationen umfassen möglicherweise persönliche Daten, Geschäftsgeheimnisse, Finanzdaten, geistiges Eigentum oder andere wertvolle Informationen.
  • Integrität: Informationen sind genau und vollständig. Integrität bezieht sich darauf, dass Informationen präzise und vollständig sind und vor unautorisierten Veränderungen geschützt sind. Die Qualität und Verlässlichkeit von Daten sowie das Funktionieren von Geschäftsprozessen, Entscheidungsfindung und Kommunikation hängen maßgeblich von der Integrität von Informationen ab.
  • Verfügbarkeit: Autorisierte Benutzer haben bei Bedarf Zugang zu Informationen. Die Verfügbarkeit von Informationen ist entscheidend für die Kontinuität von Geschäftsprozessen, die Erbringung von Dienstleistungen und die Zufriedenheit von Kunden und Benutzern.

Dabei können die betrachteten Schutzziele beliebig erweitert werden.

Anwendungsbereich: Für Organisationen aller Größen und Branchen geeignet, unabhängig von geografischer Lage und Geschäftsmodell.

NIST

Zielsetzung: Verbesserung der Cybersecurity durch Richtlinien und Standards, die spezifische Bedrohungen abdecken. Das NIST-Framework hat zum Ziel, die Cybersicherheit in sechs Hauptfunktionen – Govern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen (im Englischen Govern, Identify, Protect, Detect, Respond and Recover ) – zu unterteilen und so eine strukturierte Sicherheitsstrategie zu schaffen:

  • Govern (Governance): Es liefert Ergebnisse, um festzustellen, welche Maßnahmen eine Organisation ergreifen kann, um ihre Ziele zu erreichen, und die Ergebnisse der fünf anderen Hauptfunktionen im Kontext ihrer Mission und der Erwartungen ihrer Stakeholder zu priorisieren.
  • Identifizieren (Identify): Es geht darum, einen Prozess zur Bewältigung von Cybersicherheitsrisiken für Systeme, Personen, Vermögenswerte, Daten und Kompetenzen zu entwickeln.
  • Schützen (Protect): Es geht darum, Sicherheitsvorkehrungen zu implementieren, um die Organisation vor Cyberangriffen zu schützen. Diese Funktion teilt sich in sechs weitere Unterkategorien: Identity Management, Authentication und Access Control, Bewusstsein und Schulung, Datensicherheit, Informationsschutzprozesse und Verfahren sowie Schutztechnologie und Wartung.
  • Erkennen (Detect): Diese Funktion umfasst die Überwachung der Systeme auf Anomalien sowie das Melden der Ergebnisse, nachdem Anomalien und Ereignisse kategorisiert wurden. Die Funktion „Detect“ gliedert sich in drei Unterkategorien: Anomalien und Ereignisse, kontinuierliche Sicherheitsüberwachungsprozesse und Erkennungsmechanismen.
  • Reagieren (Respond): Ziel ist die Beschränkung der Exposition der Organisation gegenüber Risiken und Gefahren durch Entscheidungsfindung, Inhalte oder Verbesserungen der Digital Defense. Diese Funktion umfasst die Unterkategorien Reaktionsplanung, Kommunikation, Analyse, Risikominderung sowie Verbesserungen.
  • Wiederherstellen (Recover): Es geht darum, die Organisation auf den Umgang mit Cybersicherheitsbedrohungen vorzubereiten und entsprechend zu stärken. Sie unterteilt sich in die Unterkategorien Recovery Planning, Improvements und Communications.

Anwendungsbereich: Besonders relevant für Organisationen, die mit staatlichen Stellen in den USA zusammenarbeiten oder kritische Infrastruktur darstellen beziehungsweise für diese tätig sind.

SOC 2®

Zielsetzung: Sicherstellung, dass die relevanten Vertrauensprinzipien mit den spezifischen Anforderungen und Tätigkeitsbereichen des Dienstanbieters abgestimmt sind und deren Einhaltung gewährleistet wird. Ein SOC 2®-Compliance-Bericht dient dazu, die Einhaltung dieser, im folgenden beschriebenen Vertrauensprinzipien, nachzuweisen und eine angemessene Kontrolle über die Datenverarbeitung und -speicherung sicherzustellen.

  • Sicherheit: Dies ist das grundlegendste Vertrauensprinzip, welches für die SOC 2®-Compliance erforderlich ist.
  • Verfügbarkeit: Es gilt die Definition wie bei ISO/IEC 27001. Dies ist wichtig für Dienstleister, die strenge Service Level Agreements (SLAs) für Software-as-a-Service- (SaaS), Platform-as-a-Service- (PaaS) oder Infrastructure-as-a-Service Produkte (IaaS) einhalten müssen. Wenn der IT-Service für Kunden als geschäftskritisch angesehen wird, ist die Service- und Datenverfügbarkeit entscheidend.
  • Integrität: Es gilt die Definition wie bei ISO/IEC 27001. Bei SOC 2® gilt es insbesondere für Services, die Transaktionen für Finanz- oder E-Commercekunden verarbeiten.
  • Vertraulichkeit: Es gilt die Definition wie bei ISO/IEC 27001. Bei SOC 2® werden zum Beispiel Berichte über Zugriffskontrollen, Verschlüsselung und die Nutzung von Netzwerk- und Anwendungsfirewalls geprüft.
  • Datenschutz: Dieses Prinzip ist nicht mit der oben genannten Vertraulichkeit zu verwechseln, sondern gilt speziell für personenbezogene Daten, wie z. B. Krankenakten.

Die relevanten Vertrauensprinzipien sind nicht für alle Unternehmen gleichermaßen umzusetzen. Dies hängt davon ab, in welcher Branche das Unternehmen tätig ist und welche spezifischen Anforderungen und Risiken in diesem Kontext bestehen.

Anwendungsbereich: Vor allem für Dienstleister in der Cloud und Unternehmen, die mit sensiblen Daten arbeiten. Dazu bietet SOC 2® eine Auditierung, die von Unternehmen genutzt werden kann, um ihre Sicherheitssysteme von einem externen Prüfer validieren zu lassen. Der Bericht kann dann mit relevanten Stakeholdern geteilt werden.

2.2 Reifegradstufen und Prozessansätze

ISO/IEC 27001

ISO/IEC 27001 selbst definiert keine formalen Reifegradstufen. Stattdessen basiert ISO/IEC 27001 auf einem prozessgetriebenen Ansatz, der sich stark auf den PDCA-Zyklus (Plan-Do-Check-Act) stützt, um eine kontinuierliche Verbesserung zu gewährleisten:

  • Planen (Plan): Risiken im Zusammenhang mit Informationen identifizieren, erforderliche Maßnahmen zur Risikominderung planen und Ziele für die Informationssicherheit festlegen.
  • Umsetzen (Do): Umsetzung der im ISMS definierten Richtlinien, Verfahren und Sicherheitskontrollen.
  • Prüfen (Check): Regelmäßige Kontrolle der Wirksamkeit des ISMS sowie der implementierten Sicherheitskontrollen.
  • Handeln (Act): Kontinuierliche Verbesserung auf Grundlage der Ergebnisse der Überprüfungsphase.

NIST

Das NIST-Rahmenwerk definiert vier Stufen des Reifegrads:

  • Stufe 1 (Teilweise): Organisationen reagieren ad hoc und reaktiv auf Bedrohungen ohne strukturierte Sicherheitsprozesse.
  • Stufe 2 (Risikoinformiert): Organisationen erkennen Cyberrisiken und arbeiten teilweise mit standardisierten Prozessen.
  • Stufe 3 (Wiederholbar): Sicherheitsprozesse sind definiert und wiederholbar, jedoch nicht durchgängig automatisiert.
  • Stufe 4 (Adaptiv): Organisationen verfolgen einen proaktiven Ansatz und passen ihre Sicherheitskontrollen dynamisch an neue Bedrohungen an.

SOC 2®

SOC 2® bietet keine formalen Reifegradstufen. Stattdessen unterscheidet SOC 2® zwischen zwei Überprüfungs- und Berichtsarten:

  • Typ I: Momentaufnahme der Sicherheitskontrollen zu einem bestimmten Zeitpunkt.
  • Typ II: Langfristige Bewertung der Wirksamkeit der implementierten Kontrollen über einen definierten Zeitraum (meist 6 bis 12 Monate).

2.3 Zertifizierung und Prüfung

ISO/IEC 27001

Organisationen, die ISO/IEC 27001-konform arbeiten möchten, können eine Zertifizierung durch eine akkreditierte Zertifizierungsstelle anstreben. Der Prozess umfasst die Implementierung eines ISMS, eine interne Überprüfung der Sicherheitsmaßnahmen und ein Audit durch externe Prüfer. Das Zertifikat hat eine Laufzeit von drei Jahren. In dieser Zeit sind jährliche Überwachungsaudits und danach ein Re-Zertifizierungsaudit notwendig. Dieser iterative Prozess sorgt für die kontinuierliche Anpassung und Verbesserung der Sicherheitskontrollen.

NIST

Die NIST-Rahmenwerke bieten keine direkte Zertifizierungsmöglichkeit. Stattdessen dienen sie als Leitfaden für Organisationen, um ihre Cybersicherheitspraktiken zu analysieren, zu bewerten und zu verbessern. Unternehmen können lediglich intern Berichte erstellen, um den Reifegrad ihrer Cybersicherheitsmaßnahmen zu dokumentieren.

SOC 2®

SOC 2®-Prüfungen werden durch autorisierte Prüfer durchgeführt. Hierbei handelt es sich um Wirtschaftsprüfer (Certified Public Accountants – CPAs) und Unternehmen, die von dem American Institute of Certified Public Accountants (AICPA) akkreditiert sind, SOC 2®-Audits durchzuführen. Der Prüfbericht kann intern verwendet und/oder potenziellen Kunden vorgelegt werden.

2.4  Kontrollen und technische Anforderungen

Das NIST Cybersecurity Framework (CSF) bietet im Zusammenspiel mit der NIST-800 series einen deutlich detaillierteren Ansatz mit spezifischen technischen Anforderungen, der eine präzise Umsetzung von Maßnahmen wie zum Beispiel der Multi-Faktor Authentifizierung (MFA) ermöglicht. Viele der dort enthaltenen Sicherheitskontrollen sind entweder in der ISO/IEC 27001 nebst dem Anhang nicht enthalten oder werden dort nicht mit derselben Detailtiefe spezifiziert. Diese Divergenzen resultieren aus dem Ziel des NIST, einen spezifischeren und stärker regulierten Standard zu schaffen, wie Dr. Ron Ross, ein leitender Informatiker und Informationssicherheitsforscher am National Institute of Standards and Technology (NIST), in einem Interview erläuterte.

In Abgrenzung dazu ist SOC 2® ein Prüfungsstandard, der die Kriterien definiert, welche Anforderungen erfüllt sein müssen und wie die entsprechenden Kontrollen dokumentiert sowie getestet werden sollen. Beim SOC 2® gibt es keine konkreten Umsetzungsempfehlungen. Dieser Standard dient der Bewertung und Überprüfung der Implementierung von Sicherheitsmaßnahmen in Bezug auf IT-Systeme eines Unternehmens.

2.5  Verfügbarkeit: ISO/IEC 27001 vs. NIST vs SOC 2®

Ein wesentlicher Unterschied zwischen ISO/IEC 27001, NIST und SOC 2® liegt in den damit verbundenen Kosten.

Die Nutzung von ISO/IEC 27001 und SOC 2®-Publikationen ist in der Regel mit Lizenzkosten verbunden, da diese kommerziell vertrieben werden. Im Gegensatz dazu stellt NIST eine Vielzahl seiner Veröffentlichungen kostenfrei zum Download zur Verfügung, was insbesondere für kleinere Organisationen eine attraktivere Option darstellt.

3.  Auditprozess

Das NIST Cybersecurity Framework (CSF) dient als freiwilliger Leitfaden für Organisationen, um ihre Cybersicherheitsrisiken zu bewerten und zu managen. Es wurde nicht für Zertifizierungszwecke entwickelt, und NIST selbst bietet keine Zertifizierungen oder Auditierungsdienste an. Unternehmen, die dennoch eine externe Überprüfung oder Auditierung im Zusammenhang mit dem NIST wünschen, können stattdessen ein SOC 2® Audit in Betracht ziehen. Hierbei ist jedoch zu beachten, dass ein SOC 2® Audit nicht auf dem NIST basiert, sondern auf den Trust Services Criteria des AICPA. Dennoch kann ein SOC 2® Audit dabei helfen, ähnliche Sicherheits- und Datenschutzkontrollen zu bewerten, insbesondere in den Bereichen Vertraulichkeit, Sicherheit und Integrität von Daten.

Für Unternehmen mit Hauptsitz außerhalb der USA stellt die Auditierung gemäß ISO/IEC-Normen, wie ISO/IEC 27001, häufig eine attraktivere Alternative dar, da diese Standards international eine breitere Anerkennung finden. ISO/IEC 27001 bietet eine formale Zertifizierungsmöglichkeit und wird weltweit als Goldstandard im Bereich der Informationssicherheit angesehen.

Für Organisationen, die an unterschiedlichen Standorten verschiedene Normen oder Frameworks implementiert haben, gibt es darüber hinaus die Möglichkeit, eine einheitliche Auditierung auf Basis einer einzigen Norm durchzuführen. Mithilfe von Mapping-Tools, die eine direkte Zuordnung der Anforderungen zwischen dem NIST und den ISO/I EC-Normen ermöglichen, ist ein vereinheitlichter Prozess möglich. Diese Tools vereinfachen den Übergang zwischen den Frameworks und stellen sicher, dass Audits konsistent und effizient über mehrere Standorte hinweg durchgeführt werden können (vgl. hier).

Die Auditierung eines Unternehmens nach demselben Standard bietet signifikante Vorteile, darunter höhere Effizienz, Zeitersparnis und optimierte Kosten.

4.  Fazit

Tabelle_Vergleich_ISO/IEC 27001, NIST und SOC

Die Wahl des geeigneten Sicherheitsstandards hängt stark von den spezifischen Anforderungen, geografischen Gegebenheiten und den Zielsetzungen einer Organisation ab.

ISO/IEC 27001 bietet einen umfassenden, international anerkannten Ansatz zur Etablierung eines Informationssicherheits-Managementsystems (ISMS). Mit dem Fokus auf Vertraulichkeit, Integrität und Verfügbarkeit eignet sich dieser Standard für Organisationen weltweit, unabhängig von ihrer Größe oder Branche.

NIST hingegen bietet durch sein Cybersecurity Framework eine flexible und tiefgehende Methodik. Der Fokus auf detaillierte technische Anforderungen und die kostenfreie Verfügbarkeit machen es zu einer attraktiven Option, insbesondere für Organisationen mit eingeschränkten Ressourcen.

SOC 2® wiederum ist ein Prüfungsstandard, der sich speziell an serviceorientierte Unternehmen richtet, die Cloud-Dienste anbieten oder sensible Daten verarbeiten. Mit einem klaren Fokus auf die Vertrauensprinzipien Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz bietet SOC 2® eine praxisnahe Methode, die Sicherheitssysteme eines Unternehmens zu evaluieren und gegenüber Kunden und Partnern nachzuweisen.

Während ISO/IEC 27001 eine formale Zertifizierung ermöglicht, bietet SOC 2® einen Compliance-Bericht. NIST andererseits bleibt primär ein Leitfaden ohne spezifische Nachweismöglichkeit.

Die Entscheidung für einen Standard sollte nicht isoliert getroffen werden, sondern auf Grundlage einer umfassenden Analyse der rechtlichen Anforderungen, der internen Prozesse und der Erwartungen der Stakeholder. Unternehmen, die international agieren oder diverse regulatorische Anforderungen erfüllen müssen, profitieren häufig von ISO/IEC-Normen, da diese global anerkannt sind und eine konsistente Grundlage für die Gestaltung, Implementierung und kontinuierliche Verbesserung von Informationssicherheitsprozessen bieten. Sie ermöglichen Organisationen, länderübergreifende Compliance-Anforderungen effizient zu erfüllen, die Transparenz gegenüber Partnern und Kunden zu erhöhen und das Vertrauen in ihre Sicherheitsmaßnahmen zu stärken.

| | | , , , , , , , ,