ISO 27001 als Bewertungsmaßstab der IT-Sicherheit

foto (c) rittal rimatrix s

foto (c) rittal rimatrix s

In Zeiten immer stärker professionalisierter Internetkriminalität hat die Sicherheit von Daten eines Unternehmens eine zunehmende Priorität. Neben dem Schutzbedürfnis für die Daten des Unternehmens stehen hierbei auch Kosteneffizienz und die Rechtssicherheit bei der Konformität mit dem Datenschutz und anderen gesetzlichen Vorgaben im Vordergrund. Ein wichtiger Maßstab für die Lagerung von Firmendaten in Rechenzentren bildet hier die ISO-Norm 27001.

Die Vernetzung komplexer IT-Systeme, die bei der Auslagerung von Daten in ein Rechenzentrum entsteht, führt neben dem gewünschten Nutzen auch zu weniger gewollten Nebeneffekten. Vor allem steigen mit dem Grad der Komplexität auch die Angreifbarkeit der Systeme und damit auch das Risiko eines unerwünschten Zugriffs auf sensible Daten. Um hier sowohl für Kunden als auch für Anbieter Planungs- und Betriebssicherheit zu schaffen, dient die ISO-Norm 27001 als Grundlage.

Zahlreiche Gefahrenquellen

Zu den Gefahrenquellen für Unternehmensdaten zählen bei weitem nicht nur absichtliche Schädigungsversuche. Bereits simple technische Defekte wie ein Stromausfall können verheerende Folgen haben. So hatte zum Beispiel die Deutsche Bahn im Jahr 2009 einen ganztägigen Stromausfall in einem Rechenzentrum, in dessen Folge sowohl das Zahlungssystem als auch Teile der Kommunikations- und Anzeigeeinrichtungen nicht mehr zur Verfügung standen [1]. Neben den finanziellen Ausfällen war auch das negative Echo der betroffenen Kunden enorm.

Im Falle eines böswilligen Angriffs drohen Unternehmen bei mangelnden Sicherheitsstrukturen weitere Gefahren. Neben dem Verlust von Entwicklungsdaten an unbekannte Dritte droht auch hier im Falle des Diebstahls von personenbezogenen Daten von Kunden neben dem direkten wirtschaftlichen Verlust ein enormer Schaden am Image.

Umfangreiches Regelwerk

logo isoDie ISO-Norm 27001 betrifft die Sicherung von IT-Systemen nicht nur im laufenden Betrieb, sie berücksichtigt bereits zahlreiche Sicherheitsaspekte bei der Formulierung der Anforderungen an ein IT-System und bei dessen Planung. Damit dient sie als grundlegender Rahmen für den Prozess der Implementierung von Sicherheitsmaßnahmen. So wird sichergestellt, dass alle Aspekte eines zuverlässigen Betriebs der IT gewährleistet sind.

Um den Betrieb einer sicheren Datenhaltung zu gewährleisten, sind jedoch mehr als nur aktuelle Hardware und softwareseitige Schutzmechanismen notwendig. Ein ganzheitlicher Ansatz kann nur dann erreicht werden, wenn die zugehörigen Managementprozesse, -tätigkeiten und -verantwortlichkeiten klar definiert und prüfbar umgesetzt werden. Diese bilden die belastbare Grundlage für einen sicheren Betrieb, der nicht nur dauerhaft die benötigten Standards einhält, sondern auch betriebswirtschaftlich effizient umgesetzt wird [2].

Auswahl eines geeigneten Rechenzentrums

Bei der Auswahl eines Rechenzentrums für die Lagerung und Bereitstellung von Daten des eigenen Unternehmens ist damit die Zertifizierung nach ISO 27001 eines der wichtigsten Qualitätskriterien. Anbieter wie Mittwald [3] stellen so sicher, dass die Datenhaltung jederzeit nicht nur auf dem aktuellsten Stand der Technik ist, sondern auch bezüglich der Sicherheit keine Kompromisse eingegangen werden. Die Zertifizierung der Rechenzentren findet durch einen externen Auditor und eine unabhängige Prüfstelle statt. Durch das umfangreiche Prüfungsverfahren werden eventuell vorhandene Schwachstellen aufgedeckt und ihre Beseitigung überwacht. Somit ist die ISO 27001 bei korrekter Umsetzung ein fundamentaler Bestandteil einer sicheren und transparenten IT-Strategie für Unternehmen.

[1] Ausfall der Deutschen Bahn: http://www.heise.de/netze/meldung/Bahn-kaempft-mit-bundesweitem-Netzwerkausfall-Update-197890.html
[2] Whitepaper zur IT-Sicherheit: http://www.rittal.com/imf/none/5_3599
[3] Das Rechenzentrum der Mittwald CM Service GmbH und Co. KG: https://www.mittwald.de/unternehmen/rechenzentrum

Weitere Artikel zu