Die Norm ISO 27001 entfaltet ihre Wirkung erst dann wirklich, wenn nicht nur „Regeln” festgelegt werden, sondern auch für alltägliche Situationen ein einfaches, nachvollziehbares Vorgehen vorliegt. Die folgenden drei Bereiche sorgen in der Regel schnell für Ordnung dort, wo es am ehesten zu Missverständnissen, Hektik und Schäden kommen kann.
1) Umgang mit Zwischenfällen: Wir sollten nicht erst dann eine Lösung finden, wenn bereits ein Problem vorliegt
Gemäß ISO 27001 ist es ratsam, sich im Voraus auf Vorfälle vorzubereiten (Rollen, Aufgaben, Melde- und Reaktionsabläufe), da in einer Krisensituation keine Zeit bleibt, um herauszufinden, wer was zu tun hat.
Praktische Tipps, die schon ab morgen funktionieren:
- Es sollte einen festen Meldeweg geben (z. B. eine E-Mail-Adresse oder ein Ticket-System), nicht Teams, Telefonanrufe oder SMS, die mit der Zeit leicht untergehen können.
- Es muss mindestens eine verantwortliche Person (Name, Kontaktdaten, Erreichbarkeit) angegeben werden.
- Legt drei einfache Kategorien fest (z. B. „gering / mittel / kritisch”) und legt für jede Kategorie die erwarteten Schlüsselinformationen und Reaktionszeiten fest.
Ein Beispiel aus dem Alltag:
Am Freitag um 16:40 Uhr geht eine verdächtige E-Mail von einem der Lieferanten ein, in der mitgeteilt wird, dass sich deren Bankkontonummer geändert hat – und das genau kurz vor einer Überweisung. Der Kollege leitet die E-Mail nicht im Unternehmen weiter, sondern meldet den Vorfall über den dafür vorgesehenen Kanal; der Verantwortliche leitet die geplanten Schritte ein, die Finanzabteilung setzt den Vorgang aus, und der Lieferant wird über eine vorab festgelegte, unabhängige Kontaktnummer zurückgerufen, um zu bestätigen, dass die E-Mail und die Änderung echt sind.
2) Tagebuchführung: wenn die Frage „Was ist passiert?” innerhalb von 10 Minuten beantwortet wird
Bei der Protokollierung (Logging) im Rahmen von ISO 27001 geht es nicht darum, einfach alles zu erfassen, sondern darum, dass Sie über Protokolle verfügen, anhand derer Sie Ereignisse rekonstruieren können, und dass Sie diese kontrolliert verwalten.
Praktische Tipps (das Minimum, das schon viel bewirkt):
- Beginnen Sie mit den Vorgängen, die das größte Risiko darstellen: Anmeldungen (erfolgreich/fehlgeschlagen), Administratorvorgänge, Änderungen der Berechtigungen, wichtige Einstellungsänderungen.
- Legen Sie im Voraus fest, wie lange Sie die Daten aufbewahren (z. B. 90 Tage / 12 Monate) und wer Zugriff darauf hat.
- Die Überprüfung sollte dokumentiert werden: einmal im Monat eine kurze Log-Überprüfung und ein Ticket bzw. eine Notiz, aus der hervorgeht, wann und was überprüft wurde.
Ein Beispiel aus dem Alltag:
„Ein Ordner ist aus dem gemeinsamen Speicher verschwunden.” Ohne Protokoll bleibt es bei Spekulationen und Unruhe; mit einem Protokoll lässt sich schnell feststellen, ob er gelöscht oder verschoben wurde, welcher Benutzer die Änderung vorgenommen hat und wann. So erfolgt die Wiederherstellung gezielt und schnell.
3) Zugriffsrechte von Partnern und Dienstleistern
Die Sicherheit im Zusammenhang mit Lieferanten (externe IT-Dienstleister, Entwickler, Cloud-Anbieter) steht in der Norm ISO 27001 besonders im Fokus: Es sollten Anforderungen festgelegt, kontrollierte Zugriffsrechte gewährt und klar definierte On- und Offboarding-Prozesse vorhanden sein.
Praktische Tipps, die zwar bei KMU zu erwarten sind, aber dennoch wichtige Rahmenbedingungen vorgeben:
- Es sollte keinen gemeinsamen Admin-Benutzer geben: Jeder Externe erhält ein individuelles Konto, das an seinen Namen gebunden ist und über MFA (Multi-Faktor-Authentifizierung) verfügt.
- Es sollte ein Genehmigungsverfahren geben: Wer darf die externe Befugnis erteilen und für welchen Zeitraum?.
- Es sollte eine Checkliste für den Ein- und Austritt von Lieferanten geben (VPN, Domain-Benutzer, FTP-Benutzer, Passwörter, Dokumentation/Übergabe, Entzug von Zugriffsrechten), und es sollte nachweisbar sein, dass der Vorgang stattgefunden hat und was übergeben bzw. entzogen wurde.
Ein Beispiel aus dem Alltag:
Ihr wechselt die Plattform zur Vertragsverwaltung, und plötzlich stellt sich heraus, dass „jemand immer noch Zugriff” auf das alte System hat. Ohne Checkliste ist das ein überstürztes Vorgehen, das viele Fehlerquellen birgt. Wenn ihr jedoch einen entsprechenden Prozess habt, handelt es sich um eine kontrollierte Abschaltung: Ihr entzieht alle Zugriffsrechte, und es lässt sich auch später nachweisen, dass dies geschehen ist.
Wenn Sie diesen Prozess souverän und angepasst an die Größe und die Arbeitsweise Ihres Unternehmens aufbauen möchten, kann Manawize Ihnen auch dabei helfen: dabei, dass die Umgestaltung Ihrer Prozesse nicht nur „auf dem Papier” stattfindet, sondern zu einem tatsächlich funktionierenden, stabilen System wird – und zwar so, dass Sie dabei die kosteneffizientesten und optimalsten Entscheidungen treffen können.
Wenn dir der Artikel gefallen hat oder du die Informationen nützlich fandest, folge uns auch auf unserem Blog und in den sozialen Medien, damit du die nächsten Folgen nicht verpasst.