netgo group
netgo group

ISO 27001:2022 veröffentlicht – Entdecken Sie, was sich jetzt ändert.

Am 25.10.2022 hat die International Organization for Standardization zusammen mit dem International Electrotechnical Commission die neue Version des wichtigsten europäischen Standards für Informationssicherheit veröffentlicht.

Nach den Versionen von 2005, 2008 und 2013 hat es lange gedauert, aber nun ist die 2022er Version offiziell veröffentlicht worden. Das Erscheinen der deutschen Übersetzung hat in der Vergangenheit übrigens etwa zwei Jahre gedauert.

Die erste Neuerung lauert schon im Titel

Aus “Information technology – Security techniques – Information security management systems – Requirements”  wird  “Information security, cybersecurity and privacy protection – Information security management systems – Requirements”.

Auffällig ist, dass privacy protection – also Datenschutz – Einzug erhält und dass cybersecurity an die Stelle von Information technology tritt – also konkret TK, ICS und IoT als technische Systeme einbezogen werden.

Strukturelle Änderungen in der ISO 27001:2022

Strukturelle Anpassungen in den Kapiteln setzen den Schritt von der High-Level-Structure (HLS) zur Harmonized Structure (HS) um und unterstreichen dabei die Prozessorientierung:

  • In Abschnitt 4.4 wird die Implementierung von erforderlichen Prozesse und die Betrachtung ihrer Wechselwirkungen konkret eingeschlossen: „including the processes needed and their interactions“ .
  • Auch Abschnitt 8.1 fordert klarer die Umsetzung von Prozessen.
  • Abschnitte 5.3 und 7.4 verdeutlichen nun stärker Anforderungen zur Kommunikation.
  • Und die Kapitel 9 und 10 wurden gemäß der Harmonized Structure (HS) restrukturiert.

Die Anpassungen im Annex A

Die wesentlichsten Änderungen betreffen den normativen Anhang Annex A und die darin enthaltenen Maßnahmen:

  • Aus 112 Maßnahmen in 14 Gruppen wurden 93 Maßnahmen in 4 Gruppen (organisatorische, personenbezogene, physische und technische Maßnahmen)
  • Dabei wurden keine der bisherigen Maßnahmen gestrichen, jedoch
  • 23 Maßnahmen umbenannt,
  • 24 Maßnahmen aus mehreren Maßnahmen zusammengefasst und
  • 11 ganz neue Maßnahmen gestellt

Die Struktur entspricht dabei erwartungsgemäß der bereits im Februar veröffentlichten ISO 27002.

11 neue Maßnahmen in der ISO 27001:2022

Die Maßnahmen, die in der ISO 27001:2022 neu definiert sind, liefern dabei aber nicht zwingend auch neue Aspekte. Einige Punkte betreffen auch Themen, die bereits vorher in anderen Maßnahmen betrachtet wurden.

  • A.5.7         Bedrohungsintelligenz
  • A.5.23       Informationssicherheit für die Nutzung von Cloud-Diensten
  • A.5.30       IKT-Bereitschaft für Business Continuity
  • A.7.4         Physische Sicherheitsüberwachung
  • A.8.9         Konfigurationsmanagement
  • A.8.10       Löschung von Informationen
  • A.8.11       Datenmaskierung
  • A.8.12       Verhinderung von Datenlecks
  • A.8.16       Überwachung von Aktivitäten
  • A.8.23       Webfilterung
  • A.8.28       Sicheres Coding

Was bedeuten die Änderungen durch die ISO 27001:2022?

Sie müssen aktiv werden, wenn Sie Ihre ISO-Zertifizierung behalten wollen. Aber Sie brauchen nicht in Panik geraten und haben dafür noch etwas Zeit:

  • Die Zertifizierungsstellen sind noch nicht für die neue ISO-Version akkreditiert, so dass Sie noch kein entsprechendes Zertifikat erwerben können. Wir rechnen hierzu mit einer Übergangszeit von mindestens 3-6 Monaten.
  • Bis zum 31.10.2023 können Sie sich noch auf den 2013er Standard (re-)zertifizieren lassen.
  • Bis spätestens zum 31.10.2025 müssen Sie Ihr Information Security Management System (ISMS) gemäß des neuen Standards transformiert haben.
/von

Besuchen Sie uns auf der it-sa Expo&Congress 2022

Vom 25. Oktober 2022 bis zum 27. Oktober 2022 findet Europas führende Sicherheitsmesse it-sa Expo&Congress in Nürnberg statt. Besuchen Sie uns am Stand der SerNet (Halle 7 – Stand 7-107). Lassen Sie uns reden über:

  • Integrierte Managementsysteme
  • Informationssicherheit
  • Datenschutz
  • Beratungen & Workshops

Als Dankeschön für Ihr Erscheinen erhalten Sie neben ein kostenloses eTicket ebenso ein Voucher für ein kostenloses, 30-minütiges Beratungsgespräch zu unseren Managementsystemen in der Informationssicherheit.

Treffen Sie auch unsere Kolleg*innen der netgo am Sophos Stand (Halle 7 – Stand 7-328) und erfahren Sie alles über:

  • Network Security
  • Workplace Security
  • netgo Managed Security
  • Sophos MDR
  • User Awareness

netgo und Sophos belohnen Ihren Standbesuch mit einem 25% Discount Voucher auf Intercept X Advanced mit XDR oder mit XDR & MDR.

Weitere Informationen und die Möglichkeit zur Terminbuchung finden Sie auf unserer gemeinsamen it-sa 2022 Landingpage.

Wir freuen uns auf Ihren Besuch!

Jetzt Termin vereinbaren
/von
Software Asset Management (SAM) mit sila consulting

Mit uns zum perfekten SAM: Starten, verbessern oder wiedereinführen von SAM Projekten

Software Asset Management (SAM) wird oft unterschätzt

Jedes Jahr werden für die Bereitstellung von on-Premise und cloudbasierter Software erhebliche Summen aufgewendet – was vielen Unternehmen jedoch fehlt, ist ein ausreichender Überblick über die bereitgestellte und genutzte Software. Das birgt nicht nur lizenzrechtliche (Compliance-) Risiken in Form von teuren Nachzahlungen für Software, auch die Investitionen für Software-Wartungen übersteigen den notwendigen Rahmen. Am Ende fehlt das Geld unter Umständen für wichtige IT-Investitionen.

Eine Software Asset Management (SAM)-Lösung kann hier Abhilfe schaffen. Doch nur die Lösung allein reicht nicht aus: Die Erfahrung zeigt, viele unternehmensinterne SAM-Projekte und -Einführungen scheitern oder erfüllen die Erwartungen nicht. Die Gründe sind vielfältig.

Ziele Ihres SAM-Projektes

Ohne klare Ziele, keine Erfolgsmessung – so viel ist klar. Bei vielen SAM-Projekten wird dieser Punkt allerdings immer wieder außer Acht gelassen. In der Vergangenheit ging es häufig darum, die Compliance gegenüber dem Softwarehersteller einzuhalten und möglichst aufwandsarm ein Software Audit zu überstehen. Die heutigen SAM-Projekte und Einführung von Lizenzmanagement in Unternehmen gehen einige Schritte weiter:

  • Transparenz schaffen
  • Unterlizenzierungen und Bedarf sofort erkennen
  • Kosten reduzieren – durch Optimierung vorhandener Vertrags- und Lizenzbestände und nicht genutzter Software-Lizenzen
  • Eingesetzte Software vereinheitlichen (Softwareportfolio)
  • Standardisierung des Software-Beschaffungsprozesses (und weiterer SAM relevanter Prozesse)
  • Richtlinien für den lizenzrechtlichen korrekten Umgang mit Softwarelizenzen implementieren und überwachen
  • Den operativen IT-Betrieb unterstützen und Lizenzrisiken durch Infrastrukturmaßnahmen besser bewerten
  • Strategische Planung von Softwareeinkäufen sowie die richtigen Lizenzverträge verhandeln

Zuerst die Transparenz

Die Zielsetzung kann nur erreicht werden, wenn nachhaltige, valide Transparenz über Informationen wie Organisation, Rahmenverträge und Beschaffungen, Softwareinstallationen sowie deren Verwendung, Spezifikationen physischer und virtueller Computer, Beziehungen, Cloud Nutzung sowie Cloud Strategie geschaffen wird. Hierbei hilft der Einsatz eines SAM Tools.

Dabei ist es wichtig zu verstehen, dass diese Informationen durch verschiedene Abteilungen und Prozesse im Unternehmen hervorgerufen oder verändert werden. Aus diesem Grund muss es ein grundlegendes Ziel sein, SAM als eine Integration in verschiedenen Prozessbereichen zu verankern, um alle relevanten Informationen in einer hohen Qualität generieren und auswerten zu können.

Der Weg zum perfekten SAM

An erster Stelle steht das Beschreiben der Projektphasen und die Definition eines klaren Umfangs bezüglich der im Fokus liegenden Software-Hersteller. Üblicherweise sind es herstellerseitig jene 20%, für die 80% aller Softwarekosten anfallen. Daher ist es empfehlenswert, sich auf diese wichtigsten Software-Hersteller zu beschränken – denn: Lizenzmanagement ist umfangreich und nicht wenige Projekte scheitern an dem Vorhaben, sämtliche Software aktiv verwalten zu wollen.

Bei der Vorbereitung und Umsetzung bietet es sich an, externe Berater hinzuzuziehen. Das beugt unnötigen Fehlern vor, die unter Umständen nicht nur viel Zeit kosten, sondern auch den Projekterfolg gefährden könnten. Denn je nach Ausgangssituation und Begleitumständen kann ein SAM-Projekt variieren.

80% Abdeckung für 100% Erfolg – das Pareto Prinzip

SAM und Lizenzmanagement ist eine komplexe Angelegenheit, in die mehrere Abteilungen innerhalb einer Organisation involviert sind: der IT-Betrieb, das IT-Servicemanagement (ITSM), Datenschutz, der Einkauf und das Finanzcontrolling. Deshalb ist das Lizenzmanagement vor allem eine organisatorische Herausforderung.

Nach der Identifizierung des individuellen Bedarfs, werden Prozesse pragmatisch aufgesetzt und von dieser Basis aus umsichtig skaliert – ansonsten droht schnell ein „Overkill“. Es ist besser, zügig eine 80%-Erfolgsquote zu erreichen, als beim verzweifelten Versuch, eine 100%-Abdeckung aller möglichen Details herzustellen, zu scheitern.

Der Ansatz einer „100%-Abdeckung“ ist ohnehin unrealistisch, da die IT-Umgebung aller Wahrscheinlichkeit nach während des Lizenzmanagementprojekts nicht stillsteht, sondern sich weiterentwickeln wird. Dies macht einen pragmatisches, wiederkehrendes Lizenzmanagement zum einzig gangbaren Weg.

Nutzen Sie die Gelegenheit und holen sich frischen Rückenwind mit der Webinar-Reihe unseres Partner Matrix42.

In der neuen Webinar-Serie „Software Asset Management, überzeugend einfach“ sehen Sie live und im Nachgang als Aufzeichnung, wie SAM funktionieren kann. Dort erfahren Sie auch, wie sie das volle Potenzial Ihres SAM freisetzen und dabei alte und neue Herausforderungen wie SaaS, Software Audits und Kostenfallen großer Hersteller wie Microsoft und Oracle lösen.

/von

ISO27001 Reihe Teil 5: Kapitel 9 und 10

Im neuesten sila talk bringen euch unsere Consultants Patrick Stender und Jan-Phillip Last die Kapitel 9 und 10 näher, die den Deming-Shewhart-Cycle als Prüfung und Verbesserung abschließen. Kennzahlen erheben, interne Audits, Management-Reviews und die reaktive und proaktive Verbesserung sind heute Thema.

Seid auch in weiteren Folgen dabei, wenn wir die Maßnahmen aus Anhang A vorstellen und euch auf Zertifizierungsaudits vorbereiten!   

Viel Spaß mit der neuen Folge!

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

/von

ISO27001 Reihe Teil 4: Kapitel 6 und 8

Im neuesten sila talk bringen euch unsere Consultants Patrick Stender und Jan-Phillip Last die Kapitel 9 und 10 näher, die den Deming-Shewhart-Cycle als Prüfung und Verbesserung abschließen. Kennzahlen erheben, interne Audits, Management-Reviews und die reaktive und proaktive Verbesserung sind heute Thema. Seid auch in weiteren Folgen dabei, wenn wir die Maßnahmen aus Anhang A vorstellen und euch auf Zertifizierungsaudits vorbereiten!   

 Viel Spaß mit der neuen Folge! 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

/von

ISO27001 Reihe Teil 3: Kapitel 4, 5 und 7 

Teil 3 der Videoreihe zur ISO27001 ist online!  

Im neuesten sila talk bringen euch unsere Consultants Patrick Stender und Jan-Phillip Last die Kapitel 4, 5 und 7 näher, die im Deming-Shewhart-Cycle unter Planung zu finden sind. 

Seid auch in weiteren Teilen der Reihe dabei. In der nächsten Folge geht es um Risikomanagement gemäß der Kapitel 6 und 8.

Viel Spaß mit der neuen Folge!

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

/von
ISO27001 Reihe Teil 2: Struktur

ISO27001 Reihe Teil 2: Struktur

Teil 2 der Videoreihe zur ISO27001 ist online! 

Im neuesten sila talk erläutern unsere Consultants Patrick Stender und Jan-Phillip Last die Struktur der ISO27001 und ordnen die Kapitel gemäß des Deming-Shewhart-Cycles ein.

Seid auch in weiteren Teilen der Reihe dabei, wenn es um die Inhalte der Kapitel und des Anhangs, um Auditvorbereitung und mehr geht.  
Viel Spaß mit der neuen Folge!

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

/von
ISO27001 Reihe Teil 1: Einordnung und Hintergrund

ISO27001 Reihe Teil 1: Einordnung und Hintergrund

Der neue sila talk ist der Auftakt zur Videoreihe ISO27001.

Im ersten Teil der Reihe unterhält sich Theresa Fuhrig (Office Management netgo GmbH) mit den Consultants Patrick Stender und Jan-Phillip Last von der sila consulting GmbH über die Hintergründe, Einordnung und die herausgebenden Stellen des wichtigsten Informationssicherheitsstandards in Europa.

Seid auch in weiteren Teilen der Reihe dabei, wenn es um Struktur, Inhalte und Audit-Vorbereitung geht. Viel Spaß mit der neuen Folge! 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

/von
sila talk - Zugangssicherheit und deren Mechanismen

Zugangssicherheit und deren Mechanismen

In der neuen Folge des sila talks geht es um: “Zugangssicherheit und deren Mechanismen”. Im Interview mit Katja Leenen (Marketing netgo group) beschäftigen sich Rainer Endres (Produktmanager Security, IAM, netgo software GmbH) und Patrick Stender (Consultant, sila consulting GmbH) mit diversen Mechanismen der Zugangssteuerung und deren Kombination zur Multifaktorauthentifizierung als Steigerung der Sicherheit.

Viel Spaß in der neuen Folge!

Weitere Informationen zu einer modernen Multi-Faktor-Authentifizierung mit LinOTP finden Sie unter www.linotp.de.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

/von

10 Mythen & Irrtümer zum Datenschutz und zur DSGVO

Mythos / Irrtum 1: Wir verarbeiten gar keine relevanten Daten

Viele Unternehmen, die sich bisher nicht intensiv mit dem Datenschutz beschäftigt haben, gehen davon aus, dass sie gar keine relevanten Daten verarbeiten. Häufig werden die Begriffe „personenbezogene Daten“ und „Verarbeitung“ auch missverstanden. Die Datenschutzgesetze erfassen jegliche Verarbeitung von Informationen, die irgendeinen Bezug zu natürlichen Personen haben. Dazu gehören zum Beispiel:

  • Name, Anschrift und Geburtsdatum
  • E-Mails, Briefe, SMS, Text- und Sprachnachrichten
  • Lohabrechnung, Einstellungsbogen, Gesprächsnotiz
  • IP-Adressen, Standortdaten

Mit dem Begriff „Verarbeitung“ wird von vielen Unternehmen nur das Speichern von Daten in einem System in Verbindung gebracht. Eine Verarbeitung umfasst zum Beispiel auch

  • das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder die Vernichtung personenbezogener Daten.

Dabei spielt es keine Rolle, ob diese Daten mit dem Computer, dem Handy oder handschriftlich in Akten oder Notizbüchern erfasst werden.

Am Ende verarbeitet wohl jedes Unternehmen bei fast jedem Unternehmensprozess auch personenbezogene Daten.

Mythos / Irrtum 2: Wir brauchen keine/n Datenschutzbeauftragte/n, daher müssen wir auch keinen Datenschutz umsetzen

Ein/e Datenschutzbeauftragte/r muss von jedem Unternehmen benannt werden, das mindestens 20 Mitarbeiter:innen hat, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Deshalb denken Unternehmen immer wieder, der Datenschutz sei für sie nicht relevant. Grundsätzlich gilt die Datenschutz-Grundverordnung für alle Unternehmen in Europa gleichermaßen. Dadurch muss jedes Unternehmen, dass personenbezogene Daten verarbeitet, unabhängig von der Mitarbeiterzahl, die Richtlinien der DSGVO umsetzen.

Mythos / Irrtum 3: Wir setzen Datenschutz einmal um und sind dann fertig

Einige Unternehmen sind der Auffassung, dass die Umsetzung des Datenschutzes, durch ein einmaliges Handeln erledigt werden kann. Diese Auffassung ist leider nicht richtig, denn die Umsetzung des Datenschutzes ist ein kontinuierlicher Prozess und zielt darauf ab, durch organisatorische und technische Rahmenbedingungen, ein hohes Maß an Datenschutz zu gewährleisten. Änderungen im Unternehmen oder aktuelle Rechtsprechungen machen eine regelmäßige Überprüfung des Datenschutzes notwendig.

Mythos / Irrtum 4: Was soll uns schon ohne Datenschutz passieren?

Die Einhaltung datenschutzrechtlicher Vorschriften der DSGVO sind für alle Unternehmen verpflichtend. Werden diese missachtet, kann die Aufsichtsbehörde empfindliche Bußgelder verhängen. Bisher waren Kontrollen und die Verhängung von Bußgeldern eher rar. Gemäß den Tätigkeitsberichten der Aufsichtsbehörden ist aber mit stetig steigenden Überprüfungen zu rechnen. Neben diesen finanziellen Einbußen droht Unternehmen mit unzureichendem Datenschutz auch ein Imageschaden.

Mythos / Irrtum 5: Datenschutz macht uns nur Arbeit, schafft aber keinen Mehrwert

Umfragen zufolge sind viele Unternehmen der Auffassung, dass der Datenschutz viele Geschäftsprozesse verkompliziert und verlangsamt. Insbesondere da es viele Unsicherheiten im Unternehmen zum Thema Datenschutz gibt. Allerdings regelt die DSGVO auch viele Themen eindeutig. Durch systematische Umsetzung der Anforderungen können Prozesse in der Verarbeitung optimiert werden. Die Reduzierung der Menge gesammelter Daten sowie die vertrauliche Behandlung dieser, können ebenfalls Vorteile für das Unternehmen selbst bringen und sowohl die Mitarbeiter*innen- wie auch die Kund*innenzufriedenheit erhöhen.

Mythos / Irrtum 6: Für uns reicht eine Datenschutzerklärung auf der Website

Einige Unternehmen denken, es reicht eine Datenschutzerklärung auf der Webseite einzufügen, um den Anforderungen der DSGVO zu entsprechen. So einfach ist es dann leider doch nicht. Denn eine Datenschutzerklärung ist weder das einzige Dokument, das individuell für das Unternehmen erstellen werden muss – noch ist die Website mit einer Datenschutzerklärung DSGVO-konform.

Folgende Datenschutz-Dokumente benötigt ein Unternehmen neben der Datenschutzerklärung:

  • Verfahrensdokumentationen
  • Auftragsverarbeitungsverträge (AVVs)
  • Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
  • Schulungs- und Awarenesskonzept
  • Löschkonzept
  • Datenschutzkonzept (empfohlen)
  • Folgende Datenschutz-Maßnahmen sollten ebenfalls auf der Website vorhanden sein:
  • Datenschutzerklärungen für die Social-Media-Kanäle
  • Datenschutzkonformer Cookie-Hinweis
  • Datenschutzkonforme Analytics Tools
  • Datenschutzkonforme Kontaktformulare
  • SSL/HTTPS Verschlüsselung

Mythos / Irrtum 7: In die Datenschutzerklärung muss eingewilligt werden

Eine Datenschutzerklärung informiert betroffene Personen, wer ihre Daten wie verarbeitet (Informationspflicht gem. Art. 13 DSGVO) und welche Betroffenenrechte es gibt. Diese Informationen kann eine Person zur Kenntnis nehmen. Sie kann die Kenntnisnahme per Unterschrift oder Klick dokumentieren. Deswegen ist die Kenntnisnahme aber noch lange keine abgegebene Einwilligung gem. Art. 7 DSGVO. Der Satz „Ich willige in die Datenschutzerklärung ein“ vermengt also die Informationspflicht und die Einwilligung.

Mythos / Irrtum 8: Für jeden Dienstleister müssen wir ein Auftragsverarbeitungsvertrag abschließen

Unternehmen beauftragen die unterschiedlichsten Dienstleister: Steuerberater, Sicherheitsdienstleister, Logistikunternehmen, Reinigungsfirmen, IT-Dienstleister und und und. All diese Dienstleister können in irgendeiner Form auch personenbezogene Daten verarbeiten. Deswegen sind sie aber noch längst keine Auftragsverarbeiter im Sinne der DSGVO. Von einer Datenverarbeitung im Auftrag spricht das Gesetz, wenn ein Unternehmen ein anderes Unternehmen mit der weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Ein Auftragsverarbeitungsvertrag ist nur dann notwendig, wenn diese Kriterien erfüllt sind.

Mythos / Irrtum 9: Wir dürfen keine Daten mehr in die USA übermitteln

Das ist nicht korrekt. Eine Auftragsverarbeitung, also das Verarbeiten personenbezogener Daten durch einen Dienstleister, darf laut DSGVO auch außerhalb der EU stattfinden.

Die DSGVO knüpft eine Datenübermittlung ins Nicht-EU-Ausland wie die USA allerdings an verschiedene Anforderungen. Dabei muss der Dienstleister, beispielsweise ein amerikanischer Cloud-Service, eine Datenschutzgarantie erbringen, dass deren Datenschutzniveau, dem der Europäischen Union entspricht. Eine Möglichkeit hierfür können die von der EU-Kommission bereitgestellten Standardvertragsklauseln bieten.

Mythos / Irrtum 10: Wir dürfen keine personenbezogene Daten in der Cloud speichern

Auch das ist nicht korrekt. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden. Es muss allerdings ein sogenannter Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Betreiber abgeschlossen werden. Für diesen Vertrag gelten konkrete Vorgaben aus der DSGVO. Der Cloud-Anbieter muss unteranderem in dem Vertrag sicherstellen, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, um sicher zu stellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewahrt werden.

/von