Neue ISO 27001: Verhindern von Datenabflüssen ist Pflicht

Die 2022er Neufassung der Norm und auch die ergänzende ISO 27002 fordern erstmals explizit das Verhindern von Datenabflüssen.

Mehr als 1.600 deutsche Unternehmen betroffen

Dies betrifft in Deutschland jene mehr als 1.600 Unternehmen, die Ende 2021 nach ISO 27001 zertifiziert waren. Wollen sie ihre Zertifizierung sicher behalten, müssen sie aktiv werden, denn mit der Neufassung der Norm aus dem vergangenen Jahr steigen die Anforderungen an Informationssicherheitsmanagementsysteme (ISMS). Sowohl die ISO 27001:2022 als auch die ISO 27002:2022, welche die im Anhang A genannten Maßnahmen der ISO 27001 ausführlicher beschreibt, zählen nun eine Data Leakage Prevention (DLP) zu den erforderlichen Maßnahmen.

DLP verhindert den Abfluss sensibler Informationen, etwa personenbezogener Daten oder wertvollen geistigen Eigentums. Insbesondere in Deutschland wird das Thema allerdings oft noch vernachlässigt, weil Unternehmen ihr Risiko unterschätzen und einen hohen Aufwand fürchten. Zumindest Unternehmen, die eine Erst- oder Re-Zertifizierung nach ISO 270001 anstreben, sollten sich nun jedoch intensiv mit DLP beschäftigen.

Einführung oft schneller als gedacht

Nach Erfahrung des IT-Security-Anbieters Forcepoint ist eine Data Leak Prevention in der Praxis deutlich schneller eingeführt, als Unternehmen üblicherweise annehmen. Gute Lösungen spüren Daten demnach zuverlässig über alle Speicherorte hinweg auf und klassifizieren sie mit Hilfe von KI und Machine Learning weitgehend automatisch, sodass wenig Handarbeit notwendig ist. Zudem bringen sie laut Forcepoint einen umfangreichen Satz an vordefinierten Richtlinien für den Umgang mit schützenswerten Daten mit und bieten auf diese Weise schnell einen Grundschutz.

Nach Einschätzung von Forcepoint helfen DLP-Lösungen allerdings nicht nur beim neuen Punkt 8.12 der ISO 27001, bei dem es um die Data Leakage Prevention geht. Vielmehr könnten Unternehmen auch bei der Umsetzung anderer Maßnahmen, mit denen sie sich regelmäßig schwertun, von den Lösungen profitieren. Dazu zählten unter anderem die Klassifizierung von Informationen (5.12), die Informationssicherheit bei der Nutzung von Cloud-Diensten (5.23) und das Löschen von Informationen (8.10). Hier hätte Unternehmen bislang häufig der Überblick darüber gefehlt, über welche Daten sie überhaupt verfügen und welchen Speicher- oder Löschfristen diese unterliegen.

„DLP wird in Deutschland bisher nur selten umgesetzt – und wenn, dann meist halbherzig mit manuellen Datenklassifizierungen oder starren Richtlinien“, sagt Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint in München. „Dabei machen moderne DLP-Lösungen mit automatisierter Data Discovery, automatisierter Datenklassifizierung und vordefinierten Richtlinien die Einführung vergleichsweise einfach. Zudem nutzen sie eine Risikoermittlung, um ihre Reaktionen der Situation entsprechend anzupassen.“