Neue ISO 27001: Verhindern von Datenabflüssen ist Pflicht

Die 2022er Neufassung der Norm und auch die ergänzende ISO 27002 fordern erstmals explizit das Verhindern von Datenabflüssen.

Mehr als 1.600 deutsche Unternehmen betroffen

Dies betrifft in Deutschland jene mehr als 1.600 Unternehmen, die Ende 2021 nach ISO 27001 zertifiziert waren. Wollen sie ihre Zertifizierung sicher behalten, müssen sie aktiv werden, denn mit der Neufassung der Norm aus dem vergangenen Jahr steigen die Anforderungen an Informationssicherheitsmanagementsysteme (ISMS). Sowohl die ISO 27001:2022 als auch die ISO 27002:2022, welche die im Anhang A genannten Maßnahmen der ISO 27001 ausführlicher beschreibt, zählen nun eine Data Leakage Prevention (DLP) zu den erforderlichen Maßnahmen.

DLP verhindert den Abfluss sensibler Informationen, etwa personenbezogener Daten oder wertvollen geistigen Eigentums. Insbesondere in Deutschland wird das Thema allerdings oft noch vernachlässigt, weil Unternehmen ihr Risiko unterschätzen und einen hohen Aufwand fürchten. Zumindest Unternehmen, die eine Erst- oder Re-Zertifizierung nach ISO 270001 anstreben, sollten sich nun jedoch intensiv mit DLP beschäftigen.

Einführung oft schneller als gedacht

Nach Erfahrung des IT-Security-Anbieters Forcepoint ist eine Data Leak Prevention in der Praxis deutlich schneller eingeführt, als Unternehmen üblicherweise annehmen. Gute Lösungen spüren Daten demnach zuverlässig über alle Speicherorte hinweg auf und klassifizieren sie mit Hilfe von KI und Machine Learning weitgehend automatisch, sodass wenig Handarbeit notwendig ist. Zudem bringen sie laut Forcepoint einen umfangreichen Satz an vordefinierten Richtlinien für den Umgang mit schützenswerten Daten mit und bieten auf diese Weise schnell einen Grundschutz.

Nach Einschätzung von Forcepoint helfen DLP-Lösungen allerdings nicht nur beim neuen Punkt 8.12 der ISO 27001, bei dem es um die Data Leakage Prevention geht. Vielmehr könnten Unternehmen auch bei der Umsetzung anderer Maßnahmen, mit denen sie sich regelmäßig schwertun, von den Lösungen profitieren. Dazu zählten unter anderem die Klassifizierung von Informationen (5.12), die Informationssicherheit bei der Nutzung von Cloud-Diensten (5.23) und das Löschen von Informationen (8.10). Hier hätte Unternehmen bislang häufig der Überblick darüber gefehlt, über welche Daten sie überhaupt verfügen und welchen Speicher- oder Löschfristen diese unterliegen.

„DLP wird in Deutschland bisher nur selten umgesetzt – und wenn, dann meist halbherzig mit manuellen Datenklassifizierungen oder starren Richtlinien“, sagt Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint in München. „Dabei machen moderne DLP-Lösungen mit automatisierter Data Discovery, automatisierter Datenklassifizierung und vordefinierten Richtlinien die Einführung vergleichsweise einfach. Zudem nutzen sie eine Risikoermittlung, um ihre Reaktionen der Situation entsprechend anzupassen.“

Matthias Longo

Recent Posts

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

5 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

1 Tag ago

Datenexplosion durch KI technisch bewältigen

“Amplify Digital and Green Transformation” hieß die zentrale Botschaft des europäischen Flagship-Events „Huawei Connect“ in…

2 Tagen ago