Die ISO 27001, ein international anerkannter Standard für Informationssicherheitsmanagementsysteme, hat 2022 eine Neuauflage erfahren, die eine bahnbrechende Änderung beinhaltet. Erstmals wird in der Norm explizit gefordert, dass Unternehmen Maßnahmen ergreifen, um Datenabflüsse zu verhindern. Zusätzlich dazu unterstreicht die ergänzende ISO 27002 diese Anforderung. Daher ist es für Unternehmen, die bereits nach ISO 27001 zertifiziert sind oder diese Zertifizierung anstreben, von großer Bedeutung, sich intensiv mit Data Leakage Prevention (DLP) auseinanderzusetzen. Forcepoint bietet Einblicke in die bevorstehenden Herausforderungen für betroffene Unternehmen.
ISO 27001 Zertifizierung in Deutschland: Über 1.600 Unternehmen betroffen
Die Anzahl der ISO 27001-zertifizierten Unternehmen in Deutschland erreichte Ende 2021 einen bemerkenswerten Meilenstein, mit insgesamt mehr als 1.600 zertifizierten Unternehmen. Dieses beeindruckende Wachstum spiegelt das gesteigerte Interesse an Informationssicherheit und die Anerkennung der Bedeutung wider, die Unternehmen der Implementierung eines robusten Informationssicherheitsmanagementsystems (ISMS) beimessen. Um ihre Zertifizierung aufrechtzuerhalten, stehen die Unternehmen vor neuen Herausforderungen, da die aktualisierte Version der Norm, die im vergangenen Jahr veröffentlicht wurde, strengere Anforderungen einführt. Insbesondere die ISO 27001:2022 und die ISO 27002:2022 erfordern jetzt eine Data Leakage Prevention (DLP) als eine der Schlüsselmaßnahmen. Unternehmen müssen daher proaktiv handeln und ihre Informationssicherheitspraktiken verbessern, um den gestiegenen Anforderungen gerecht zu werden.
ISO 27001 Compliance erreichen: Unternehmen, die eine Erst- oder Re-Zertifizierung nach ISO 27001 anstreben, sollten sich verstärkt mit DLP befassen. Diese Technologie ermöglicht es ihnen, die erforderlichen Maßnahmen zum Schutz sensibler Informationen zu ergreifen und den strengen Anforderungen des ISO 27001 Standards gerecht zu werden. Eine umfassende Auseinandersetzung mit DLP kann somit Unternehmen dabei unterstützen, die ISO 27001 Compliance zu erreichen.
Schnelle Implementierung von Data Leak Prevention: Forcepoint hat festgestellt, dass Unternehmen eine Data Leak Prevention in der Praxis deutlich schneller einführen können als erwartet. Dies wird durch die Nutzung fortschrittlicher Technologien wie KI und Machine Learning ermöglicht, die in der Lage sind, Daten zuverlässig über alle Speicherorte hinweg aufzuspüren und automatisch zu klassifizieren. Dadurch entfällt ein Großteil der manuellen Arbeit, und die Implementierung erfolgt effizienter. Zudem bieten solche Lösungen einen umfangreichen Satz an vordefinierten Richtlinien für den Umgang mit sensiblen Daten, wodurch ein schneller Grundschutz gewährleistet wird. Ein weiterer Vorteil besteht darin, dass bestehende Datenklassifizierungen und Regeln aus anderen Sicherheitstools integriert werden können.
Dezentrale Datenkontrolle: Eine vielversprechende Alternative zur zentralen Datensammlung besteht darin, die Datenkontrolle auf das Endgerät zu verlagern. Anstatt alle Daten an einem zentralen Ort zu sammeln, werden die Datenschutzrichtlinien und -maßnahmen direkt auf dem Gerät implementiert. Dadurch können Datenschutzverletzungen frühzeitig erkannt und verhindert werden, beispielsweise durch Warnhinweise, Verschlüsselung oder Blockieren verdächtiger Aktivitäten. Zusätzlich können anonymisierte unternehmensweite Auswertungen genutzt werden, um Richtlinienanpassungen und Schulungsbedarf zu identifizieren.
Neben der Data Leakage Prevention (DLP) nach Punkt 8.12 der ISO 27001 können Unternehmen von DLP-Lösungen auch bei der Nutzung von Cloud-Diensten profitieren. Laut Punkt 5.23 müssen Unternehmen sicherstellen, dass ihre Informationen in der Cloud sicher und geschützt sind. DLP-Lösungen bieten effektive Mechanismen, um sensible Daten in der Cloud zu überwachen, zu kontrollieren und vor unbefugtem Zugriff zu schützen. Dadurch wird die Informationssicherheit in der Cloud verbessert und potenzielle Risiken minimiert.
Laut Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint in München, ist die Umsetzung von Data Loss Prevention (DLP) in Deutschland bisher eine Seltenheit. Falls sie doch vorkommt, geschieht dies meist mit mangelnder Konsequenz, entweder durch manuelle Datenklassifizierung oder starre Richtlinien, die nicht alle möglichen Sicherheitsverletzungen abdecken und die Arbeitsabläufe der Mitarbeiter beeinträchtigen. Limberger weist jedoch darauf hin, dass moderne DLP-Lösungen mit automatisierter Data Discovery, automatisierter Datenklassifizierung und vordefinierten Richtlinien die Einführung wesentlich erleichtern. Zusätzlich passen sie ihre Reaktionen mithilfe von Risikoermittlungen an die jeweilige Situation an. Diese fortschrittlichen Lösungen helfen Unternehmen dabei, zuverlässig unerwünschten Datenabfluss zu verhindern und sowohl neuen als auch alten Anforderungen der ISO 27001 schnell gerecht zu werden.
