Was ist der Zweck von ISO 27005?
Jessica Doering

14. Oktober 2024

~

4

 Minuten Lesezeit

Was ist Informationssicherheits-Risikomanagement (ISO 27005) im Rahmen von ISO 27001?

ISO 27005... okay, noch eine ISO 27xxx...

Zunächst möchten wir sie Ihnen vorstellen! Ihr Name ist "Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Risikomanagement". Als solche hilft diese Norm Organisationen, die mit der Informationssicherheit verbundenen Risiken zu managen. Klingt zunächst einmal vertraut. 

Aber halt. Warum brauche ich dafür noch eine weitere Norm, wenn ich doch eigentlich ISO 27001 anstrebe, den großen Player? Eine berechtigte Frage! Schauen wir uns dieses "Häh?" einmal an! 

Was ist ISO 27005 und wer braucht diesen Standard?

ISO 27005 ist eine globale Norm, die festlegt, wie eine Risikobewertung der Informationssicherheit in Übereinstimmung mit ISO 27001 durchzuführen ist. Die schöne Beziehung zu ISO 27001! Okay, wir sind auf dem richtigen Weg.... 

Der offizielle Wortlaut der ISO 27005: "Dieses Dokument enthält Richtlinien für das Risikomanagement der Informationssicherheit. Dieses Dokument unterstützt die in ISO/IEC 27001 spezifizierten allgemeinen Konzepte und soll die zufriedenstellende Umsetzung der Informationssicherheit auf der Grundlage eines Risikomanagementansatzes unterstützen.

Für ein vollständiges Verständnis dieses Dokuments ist die Kenntnis der in ISO/IEC 27001 und ISO/IEC 27002 beschriebenen Konzepte, Modelle, Prozesse und Terminologien wichtig."

Auch die Internationale Organisation für Normung empfiehlt die Verwendung von ISO 27005. "Empfiehlt" ... Ja. Aber bei dem Wort "Empfehlung" denkt jeder Zweite: Ja, das ist gut, aber eine Empfehlung ist keine Verpflichtung. 

Aber eigentlich richtet sich diese Norm an alle Strukturen, die von Cyber-Risiken und der ständigen Zunahme von Daten in ihren Diensten betroffen sind. Okay, das klingt immer noch nach einer "Empfehlung". Cyber-Risiko ist schließlich ein so gängiges Wort geworden. Aber seien Sie nicht voreingenommen! 

Diese Norm beschreibt die Methoden, die erforderlich sind, um Schwachstellen in der Informationssicherheit formell zu identifizieren, zu bewerten und zu beheben.

Es soll sicher gestellt werden, dass Organisationen ihre Informationssicherheitskontrollen und andere Vorkehrungen auf angemessene und risikobasierte Weise entwerfen, umsetzen, verwalten, überwachen und managen. Mit anderen Worten: Es soll Ihrer Organisation helfen, ein ISMS (Information Security Management System) aufzubauen.

Wie alle Normen der ISO-Reihe gibt auch ISO 27005 keinen eindeutigen Weg zur Einhaltung vor. Sie schlägt empfohlene Praktiken vor, die mit jedem Standard-Informationssicherheitsmanagementsystem kompatibel sind.

ISO 27005 legt jedoch fest, WIE eine Risikobewertung der Informationssicherheit in Übereinstimmung mit ISO 27001 durchzuführen ist. Konkret zielt ISO 27005 darauf ab, die zufriedenstellende Umsetzung der Informationssicherheit auf der Grundlage eines Risikomanagementansatzes zu unterstützen. Und Risikobewertungen sind ein wesentlicher Bestandteil des Programms zur Einhaltung von ISO 27001, das ist nicht neu! Noch weniger neu, aber nie oft genug erwähnt, ist die Tatsache, dass ISO 27001 es Ihnen im Grunde ermöglicht, eine Risikobewertung Ihres Informationssicherheitsmanagements, Strategien zur Risikominderung und die Verwendung der erforderlichen Kontrollen nach Anhang A nachzuweisen. In der Praxis wird diese Informationssicherheitsnorm verwendet, um die Vertraulichkeit von Daten sowie die Verfügbarkeit und Integrität der wichtigsten Informationsressourcen einer Organisation zu gewährleisten, und sie stellt sicher, dass Ihr ISMS, das aus der Umsetzung der Norm resultiert, Bedrohungen umfassend und angemessen angeht.

Wie ISO 27002 kann auch ISO 27005 als kleine Schwester oder kleiner Bruder betrachtet werden, der den Risikomanagementteil der Norm abdeckt. Die Aufgabe der ISO 27005 besteht also darin, Best Practices für das Risikomanagement zu definieren, die in erster Linie auf das Risikomanagement im Bereich der Informationssicherheit zugeschnitten sind, wobei der Schwerpunkt auf der Erfüllung der von ISO 27001 für ein ISMS geforderten Standards liegt. 

Aber wie genau funktioniert eine Risikobewertung?

Schauen wir uns die Schritte des Risikobewertungsprozesses (ISO 27005) genauer an:

Risikobewertung der Informationssicherheit

Methodik der Risikobewertung

Wie bereits erwähnt, gibt es kein felsenfestes Verfahren, sondern Sie sollten Ihren Ansatz an die Bedürfnisse Ihrer Organisation anpassen.

Zu diesem Zweck müssen Sie eine Reihe von Dingen überprüfen. Zunächst sollten Sie sich den Kontext Ihrer Organisation ansehen. Dieser besteht aus Ihren rechtlichen, regulatorischen und vertraglichen Verpflichtungen. Sie müssen auch Ihre Ziele in Bezug auf die Informationssicherheit und das Unternehmen im Allgemeinen sowie die Bedürfnisse und Erwartungen der Interessengruppen berücksichtigen. Dann gehen Sie zu den Risikokriterien über. Dabei handelt es sich um eine vereinbarte Methode zur Messung von Risiken, die in der Regel auf den von ihnen verursachten Auswirkungen und der Wahrscheinlichkeit ihres Auftretens beruht.

Diese Kriterien müssen klar definiert und allgemein verständlich sein. Dies dient logischerweise dazu, zwei Risikobewertungen vergleichbar zu machen.

Schließlich müssen Sie Ihre Risikoakzeptanzkriterien festlegen. Nicht jedes Risiko ist vermeidbar oder vorhersehbar..., aber Sie können festlegen, welchem Restrisiko Sie sich aussetzen "wollen". Ein gebrochener kleiner Zeh mag zum Beispiel tolerierbar sein, aber ein Bruch des Oberschenkelknochens lässt den Marathon im nächsten Jahr in weite Ferne rücken!

Ab welchem Niveau muss ein Risiko also behandelt werden? Auswirkungskriterien entsprechen dem Mindestmaß an Folgen, ab dem ein Risiko berücksichtigt werden muss, oder Risikoakzeptanzkriterien stellen eine Schwelle dar, unterhalb derer das Risiko toleriert werden kann.

Risikobewertung 

Zunächst werden die gefährdeten Elemente bestimmt. Dazu gehören das Unternehmen als Ganzes, aber auch Informationssysteme, Dienste und Datengruppen. Dann müssen Sie die Bedrohungen und Schwachstellen in Bezug auf diese Elemente ermitteln. Das Schwachstellen- Management meldet sich wieder.... ISO 27002 und ISO 27005 haben die gleichen Gene..., aber letztendlich gibt es einige Unterschiede... wie das bei Geschwistern eben der Fall ist.

Die ISO 27005 verlangt von Ihnen, diese Bedrohungen und deren Vorkommen mit den Sicherheitsanforderungen Ihrer Struktur abzugleichen. Dieser gesamte Prozess sollte Ihnen helfen, Prioritäten entsprechend den in Schritt eins festgelegten Bewertungskriterien zu setzen.

ISO 27005 hilft bei der Identifizierung von Schwachstellen in der Cybersicherheit, bietet aber keine Skala für die Risikobewertung! Die verantwortliche(n) Partei(en) müssen ihr eigenes Bewertungssystem entwickeln. Dieses System kann auf qualitativen oder quantitativen Bewertungsmethoden basieren, wobei letztere auf messbaren Kosten beruhen. In der Praxis werden in Abwesenheit von ISO-Standardspezifikationen eher qualitative Analysen durchgeführt.

Die Norm schreibt nicht vor, wie Sie das Risiko bewerten sollen. Das liegt bei Ihnen, ob Sie "hoch bis niedrig", 1 bis 10, 1 bis 100 oder andere Varianten wählen. Es spielt keine Rolle, solange alle, die für die Risikobewertung verantwortlich sind, den gleichen Ansatz verwenden.

Risikobehandlung 

Anhand der Liste der Informationswerte müssen nun die mit ihnen verbundenen Risiken unter Berücksichtigung der zuvor ermittelten Ergebnisse bestimmt werden. 

Ein Beispiel: Laptops werden gestohlen oder Mitarbeiter arbeiten remote aus einem gemütlichen Café in Montana und nutzen das kostenlose W-LAN des Cafébetreibers, der eher für seinen White Mocha mit Hafermilch als für seine Vorliebe für Informationssicherheit bekannt ist! Zur gleichen Zeit stehen ein paar Gäste in der Schlange und schauen gelangweilt auf den Monitor des müden (Zeitverschiebung) remote- Mitarbeitenden, der gerade mit hochsensiblen Daten in einer Tabelle jongliert. Alles schreit nach "Als ob hier was passieren könnte!". Aber der Zufall wartet an jeder Ecke. Dummerweise steht gerade ein "Hacker-Tourist" in der Warteschlange, und da Hacker immer auf der Suche nach einer Herausforderung sind.... ja, bumm. Zufälle gibt's! 

Zu diesem Zeitpunkt müssen die IT-Sicherheitsziele festgelegt werden. Sobald diese Ziele festgelegt sind, können Sie Spezifikationen entwerfen, die zur Entwicklung von Maßnahmen zur Bewältigung der Risiken beitragen. Einige Risiken sind einfach schwerwiegender als andere, daher müssen Sie klar definieren, welchen Risiken Sie die größte Aufmerksamkeit widmen sollten. 

In der ISO 27005 bedeutet der Entwurf dieser Maßnahmen, dass ein Risiko mit den Kosten seiner Bewältigung verglichen wird. Diese Art der Risikobewertung gibt Ihnen eine einheitliche und vergleichbare Einschätzung der Bedrohungen, denen Ihre Organisationen ausgesetzt sind.

Es gibt vier Möglichkeiten für Unternehmen, Risiken zu managen:

- Ändern Sie das Risiko, indem Sie Sicherheitskontrollen einführen, um die Wahrscheinlichkeit des Auftretens und/oder den Schaden, den es verursacht, zu verringern.

- Behalten Sie das Risiko bei, indem Sie akzeptieren, dass es unter die zuvor festgelegten Risikoakzeptanzkriterien fällt, oder indem Sie Ausnahmeentscheidungen treffen.

- Vermeidung des Risikos durch Änderung der Umstände, die das Risiko verursachen.

- Teilung des Risikos mit einem Partner, z. B. einem Finanzunternehmen oder einem Dritten, der besser in der Lage ist, das Risiko zu verwalten.

Gemäß ISO 27001 müssen alle Risiken einen Eigentümer haben, der für die Genehmigung von Risikobehandlungsplänen und die Übernahme des Restrisikos verantwortlich ist. Der Eigentümer der Risikobehandlung kann eine andere Person sein als der Eigentümer der Anlage.

Risikoakzeptanz

Die Risikobehandlungsstrategie und die Restrisiken müssen eine "Akzeptanzphase" durchlaufen, was bedeutet, dass der gesamte Behandlungsplan von der obersten Führungsebene der Praxis genehmigt werden muss. In dieser Phase können die Abteilungsleiter die Kosten, die sie für zu hoch halten, in Frage stellen oder die Übernahme bestimmter Risiken in Erwägung ziehen. Diese Ausnahmen müssen begründet werden.

Theoretisch endet die Methodik der ISO 27005 hier. 

Zusammengefasst: Es bietet einen Überblick über die von Ihnen identifizierten Risiken, die von Ihnen entwickelten Szenarien, die von Ihnen durchgeführten Risikoanalysen und die von Ihnen festgelegten Behandlungsstrategien. ISO 27005 enthält eine ausführliche Beschreibung des Risikomanagementprozesses und eine detaillierte Beschreibung der einzelnen Schritte des Risikomanagements. Diese Erläuterungen sowie der Anhang zu ISO 27005, der einen Beispiel-Bedrohungskatalog enthält, bieten einen nützlichen Leitfaden für die ordnungsgemäße Einrichtung eines Risikomanagements für die Informationssicherheit und eine gute Grundlage für die Umsetzung der Anforderungen der Mutter der ISO 27000-Reihe - ISO 27001. Mama wäre stolz.

Holen Sie sich Ihre Zertifizierung bei uns! Buchen Sie eine Beratung!

Fokus auf den Sicherheitsaufbau mit Compliance im Hintergrund

Secfix verfügt über das größte EU-Auditoren-Netzwerk und minimiert durch seine Plattform Arbeitszeit, Aufwand und Kosten.

unverbindlich und kostenlos

Jessica Doering

Jess ist das Marketinggenie bei Secfix und liebt jeden Hund auf diesem Planeten!

ISO 27001

Risikomanagement

ISO 27001
ISO 27001
Risikomanagement
Risikomanagement