Die ISO/IEC 27001 ist die internationale Norm für professionelles Informationssicherheitsmanagement. Sie wird häufig als unzureichend und zu allgemein verschrien oder als bürokratische Fingerübung betrachtet und steht oft in der Kritik. Aber ist diese Kritik wirklich gerechtfertigt? Oder übersehen die Kritiker die entscheidenden Vorteile und die immense Bedeutung dieses Standards für die Informationssicherheit? Wir wollen einige Kritikpunkte ansprechen. Vielleicht zeigen sich dann ja auch die wahren Stärken der ISO 27001.
Zu allgemein und rahmenhaft
Kritik: „Die ISO 27001 ist zu vage! Sie bietet nur einen Rahmen, keine konkreten Anweisungen, um spezifische Sicherheitsprobleme zu lösen.“
Antwort: Genau hier liegt ihre Stärke! Die allgemeine Natur der ISO 27001 ermöglicht es, sie flexibel in verschiedenen Branchen und Unternehmen jeder Größe anzuwenden. Sie schafft die Grundlage, auf der Unternehmen spezifische, maßgeschneiderte Lösungen aufbauen können. Statt starrer Vorgaben strahlt sie gewissermaßen aus auf andere Bereiche und interagiert gleichsam, sie bietet Raum für Innovation und Anpassung an den Stand der Technik– ein unschätzbarer Vorteil in einer sich ständig verändernden digitalen Welt.
Hohe Implementierungskosten
Kritik: „Die Implementierung und Aufrechterhaltung eines ISMS nach ISO 27001 ist viel zu teuer und ressourcenintensiv!“
Antwort: Sicherheit kommt nicht zum Nulltarif. Es fallen Kosten an und Qualität hat ihren Preis. Aber dieser Preis ist eine lohnende Investition in die Zukunft. Langfristig spart die ISO 27001 Kosten, indem sie Sicherheitsvorfälle, Datenverluste und Reputationsschäden verhindert. Unternehmen, die in diese Norm investieren, demonstrieren ihr Engagement für höchste Sicherheitsstandards und gewinnen das Vertrauen von Kunden und Geschäftspartnern.
Wenn Sie jetzt beginnen, können Sie Kosten- und Zeitaufwand in 2024 und 2025 aufteilen.
Und mit Nutzung einer Software (wir beraten Sie gerne) gelingt die Einführung schneller und kostengünstiger als sonst üblich!
Komplexität und Aufwand der Dokumentation
Kritik: „Die ISO 27001 erfordert zu viel Bürokratie und Dokumentation. Das ist doch nur unnötiger Aufwand!“
Antwort: Dokumentation und regelmäßige Überprüfungen sind das Rückgrat eines effektiven Sicherheitsmanagements. Sie gewährleisten, dass Sicherheitsprozesse gut durchdacht und kontinuierlich verbessert werden. Dies ist kein bürokratischer Ballast, sondern ein notwendiger Mechanismus, um Sicherheitslücken zu schließen und Verantwortung klar zuzuweisen. Ohne diese Sorgfalt und Dokumentation ist die Abhängig von der Anwesenheit und dem Wissen einzelner Mitarbeiter sehr hoch. Zudem "geht Wissen zunehmend in Rente" im Rahmen des demographischen Wandels. Das Wissen ist zu erhalten!
Andererseits kann im Rahmen der Prüfung auch der spezifische Fall in Ihrem Unternehmen berücksichtigt werden, ebenso die Risikositiuation und die Möglichkeiten. Eine Organisation mit 50 Mitarbeitern hat andere Möglichkeiten und Risiken als ein Konzern mit 5.000 Mitarbeitern.
Fokus auf Prozess statt Technologie
Kritik: „Die ISO 27001 konzentriert sich zu sehr auf Prozesse und Managementsysteme, anstatt auf technische Sicherheitsmaßnahmen!“
Antwort: Ein starkes Prozess- und Managementsystem ist das Fundament für nachhaltige Informationssicherheit. Technische Maßnahmen sind wichtig, aber ohne ein solides Managementsystem bleiben sie isolierte Insellösungen. Die ISO 27001 stellt sicher, dass Sicherheitsprozesse integriert und kontinuierlich überwacht werden, wodurch die Effektivität technischer Maßnahmen erheblich gesteigert wird. Zudem ändern sich Tecnologien ständig und sind laufend anzupassen und im ISMS zu integrieren. Und nicht vergessen: Die ISO 27001 steht ja nicht allein, die ISO 27002 bietet weitere Hilfen oder technische Hinweise, weitere Normen in der 27000er-Reihe sind auch wertvoll, das wird gerne vergessen. Der Stand der Technik sollte - auch unter Risiko/Kostenaspekten - auf jeden Fall beachtet werden.
Unzureichende Berücksichtigung neuer Bedrohungen
Kritik: „Die ISO 27001 kann nicht schnell genug auf neue Bedrohungen reagieren. Sie ist veraltet!“
Antwort: Die ISO 27001 fordert ein kontinuierliches Risikomanagement und regelmäßige Aktualisierungen des ISMS. So bleiben Unternehmen immer auf dem neuesten Stand und können auf neue Bedrohungen reagieren. Außerdem können Organisationen ergänzende Frameworks und Standards nutzen, um spezifische Bedrohungen und Technologien gezielt anzugehen. Statt sich auf kurzfristige Lösungen zu verlassen, bietet die ISO 27001 eine langfristige Strategie für dauerhafte Sicherheit. Denn die Anpassung an den "Stand der Technik" zum Beispiel gem. BSI oder NIST muss ohnehin erfolgen, der Rahmen des ISMS bietet die Möglichkeit dazu.
Der ganze Zertifizierungsaufwand mit Prüfern ist viel zu groß
Kritik: "Der ganze Apparat macht doch zu viel Aufwand, es gibt die Norm, die DAkkS, die Prüforganisationen, die Prüfer, die sich zertifizieren müssen, alle Jahre wieder die Prüfung. Das kostet alles viel zu viel Geld."
Antwort: Es fallen Kosten an, richtig. Andererseits hat sich die ganze Prüforganisation seit Jahren auf ein hohes Niveau entwickelt. Das alles hat ja einen Zweck, nämlich die Vermeidung von Gefälligkeitszertifikaten und Reduzierung des Gefahr, daß Organisationen ihre Aufgaben im Rahmen der ISO 27001 vernachlässigen. Mit Ihrem Auto gehen Sie ja auch alle 2 Jahre zu TÜV und sind froh, wenn Sie auf Risse in den Bremsscheiben hingewiesen werden, die ihnen noch gar nicht aufgefallen sind.
Auch Unternehmen mit ISO 27001 werden attackiert
Kritik: "Die ISO 27001 schützt mich nicht, das zertifzierte Unternehmen kann genauso Opfer sein. Der Schutz ist nur fiktiv, das Zertifikat zu haben, bringt mir gar nichts."
Antwort: Es gibt in der sicht stetig wandelnden Technologie und angesichts des "Human Factor", also dem Menschen, keinen absoluten Schutz gegen alle Gefahren und möglichen Risiken, weder aus einer Technologie noch einem Konzept oder Norm heraus. Kaum ist eine Schwachstelle geschlossen, öffnet sich mit Zero-Day-Exploits eine neue.
Die ISO 27001 ist kein Allheilmittel gegen Cyberattacken, sie muss natürlich mit technischen Mitteln angereichert weden. Sie ist ein essenzielles Werkzeug für eine umfassende, kontinuierlich verbesserte Sicherheitsstrategie. Diese muss Prävention und laufende Verbeserung umfassen. Und wenn einmal etwas passiert, sollte in ihrem Rahmen eine Minimierung von schädlichen Folgen stattfinden und eine möglichst schnelle Wiederherstellung erfolgen können.
Fazit
Die ISO 27001 ist mehr als nur ein Standard – sie ist ein Bekenntnis zur höchsten Stufe der Informationssicherheit. Während Kritiker sie als zu allgemein oder teuer abtun, erkennen weitsichtige Unternehmen den wahren Wert: ein flexibles, robustes Sicherheitsmanagement, das Vertrauen schafft und langfristige Erfolge sichert.
Daher ist sie auch als Grundlage in der NIS-2 genannt, die in ihrem Allgefahren-Ansatz alle "Maßnahmen zum Schutz dieser Systeme vor Systemfehlern, menschlichen Fehlern, böswilligen Handlungen oder natürlichen Phänomenen im Einklang mit europäischen und internationalen Normen, wie denen der Reihe ISO/IEC 27000" einbezieht.
Und sie ist flexibel, so z. B. auch für den Branchenspezifischen Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft der Bezugsrahmen für mehr Sicherheit im Krankenhaus.
Die Norm mag nicht perfekt sein (was ist schon perfekt) und ist mit Hürden versehen, aber gibt es eine gute Alternative? Anstatt sich von der Kritik und dem notwendigen Aufwand entmutigen zu lassen, sollten Unternehmen die ISO 27001 als das sehen, was sie ist: eine unverzichtbare Grundlage für den Schutz ihrer wertvollsten Informationen.
Und Anbieter, die sich dem Thema verschliessen, werden vielleicht nach und nach "aussortiert". Sie erfüllen nicht die NIS-2 oder die Kunden entscheiden das, denn: Hand aufs Herz, von welchem Lieferanten für Cloud-Services würden Sie eher kaufen, von dem Anbieter MIT oder von dem Anbieter OHNE ISO 27001-Zertifizierung?
Hinweis zur Bildquelle: Erstellt mit Microsoft Copilot und DALL-E
Comments