KRITIS und ISO 27001

Neue Herausforderung für Lieferanten und Dienstleister

Unternehmen, die bereits die ISO 27001 eingeführt haben oder aktuell dabei sind, kennen das Problem: die Lieferkette. Wie ist zukünftig mit dem damit verbundenen IT-Sicherheitsrisiko umzugehen?

Ein Informationssicherheits-Managementsystem (ISMS), das für KRITIS Betreiber wie  Strom/Wasserversorger, Krankenhäuser oder Logistikunternehmen verpflichtend ist und, z.B. durch die ISO 27001, abgebildet werden kann oder muss, ist immer nur so gut wie das schwächste Glied in der Organisationskette!

Andreas Lemke, Leadauditor für die ISO 27001 und Leiter der Zertifizierungsstelle der GUTcert, hält die Lieferkette berechtigterweise für eines der schwächsten Glieder: „Lieferanten haben oft Zugang zu sensiblen Bereichen, und besonders Softwaredienstleister (z.B. externer Support) benötigen im IT-System weitreichende Rechte, um ihre Arbeit zu erledigen. Sollte der Lieferant aber seinerseits nur ungenügende Sicherheitsvorkehrungen getroffen haben, ist das ganze System in Gefahr.

Das berühmte „offene Scheunentor“ der Lieferanten ist für Auftraggeber leider nur schwer auszumachen und zu prüfen. Die ISO 27001:2015, Anhang A Punkt 15 (Lieferantenbeziehung) besagt jedoch unmissverständlich, dass mit Lieferanten Informationssicherheitsanforderungen zur Verringerung von Risiken zu vereinbaren und dokumentieren sind. Betreiber eines ISMS müssen im Rahmen der Risikoanalyse mögliche Gefahrenpotentiale aufdecken und entsprechende Gegenmaßnahmen ergreifen.

Verfügt der Lieferant hingegen ebenfalls über ein zertifiziertes ISMS, kann die Organisation sicher sein, dass auch beim Zulieferer dieselben, hohen Sicherheitsstandards befolgt werden. Die Organisation ist abgesichert – auch ohne vor jeder neuen Auftragsvergabe eine Überprüfung des eigenen Informationssicherheitslevels einläuten zu müssen.

Der Trend geht dahin, dass auch Lieferanten, die dazu eigentlich gesetzlich nicht verpflichtet sind, ein ISMS (optimaler Weise nach ISO 27001) einführen, um mögliche Sicherheitslücken zu schließen und Aufwand Risiken für den Auftraggeber zu reduzieren.

Einen Überblick über verschiedene ISMS vermittelt unser Akademiekurs „Einführung in die Informationssicherheit“ oder die Ausbildung zum IT-Sicherheitsbeauftragten nach ISO 27001, die sich direkt mit der Norm und deren Umsetzung beschäftigt. Zudem bieten wir einen kostenlosen eLearning-Kurs zu IT-Grundlagen im Büroalltag an, der bei der Minimierung verhaltensbedingter Sicherheitslücken hilft.