ISO 27001 – das weltweit umfassendste und anerkannteste Rahmenwerk für Informations-Sicherheits-Managementsysteme (engl. Information Security Management System oder ISMS). Es bildet den Kern vieler Cybersicherheitsprogramme von Unternehmen; ISO 27001 wird als wesentliche Grundlage für eine Vielzahl von Compliance-Regelungen angesehen. Zugriffskontrollen, einschließlich PAM, sind in den Anforderungen der Norm weit verbreitet.

Was genau ist ISO 27001?

Die ISO 27001 wird vom International Standard Organization (ISO) herausgegeben. Aus diesem ISMS resultiert eine sichere Infrastruktur. ISO 27001 ist umfassend und deckt nahezu alle Aspekte der Informationssicherheit ab. Die Kontrollen betreffen die Sicherheitspolitik, die physische Sicherheit sowie die Reaktion auf Vorfälle bzw. Angriffe. Dieses Sicherheitsrahmenwerk gewährleistet, dass die jeweilige Organisation international anerkannte und bewährte Verfahren im Bereich der Informationssicherheit anwendet.

Das Ziel von ISO 27001 ist es, die Sicherheitsstandards kontinuierlich zu verbessern. Dieser Ansatz ist in den Planungs-, Kontroll- und Aktionsprozessen enthalten, die es einer Organisation ermöglichen, sich selbst als ISO 27001-konform zu zertifizieren. Alternativ ist es möglich, eine unabhängige Zertifizierung zu erhalten. Diese kann von einer dritten Partei nach einem gründlichen Audit vergeben werden.

Informationen rund um die aktuell anstehende Revision der ISO 27001, sowie das veröffentlichte Update ISO 27002:2022 finden Sie hier.

ISO 27001 und die Einhaltung von Informationssicherheits-Vorschriften

Das ISMS-Rahmenwerk ermöglicht es Organisationen, die Anforderungen verschiedener Vorschriften wie der Datenschutz-Grundverordnung (DSGVO), dem HIPAA (Health Insurance Portability and Accountability Act) oder dem PCI-DSS (Payment Card Industry Data Security Standard) zu erfüllen. Dies ist insbesondere deshalb von Bedeutung, weil es die Kontrollmechanismen des ISMS so konfigurierbar macht, dass sie mit den jeweiligen Anforderungen übereinstimmen. Sollte beispielsweise die Verschlüsselung von Datenträgern für die Einhaltung des HIPAA notwendig sein, dann hilft es, dieser Aspekt im Rahmenwerk des ISMS verpflichtend festzulegen.

Das ISO 27001-Rahmenwerk hilft Organisationen dabei zu verstehen, was sie tun müssen, um eine Vielzahl von Vorschriften zu erfüllen.

Eine der Anforderungen, die an Organisationen gestellt werden, die sich ISO 27001 zertifizieren lassen möchten, ist die Einhaltung von Gesetzen. Dies wird in Abschnitt A.18.1 geregelt, der den Titel „Einhaltung gesetzlicher und vertraglicher Anforderungen“ trägt. In diesem Abschnitt werden diese Kontrollen genauer definiert. So muss beispielsweise in Unterabschnitt A.18.1.1 ausdrücklich erwähnt werden, dass das ISMS rechtliche und regulatorische Anforderungen identifizieren und dokumentieren muss.

Zugriffskontrollen der ISO 27001

Die ISO 27001 ist ein umfassendes Rahmenwerk für die Informationssicherheit. Es enthält Kontrollen für Sicherheitsrichtlinien, Asset Management, Kryptographie, Personalwesen und mehr. Die Zugangskontrolle spielt jedoch eine wichtige Rolle. Es gibt spezifische Kontrollen, die sich mit dem Zugriff befassen, aber für fast jeden Aspekt des Frameworks entscheidend ist, ob man den Zugriff kontrollieren kann oder nicht. So ist es zum Beispiel unmöglich, eine wirksame Datensicherung durchzuführen, wenn man nicht kontrollieren kann, welche Person Zugriff auf die Verschlüsselungssoftware oder die gespeicherten Backups an sich hat.

Wo sich PAM und ISO 27001 Annex A Anforderungen kreuzen

PAM (Privileged Access Management) ist ein Bereich der Sicherheit, der sich mit der Kontrolle und Überwachung von administrativen Benutzern oder solchen mit privilegierten Konten befasst. Durch diese Privilegierung erhalten die Nutzer Zugang zu den Back-Ends kritischer Systeme. So können sie beispielsweise eine Firewall konfigurieren oder ein Datenbank-Benutzerkonto löschen. Weiterhin haben sie die Möglichkeit, Daten zu löschen oder zu ändern sowie Software zu installieren und deinstallieren. Zu dieser Gruppe gehören Angestellte, Auftragnehmer oder auch automatisierte Anwendungen. Da alle Zugang zu sensiblen Informationen und Systemen haben bzw. hätten, muss der Zugang reguliert werden. Die ISO 27001 beschäftigt sich sowohl direkt als auch indirekt mit dieser Anforderung:

• Abschnitt A.9.2.3 „Management von privilegierten Zugriffsrechten“, enthält eine Anforderung zur Kontrolle und Einschränkung privilegierter Zugriffsrechte
• A.9.4.4 „Nutzung von privilegierten Anwendungsprogrammen“, fügt dem ISMS eine weitere PAM-Schutzmaßnahme hinzu, in der die Notwendigkeit der Kontrolle von Dienstprogrammen erörtert wird, die andere Kontrollen außer Kraft setzen können.

In mehreren Abschnitten des ISO 27001-Rahmenwerks wird darauf hingewiesen, dass der Zugriff privilegierter Benutzer sorgfältig geregelt werden muss, so dass der Einsatz einer PAM-Lösung eine solide Basis bildet für die Einhaltung weiterer Vorschriften.

PAM taucht als Umsetzung der technischen und organisatorischen Maßnahmen zudem in den Abschnitten

• A.6 „Organisation der Informationssicherheit“,
• A.11 „Physische und Umweltsicherheit“ und
• A.15 „Lieferantenbeziehungen“ der ISO 27001 auf.

Indirekt ist PAM auch in den Abschnitten,

• A.5 „Informationssicherheitsrichtlinien“,
• A.12 „Betriebliche Sicherheit“,
• A.16 „Informationssicherheitsmanagement“ und
• A.18 „Einhaltung interner Anforderungen“ aufgeführt.

Jeder dieser Kontrollbereiche ist auf privilegierte Benutzer angewiesen, um wirksam zu sein.

Wie eine PAM-Lösung die technische Umsetzung von ISO 27001- Annex A Kontrollen ermöglicht

Eine PAM-Lösung gilt als wesentlicher Bestandteil der technischen und organisatorischen Vorgaben eines ISMS und schützt Organisationen vor versehentlichem oder absichtlichem Missbrauch von privilegiertem Zugriff. Sie behält den Überblick über alle privilegierten Benutzer und ermöglicht die Implementierung der ISO 27001. Durch einen sicheren, zentralisierten und rationalisierten Mechanismus kann die Autorisierung und Überwachung aller relevanten Systeme für alle relevanten Benutzer durchgeführt werden.

• Eine PAM-Lösung gewährt und entzieht den Benutzern nur für die Systeme, für die sie berechtigt sind, Privilegien.
• Eine PAM-Lösung macht es überflüssig, dass privilegierte Benutzer lokale/direkte Passwörter haben oder benötigen.
• Eine PAM-Lösung verwaltet schnell und zentral den Zugriff auf eine Vielzahl heterogener Systeme.
• Eine PAM-Lösung erstellt einen unveränderlichen Prüfpfad für jede privilegierte Operation und alle Tätigkeiten in IT und OT.

PAM ist ein wichtiges Element des ISMS, das es Unternehmen ermöglicht, alle privilegierten Benutzeraktionen innerhalb ihrer IT-Infrastruktur zu verfolgen.

VISULOX als zentraler PAM Baustein für ISO 27001

amitego bietet mit VISULOX eine vollständige PAM-Lösung, die sich nahtlos mit ISO 27001 vereinbaren lässt. Durch die agentenlose Architektur ist VISULOX einfach zu implementieren, zu warten und zu modifizieren. Dank dieser Eigenschaft kann die PAM-Lösung Teil des ISMS sein, ohne Systeme einzuschränken. Die Komponenten von VISULOX tragen alle zur Erfüllung der ISO 27001-Kontrollen und des ISMS bei:

• VISULOX Privileged Access Management – Regelt den Zugang zu privilegierten Konten und zentralisiert die Zugriffskontrolle, indem ein einziger Zugangspunkt für alle Nutzer im Geltungsbereich geschaffen wird. Privilegierte Benutzer beantragen den Zugriff auf ein System über VISULOX. Die Definition der Zugriffskontrollrichtlinien und die Durchsetzung der Richtlinien nach ISO 27001 werden hier umgesetzt. VISULOX kennt alle sensiblen Systeme, auf die ein Benutzer Zugriffsrechte hat. Superadministratoren können damit privilegierte Benutzerkonten hinzufügen, ändern oder löschen.
• VISULOX PassCache – Verhindert, dass privilegierte Benutzer die tatsächlichen Passwörter oder Anmeldeinformationen für kritische Systeme kennen. Dies schließt manuelle Überschreibungen auf physischen Geräten aus, ein Risiko, das in Abschnitt A.11 beschrieben wird.
• VISULOX Session Recorder – Verfolgt die Verbindungen und Aktivitäten privilegierter Benutzer und ermöglicht die Überwachung und Aufzeichnung aller Benutzeraktivitäten in Echtzeit. Session Recording ermöglicht eine detaillierte Prüfung und genaue Reaktion auf Vorfälle, die beide für ISO 27001 unerlässlich sind. Hierbei werden sowohl indizierte Filme von Aktivitäten erstellt, wahlweise der gesamte Key-Stroke aufgezeichnet und die Filme per OCR-Funktionalität durchsuchbar gemacht.

Die Zertifizierung und Prüfung nach ISO 27001 ist ein mühsamer Prozess. Jeder Satz von Kontrollen im Rahmenwerk muss sorgfältig implementiert werden. Eine PAM-Lösung kann dazu beitragen, den Prozess zu vereinfachen und eine robustere, flexiblere Einhaltung der Standards zu erreichen. Sprechen Sie mit uns oder buchen Sie sich direkt eine kostenfreie Demo Ihrer PAM-Lösung.