DIE AURASEC FEIERT 10-JÄHRIGES JUBILÄUM | EINE ERFOLGSGESCHICHTE

/in /von

Zehn Jahre AuraSec GmbH: Daten! Sicher! Machen! Eine Erfolgsgeschichte. Datenschutz und Informationssicherheit als Voraussetzung für erfolgreiche Digitalisierung des Gesundheitswesens.

In diesem Jahr feiert die AuraSec GmbH ihr zehnjähriges Jubiläum. Dies möchten wir zum Anlass nehmen und einen kurzen Rückblick auf die Geschichte der gewähren. Die Gesellschaft wurde konkret am 4. September 2013 gegründet. Vorausgegangen war 2011 der erfolgreiche Aufbau einer Prüfgemeinschaft für die gesetzlichen Krankenversicherungen, in der Muttergesellschaft HBSN. Insofern bildete daher die Prüfgemeinschaft zunächst einen Tätigkeitsschwerpunkt. Zunehmend wurden weitere Beratungsaufträge im Bereich Datenschutz und Informationssicherheit gewonnen, sodass neben dem reinen Prüfgeschäft die Beratung ein weiteres Standbein
bildete.

Aufgrund der zunehmenden Bedeutung von Datenschutz und Informationssicherheit auch in der medizinischen Versorgung konnte ab 2015 das Kundenportfolio um Kliniken und Krankenhäuser ergänzt und in diesem Zusammenhang das Universitätsklinikum Aachen als erster Auftraggeber für den Aufbau eines Informationssicherheits-managementsystems (ISMS) gewonnen werden. Im Zuge der Kritis-Regulierung und des IT-Sicherheitsgesetzes konnten ab 2017 zahlreiche weitere Auftraggeber in den Bereichen Gesetzliche Krankenversicherung, med. Versorgung, Pharmaindustrie- und Handel als auch Labore gewonnen und eine Marktführerschaft erreicht werden.

Ein weiterer Meilenstein in diesem Zusammenhang war die Akkreditierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Prüfstelle für Kritis-Nachweisverfahren nach § 8a (3) BSI-Gesetz. Mittlerweile sind wir als etablierte Prüfungsgesellschaft im Bereich kritischer Infrastrukturen bekannt und geschätzt.

Um in Zukunft Projekte stärker interdisziplinär und ganzheitlich bearbeiten, und um die Fragestellungen und Herausforderungen des modernen Gesundheitsmarktes individuell für unsere Kunden zu erfüllen, hat sich die HBSN-Unternehmensgruppe dazu entschieden, die bis dato über die verschiedenen Tochterunternehmen abgebildeten Produkt- und Leistungsportfolios zukünftig über Service Lines zu organisieren. Eine Serviceline verantwortet einen ganz spezifischen Leistungs-/Portfoliobereich und stellt ihre Fachexpertise gruppenübergreifend zur Verfügung. Über diese service-orientierte Unternehmensorganisation können wir unseren Kunden entlang der gesamten Wertschöpfungskette alles aus einer Hand anbieten und auf das Expertenwissen der jeweiligen spezialisierten Service Line zugreifen.

Wir freuen uns über diesen wichtigen Schritt in der Firmenentwicklung der HBSN-Unternehmensgruppe.

 

Weitere Informationen finden Sie unter: www.hbsn-gruppe.de

 

 

BVMed Webinar: DiGA-Days | Fit for DiGA

/in /von
21. -23. März 2023

Die Webinar-Reihe „DiGA-Days – Fit for DiGA“ gibt vor dem Hintergrund von Fachvorträgen zahlreicher Expert:innen einen Einblick in die Anforderungen und Herausforderungen bei
der Etablierung einer digitalen Gesundheitsanwendung (DiGA) oder – seit neuestem – auch einer digitaler Pflegeanwendung (DiPA) im deutschen Gesundheitsmarkt. Damit sollen Hersteller in ihrer Entscheidungsfindung und Vorgehensweise unterstützt werden.

Jan Arfwedson, Geschäftsführer der AuraSec GmbH wird in diesem Rahmen zum Thema IT-Sicherheit referieren.

Damit DiGA vom BfArM zugelassen und in das DiGA-Verzeichnis aufgenommen werden, ist u. a. der Nachweis der Umsetzung verbindlicher Informationssicherheitsanforderungen erforderlich. Eine Vielzahl an Vorschriften macht es den DiGA-Herstellern immer schwerer, den Überblick über die einzelnen Anforderungen sowie deren Schnittmengen zu bewahren. Dabei sollten DiGA-Hersteller möglichst keine Anforderungen übersehen, da andernfalls Probleme bei der Zulassung ihrer Produkte auftreten können.

Auch beim Betrieb einer DiGA gilt es, stets den aktuellen Sicherheitsstatus im Auge zu behalten. Jedes Major-Update des Betriebssystemanbieters erfordert eventuell technische Anpassungen der DiGA. Gleiches gilt für technische Sicherheitsstandards, die sich stets weiterentwickeln. Zudem sind regelmäßige Schwachstellenscans und Penetrationstests sinnvoll und erforderlich, um eventuell bekanntwerdende Sicherheitslücken schließen zu können

Zum Programm: Flyer Webinar

f&w | 02/2023

/in /von

Cyberrisiko Ransomware

Der Gesundheitssektor ist unter den Top-drei-Angriffszielen von Cyberkriminellen. Seit Pandemiebeginn 2020 steigen die Attacken enorm an, der Ukraine-Konflikt hat die Lage nochmals verschärft. Jeder zweite erfolgreiche Angriff geschieht per Phishingmail, die größte Sicherheitslücke ist und bleibt der Mensch.

Zehn Tipps zum Schutz vor Cyberattacken
1. Aufmerksamkeit:
Seien Sie im Arbeitsalltag besonders aufmerksam. Die Bedrohungslage
ist heute eine andere als noch vor fünf oder zehn Jahren, Opfer
eines Hackerangriffs zu werden.
2. Auf den Instinkt hören:
Hören Sie immer auf Ihr Bauchgefühl und Ihren Instinkt, wenn Ihnen
beispielsweise eine E-Mail, ein Telefonat oder eine Benachrichtigung
verdächtig vorkommt.
3. Auffälligkeiten melden:
Wenden Sie sich bei auffälligen Nachrichten im Arbeitsalltag immer
sofort an Ihren jeweiligen Informationssicherheitsbeauftragten oder
die IT-Abteilung.
4. Mitarbeiter informieren:
Informieren Sie auch Ihre Kollegen über den Erhalt der verdächtigen
Nachrichten – lieber einmal mehr als zu wenig.
5. Nichts öffnen:
Öffnen Sie keine E-Mails von unbekannten Absendern – insbesondere
keine Dateianhänge – und seien Sie misstrauisch, wenn Sie per
E-Mail dazu aufgefordert werden, auf Links zu klicken und dort Ihre
Zugangsdaten einzugeben.
6. Austausch:
Machen Sie den Schutz von Patientendaten zum Thema – beispielsweise
im Stations- oder Abteilungsmeeting. Reden Sie mit Ihren
Kollegen über diese Themen, welche Ihnen auch im privaten Umfeld
begegnen. Phishingmails gibt es leider auch im privaten Bereich.
7. Daten schützen:
Sperren Sie immer den PC und schließen Sie immer die Türen zu
Dienst- und Büroräumen, wenn Sie diese verlassen.
8. Patientendaten schützen:
Lassen Sie in öffentlich zugänglichen Bereichen keine Patienten –
akten oder -dokumente offen liegen. (Patienten-)Datenschutz ist für
alle Beteiligten wichtig.
9. Individuelle Passwörter:
Nutzen Sie individuelle Passwörter und geben Sie diese nicht weiter
– auch nicht ungewollt. Nutzen Sie zum Beispiel einen Passwortmanager
anstatt Post-its.
10. Bei Angriffsverdacht:
Sprechen Sie IT-Experten an und fragen Sie gegebenenfalls besser
noch einmal bei der hausinternen Fachabteilung nach.

Ein Bericht von Jan Arfwedson, Geschäftsführer der AuraSec GmbH und Thorsten Hofer Senior Consultant Informationssicherheit und Datenschutz bei der AuraSec GmbH.

Lesen Sie hier den ganzen Artikel: zum Artikel

Jan Arfwedson im Interview mit dem Magazin DIGITALES GESUNDHEITSWESEN | 18.01.2023

/in /von

„Die Bedrohungssituation wird völlig unterschätzt!“

Jan Arfwedson, Geschäftsführer der AuraSec GmbH und Leiter eHealth Hub beim Cyber-Sicherheitsrat Deutschland e.V., über die Gefährdung von Arztpraxen durch Cyberattacken und verpflichtende Schutzmaßnahmen.

  • Wie sicher bzw. unsicher ist die Telemedizin (VideosprechstundeOnline-Sprechstunde beim Arzt, die per Video stattfindet … mehr erfahren, ePADigitale Akte unter Datenhoheit des Patienten … mehr erfahren, elektronischer Arztbrief etc) angesichts der aktuellen weltweiten Cyberbedrohungslage?
  • Wie gefährdet ist speziell die ePA?
  • Macht es bei der Sicherheit einen Unterschied in der Kommunikation zwischen Arzt-Arzt und Arzt-Patient?

Auf diese und viele weitere Fragen gibt Jan Arfwedson Antworten im Interview mit dem Magazin DIGITALES GESUNDHEITSWESEN.

Lesen Sie hier den ganzen Artikel: zum Artikel

Der Tagesspiegel berichtet: Sicherheit in DiGAs | 20.09.2022

/in /von

Seit Beginn des Zulassungsverfahrens im Oktober 2020 sind aktuell 33 Digitale Gesundheitsanwendungen zugelassen worden, davon 20 vorläufig. Großer Knackpunkt: Die Sicherheit. Und bei der hapert es auch an der Kommunikation zwischen Unternehmen und Behörden.

Der Tagesspiegel hat hierzu einen Standpunkt-Artikel des AuraSec-Geschäftsführers Jan Arfwedson und Dennis Scholz, CISO bei neotiv zum Thema Datensicherheit und Datenschutz bei Digitalen Gesundheitsanwendungen (DiGA) veröffentlicht.

Lesen Sie hier den ganzen Artikel des Tagesspiegels: https://lnkd.in/df2n5jve

 

 

HBSN-Gruppe auf dem Healthcare Hackathon Mainz 2022

/in /von

Der Healthcare Hackathon steht in diesem Jahr im Zeichen des Krankenhauszukunftsgesetzes (KHZG), der Nachhaltigkeit im Krankenhaus und der Mitwirkung an der Entwicklung des flexiblen Arbeitsplatzes der Zukunft.

Wir freuen uns, Teil der #HealthcareHackathon Familie zu sein und den Healthcare Hackathon in diesem Jahr mit unseren Experten zu begleiten.

Treffen Sie die HBSN-Gruppe auf der Besucherausstellung und Jobmesse vom 15.-17.9.2022 im alten Postlager in Mainz.

Zum Thema Krankenhauszukunftsgesetz (KHZG) findet am Donnerstag, 15.09.2022 ein Fachkongress mit Industriepartnern und Krankenhaus-Vertretern und Beteiligung weiterer Uniklinika statt.

In diesem Rahmen präsentieren wir uns in folgenden Workshopangeboten:
16-17 Uhr: Workshop der HBSN AG zum Thema „Wie bringe ich meine KHZG-Projekte erfolgreich ins Ziel?“
17-18 Uhr: AuraSec GmbH am Roundtabel im Workshop des BMG zum Thema „Cybersicherheit

Weiterführende Infos finden Sie hier: https://www.healthcare-hackathon.info/

Wir freuen uns auf ein persönliches Treffen in Mainz. Vereinbaren Sie gerne schon heute einen Gesprächstermin mit einem unserer Experten!

Termin
15. – 17. September 2022

Anmeldung
https://lnkd.in/g5Ja37VY

Hinweis
Die Veranstaltung ist kostenfrei.

 

 

WEBINAR: Vernetzte Medizingeräte und Security

/in /von

Durch die Vernetzung von Medizingeräten kann die Behandlungseffizienz gesteigert werden. Die Interoperabilität der Systeme gewinnt dabei zunehmend an Bedeutung. Um die Verfügbarkeit der vernetzten Systeme, die Integrität der übertragenen und gespeicherten Daten, die Vertraulichkeit der Gesundheitsdaten und nicht zuletzt auch die Patientensicherheit zu gewährleisten, muss der Informationssicherheit über angemessene und sachgerechte Maßnahmen Rechnung getragen werden.

In dem Webinar der BVMed Akademie werden die gesetzlichen und normativen Anforderungen bei der Vernetzung von Medizingeräten vermittelt und es werden Maßnahmen erörtert, die Hersteller und Betreiber sinnvollerweise umsetzen sollten, um die Informationssicherheit vernetzter Medizingeräte zu gewährleisten.

Datum: 16. September 2022 | 09:30 Uhr bis 11:30 Uhr
Referent: Dr. Thomas Leonard | Senior Consultant der AuraSec GmbH

Programm und Anmeldung finden Sie unter: www.bvmed.de/akademie

 

Der Informationssicherheitsbeauftragte im Krankenhaus | Organisatorische Einordnung, Aufgaben und Aufwandsübersicht

/in /von

Die Stelle des Informationssicherheitsbeauftragten (ISB) stellt eine Schlüsselposition in Krankenhäusern dar, um die Versorgung von Patientinnen und Patienten mit Unterstützung modernster IT-Systeme ebenso zuverlässig zu gewährleisten wie den Schutz sensibler Daten. Oftmals existiert diese Position jedoch nicht oder nur mangelhaft ausgestattet in Kliniken.

Um Klinikleitungen über Aufgabenfeld, Kapazitäten und Relevanz des ISB zu informieren und ISBs eine Unterstützung für ihre tägliche Aufgabe zu liefern, haben Jan Arfwedson, Geschäftsführer der AuraSec GmbH; Florian Ferenczy, Managing Consultant bei der AuraSec GmbH; Dr. Thomas Leonard, Senior Consultant bei der AuraSec GmbH; Moritz Weichsel, Junior Consultant bei der AuraSec GmbH; Karin Giese, CISO bei den Sana Kliniken und Dr. Heidrun Benda, Referatsleitung Beratung öffentlicher KRITIS-Betreiber im Landesamt für Sicherheit in der Informationstechnik Bayern gemeinsam eine Arbeitshilfe mit Kalkulationstool erstellt.

„Häufig ist den Klinikleitungen nicht bewusst, welches die Aufgaben eines Informationssicherheitsbeauftragten sind und wie viele Kapazitäten dafür erforderlich sind. Mit unserer Arbeitshilfe geben wir den Entscheidern aber auch den Informationssicherheitsbeauftragten ein übersichtliches Dokument sowie Checklisten an die Hand, die dabei helfen sollen, die Aufgaben transparent zu machen aber auch den dafür erforderlichen Personalaufwand einfach und nachvollziehbar zu kalkulieren“, erklärt Jan Arfwedson, Geschäftsführer AuraSec GmbH und Leiter des eHealth-Hub im Cyber-Sicherheitsrat Deutschland e.V.

Die Arbeitshilfe ist hier downloadbar
Das Tool ist hier downloadbar

WEBINAR: „Wie bringe ich meine KHZG-Projekte erfolgreich ins Ziel?“

/in /von

Die Umsetzung des KHZG geht in die nächste Runde. Die Förderanträge sind in vielen Fällen bereits bewilligt und die nächste Stufe der Planung und Umsetzung steht nun an.

  • Was sind Ihre nächsten Schritte bei der KHZG Umsetzung nach der Genehmigung der Förderanträge?
  • Wie gehen Sie mit der hohen Komplexität der Sachverhalte und der parallel stattfindenden Umsetzung um?
  • Haben Sie schon eine interne Struktur aufgesetzt, die eine erfolgreiche Umsetzung der Programme nachhaltig unterstützt?

Wenn diese Themen bei Ihnen aktuell auf der Agenda stehen, dann kann die HBSN-Unternehmensgruppe Sie zielgerichtet unterstützen. Wir haben eine Vielzahl zertifizierter Projektmanager an Bord, die unsere Kunden im Gesundheitswesen seit vielen Jahren im Multiprojektmanagement erfolgreich unterstützen.

Sie wollen mehr über das Thema und die erfolgreiche Planung und Umsetzung der KHZG-Fördertatbestände erfahren? Dann melden Sie sich zu unserem kostenlosen Webinar an. Wir freuen uns auf Ihre Teilnahme und den Austausch.

 

Termin
8. Juli 2022 | 10.00 – 10.45

Refrent
Florian Ferenczy, Managing Consultant und Teamleiter, AuraSec GmbH

Anmeldung
hbsn-ag.de/webinar-khzg

 

Hinweis
Das Webinar ist kostenfrei.

Ein Update für die ISO 27002 – was hat sich getan?

/in /von

Mit der Veröffentlichung der ISO 27002:2022 gab es nun ein Update zur 27002, welche in der Form seit 2013 verfügbar ist und inhaltlich unverändert stand. Mit dieser neuen Version kommen Änderungen auf Organisationen mit bereits etabliertem ISMS, sowie auf solche, die eines einführen wollen, zu.
Experten haben diese Überarbeitung schon länger erwartet, besonders da eine ISO-Norm üblicherweise nur einen regulären Lebenszyklus von etwa fünf Jahren hat. Die vier einleitenden Kapitel der Norm bleiben in ähnlicher Form enthalten, wichtig sind die zum Teil gravierenden Änderungen bei den normativen Anforderungen sowie dem sog. Anhang A.

Neustrukturierung und Präzisierung

Die vierzehn relevanten Kapitel aus der bisherigen Version (27002:2013) wurden neu strukturiert – und dem zur Folge wurden aus 14 Kapiteln nun lediglich vier.

Wie bisher soll die Norm Unternehmend und Organisationen bei der Einführung und dem Betrieb eines Informationssicherheitsmanagements unterstützen. Daher wurde ein Fokus auf die Präzisierung des Ausdrucks sowie eine bessere Umsetzbarkeit gelegt und dem zur Folge die Anzahl der Maßnahmen von 114 auf 93 reduziert. Die enthaltenen Maßnahmen bzw. Controls wurden mit diesem Update außerdem auf die aktuellen Bedürfnisse an die Informationssicherheit angepasst.

Entgegen der eigentlichen Erwartung bei einer Reduzierung wurde jedoch lediglich eine einzige Maßnahme gestrichen; das Kapitel 11.2.5 „Entfernen von Werten“. Die deutliche Reduzierung, von 114 auf zukünftig lediglich 93 Maßnahmen, ist auf das logische Zusammenführen zuvor einzelner Controls zurückzuführen. Darüber hinaus gibt es zudem elf neue Maßnahmen mit dem Fokus auf Informationssicherheit im Kontext Cloud gibt. Dieses Thema war im Jahr 2013 noch ferner als heute und ist inzwischen nicht mehr wegzudenken.

Die neuen Kapitel und kategorisierte Maßnahmen

Die Controls im Anhang A werden mit der Version ISO 27002:2022 wie folgt strukturiert:

▪ Organizational Controls organisatorische Maßnahmen (37)
▪ People Controls Maßnahmen mit Bezug zu Menschen (8)
▪ Physical Controls Maßnahmen mit Bezug zu (physischen) Objekten (14)
▪ Technological Controls Maßnahmen mit Bezug zu Technik (34)

Maßnahmen werden mit dem Update in mehreren Kategorien bewertet. Die dafür vorgesehenen Kategorien umfassen den Control Type, die Information security properties, Cybersecurity concepts, Operational capabilities und Security domains.

  • Der Control Type ordnet Maßnahmen nach ihrer jeweiligen Anwendbarkeit als #Preventive, #Detective oder #Corrective ein. Dabei sollen präventive Maßnahmen helfen Informationssicherheitsfälle zu verhindern oder mildern, aufdeckende Maßnahmen sollen bei auftretender Bedrohung zur Identifikation und Bestandsaufnahme angewandt werden und korrektive Maßnahmen sollen zur Behebung und Nachbehandlung angewandt werden.
  • Die einzelnen Maßnahmen werden mit dem Update auch den klassischen Schutzzielen der Informationssicherheit (Vertraulichkeit, Integrität sowie Verfügbarkeit) zugeordnet, sie können dabei auch mehreren oder allen Zielen entsprechen.
  • Die Konzepte der Cybersicherheit leiten sich aus der ISO/ IEC TS 27101 ab und weisen den einzelnen Maßnahmen Attribute zur Einordnung nach zeitlichen Kriterien zu. Die möglichen Attribute für eine Control lauten: #Identify, #Protect, #Detect, #Respond, #Recover
  • Die Spalte der Operative Capabilites ordnet Maßnahmen den Themengebieten zu, auf welche diese anzuwenden sind. Da einzelne Maßnahmen verschiedene Themengebiete in einer Organisation behandeln können sind auch hier Mehrfachzuweisungen möglich! Folgende Themenbereiche sind in der ISO 27002:2022 enthalten:
    #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management und #Information_security_assurance
  • Die Security Domains ordnen, wie der Name dieser Spalte suggeriert, die einzelnen Maßnahmen ihren jeweiligen Informationssicherheitsbereichen zu; #Governance_and_Ecosystem, #Protection, #Defence und #Resilience. Auch in dieser Spalte können einzelne Maßnahmen mehrere Attribute zugeordnet erhalten, wenn mehrere Bereiche betroffen sind.

11 neue Controls des ISO/IEC 27002:2022

ISO/IEC 27002:2022 listet derzeit 11 neue Controls auf. Dies sind auch gleichzeitig Indikatoren für die neuen thematischen Schwerpunkte. Diese sind:

  1. Threat intelligence: Threat Intelligence bezeichnet das strategische Sammeln an Informationen über potenzielle Bedrohungen und Bedrohungs-Akteure für die Informationssicherheit. Entsprechende Systeme sammeln unterschiedliche Rohdaten, analysieren sie und ermitteln so digitale Risiken. Die Sammlung und Analyse erfolgen kontinuierlich. Die Ergebnisse werden in Data-Feeds oder Reports in eine auswertbare Form zusammengestellt. IT-Verantwortliche und Sicherheitsexperten nutzen die Threat Intelligence als Ausgangspunkt für zeitnahe Sicherheitsmaßnahmen. In manchen Fällen fließen die Daten auch direkt in bestehende Systeme und führen automatisiert Aktionen durch. Ziel ist es Angriffe frühzeitig zu erkennen und präventiv abzuwehren.
  2. Information security for use of cloud services: Cloud-Aktivitäten müssen ganzheitlich von der Einführung über den Betrieb bis hin zur Exit-Strategie betrachtet werden und es müssen Konzepte für die Waghrung der Inform
  3. ICT Readiness for Business Continuity: Die Anforderungen der IT-Landschaft müssen aus der Business-Prozess-Perspektive abgeleitet werden.
  4. Physical security monitoring: Die Vermeidung unautorisierter physischer Zutritte rückt stärker in den Fokus und soll mittels Alarmierungs- und Überwachungssystemen verhindert werden.
  5. Configuration management: Die sichere Konfiguration von IT-Systemen und die Härtung gewinnen an Bedeutung.
  6. Information deletion: Hierbei geht es um das sichere Löschen und insbesondere die Wahrung externer Anforderungen, beispielsweise Löschkonzepte aus dem Datenschutz, die umgesetzt/sichergestellt werden müssen.
  7. Data masking: Mittels verschiedener Methoden wie Anonymisierung und Pseudonymisierung soll der Schutz von Daten erhöht werden.
  8. Data leakage prevention: Data Leakage Prevention (DLP) erhält neu Beachtung und soll helfen, den unautorisierten Datenabfluss zu vermeiden.
  9. Monitoring activities: Netzwerk- und Anwendungsverhalten sollen überwacht werden, um Anomalien zu detektieren.
  10. Web filtering: Dieses Control betrifft den Zugriff auf externe Websites, die Schadcode enthalten können. Hierbei soll Webfiltering genutzt werden.
  11. Secure coding: Hierbei geht es um das sichere Programmieren, die Nutzung von Tools, die Überwachung genutzter Bibliotheken und Repositorien, das Kommentieren und Nachvollziehen von Änderungen und das Vermeiden unsicherer Programmiermethoden

Die hinzugekommen Controls in der 27002:2022 finden sich lediglich in den Kapiteln 5, 7 und 8 und werden im Folgenden auch hinsichtlich Ihrer Kategorisierung/Zuordnung (Art des Controls, Maßnahmen-Attribut, Zuordnung zu Themengebieten/Anwendungsgebiet) und sowie den Schutzzielen dargestellt.

 

Kapitel 5:

Kapitel 7:

Kapitel 8:

Wie man sieht, wird die Erklärung zur Anwendbarkeit (Statement of Applicability [SoA]) zukünftig etwas komplexer werden, wenn nun zusätzlich eine Kategorisierung/Zuordnung nach Art des Controls, Maßnahmen-Attribut, Zuordnung zu Themengebieten/Anwendungsgebiet sowie unterstütze Schutzziele erfolgen muss.

Annex der ISO/IEC 27002

Der Anhang der ISO 27002:2022 bietet allerlei hilfreiche Informationen bezüglich der Maßnahmen, ihrer jeweiligen Steuerelemente und Attribute. Weiterhin wird dargestellt, welche der Controls aus der 2013er Norm die neuen, aktualisierten Controls ausmachen; also welche Maßnahmen wie zusammengefasst wurden.

Was bringt das Update der Norm nun?

Die ISO/IEC 27002:2022 hat sprichwörtlich ein komplett neues Layout bekommen. Die bisherigen 14 Kontrollziele wurden in vier Kategorien gruppiert und, wo sinnvoll, zusammengefasst. Die deutliche Reduzierung, von 114 auf zukünftig lediglich 93 Maßnahmen, ist auf das logische Zusammenführen zuvor einzelner Controls zurückzuführen. Insgesamt sind 11 neue Controls hinzugekommen. Insbesondere rücken dabei die Identifikation, Vermeidung, Entdeckung und Reaktion von bzw. auf Cyberattacken sowie der Schutz von Daten stärker in den Fokus. Dadurch ist die überarbeite Version der ISO/IEC 27002 umfassender und trägt aktuellen IT-Trends aber auch aktuellen Gefährdungen Rechnung. Jedoch ist es nicht damit getan, nur die neuen 11 Controls nur umzusetzen, denn auch in den bekannten Controls sind neue beziehungsweise erweiterte Umsetzungshinweise enthalten.

Noch gibt es keine überarbeitete ISO/IEC 27001. Doch schon jetzt sollten sich alle, die ein ISMS nach ISO/IEC 27001 betreiben, mit der neuen ISO/IEC 27002 bzw. der neuen Struktur, den neuen Controls und erweiterten Umsetzungshinweisen auseinandersetzen und bereits jetzt Schritte einleiten. Ab Veröffentlichung einer neuen ISO/IEC 27001, die für Ende 2022 erwartet wird, besteht voraussichtlich eine Übergangszeit von einem Jahr, in der die alte Struktur noch für eine Managementsystem-Zertifizierung herangezogen werden kann. Bestehende Zertifizierungen müssen voraussichtlich erst nach drei Jahren auf die neue Struktur umstellen.

Auswirkung auf andere Regelwerke und Branchenspezifische Sicherheitsstandards

Viele andere Regelwerke, Handlungs- und Orientierungshilfen zum Informationssicherheits-management sowie Branchenspezifische Sicherheitsstandards (siehe Webseite bsi) verweisen nicht selten auf Controls der ISO/IEC 27701 oder Umsetzungshinweise der ISO/IEC 27002.
Diese Dokumente werden – sofern eine Überarbeitung bzw. Weiterentwicklung erfolgt, ebenfalls überarbeitet bzw. an die neue Struktur und Kennzeichnung angepasst werden. Das bedeutet, dass sich auch Unternehmen und Organisationen mit der neuen Norm auseinandersetzen sollten, deren Normen- /Umsetzungsgrundlage nur indirekt etwas mit der ISO/IEC 27000er Normenreihe zu tun hat. Beispielsweise der überwiegende Teil der Betreiber kritischer Infrastrukturen.

 

Haben Sie Fragen dazu? Unsere Experten unterstützen Sie gerne!
Bei Interesse vereinbaren Sie gerne einen Termin mit uns unter info@hbsn-ag.de | 030 408173352

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!