ISO 27001Kapitel 7.4 Sichere Kommunikation

Kapitel 7.4 der ISO 27001 geht auf die Regelungen zur sicheren internen und externen Kommunikation ein. Eine korrekte Planung in diesem Zusammenhang bedeutet ein großes Plus an Informationssicherheit.

Organisationen sind daher gut beraten, sich beim Aufbau und Betrieb ihres Informationssicherheits-Managementsystems (ISMS) frühzeitig Gedanken über ihre Kommunikationsprozesse zu machen. Wer soll mit wem über was wann sprechen und wie wird dies alles dokumentiert?

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutsche Version der Norm DIN EN ISO/IEC 27001:2024 sowie die ISO 27002:2022.

Kommunikation als zentraler Aspekt der IT-Sicherheit

Aus Sicht der Informationssicherheit ist es sehr wichtig, Regelungen zur Kommunikation aufzustellen. Fehler in dieser Beziehung sind leicht geeignet, das gesamte System zu untergraben.

Wie Information verbreitet wird und wer darauf Zugriff hat, ist essentiell. Korrekte Entscheidungen setzen eine verlässliche und vollständige Informationsbasis voraus; insbesondere auf Ebene des Managements. Auf der anderen Seite dürfen bestimmte Informationen aber auch nicht unkontrolliert verbreitet werden und nicht jeder darf darauf Zugriff haben.

Wichtig sind verbindliche, klare und verlässliche Rahmenbedingungen für die Kommunikation. Informationssicherheit lebt von solchen Regelungen, Absprachen und deren Einhaltung und ermöglicht so allen Mitarbeitern Ihren Beitrag zu leisten.

Interne und externe Kommunikation

Nach den Vorgaben von Kapitel 7.4 der Norm ISO 27001 beginnt der Prozess mit der Ermittlung des Bedarfs für interne und externe Kommunikation. Es werden also die internen Kommunikationswege betrachtet, aber auch die Verbindungen zu externen Stellen, etwa zu Dienstleistern und Geschäftspartnern.

Für die korrekte Einordnung ist wichtig zu verstehen, dass sich Kapitel 7.4 mit dem Inhalt der Kommunikation beschäftigt. Es geht hier allein um die organisatorischen Regelungen. Technische Gesichtspunkte der Kommunikation werden dagegen im Rahmen des Annex A behandelt. Dort finden sich Hinweise zur Kommunikation in Netzwerken und den unterstützenden Informationsverarbeitungseinrichtungen. Im Annex A geht es um Regelungen, die eine Steuerung der sicheren Übertragung von Informationen sowohl innerhalb als auch außerhalb des Unternehmens ermöglichen. Es geht darum, wie die Kommunikation durch technische Maßnahmen geschützt werden kann und weniger darum, was inhaltlich mitgeteilt wird.

5 Schritte zur normgemäßen Kommunikation nach ISO 27001

1. Inhalte der Kommunikation

Zunächst gilt es herauszufinden, welche konkreten Inhalte transportiert werden müssen bzw. dürfen. Dabei sollte Wesentliches von Unwesentlichem getrennt werden. Es ist folglich zu fragen, welche Informationen für den Betrieb oder die Optimierung des ISMS notwendig sind oder grundsätzliche haben Bedeutung und welche nicht:

  • Im Bereich der internen Kommunikation ist wesentlich insbesondere die Kommunikation im Personalbereich. Hierunter fallen beispielsweise Entwicklungsgespräche mit Mitarbeitern, regelmäßige Teammeetings, aber auch strategische Entscheidungen des Managements.
  • Im Bereich der externen Kommunikation sind typischerweise die Übermittlung der betriebswirtschaftlichen Auswertung (BWA) des Unternehmens an Banken relevant. Aber auch das Vorhalten von Zertifizierungen beispielsweise nach ISO 27001 oder ISO 9001 auf der Unternehmenswebsite, wodurch indirekt gegenüber Kunden und Interessenten die Einhaltung von gewissen (Qualitäts-)Standards garantiert wird, kann hohe Bedeutung haben.

2. Kommunikation und Zeit

Wichtig können zudem die Zeitpunkte der Kommunikation sein. Ist es im Einzelfall entscheidend, dass eine Information pünktlich zu einer bestimmten Zeit zum Empfänger gelangt (beispielsweise, wenn neue Regelungen im Unternehmen eingeführt und gegenüber den Mitarbeitern kommuniziert werden sollen, um die Einhaltung sicherzustellen) oder spielt eine konkrete Zeit keine Rolle? Es kann auch notwendig sein, etwas regelmäßig zu kommunizieren (beispielsweise für die Berichterstattung der Leistung des ISMS).

3. Adressaten der Kommunikation

Mindestens ebenso wichtig ist die Frage, wohin eine Information gelangen muss, wer also der konkrete Empfänger sein soll oder darf. Welche Stelle oder welche Person braucht die Information? Dies ist vorab zu untersuchen. Wer braucht welche Informationen zur Erfüllung seiner Aufgaben und wer muss ggf. lediglich informiert werden.

4. Verantwortliche für die Kommunikation

Ergänzend müssen auch in diesem Zusammenhang die Verantwortlichen festgestellt oder festgelegt werden. Wer ist für die Weitergabe einer Information zuständig? Welche Person oder Stelle diese Rolle innehat, muss stets individuell und nach den Umständen des Einzelfalls entschieden werden. Dies kann beispielsweise derjenige sein, der eine Information erhoben hat, oder auch der jeweilige Abteilungsleiter oder die Geschäftsführung.

5. Kommunikationsprozesse

Schließlich sind die jeweils angemessene Art und Weise der Kommunikation und der dazu passende Kommunikationsweg zu ermitteln. Insbesondere das Medium und die Form sind hier relevant. So ist es gängige Praxis, dass interne Meetings mündlich erfolgen, wohingegen die wesentliche Kommunikation mit Interessenten und Kunden schriftlich erfolgt.

Es ist ratsam, bedeutende Informationen ausschließlich schriftlich zu kommunizieren bzw. mündlich Kommuniziertes entsprechend zu Dokumentationszwecken schriftlich festzuhalten.

Verbindliche Regelungen für die Kommunikation

Ergebnis der beschriebenen Ermittlung der genannten Kriterien sollte eine verbindliche Regelung sein, die den jeweiligen Feststellungen angemessen Rechnung trägt.

Üblich und geeignet ist ein eigenes Konzept zur sicheren Kommunikation, um die Kommunikationsvorgänge zu strukturieren und zu kanalisieren.

Beispiel: interne Kommunikation im Rahmen der Softwareprogrammierung

Bezeichnung Inhalt Zeitpunkte Adressat Verantwortlicher Prozess
Daily SCRUM Update der erledigten Aufgaben, Planung des Tages täglich Entwicklungsteam SCRUM Master mündlich mit Dokumentation
2 Weekly Sprint Meeting Überblick Fortschritte alle 2 Wochen Entwicklungsteam SCRUM Master mündlich mit Dokumentation
Monthly Reporting an Product Owner monatlich Entwicklungsteam und SCRUM Master Product Owner mündlich mit Dokumentation

Beispiel: andere Kommunikation

Bezeichnung Inhalt Zeitpunkte Adressat Verantwortlicher Prozess
Changes Freigabe von Changes durch IT-Leiter wöchentlich IT IT-Leiter schriftlich
Statusmeldungen Statusbericht DSB/ISB monatlich GF, ISB, DSB Geschäftsführung mündlich mit Protokoll
Informationssicherheits-störung Meldung unverzüglich Jeweilige Team-Mitglieder ISB mündlich mit sofortiger Dokumentation
Rechenschaftsbericht Bericht über die Tätigkeit der Gesellschaft im abgelaufenen Geschäftsjahr Ende des Geschäftsjahrs Abschlussprüfer Vorstand schriftlich
Datenschutzverletzung Meldung eines Datenpanne Unverzüglich, maximal 72 Stunden DSB, Verantwortliche der betroffenen Einheit, Aufsichtsbehörde Management schriftlich

Fazit: Organisationen müssen wissen, welche Informationen wichtig sind und für wen

Allzu oft erfolgt in der Praxis keine grundsätzliche Auseinandersetzung mit der Kommunikation der Organisation. Es werden zwar ggf. technische Lösungen bereitgestellt, wie und wofür diese eingesetzt werden, wird dann dem gesunden Menschenverstand überlassen. Verbunden mit auch noch unklaren Verantwortlichkeiten geht so sehr schnell etwas schief. Das verursacht mindestens Stress und schlimmstenfalls ein ernstzunehmendes Risiko.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt ihren Mandanten im Rahmen einer angestrebten Zertifizierung nach ISO 27001 eine über Jahre optimierte Vorlage für ein Kommunikationskonzept zur Verfügung, so dass alle Anforderungen der Norm geregelt und die Umsetzung dokumentiert werden können.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.