(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Störungen des Betriebs, wie Systemausfälle, technische Defekte oder organisatorische Beeinträchtigungen, können erhebliche Auswirkungen auf die Informationssicherheit haben. In solchen Situationen besteht ein erhöhtes Risiko für Datenverluste, unbefugte Zugriffe oder Umgehung etablierter Sicherheitsmaßnahmen. Dieses Control stellt sicher, dass Informationssicherheitsanforderungen auch bei Störungen berücksichtigt werden und der Schutz von Informationen während und nach einer Störung gewährleistet bleibt.

Zweck des Controls

A 5.29 soll gewährleisten, dass Informationssicherheit auch in Störungs- und Ausnahmesituationen aufrechterhalten wird. Ziel ist es, sicherzustellen, dass Informationen und Systeme während Störungen angemessen geschützt sind und dass Wiederherstellungsmaßnahmen nicht zu neuen Sicherheitsrisiken führen. Das Control unterstützt die sichere Fortführung oder Wiederaufnahme des Betriebs unter Berücksichtigung der Informationssicherheit.

Anforderungen und Maßnahmen

1. Identifikation sicherheitsrelevanter Störungsszenarien

Organisationen müssen Störungsszenarien identifizieren, die Auswirkungen auf die Informationssicherheit haben können, zum Beispiel:

• Ausfall von IT-Systemen oder Netzwerken
• Störungen in Rechenzentren oder Cloud-Diensten
• Ausfall von Sicherheitskontrollen oder Überwachungssystemen
• Personelle Engpässe oder Notfallsituationen
• Lieferketten- oder Dienstleisterausfälle

Diese Szenarien sind risikoorientiert zu bewerten.

2. Sicherstellung grundlegender Sicherheitsmaßnahmen

Auch bei Störungen müssen grundlegende Sicherheitsmaßnahmen aufrechterhalten werden:

• Schutz vor unbefugtem Zugriff
• Sicherstellung der Authentifizierung und Autorisierung
• Schutz sensibler Informationen
• Aufrechterhaltung von Protokollierung, soweit möglich

Notfallmaßnahmen dürfen Sicherheitsanforderungen nicht außer Kraft setzen.

3. Regelung von Ausnahmerechten und Notfallzugriffen

Für Störungssituationen müssen klare Regelungen bestehen:

• Definition zulässiger Notfallzugriffe
• zeitliche Begrenzung und Dokumentation von Ausnahmerechten
• Genehmigung und Nachverfolgung
• Entzug der Sonderrechte nach Behebung der Störung

So werden Missbrauch und unbeabsichtigte Risiken vermieden.

4. Integration in Notfall- und Wiederherstellungsprozesse

Informationssicherheit muss in Notfall- und Wiederherstellungsprozesse integriert sein:

• Abstimmung mit Business-Continuity- und Disaster-Recovery-Plänen
• Berücksichtigung von Sicherheitsanforderungen bei Wiederherstellungsmaßnahmen
• Schutz von Backup- und Wiederherstellungsdaten
• Sicherstellung der Integrität nach Wiederanlauf

Dies verhindert Sicherheitslücken bei der Wiederaufnahme des Betriebs.

5. Kommunikation während Störungen

Während Störungen muss eine kontrollierte Kommunikation erfolgen:

• klare Zuständigkeiten für interne und externe Kommunikation
• Schutz sensibler Informationen in der Kommunikation
• Abstimmung mit Management, IT und weiteren relevanten Stellen
• Information betroffener Parteien, sofern erforderlich

Unkoordinierte Kommunikation kann zusätzliche Risiken erzeugen.

6. Dokumentation von Störungen und Maßnahmen

Störungen und die ergriffenen Maßnahmen müssen dokumentiert werden:

• Art, Dauer und Ursache der Störung
• Auswirkungen auf Informationssicherheit
• getroffene Maßnahmen und Entscheidungen
• beteiligte Rollen und Zeitpunkte

Diese Dokumentation ist Grundlage für Nachvollziehbarkeit und Verbesserung.

7. Bewertung der Auswirkungen auf Informationssicherheit

Nach einer Störung müssen die Auswirkungen bewertet werden:

• Prüfung, ob Sicherheitskontrollen beeinträchtigt wurden
• Bewertung möglicher Sicherheitsvorfälle im Zusammenhang mit der Störung
• Identifikation von Schwachstellen oder Verbesserungsbedarf
• Ableitung geeigneter Maßnahmen

So werden langfristige Risiken reduziert.

8. Verbesserung der Störungs- und Sicherheitsvorsorge

Erkenntnisse aus Störungen müssen zur Verbesserung genutzt werden:

• Anpassung von Notfall- und Sicherheitsprozessen
• Verbesserung technischer oder organisatorischer Maßnahmen
• Schulung und Sensibilisierung relevanter Mitarbeitender
• Integration in Management Reviews

Dies stärkt die Resilienz der Organisation.

Zusammenfassung

A 5.29 fordert, dass Informationssicherheit auch bei Störungen des Betriebs gewährleistet bleibt. Durch die Identifikation relevanter Störungsszenarien, klare Regelungen für Notfallmaßnahmen, Integration in Notfall- und Wiederherstellungsprozesse sowie systematische Dokumentation und Auswertung wird sichergestellt, dass Störungen nicht zu unkontrollierten Informationssicherheitsrisiken führen. Das Control trägt wesentlich zur sicheren Aufrechterhaltung und Wiederaufnahme des Betriebs bei.