(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Schadsoftware wie Viren, Würmer, Trojaner, Ransomware oder Spyware stellt eine der größten Bedrohungen für Informationsverarbeitungssysteme dar. Ein erfolgreicher Befall kann zu Datenverlust, Betriebsunterbrechungen, Manipulation von Informationen oder unbefugtem Zugriff führen. Dieses Control stellt sicher, dass geeignete Maßnahmen zum Schutz vor Schadsoftware implementiert und wirksam betrieben werden.

Zweck des Controls

A 8.7 soll gewährleisten, dass Informationsverarbeitungssysteme wirksam vor Schadsoftware geschützt sind. Ziel ist es, Schadsoftware frühzeitig zu erkennen, ihre Ausbreitung zu verhindern und die Auswirkungen von Infektionen auf die Informationssicherheit zu minimieren.

Anforderungen und Maßnahmen

1. Festlegung einer Schutzstrategie gegen Schadsoftware

Organisationen müssen eine Strategie zum Schutz gegen Schadsoftware definieren, insbesondere:

• Ziele und Grundsätze des Schadsoftwareschutzes
• betroffene Systeme und Endpunkte
• eingesetzte Schutzmechanismen
• Verantwortlichkeiten

Die Strategie muss dokumentiert und bekannt sein.

2. Einsatz geeigneter Schutzsoftware

Geeignete technische Schutzmaßnahmen müssen eingesetzt werden:

• Anti-Malware- und Endpoint-Protection-Lösungen
• regelmäßige Aktualisierung von Signaturen
• Echtzeitüberwachung
• zentrale Verwaltung der Schutzlösungen

So wird ein umfassender Schutz gewährleistet.

3. Schutz vor Schadsoftware-Einschleusung

Maßnahmen müssen verhindern, dass Schadsoftware eingeschleust wird:

• Kontrolle von E-Mail-Anhängen und Downloads
• Einschränkung der Nutzung externer Datenträger
• Filterung von Webinhalten
• Einschränkung von Softwareinstallationen

Dies reduziert die Angriffsfläche.

4. Aktualisierung und Patch-Management

Systeme müssen aktuell gehalten werden:

• zeitnahe Installation von Sicherheitsupdates
• Schließen bekannter Schwachstellen
• Integration von Patch-Management-Prozessen
• Überwachung des Update-Status

So werden bekannte Angriffswege geschlossen.

5. Erkennung und Reaktion auf Schadsoftware

Infektionen müssen schnell erkannt und behandelt werden:

• Überwachung auf Anomalien
• automatische oder manuelle Alarmierung
• Isolierung betroffener Systeme
• Einleitung von Incident-Response-Maßnahmen

Dies begrenzt Schäden.

6. Sensibilisierung der Mitarbeitenden

Mitarbeitende müssen für Risiken durch Schadsoftware sensibilisiert werden:

• Schulungen zu Phishing und Social Engineering
• sichere Nutzung von E-Mails und Internet
• Meldepflicht bei verdächtigen Aktivitäten
• regelmäßige Awareness-Maßnahmen

Der Mensch ist ein zentraler Faktor.

7. Umgang mit externen Systemen und Medien

Externe Systeme und Datenträger müssen kontrolliert werden:

• Prüfung vor Nutzung
• Einschränkung oder Verbot unbekannter Medien
• Schutzmaßnahmen bei Anbindung externer Geräte
• klare Richtlinien für den Umgang

So werden externe Risiken reduziert.

8. Dokumentation und kontinuierliche Verbesserung

Schutzmaßnahmen gegen Schadsoftware müssen dokumentiert sein:

• eingesetzte Technologien und Prozesse
• Verantwortlichkeiten
• Vorfälle und getroffene Maßnahmen
• Anpassung der Schutzstrategie

Die Dokumentation unterstützt Audits und Verbesserung.

Zusammenfassung

A 8.7 fordert, dass Organisationen wirksame Maßnahmen zum Schutz gegen Schadsoftware implementieren. Durch eine klare Schutzstrategie, Einsatz geeigneter Schutzsoftware, Prävention der Einschleusung, kontinuierliche Aktualisierung, schnelle Reaktion auf Infektionen sowie Sensibilisierung der Mitarbeitenden wird sichergestellt, dass Schadsoftware die Informationssicherheit nicht gefährdet. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.