Ein Überblick über Anhang A.13: Kommunikationssicherheit

Kapitel 13 des Anhang A „Kommunikationssicherheit“ hat zum Ziel, Informationen und Informationssysteme vor unberechtigtem Zugriff oder Modifikationen zu schützen. Die Wirksamkeit eines Systems wird daran gemessen, wie gut es seinen Zweck erfüllt und gleichzeitig die Möglichkeit aufrechterhält, nutzbare Ergebnisse zu liefern.

Kommunikationssicherheit ist ein wichtiger Teil eines ISMS (Informationssicherheits-Managementsystems), das all die Bereiche abdeckt, in denen für die Organisation eine Gefahr von Sicherheitslücken besteht. Dies gilt auch für jegliche Dritte, die mit den IT-Systemen der Organisation in Kontakt sind.

Dieser Beitrag behandelt Kommunikationssicherheit sowie Maßnahmen zu deren Gewährleistung und betont, wie wichtig es ist, Informationen und Informationssysteme vor unberechtigtem Zugriff oder Modifikation zu schützen.


Was ist Anhang A.13?

Thema von Anhang A.13 ist Kommunikationssicherheit – ein weites Feld, das Hardware, Software, Verfahren und Beschäftigte umfasst, die die Übertragung von Informationen an Speicherorten, über Übertragungsleitungen und über Radiowellen sichern.

Hardware, Software, Verfahren und Beschäftigte werden in diesem Zusammenhang wie folgt definiert:

Hardware

Die physischen Komponenten eines Systems (z. B. Computer, Drucker und Faxgeräte), die Ausrüstung oder Komponenten beinhalten, welche Daten in Informationen umwandeln.

Software

Programme oder Betriebssysteme, die zum Betrieb dieser Geräte eingesetzt werden, z. B. Textverarbeitungsprogramme wie Microsoft Word oder Grafikdesignprogramme wie Adobe Illustrator.

Verfahren

Die von einer Organisation aufgestellten Regeln, die deren Mitarbeitern Richtlinien für die Ausführung ihrer Arbeit im Kontext der Organisation bereitstellen. Beispiele dafür sind: Passwortschutzrichtlinien zum Schutz von Dateien mit vertraulichen Daten vor unberechtigtem Zugriff oder Verschlüsselungsalgorithmen zur Verwendung während der Übertragung vertraulicher Dokumente über unsichere Netzwerke.

Beschäftigte

Die Mitarbeiter in einer Organisation, deren Tätigkeit sich auf die übergreifende Sicherheitspolitik auswirkt. Beispiele dafür sind: Mitarbeiter, die in Beiträgen in den sozialen Medien exklusive Informationen über finanzielle Transaktionen eines Kunden veröffentlichen und so unabsichtlich vertrauliche Informationen über ihren Arbeitgeber offenlegen.

Es empfiehlt sich, Anhang A.13 in Verbindung mit den anderen Maßnahmen (Controls) der ISO 27001 sowie dem Aufbau eines ISMS zu verbinden. 

ISO 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Hier kostenlos herunterladen

 

Was ist Kommunikationssicherheit?

Kommunikationssicherheit ist ein Bestandteil der Informationssicherheit, das wiederum ein Teil der IT-Sicherheit ist. Informationssicherheit bezeichnet die Richtlinien und Verfahren, die erstellt wurden, um zu gewährleisten, dass Daten über ihren gesamten Lebenszyklus hinweg sicher bleiben.

Im Mittelpunkt steht die Absicherung vor unerlaubten Zugriffen auf Netzwerke, Computer, Smartphone sowie der Schutz vor Cyberbedrohungen. Ein System gilt nur dann als wirksam, wenn es seinen Zweck erfüllt, ohne dabei Komplikationen für seine Nutzer zu verursachen.

Anhang A.13 gilt auch für jegliche Dritte wie Lieferanten und Kunden, die mit den IT-Systemen der Organisation in Kontakt sind. Darunter fallen Websites, E-Mails, Datenspeicher und Verarbeitungssysteme.

Weshalb ist Kommunikationssicherheit wichtig?

Im geschäftlichen Kontext hilft Kommunikationssicherheit bei der Prävention folgender Risiken:

  • Finanzielle Schäden: das Risiko, dass unberechtigte Offenlegung, Modifizierung, Zerstörung oder missbräuchliche Verwendung von Informationen zu spürbaren Verlusten wie Diebstahl oder Betrug führen können.
  • Reputationsschäden: das Risiko eines Imageschadens für das Unternehmen oder die Marke und/oder eine verringerte Kundenloyalität aufgrund der Nichterfüllung von Sicherheitsbestimmungen und/oder mangelhaften Managementpraktiken. Dies kann zu Kunden- und Auftragsverlusten sowie einem Umsatzrückgang und Gewinneinbruch führen. 
  • Verlust des öffentlichen Vertrauens: das Risiko, dass vertrauliche Informationen aufgrund unzureichender Sicherheitsmaßnahmen auf nicht angemessene Weise offengelegt werden. 

Was sind die Maßnahmen (Controls) in Anhang A.13?

A.13.1 Netzwerksicherheitsmanagement

Ziel dieses Kapitels ist der Schutz von Daten in Netzwerken und der dazugehörigen Informationsverarbeitungssysteme. Die zwei wichtigsten Aspekte in diesem Abschnitt sind das Management der Netzwerksicherheit und die Aufrechterhaltung von Datenintegrität und -verfügbarkeit.

A.13.1.1 Netzwerkkontrollen

Das Netzwerk eines Unternehmens muss vor Eindringung, Überwachung und anderen Formen der Datenmanipulation gesichert sein. Um Ihre Firma vor externen Bedrohungen zu schützen, müssen Sie ein tiefgreifendes Verständnis über die Anforderungen, Gefahren und Assets Ihres Netzwerks haben. Bei der Erarbeitung einer Sicherheitsrichtlinie sollten Sie sowohl interne als auch externe Bedrohungen miteinbeziehen.

Relevante Maßnahmen umfassen u. a.:

  • Firewall- und Präventivsysteme
  • Listen über Zugriffssteuerungen
  • Verbindungssteuerungen
  • Endpunktüberwachung
  • Trennung von Netzwerken 

A.13.1.2 Sicherheit von Netzwerkdiensten

Die Einrichtung von Sicherheitsmaßnahmen zum Schutz von Daten, die über das Netzwerk gesendet werden, sollte im Einklang mit den Ergebnissen der Risikobewertung durchgeführt werden. Bei der Erarbeitung von Netzdienstevereinbarungen sollten Sicherheitsnormen, Geschäftsanforderungen und mögliche Risiken berücksichtigt werden.

A.13.1.3 Trennung in Netzwerken

Für verschiedene Nutzergruppen und Informationsnetzwerke sollten getrennte Systeme vorhanden sein. Zonen mit Zugriff für die Öffentlichkeit, bestimmte Abteilungen, kritische Informationen oder die Geschäftsführung sollten separat verwaltet werden. Dabei sollte keine gegenseitige Abhängigkeit bestehen; es ist sicherer, dass jeder Dienst seine eigenen Verfahren handhabt.

A.13.2 Informationsübertragung

Diese Maßnahme gewährleistet die Sicherheit aller Daten, die an das Unternehmen gesendet und von innerhalb oder außerhalb des Unternehmens empfangen werden.

A.13.2.1 Informationsübertragungsrichtlinien und -verfahren

Zur Sicherung der Daten, die über Ihr Netzwerk übertragen werden, benötigen Sie Richtlinien. Dabei sollte eine Vielfalt von Normen berücksichtigt werden, und es müssen Richtlinien und Verfahren für die Übertragung dieser Risiken vorliegen.

A.13.2.2 Vereinbarungen über die Informationsübertragung

Die Vereinbarungen Ihres Unternehmens mit externen Vertretern sollten ausdrücklich angeben, dass jegliche übertragene oder empfangene Daten geheim gehalten und unversehrt bleiben müssen. Der Schutz physischer und digitaler Kopien von Informationen sollte im Einklang mit den spezifischen Kategorisierungsnormen der Vereinbarung geschehen.

A.13.2.3 Elektronische Nachrichten

Digitale Nachrichtensysteme müssen vor Cyberbedrohungen geschützt und mit spezifischen Kriterien zur angemessenen elektronischen Nachrichtenübermittlung für verschiedene Arten von Inhalten verknüpft sein. Wenn vertrauliche Finanzinformationen über elektronische Kommunikationskanäle ohne angemessene Sicherheitsvorkehrungen gesendet werden, kann es zu Identitiätsdiebstahl und Betrug kommen. Verschlüsselung, maskierte Kommunikation und Überwachung müssen Teil dieser Maßnahmen sein.

A.13.2.4 Vertraulichkeit und Geheimhaltungsvereinbarungen

Geheimhaltungsvereinbarungen sind für den Datenschutz unerlässlich. Wenn es um die Vertraulichkeit von Daten geht, müssen Sie die Anforderungen und Rechte Ihres Unternehmens von vornherein klarstellen. Die Vereinbarung sollte nach Genehmigung durch die Führungsebene regelmäßig überprüft, überarbeitet und aktualisiert werden.

 Im Allgemeinen lassen sich Geheimhaltungsvereinbarungen in folgende Gruppen einteilen:

  • Allgemeine oder gegenseitige Geheimhaltung
  • Bedingungen für die Kundennutzung
  • Lieferanten- oder Partnervereinbarungen
  • Anstellungsverträge
  • Datenschutzrichtlinien

Fazit 

Beim Aufbau der Kommunikationssicherheit sollten Sie nicht vergessen, dass viele verschieden Faktoren eine Rolle spielen, u. a. welche Ausrüstung Sie wählen und wie Sie Nachrichten versenden. Folgen Sie in Zweifelsfällen immer den bewährten Vorgehensweisen Ihrer Organisation. Anhang A.13 ist für die Umsetzung von ISO 27001 von höchster Bedeutung, da er auf gute Sicherheitspraktiken hinweist und Ihnen einen Wettbewerbsvorteil bietet.

Für weitere Fragen rund um die Umsetzung von Anhang A.13, aber auch allen anderen Controls der ISO 27001, stehen wir Ihnen jederzeit zur Verfügung.

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren