Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Fachartikel Swiss Infosec AG

Der Weg vom QMS zum ISMS

12/2024 – Fachartikel Swiss Infosec AG

Der nächste Schritt für die Sicherheit Ihres Unternehmens

Ein vorhandenes QMS erleichtert den Weg zum ISMS

Wenn ein Unternehmen bereits ein Qualitätsmanagementsystem (QMS) nach ISO 9001 eingeführt hat, verfügt es über eine solide Grundlage, um den nächsten Schritt in Richtung eines Informationssicherheits-managementsystems (ISMS) nach ISO 27001 zu gehen. Viele der vorhandenen Prozesse und Strukturen, die für die Umsetzung der Qualitätsmanagementnorm geschaffen wurden, lassen sich ergänzen und somit auch für den Aufbau eines ISMS nutzen. Zentrale Punkte, die beide Normen teilen, sind z.B. der Umgang mit Risiken und Chancen, die Forderungen an dokumentierte Information oder die fortlaufende Verbesserung.
Das vorhandene QMS vereinfacht die Einführung eines ISMS, da bereits klare Verantwortlichkeiten, regelmässige Managementbewertungen und strukturierte Prozesse vorhanden sind. Dass sich die Organisation bereits gewohnt ist, Normanforderungen umzusetzen, reduziert den Aufwand bei der Implementierung unter dem Strich zwar nicht erheblich, bildet aber im Umsetzungsprojekt eine gute Basis und ist ein entscheidender Vorteil, um die Einführung eines Informationssicherheitsmanagementsystems reibungslos zu gestalten.

Der integrierte Ansatz – Qualität und Sicherheit unter einem Dach

Wenn bereits ein effizientes System zum Qualitätsmanagement etabliert ist, so lässt sich dieses erweitern, um auch die Richtlinien und Prozesse des ISMS zu integrieren. Ein solcher integrierter Ansatz für Qualitäts- und Informationssicherheitsmanagement bietet zahlreiche Vorteile:

  • Statt zwei separate Systeme zu verwalten, die unterschiedliche Schwerpunkte haben, können durch die Integration Synergien genutzt werden. Ein zentraler Ansatzpunkt dazu ist, dass unter Anderem gemeinsame Managementprozesse wie Audits, interne Schulungen oder die Managementbewertung für beide Normen genutzt werden können.
  • Mit den bislang eingesetzten Ressourcen können die Prozesse für beide Normen durchlaufen werden. So kann zum Beispiel im Bereich der internen Audits die Einhaltung von Qualitäts- und Sicherheitsstandards gleichzeitig überprüft werden.
  • Der integrierte Ansatz trägt dazu bei, dass die Organisation als Ganzes widerstandsfähiger wird.
  • Durch die enge Verbindung von Qualität und Informationssicherheit entsteht ein umfassendes System, dass nicht nur die Leistung, Qualität und Effizienz des Unternehmens steigert, sondern auch potenzielle Bedrohungen und Schwachstellen frühzeitig erkennt und adressiert.

Das ISMS im QMS in 4 Schritten aufbauen

Der Aufbau eines ISMS nach ISO 27001 auf Basis eines bestehenden Qualitätsmanagementsystems sollte in mehreren klaren Schritten erfolgen. Zu empfehlen ist ein Vorgehen in vier elementaren Schritten, wobei es während jedem dieser Schritte wichtig ist, die relevanten Mitarbeitenden zu den einzelnen Themen zu schulen und zu sensibilisieren:

  • Schritt 1: Gap-Analyse zwischen dem vorhandenen QMS nach ISO 9001 und den Forderungen der ISO 27001
    Erster Schritt ist es, eine Gap-Analyse durchzuführen, um festzustellen, wo das bestehende QMS nach ISO 9001 von den Anforderungen der ISO 27001 abweicht. Dabei können vorbereitend für den nächsten Schritt bereits erste Überlegungen angestellt werden, wie die identifizierten neuen Inhalte hinzugefügt werden können.
  • Schritt 2: Definition der Verfahrensweise zur Integration von ISO 27001 im laufenden Betrieb des QMS
    Im zweiten Schritt sollte detailliert festgelegt werden, wie die Anforderungen von ISO 27001 in die bestehenden QMS-Prozesse integriert werden können. Nebst der Definition nötiger Anpassungen an Prozessen, Richtlinien und Verfahren sind auch klare Spielregeln zu definieren, wie der Betrieb des QMS während der Zeit der Integration sichergestellt werden kann.
  • Schritt 3: Implementation des ISMS in das QMS
    Im dritten Schritt geht es nun um die Umsetzung und die Implementierung des ISMS innerhalb des bestehenden QMS. Um die Transparenz und Nachvollziehbarkeit zu gewährleisten, muss zwingend während der gesamten Integration des ISMS nach den im Schritt 2 definierten Spielregeln und den Vorgaben des QMS gearbeitet werden.
  • Schritt 4: Betrieb und fortlaufende Verbesserung<
    Nach der Implementierung gilt es, das ISMS zu betreiben und fortlaufend zu verbessern. Dazu gehört nicht nur das regelmässige Analysieren von Informationssicherheitsrisiken und deren entsprechende Behandlung, sondern die konsequente Anwendung aller erstellten Vorgaben. Ein Augenmerk sollte im laufenden Betrieb auf folgende zwei Punkte gelegt werden:
    • Es sollten Mechanismen zur Überwachung und Bewertung der Sicherheitsmassnahmen eingesetzt werden, um die fortlaufende Verbesserungen sicherzustellen.
    • Es sollte jede Gelegenheit genutzt werden, um die gesamte Belegschaft des Unternehmens immer wieder zu spezifischen Themen und Gefährdungen rund um das Thema ISMS und Informationssicherheit zu schulen und zu sensibilisieren. Nur Mitarbeitende, die wissen warum und wozu sie Sicherheitsmassnahmen zu beachten haben, tun dies auch zuverlässig.

Synergien nutzen: Zeit und Kosten sparen durch Integration

Der Übergang von einem Qualitätsmanagementsystem nach ISO 9001 zu einem Integrierten Managementsystem (IMS) inklusive einem Informationssicherheitsmanagementsystem nach ISO 27001 bietet in der Betriebsphase nebst Einsparungen in Bezug auf Zeit und Kosten auch erhebliche Vereinfachungen in der Anwendung:

  • Synergien nutzen, Akzeptanz schaffen
    Wenn Prozesse, Dokumentationen und Audits für Qualität und Informationssicherheit zusammengeführt werden, entfällt die Notwendigkeit, ähnliche Aufgaben mehrfach zu erledigen. So kann z.B. die von beiden Normen geforderte regelmässige Managementbewertung in einer einzigen Bewertung durchgeführt werden. Durch die Nutzung solcher Synergien wird eine einzige zentrale Informationsplattform für Mitarbeitende geschaffen, was die Akzeptanz des Integrierten Managementsystems gegenüber zwei eigenständigen Systemen deutlich steigert.
  • Effizientere Ressourcennutzung
    Anstatt separate Teams für Qualitäts- und Informationssicherheitsfragen zu haben, kann ein interdisziplinäres Team gebildet werden, welches beide Bereiche abdeckt.
  • Reduktion der externen Auditaufwände
    Die Integration von QMS und ISMS kann den Auditierungs- und somit auch den Zertifizierungsprozess beschleunigen. Da sich viele Anforderungen der beiden Normen überschneiden, kann der Auditprozess effizienter gestaltet werden. Dies bedingt jedoch nebst der Auswahl von Auditoren, die ISO 9001 und ISO 27001 prüfen dürfen, aber auch, dass das Projekt zur Umsetzung von ISO 27001 in Abstimmung mit dem Zertifizierungszyklus des QMS erfolgt. Falls zur Zertifizierung des ISMS nicht auf die ordentliche Re-Zertifizierung des QMS gewartet werden kann, so besteht die Möglichkeit, beide Systeme getrennt zu zertifizieren oder auch während der Zertifizierung von ISO 27001 das QMS nach ISO 9001 vorzeitig zu re-zertifizieren.

Ein Tipp zum Schluss: Respekt darf sein, Schritt für Schritt ist eine Integration aber gut machbar.

Immer wieder bekommen wir zu hören: «Jetzt haben wir es endlich geschafft, die ISO 9001 umzusetzen und zu zertifizieren! Wir haben einen riesengrossen Respekt davor, im Bereich der ISO 9001 durch ein Integrationsvorhaben Fehler zu machen und unser QMS-Zertifikat dadurch zu gefährden». Diese Gefühle und Gedanken zu haben ist berechtigt, aber unbegründet! Sämtliche ISO-Normen zu Managementsystemen sind heute darauf ausgelegt, dass sie untereinander beliebig kombinierbar sind.

Mit einer Integration von QMS und ISMS können Unternehmen im Vergleich zur Implementation von zwei getrennten Managementsystemen nur gewinnen. Gerne begleiten wir Sie auf diesem Weg zum Integrierten Managementsystem.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Informationssicherheit für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 04.12.2024
Kompetenzzentrum Consulting

Kategorie: Fachartikel Swiss Infosec AG | Informationssicherheit
Mark Schilt
Senior Consultant
Anfrage
Mark Schilt
Senior Consultant
Anfrage

Social Engineering-Test: Effektive Sicherheitsüberprüfung mit der Swiss Infosec AG

10/2024 – Fachartikel Swiss Infosec AG

Einleitung: Die wachsende Bedrohung durch Social Engineering

Social Engineering hat sich zu einer der grössten Bedrohungen im Bereich der Informationssicherheit entwickelt. Während Unternehmen zunehmend in technische Schutzmassnahmen wie Firewalls, Verschlüsselung und Authentifizierungssysteme investieren, wird oft übersehen, dass menschliche Schwachstellen weiterhin eine erhebliche Gefahr darstellen. Angreifer nutzen psychologische Manipulationstechniken, um Mitarbeitende dazu zu bringen, sicherheitsrelevante Informationen preiszugeben oder ihnen unbewusst Zugang zu gewähren.

Ein besonders effektiver Ansatz, um diese Risiken zu bewerten und zu minimieren, ist eine Überprüfung durch simuliertes Social Engineering. Dieser Service, angeboten von der Swiss Infosec AG, simuliert reale Angriffsversuche direkt in den Geschäftsräumen eines Unternehmens, um Schwachstellen in der physischen und organisatorischen Sicherheit aufzudecken.

Was ist ein Social Engineering-Test?

Ein Social Engineering-Test ist eine spezialisierte Form des Penetrationstests, bei der unsere Experten in realen Umgebungen Angriffe simulieren. Ziel ist es, zu überprüfen, wie anfällig Mitarbeitende, Prozesse und physische Sicherheitsmassnahmen gegenüber Manipulationsversuchen sind. Dabei nutzen unsere Experten verschiedene Taktiken, um Zugang zu vertraulichen Informationen oder geschützten Bereichen zu erhalten, ohne technische Mittel einzusetzen.

Die Angriffe können unter anderem folgende Szenarien umfassen:

  • Tailgating: Der/Die Angreifende folgt einem Mitarbeitenden durch eine gesicherte Tür, ohne selbst Zugang zu haben.
  • Pretexting: Der/Die Angreifende gibt sich als Lieferant/in, Techniker/in oder andere vertrauenswürdige Person aus, um in das Gebäude zu gelangen.
  • Baiting: Manipulierte Geräte, wie USB-Sticks, werden gezielt in der Nähe von Mitarbeitenden platziert, um sie zum Gebrauch zu verleiten.
  • Impersonation: Unsere Experten versuchen, durch Täuschung sensible Informationen von Mitarbeitenden zu erlangen.

Diese realitätsnahen Tests decken oft überraschende Schwachstellen auf, die in der täglichen Arbeit nicht erkannt werden.

Der Mehrwert von Social Engineering-Tests

1. Erkennen von Sicherheitslücken

Ein Social Engineering-Test kann verdeckte Schwachstellen aufdecken, die weder durch technische noch durch organisatorische Schutzmassnahmen direkt erkennbar sind. Unsere Experten testen die Widerstandsfähigkeit der Mitarbeitenden und die Effektivität der physischen Sicherheitsmassnahmen, indem sie reale Angriffe simulieren, die das Unternehmen betreffen könnten.

2. Schulungsbedarf identifizieren

Die Ergebnisse dieser Tests liefern wertvolle Informationen darüber, wie gut Mitarbeitende auf potenzielle Angriffe vorbereitet sind. Wenn Angestellte beispielsweise unbekannte Personen unbeabsichtigt in gesicherte Bereiche lassen oder sensible Informationen ohne ausreichende Verifizierung preisgeben, zeigt dies deutlich den Bedarf an zusätzlichen Schulungen oder Anpassungen der Sicherheitsrichtlinien.

3. Verbesserung der physischen Sicherheit

Neben dem Verhalten der Mitarbeitenden prüfen wir auch die physischen Sicherheitsvorkehrungen des Unternehmens. Schwachstellen wie unzureichend gesicherte Türen, fehlende Zugangskontrollen oder mangelnde Überwachung können von Angreifern ausgenutzt werden. Durch unsere Tests können solche Lücken gezielt aufgedeckt und behoben werden.

4. Sensibilisierung der Mitarbeitenden

Ein direkter Vor-Ort-Test schafft Bewusstsein bei den Mitarbeitenden. Wenn diese sehen, wie leicht jemand unbefugt Zugang erlangen kann oder wie schnell Informationen preisgegeben werden, steigt das Verständnis für Sicherheitsrisiken. Dies stärkt die Sicherheitskultur im gesamten Unternehmen und führt zu einer nachhaltig höheren Wachsamkeit.

Wie läuft ein Social Engineering-Test ab?

Die Durchführung eines Social Engineering-Tests erfolgt in enger Abstimmung mit dem Unternehmen. Hier sind die typischen Schritte, die wir gemeinsam mit unseren Kunden durchlaufen:

1. Planung und Zieldefinition

Im ersten Schritt besprechen wir mit dem Unternehmen die Ziele des Tests. Welche Informationen oder Bereiche sollen besonders geschützt werden? Auf Basis dieser Ziele entwickeln wir massgeschneiderte Szenarien. Zusätzlich zur Zieldefinition ist es entscheidend, in dieser Phase auch die vertraglichen Rahmenbedingungen zu klären. Da einige der geplanten Überprüfungen potenziell strafrechtlich relevante Handlungen umfassen, benötigen wir einen rechtsgültigen Vertrag, der von beiden Seiten unterzeichnet wird. Dieser Vertrag bestätigt, dass wir im Auftrag des Unternehmens handeln.

2. Durchführung des Tests

Unsere Sicherheitsexperten führen den geplanten Angriff in einer realen Umgebung durch. Dies kann beispielsweise den Versuch umfassen, physisch in das Gebäude einzudringen, durch Täuschung Zugriff zu erhalten oder Mitarbeitende zur Herausgabe von Informationen zu verleiten. Ziel ist es, die Resilienz des gesamten Sicherheitssystems unter realen Bedingungen zu testen, um aufzuzeigen, wo potenzielle Schwachstellen liegen und wie gut das Unternehmen gegen unterschiedliche Bedrohungen gewappnet ist. Es geht nicht um die Überprüfung des einzelnen Mitarbeitenden.

3. Analyse und Auswertung

Nach dem Test analysieren wir die Ergebnisse und bewerten, wie erfolgreich die Tests waren. Wir dokumentieren, welche Schwachstellen ausgenutzt wurden und wo das Unternehmen besonders gefährdet ist.

4. Rückmeldung und Massnahmenempfehlungen

Anhand der Ergebnisse erstellen wir einen detaillierten Bericht, der sowohl die Schwachstellen als auch konkrete Handlungsempfehlungen enthält. Diese Empfehlungen helfen dem Unternehmen, seine Sicherheitsmassnahmen gezielt zu verbessern und zukünftige Angriffe abzuwehren.

Maturitätsstufen der Überprüfung

Im Rahmen der Sicherheitsüberprüfungen wird simuliertes Social Engineering als die anspruchsvollste und praxisnächste Methode angesehen.

Wir stellen dies in einem vierstufigen Maturitätsmodell dar:

  • Maturitätsstufe 1: Dokumentenprüfung – Eine Überprüfung der vorhandenen Sicherheitsdokumentationen, um sicherzustellen, dass die vorgeschriebenen Verfahren und Richtlinien vorhanden und korrekt sind.
  • Maturitätsstufe 2: Interviews – Der Abgleich zwischen dokumentierten Prozessen und den tatsächlichen Aussagen der Mitarbeitenden in strukturierten Interviews.
  • Maturitätsstufe 3: Vor-Ort-Besichtigung – Eine direkte Überprüfung vor Ort, die Begehungen, physische Inspektionen und Konsolentests umfasst, um zu prüfen, ob die dokumentierten Sicherheitsmassnahmen auch in der Praxis umgesetzt werden.
  • Maturitätsstufe 4: Simuliertes Social Engineering – Diese höchste Stufe der Überprüfung beinhaltet den Einsatz sogenannter „freundlicher Angreifer“, die mittels Simulation versuchen, Mitarbeitende zur Preisgabe vertraulicher Informationen zu bewegen, unberechtigten Zutritt zu sensiblen Bereichen zu erlangen oder unerlaubte Handlungen auszuführen.

Ein wichtiger Bestandteil der Sicherheitsstrategie

In einer Zeit, in der Angreifer immer raffiniertere Methoden entwickeln, um Unternehmen zu schädigen, reicht es nicht mehr aus, nur auf technische Sicherheitslösungen zu vertrauen. Der Mensch bleibt eine der grössten Schwachstellen in der Sicherheitsarchitektur eines Unternehmens. Mit unserem Social Engineering-Service unterstützen wir Sie dabei, Ihre Sicherheitsstrategie zu stärken und die Resilienz Ihrer Organisation gegen diese Angriffsform deutlich zu verbessern.
Die Swiss Infosec AG bietet Ihnen massgeschneiderte Lösungen, um Schwachstellen im menschlichen Verhalten sowie in den physischen Sicherheitsmassnahmen zu identifizieren und proaktiv zu beseitigen. Unsere erfahrenen Sicherheitsexperten helfen Ihnen, Angriffe frühzeitig zu erkennen und abzuwehren, bevor sie Ihrem Unternehmen Schaden zufügen können.

Fazit: Sicherheit durch Praxisnähe

Simuliertes Social Engineering ist eine der effektivsten Methoden, um menschliches Verhalten und physische Sicherheitslücken realistisch zu testen. Durch simulierte Bedrohungen erkennen Unternehmen Schwachstellen und können gezielt Massnahmen ergreifen, um ihre Sicherheit zu stärken und das Vertrauen von Mitarbeitenden und Kunden zu festigen.


Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Social Engineering für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 21.10.2024
Kompetenzzentrum Consulting

Kategorie: Awareness | Fachartikel Swiss Infosec AG
Ardiana Krasniqi
Consultant
Anfrage
Ardiana Krasniqi
Consultant
Anfrage
© Swiss Infosec AG 2025