Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Informationssicherheit

Die neue Version ISO 27001:2022 – was, wann, warum!

03/2023 – Fachartikel Swiss Infosec AG

Die internationale Norm für Informationssicherheits-Managementsysteme (ISMS) – die ISO 27001:2022 – bietet Unternehmen einen Rahmen für das Risikomanagement und den Schutz vor Bedrohungen, um die Vertraulichkeit, Integrität und die Verfügbarkeit von Informationen (ungeachtet der Art ihrer Darstellung und Speicherung) sicherzustellen.

In der heutigen Zeit muss das Thema Informationssicherheit mit hoher Priorität auf der Agenda aller Unternehmen stehen. Mit dem Aufkommen immer neuer Szenarien, wie beispielsweise die Einführung von digitalen Technologien wie Cloud und Automatisierung oder die sich verändernde Bedrohungslandschaft durch neue Arten von Ransomware und Malware, erhöht sich auch die Dringlichkeit. Unternehmen müssen strukturiert Bedrohungen und daraus entstehende Risiken bewerten.

Da Unternehmen immer stärker auf die Cloud und Digitalisierung angewiesen sind, müssen Änderungen am Informationssicherheits-Managementsystem umgesetzt werden, um nicht nur konform zu bleiben, sondern auch die Informationssicherheit an die neuen Bedrohungen und Gegebenheiten anzupassen. Eine Aktualisierung der Norm aus dem Jahr 2013 war also notwendig, um die Unternehmen bei der Steuerung neuer Szenarien zu unterstützen und sicherzustellen, dass ihre Sicherheitsprozesse auf dem neuesten Stand sind.

Überarbeitung aufgrund veränderter Bedrohungsszenarien

Die überarbeitete Version der ISO 27001:2022 bezieht sich auf eben die eingangs erwähnten neuen Szenarien, mit denen Unternehmen konfrontiert sind. Insbesondere betrifft die Überarbeitung den Anhang A, der nach der Veröffentlichung des Standards ISO 27002:2022 im ersten Quartal 2022 zu erwarten war. Dem Standard ISO 27002:2022 wurden neue Sicherheitsmassnahmen hinzugefügt, andere wurden gestrichen oder zusammengeführt und Aspekte der Cybersicherheit und des Datenschutzes wurden ebenfalls aktualisiert.

Die Struktur wurde in vier Themenbereiche (anstelle 14 in der vorherigen Ausgabe) zusammengefasst:

  • Organisatizational Controls mit 37 Massnahmen
  • People Controls mit 8 Massnahmen
  • Physical Controls mit 14 Massnahmen
  • Technological Controls mit nochmals 34 Massnahmen

Die Formulierung der Massnahmen wurde überarbeitet und um zusätzliche Hinweise ergänzt, die Unternehmen bei der Risikobewältigung unterstützen. So kann sichergestellt werden, dass keine Aspekte übersehen werden und die Nachvollziehbarkeit entsprechend gewährleistet werden kann.

Aufgrund der Veröffentlichung der letzten Version im Jahr 2013 sind die Änderungen an den Sicherheitsmassnahmen in der neuen Version ISO 27002:2022 relativ umfangreich. Die Anzahl der insgesamt aufgeführten Massnahmen (Controls) wurde von 114 auf 93 reduziert. Neben 11 neuen Controls wurden diverse aktualisiert, zusammengelegt und neu strukturiert.

Ausserdem wird in der neuen Version jede Massnahme in fünf verschiedene Attribute eingestuft:

  • Kontrolltyp (Preventive, Detective, Corrective)
  • Eigenschaft der Informationssicherheit (Confidentiality, Integrity, Availability)
  • Cybersicherheitskonzepte (Identify, Protect, Detect, Respond, Recover)
  • Operative Fähigkeiten (z.B. Governance, IAM, Physical Security etc.)
  • Sicherheitsdomänen (Governance and Ecosystem Protection, Defence, Resilience)

Unternehmen müssen also ihre Sicherheitsmassnahmen anpassen und die Risikobeurteilung neu durchführen, um die Anforderungen zu erfüllen.

Die Übergangsfristen im Auge halten

Ende Oktober 2022 wurde die neue Ausgabe von ISO 27001:2022 veröffentlicht. Das bedeutet, dass Unternehmen innerhalb eines Zeitraumes von 3 Jahren, bis 31.10.2025, auf die neue Norm umstellen müssen. Was heisst das konkret für bestehende oder neue Zertifizierungen?

  • Zertifizierungen nach ISO 27001:2013 sind längstens gültig bis 31.10.2025
  • Erst- und Rezertifizierungen erfolgen ab 30.04.2024 nur noch nach ISO 27001:2022

Der Wechsel von ISO 27001:2013 zu ISO 27001:2022 kann im Rahmen eines geplanten Aufrechterhaltungs- oder Re-Zertifizierungsaudit oder im Rahmen eines dedizierten Audits durchgeführt werden.

Frühzeitige Planung der Aktualisierungen

Wir empfehlen Ihnen dringend, frühzeitig mit den Vorbereitungen für die Umstellung auf die neue Version zu beginnen und die notwendigen Änderungen in Ihr ISMS zu integrieren. Hier sind einige empfohlene Schritte, die Sie befolgen sollten:

  • Empfehlung Nr. 1: Machen Sie sich mit den Inhalten und Anforderungen der neuen Norm ISO 27001:2022 und des neuen Standards ISO 27002:2022 vertraut, insbesondere mit den Änderungen, die der überarbeitete Standard mit sich bringt.
  • Empfehlung Nr. 2: Stellen Sie sicher, dass die zuständigen Mitarbeitenden im Unternehmen geschult sind und die Anforderungen und wichtigsten Änderungen verstehen.
  • Empfehlung Nr. 3: Identifizieren Sie eventuelle Lücken in Ihrem aktuellen ISMS und erstellen Sie basierend auf der Gap-Analyse einen Umsetzungsplan, um die neuen Anforderungen zu erfüllen.
  • Empfehlung Nr. 4: Setzen Sie die erforderlichen Massnahmen um und aktualisieren Sie Ihr ISMS entsprechend, um sicherzustellen, dass es den neuen Anforderungen entspricht.

Unabhängig davon, ob das ISMS Ihres Unternehmens bereits nach ISO 27001 zertifiziert ist oder ob Sie den Standard neu einführen wollen, können wir Sie mit Best Practice-Lösungen unterstützen.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 20.02.2023
Kompetenzzentrum Consulting

Kategorie: Fachartikel Swiss Infosec AG | Informationssicherheit
Reto Steinmann
Head of Consulting
Anfrage
Reto Steinmann
Head of Consulting
Anfrage

Callcenter – Akzentfilter gegen Diskriminierungen

09/2022

Das US-amerikanische Startup Sanas will Akzente umwandeln

„Break the barriers“ lautet das Motto des US-amerikanischen Startups Sanas. Konkret will das Unternehmen Sprachbarrieren überwinden und so nach eigenen Angaben die Welt der Callcenter revolutionieren. In Echtzeit wandelt die gleichnamige Software in Kundengesprächen die Akzente der Mitarbeiter:innen um.

Auf der firmeneigenen Website lässt sich „die Magie“ des Produkts testen. Ein simuliertes Gespräch zwischen einem Callcenter-Mitarbeiter mit indischem Akzent kann dort per Schieberegler so modifiziert werden, dass dieser Akzent weitgehend verschwindet. Das Resultat klingt zwar etwas blechern, aus Sicht des Unternehmens aber auch typisch amerikanisch und „neutraler“.

Die Übersetzungs-Engine kann für jede beliebige Sprache verwendet werden. So ist Sanas auch bereits in Japan, China und Südkorea im Einsatz, um dort Akzente zu „glätten“. „Technologie wie diese ist weltweit anwendbar, von einem Akzent zum anderen“, sagt Maxim Serebryakov, Sanas-Geschäftsführer und Mitbegründer des Unternehmens. „Es wird einige Zeit dauern, aber unser Ziel ist es, dass die Menschen in jedem Akzent kommunizieren können.“

Mit dem Produkt will Sanas ein Problem von Callcentern und deren Mitarbeiter:innen lösen. Die Zentren sind vorrangig in den Vereinigten Staaten, aber auch in Lateinamerika, Indien, auf den Philippinen und in Pakistan angesiedelt. Viele Angestellte dort sind keine englischsprachigen Muttersprachler:innen und weisen einen deutlichen Akzent auf.

„Wir behaupten nicht, dass Akzente ein Problem sind, nur weil man einen hat“, sagt Sanas-Präsident Marty Sarim. „Sie sind nur ein Problem, weil sie zu Vorurteilen und Missverständnissen führen.“ Sanas implizites Produktversprechen lautet somit, dass sich Anrufer:innen höflicher verhalten und eher helfen lassen, wenn sie davon ausgehen, dass die Person am anderen Ende der Leitung ihnen gleicht. Die Software wird bereits bei rund 1.000 Callcenter-Beschäftigten in Indien und auf den Philippinen eingesetzt.

Schönheitsfilter für Callcenter

Callcenter-Mitarbeiter:innen werden in ihrem Arbeitsalltag häufig schikaniert und rassistisch beleidigt. Der Akzent spielt dabei vermutlich eine wichtige Rolle: Studien zufolge benötigen Menschen in der Regel weniger als 30 Sekunden, um ein „linguistisches Profil“ zu erstellen und damit ein Urteil über ethnische Herkunft, Klasse und sozialen Hintergrund der Gesprächspartner:innen zu fällen. Dabei sind Menschen eher voreingenommen gegenüber jenen Sprecher:innen, die einen anderen Akzent als sie selbst haben.

Doch ob Sanas daran etwas ändert, darf bezweifelt werden. Das Produkt erinnert vielmehr an den US-amerikanischen Spielfilm „Sorry to Bother You“ aus dem Jahr 2018. Der Film erzählt die Geschichte eines afroamerikanischen Callcenter-Angestellten, dessen Verkaufszahlen in die Höhe schnellen, nachdem er sich eine „weiße Stimme“ antrainiert hat.

Auf diese Strategie setzen Callcenter schon lange. Vor allem in Indien oder auf den Philippinen müssen sich die Mitarbeiter:innen fiktive amerikanische Namen zulegen und einen „neutralen“ Akzent aneignen.

Sanas strebt die technologische Automatisierung der „Akzentneutralisierung“ an. Der potenzielle Markt für ihr Produkt erstreckt sich über die ganze Welt und ist gigantisch: Das Volumen des sogenannten Contact-Center-Marktes umfasste im Jahr 2020 knapp 340 Milliarden US-Dollar, in den kommenden fünf Jahren soll es auf knapp 500 Milliarde US-Dollar anwachsen.

Doch so rosig die Wachstumsprognosen für den globalen Callcenter-Markt ausfallen, so düster sieht es in den Zentren selbst aus. Die Angestellten arbeiten meist unter miesen Arbeitsbedingungen und werden vielerorts lückenlos überwacht. Die gesundheitlichen Folgen sind dramatisch: Auffällig viele von ihnen erfahren ihre Tätigkeit als psychisch belastend und weisen Burn-Out-Symptome auf. Viele verlassen bereits nach wenigen Monaten die Callcenter wieder.

Dafür ist vermutlich auch ein Teufelskreis aus Stress und Schikanen verantwortlich: In der Regel rufen frustrierte Kund:innen in den Zentren an. Die Mitarbeitenden verfügen meist jedoch nicht über ausreichend Befugnisse, um deren Probleme zu lösen, sondern müssen sich eng an vorgegebene Redeskripte halten.Auch werden Callcenter-Mitarbeiter:innen kaum darin geschult, wie sie den Frust der Anrufenden reduzieren, was wiederum die Wahrscheinlichkeit von Beschimpfungen und weiterem Stress erhöht.

Wie Solutionism Rassismus zu befördern droht

All diese Probleme behebt Sanas Software nicht. Vielmehr bietet das Startup buchstäblich nur einen „Schönheitsfilter“ an, der die Wirklichkeit in den Zentren nach außen ausblenden soll. Damit steht Sanas geradezu exemplarisch für den im Silicon Valley weit verbreiteten Ansatz des „Solutionism“. Dieser verspricht, mithilfe vermeintlich smarter Technologien selbst komplexeste gesellschaftliche Probleme im Handumdrehen zu lösen. Meist geschieht dies jedoch nur auf der Oberfläche, die gesellschaftlichen Probleme und ihre Ursachen bleiben hingegen unangetastet und spitzen sich mitunter sogar noch zu.

Aus Sicht der US-amerikanischen Soziologieprofessorin Winifried Poster ist bereits die Grundannahme von Sanas falsch. Poster zufolge verursachen Akzente selbst keine Vorurteile, sondern aktivieren diese vielmehr. Nur auf den ersten Blick komme es in den Callcenter-Gesprächen zu Kommunikationsschwierigkeiten. Tatsächlich, sagt Poster, lege die Art und Weise, wie ein Akzent Rassismus auslöse, eine Vielzahl soziologischer-ökonomischer Probleme offen.

Statt aber diese Probleme anzugehen und beispielsweise die Arbeitsbedingungen in den Zentren nachhaltig zu verbessern, könnte Sanas die Schikanen durch die Kunden sogar noch verstärken, befürchtet die Arbeitsforscherin Kiran Mirchandani von der Universität Toronto: „Der Kundenrassismus wird wahrscheinlich noch zunehmen, wenn die Arbeitnehmer weiter entmenschlicht werden, wenn eine ‚App‘ zwischen Arbeitnehmer und Kunde geschaltet wird, zumal diese App zweifelsohne Fehler machen wird“.

Dessen ungeachtet verfolgt Sanas weiter überaus ehrgeizige Ziele. Erst im Juni hat das Startup weitere 32 Millionen US-Dollar an Risikokapital eingesammelt. Das Geld will es unter anderem dazu nutzen, um im pazifischen Raum zu expandieren. „Das wird Millionen von Arbeitsplätzen auf die Philippinen bringen, Millionen von Arbeitsplätzen nach Indien, Millionen von Arbeitsplätzen an Orte, die sonst nicht an diesem Gespräch teilnehmen dürften“, prophezeit Sanas-Präsident Sarim.

Netzpolitik.org; Daniel Leisegang; 26.08.2022; CC BY-NC-SA 4.0

Kategorie: Informationssicherheit
© Swiss Infosec AG 2026