Daten auf Reisen

Risikokontrolle 5.14: Informationsübertragung


Die Risikokontrolle „Informationsübertragung“ gemäß ISO 27002:2022 (Abschnitt 5.14) befasst sich mit der sicheren Übertragung von Informationen innerhalb einer Organisation und zwischen der Organisation und externen Parteien. Diese Kontrolle stellt sicher, dass klare Regeln, Verfahren und Vereinbarungen für den Austausch von Daten festgelegt sind, um deren Integrität und Vertraulichkeit zu schützen. Die Umsetzung dieser Kontrolle ist entscheidend, um Gefahren wie Datenverlust, Missbrauch oder Manipulation bei der Übertragung zu verhindern. Typische Schwachstellen in Organisationen, wie ungeschützte Kommunikationskanäle oder unzureichende Verschlüsselung, werden durch diese Maßnahme abgemildert.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die Übertragung von Informationen birgt erhebliche Risiken, insbesondere im Hinblick auf Datenschutz und Datensicherheit. Die wichtigsten Gefahren, die durch eine effektive Kontrolle der Informationsübertragung gemindert werden, umfassen:

  1. Abfangen von Informationen (Man-in-the-Middle-Angriffe): Ohne ausreichende Sicherheitsvorkehrungen könnten Angreifer vertrauliche Daten während der Übertragung abfangen.
  2. Manipulation von Informationen: Daten könnten während des Transports modifiziert oder verfälscht werden, wodurch ihre Integrität verloren geht.
  3. Datenverlust: Unzureichend gesicherte Übertragungen könnten dazu führen, dass Informationen verloren gehen oder beschädigt werden, insbesondere bei der Übertragung über unsichere oder instabile Netzwerke.
  4. Unbefugter Zugriff: Ohne klare Zugriffs- und Autorisierungsrichtlinien könnten unbefugte Personen auf sensible Daten zugreifen, was zu Datenschutzverletzungen führt.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Die Kontrolle der Informationsübertragung adressiert verschiedene Schwachstellen, die in vielen Organisationen häufig auftreten:

  1. Fehlende Verschlüsselung: In vielen Unternehmen werden Daten ohne angemessene Verschlüsselung übertragen, insbesondere in internen Netzwerken oder zwischen Unternehmen und externen Partnern. Dies erhöht die Gefahr von Abhörangriffen.
  2. Unzureichende Zugangskontrollen: Oftmals gibt es keine klaren Richtlinien, wer auf welche Daten während der Übertragung zugreifen darf. Dies führt zu unbefugtem Zugriff, entweder intern oder extern.
  3. Unsichere Kommunikationskanäle: Organisationen setzen häufig auf unsichere Kanäle (z.B. E-Mails ohne Ende-zu-Ende-Verschlüsselung) zur Übertragung sensibler Informationen, was sie anfällig für Angriffe macht.
  4. Fehlende Protokollierung und Überwachung: Ohne angemessene Protokollierung und Überwachung können Organisationen nicht nachvollziehen, wann und wie Daten während der Übertragung kompromittiert wurden.


Beispiel für die Umsetzung der Risikokontrolle

Betrachten wir ein Beispiel aus der Finanzindustrie. Eine große Bank, die international operiert, überträgt täglich sensible Kundendaten zwischen ihren weltweiten Filialen und externen Dienstleistern. Um sicherzustellen, dass diese Übertragungen sicher ablaufen, hat die Bank strenge Richtlinien und Technologien implementiert, um die Sicherheit der Informationsübertragung zu gewährleisten.

  1. Verschlüsselung: Alle Datenübertragungen, sei es per E-Mail, API oder Dateiaustausch, werden durch moderne Verschlüsselungsprotokolle wie TLS (Transport Layer Security) und AES (Advanced Encryption Standard) geschützt.
  2. VPN und sichere Kommunikationskanäle: Für die Kommunikation zwischen den Standorten und externen Partnern verwendet die Bank virtuelle private Netzwerke (VPNs), die eine sichere Übertragung durch das Internet gewährleisten.
  3. Digitale Signaturen: Zur Sicherstellung der Datenintegrität werden digitale Signaturen verwendet, die garantieren, dass die Informationen während der Übertragung nicht manipuliert wurden.
  4. Überwachungs- und Protokollierungssysteme: Alle Datenübertragungen werden in Echtzeit überwacht, und jedes Kommunikationsprotokoll wird detailliert aufgezeichnet, um im Falle eines Vorfalls eine lückenlose Nachverfolgung zu ermöglichen.

Durch diese Maßnahmen konnte die Bank in der Vergangenheit erfolgreich verhindern, dass Hacker Daten während der Übertragung abfangen oder manipulieren. Es gab beispielsweise einen Fall, in dem ein Angreifer versuchte, eine Man-in-the-Middle-Attacke auf einen ungesicherten Kommunikationskanal durchzuführen. Aufgrund der Verwendung von VPN und Verschlüsselung konnte der Angriff jedoch rechtzeitig erkannt und abgewehrt werden, ohne dass Daten kompromittiert wurden.


Notwendige Ressourcen

Die Implementierung einer effektiven Risikokontrolle für die Informationsübertragung ist eine erhebliche Investition in Zeit und Geld, variiert jedoch je nach Größe und Struktur der Organisation.

  1. Kosten für Technologie: Moderne Verschlüsselungslösungen, VPNs, und Überwachungssysteme können je nach Umfang der Implementierung und den spezifischen Anforderungen der Organisation mehrere tausend bis hunderttausend Euro kosten. Insbesondere in stark regulierten Branchen wie der Finanzindustrie oder im Gesundheitswesen sind die Anforderungen oft höher und damit auch die Kosten.
  2. Zeitaufwand: Die Einführung solcher Lösungen kann je nach Komplexität der Infrastruktur mehrere Monate in Anspruch nehmen. Dazu gehören die Auswahl geeigneter Technologien, die Integration in bestehende Systeme und die Schulung des Personals. Ein typisches Zeitfenster für eine vollständige Implementierung liegt bei drei bis sechs Monaten, abhängig von der Größe der Organisation und der Anzahl der beteiligten Standorte.
  3. Einfachheit vs. Komplexität: Die einfache Implementierung besteht darin, bestehende Technologien wie verschlüsselte E-Mail-Dienste oder standardisierte VPN-Verbindungen zu nutzen. Komplex wird es jedoch, wenn maßgeschneiderte Lösungen entwickelt werden müssen, die sich in komplexe IT-Infrastrukturen integrieren lassen, oder wenn umfangreiche Zugriffsrichtlinien und Überwachungsmechanismen eingerichtet werden müssen.

Ein zusätzlicher Aufwand entsteht durch die regelmäßige Wartung, Überwachung und Aktualisierung dieser Systeme. Da Cyberbedrohungen stetig zunehmen, müssen die eingesetzten Technologien kontinuierlich angepasst und verbessert werden, was ebenfalls zu zusätzlichen laufenden Kosten führt.


Fazit

Die Risikokontrolle „Informationsübertragung“ nach ISO 27002:2022 ist unerlässlich, um den sicheren Austausch sensibler Daten in modernen Organisationen zu gewährleisten. Sie mindert wesentliche Gefahren wie das Abfangen oder Manipulieren von Informationen und adressiert häufige Schwachstellen wie ungesicherte Kommunikationskanäle. Die Implementierung erfordert eine erhebliche Investition in Technologien und Zeit, doch die Vorteile in Bezug auf den Schutz vor Cyberangriffen und den Erhalt der Datenintegrität sind von unschätzbarem Wert.