ISO27001 und Altsysteme | Alles, was Sie darüber wissen müssen!

28-10-2024 | 9 Minute gelesen | Außerbetriebnahme von Legacy-Systemen, Cybersecurity, SAP-Datenarchivierung


ISO27001 ist ein Standard zur Regulierung der Informationssicherheit, der Organisationen dabei hilft, ihr Informationssicherheitsmanagementsystem (ISMS) aufzubauen, zu implementieren, zu pflegen und kontinuierlich zu verbessern, um so den Schutz der unschätzbaren Informationswerte zu gewährleisten. Es handelt sich um einen international anerkannten Standard, der von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wurde. Die ISO27001 bietet ein Rahmenwerk, das dazu beiträgt, die Abläufe des ISMS zu verbessern. Das ISO-Sicherheitsrahmenwerk definiert einen Zweck – nämlich die Informationen der Organisation auf rationale, systematische und vor allem kosteneffiziente Weise zu schützen – unabhängig von ihrer Größe oder Branche.

Organisationen müssen bedenken, dass die ISO27001-Zertifizierung durch ein externes Auditverfahren erreicht wird. Eine Zertifizierungsstelle wird das Informationssicherheitsmanagementsystem (ISMS) der Organisation gemäß den Anforderungen der Norm bewerten. Der Erhalt dieser Zertifizierung hilft Ihnen, Ihr Engagement für die Aufrechterhaltung hoher Informationssicherheitsstandards gegenüber Ihren Interessengruppen und Kunden zu demonstrieren.

Im Kern hilft der ISO27001-Standard Organisationen mit den notwendigen Informationen und Kenntnissen, die sie in die Lage versetzen, ihre unschätzbaren Informationen zu schützen. Darüber hinaus ermöglicht der Standard es Organisationen, eine ISO27001-Zertifizierung zu erlangen und damit ihren Kunden und Partnern zu beweisen, dass ihre Daten geschützt sind. Das Interessante an diesem Standard ist, dass auch Einzelpersonen die ISO27001-Zertifizierung erlangen können, indem sie einen Kurs besuchen und die Prüfung ablegen. Da es sich um einen internationalen Standard handelt, ist die Zertifizierung in der ganzen Welt anerkannt und bekannt, was die Möglichkeiten für Geschäftsbeziehungen für Organisationen erhöht.

Es gibt mehrere Schlüsselaspekte der ISO27001-Norm, die Sie kennen müssen; einige der wichtigsten sind im Folgenden aufgeführt.

Der ISO27001-Standard enthält im Wesentlichen drei Leitprinzipien, die bei der Sicherung von Menschen, Prozessen und Technologien helfen. Sie lauten – Vertraulichkeit, Integrität und Verfügbarkeit, was gemeinhin als C-I-A-Dreiklang bezeichnet wird. Hier erfahren Sie mehr über sie –


Alles in allem können Organisationen mit einem Informationssicherheits-Managementsystem (ISMS), das die Anforderungen und Leitprinzipien von ISO27001 erfüllt, die Datensicherheit nahtlos gewährleisten. Es schafft Vertrauen und Glaubwürdigkeit bei Aktionären, Kunden und interessierten Parteien, dass ihre Daten angemessen gesichert und gepflegt werden.

Wie wir immer sagen, ist Cybersicherheit das Herzstück jeder Organisation. Leider ist es aber so, dass Organisationen mit Altsystemen diesen Gedanken oft nicht zu Ende denken. Insbesondere, wenn die veralteten Systeme nicht kontrolliert werden, können sie durch verschiedene Cyberbedrohungen anfällig für Angriffe von Cyberkriminellen sein.

Legacy-Systeme sind manchmal der Einstiegspunkt für Sicherheitslücken, weil diese veralteten Systeme in Vergessenheit geraten und oft vernachlässigt werden. Veraltete Systeme sind anfälliger für Sicherheitslücken, wenn sie nicht überprüft werden. Aber sie auf dem neuesten Stand zu halten und mit dem neuesten Sicherheitscheck zu versehen, ist teuer und unproduktiv. Diese veralteten Systeme bringen einige Herausforderungen mit sich, z.B. sind die Systeme möglicherweise nicht verschlüsselt oder durch Zugangskontrollen geschützt, so dass sie einem Risiko durch interne oder externe Angriffe ausgesetzt sind, die offline sind.

Zweitens ist es für die IT-Teams von Unternehmen eine weitere Herausforderung, mit Patches und System-Updates Schritt zu halten. Die Liste der Cyber-Schwachstellen ist lang, und bei Altsystemen ist es noch wichtiger, sie genau im Auge zu behalten.

All dies zusammengenommen deutet immer darauf hin, dass die Stilllegung von Altsystemen der Weg in die Zukunft ist. Einige Unternehmen verwenden jedoch noch veraltete Systeme, zumindest bis sie auf das dringend benötigte S/4HANA migrieren. Abgesehen davon ist die Beibehaltung veralteter Systeme, auch wenn sie nicht mehr genutzt werden, manchmal aufgrund von Faktoren wie Audits, Zugriff auf historische Daten usw. notwendig. Unabhängig davon, ob Ihr Unternehmen ein Altsystem verwendet oder es für eine spätere Stilllegung aufbewahrt hat, ist die Implementierung von Cybersicherheitsmaßnahmen daher von entscheidender Bedeutung. Aber kann ISO27001 auch auf diese Systeme angewendet werden?

Organisationen, die eine solche gelobte Plakette erhalten möchten, müssen bestimmte Standards (wie oben beschrieben) einführen und einhalten, die auch Altsysteme betreffen. Das kann eine schwierige Aufgabe sein, aber es ist definitiv möglich. Es trägt nämlich dazu bei, eine ganzheitliche Informationssicherheit in Ihrem Unternehmen zu gewährleisten. Wir haben einige wichtige Überlegungen und Strategien erörtert, wie Altsysteme unter ISO27001 gepflegt werden können.

Ein Beispiel: Ein Legacy-System auf einer VM kann Ihren gesamten Hypervisor gefährden: https://www.tjc-group.com/blogs/virtual-machines-to-maintain-legacy-systems-a-good-or-a-bad-idea/

3.2.1 Lücken in der Einhaltung der Vorschriften: Einer der wichtigsten Aspekte, die Sie berücksichtigen müssen, ist die Prüfung auf Compliance-Lücken. Aber wie macht man das? Es ist ziemlich einfach. Alles, was Sie tun müssen, ist, den aktuellen Stand Ihrer Altsysteme mit den Anforderungen der ISO27001-Normen zu vergleichen. Auf diese Weise können Sie die Konformitätslücken identifizieren.

Daher müssen Sie herausfinden, wo Ihre bestehenden veralteten Systeme nicht den modernen Sicherheitspraktiken und -kontrollen entsprechen. Im Anhang finden Sie ein Beispiel dafür, wie SAP-Systeme laufend überarbeitet werden müssen, um Sicherheitslücken zu schließen: https://www.tjc-group.com/blogs/is-it-safe-to-keep-legacy-data-in-an-old-sap-system/

3.3.2 Netzwerksegmentierung: Für Unternehmen ist es unerlässlich, die veralteten Systeme vom Rest des Netzwerks zu isolieren. Auf diese Weise können Sie den potenziellen Schaden im Falle eines Sicherheitsverstoßes minimieren.

3.3.4 Verschlüsselung: Auch hier handelt es sich um einen mühsamen Prozess in veralteten Systemen, der jedoch sehr wichtig ist. Stellen Sie sicher, dass Sie sensible Daten, die im System verarbeitet oder gespeichert werden, durch Verschlüsselung schützen.

Hier einige Vorschriften aus aller Welt https://www.tjc-group.com/blogs/data-privacy-your-absolute-guide-to-its-importance-regulations-and-more/

3.4.1 Verfahren dokumentieren: Stellen Sie sicher, dass Sie eine detaillierte Dokumentation aller Richtlinien und Verfahren erstellen und pflegen, die zur Verwaltung und Sicherung von Altsystemen eingesetzt werden. Dies kommt dem zweiten Leitprinzip der ISO27001-Norm, der Integrität und Zuverlässigkeit von Daten, sehr entgegen.

3.4.2 Reaktion auf Zwischenfälle: Als wachsame Teammitglieder des Unternehmens müssen Sie für die veralteten Systeme, die Sie verwenden, spezielle Pläne zur Reaktion auf Vorfälle entwickeln. Denken Sie daran, dass die Reaktionen auf Vorfälle die einzigartigen Schwachstellen und Einschränkungen jedes Systems berücksichtigen müssen.

3.5.2 Sensibilisierungsprogramme: Neben der Durchführung von Schulungen ist es auch wichtig, fortlaufende Sensibilisierungsprogramme zu entwickeln und umzusetzen. Dies wird dazu beitragen, dass Ihre Teammitglieder wachsam bleiben, was die Sicherheitsprobleme im Zusammenhang mit veralteten Systemen angeht.

3.6.1 Kontinuierliche Überwachung: Unter Berücksichtigung der Leitprinzipien von ISO27001 ist die Implementierung von Lösungen zur kontinuierlichen Überwachung sehr nützlich, um Sicherheitsvorfälle in Altsystemen zu erkennen und darauf zu reagieren.

3.6.2 Durchführen regelmäßiger Audits: Regelmäßige Audits Ihrer veralteten Systeme tragen dazu bei, die Einhaltung der ISO27001-Normen und -Leitprinzipien sicherzustellen. Und nicht nur das: Regelmäßige Audits helfen auch, neue Risiken und Schwachstellen zu erkennen.

3.7.1 Außerbetriebnahme: Wie bereits erwähnt, können Unternehmen nicht ewig an veralteten Systemen festhalten und die Stilllegung dieser Altsysteme ist entscheidend. Für den Migrationsprozess müssen Sie jedoch über geeignete Pläne und Strategien verfügen. Stellen Sie sicher, dass die Pläne für das Auslaufen und die Stilllegung von Altsystemen optimiert und gesichert sind.

Mit Hilfe dieser Überlegungen können Organisationen die Sicherheit von Legacy-Systemen im Rahmen von ISO27001 implementieren, verwalten und aufrechterhalten und gleichzeitig ein umfassendes und robustes Informationssicherheitsmanagementsystem gewährleisten.

Es überrascht nicht, dass das Management von Stilllegungsprogrammen und Lieferanten auch mit dem Wert und der Rentabilität von Investitionen zu tun hat. Einige weitere Details hier: https://www.tjc-group.com/blogs/decommissioning-legacy-systems-exploring-the-hidden-costs-of-legacy-systems/

Mit großem Stolz können wir sagen, dass die TJC Group nach ISO27001 zertifiziert ist. Das Erreichen dieses Meilensteins zeigt das Engagement des Unternehmens für die Informationssicherheit und erfüllt die höchsten Standards für das Informationssicherheitsmanagement. Die Reise der TJC Group zur ISO27001-Zertifizierung begann vor einem Jahr, um unsere Cybersicherheitspraktiken zu formalisieren und zu verbessern, um ein robustes Informationssicherheitsmanagementsystem (ISMS) aufzubauen.

Lesen: https://www.tjc-group.com/blogs/tjc-group-achieves-iso-27001-certification-for-information-security/

Mit unseren ISO27001-Standards können sich Organisationen, die ihre Altsysteme stilllegen möchten, mit uns zusammenschließen. Wieso den? Unser Expertenteam hilft Organisationen –

  • Vermeiden Sie Risiken der Nichteinhaltung von gesetzlichen Vorschriften und Datenschutzanforderungen in Altsystemen.
  • Vermeiden Sie die Nichteinhaltung von Vorschriften bei Fusionen und Übernahmen und gewährleisten Sie gleichzeitig einen sicheren und kontinuierlichen Zugriff auf Daten.
  • Mit unseren Stilllegungstechniken können sich Unternehmen von den hohen Kosten für die Wartung veralteter Systeme, ihren erheblichen Lizenzkosten und vielem mehr verabschieden.

Abgesehen davon ist einer unserer wichtigsten Punkte, dass die TJC Group sowohl SAP- als auch Nicht-SAP-Legacy-Systeme stilllegen kann . Wir verwenden nicht nur SAP ILM für die Stilllegung, sondern bieten auch unsere eigene cloudbasierte Lösung an – Enterprise Legacy System Application (ELSA) für die Stilllegung. Wenn Sie mehr darüber erfahren möchten, wie wir Altsysteme außer Betrieb nehmen, wenden Sie sich hier an unsere Experten!

Das Zusammenspiel von ISO27001 und Legacy-Systemen erfordert ein sorgfältiges Risikomanagement, eine sorgfältige Dokumentation, ein sorgfältiges Sicherheitsmanagement und vieles mehr, wie die oben genannten Überlegungen zeigen. Hinzu kommen die Leitprinzipien der ISO27001-Normen, an die sich Organisationen halten müssen. Altsysteme stellen zwar eine Herausforderung dar, aber alles in allem können sie mit einem gut strukturierten und robusten ISMS effektiv verwaltet werden.

Wenn Sie mehr über Cybersicherheit, Datenschutz und mehr lesen möchten, bleiben Sie bei uns auf dem Laufenden!