Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.6 — Kontakt mit Interessengruppen

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.6 ISO 27001ISO 27002BSI DER.1

Im Januar 2024 veröffentlichte ein branchenspezifisches CERT eine Warnung zu einer Zero-Day-Schwachstelle in einer weit verbreiteten Industriesteuerung. Organisationen, die Mitglied des CERTs waren, hatten 48 Stunden Vorsprung vor der öffentlichen Bekanntmachung. A.5.6 sorgt dafür, dass du an solche Frühwarnsysteme angeschlossen bist.

Was verlangt die Norm?

  • Fachgruppen identifizieren. Die Organisation ermittelt, welche Fachgruppen, Foren und Verbände für ihre Informationssicherheit relevant sind.
  • Mitgliedschaft oder Kontakt aufbauen. Aktive Teilnahme an relevanten Gruppen, um Zugang zu aktuellen Bedrohungsinformationen, bewährten Praktiken und Expertenwissen zu erhalten.
  • Informationen verwerten. Eingehende Informationen werden gesichtet, bewertet und in das eigene Sicherheitsprogramm eingespeist.
  • Wissen zurückgeben. Wo möglich und sinnvoll, teilt die Organisation eigene Erkenntnisse mit der Gemeinschaft.

In der Praxis

Kontaktregister für Fachgruppen anlegen. Dokumentiere: Name der Gruppe, Art (Branchenverband, CERT, Forum), Kontaktdaten, interner Ansprechpartner, Beitritts- und Verlängerungsdatum. Dieses Register ist dein Audit-Nachweis.

Informationsfluss formalisieren. Definiere, wer eingehende Informationen aus Fachgruppen sichtet, wie sie bewertet werden und wie sie in operative Maßnahmen münden. Ein einfacher Prozess: ISB sichtet wöchentlich die Eingänge, bewertet die Relevanz und leitet Handlungsbedarf weiter.

Branchenspezifische Gruppen priorisieren. Generische Sicherheitsforen liefern breite Informationen, branchenspezifische ISACs liefern gezielte. Wenn du in einer regulierten Branche arbeitest (Finanzen, Gesundheit, Energie), sind branchenspezifische Gruppen besonders wertvoll.

Teilnahme dokumentieren. Halte fest, an welchen Veranstaltungen, Webinaren oder Arbeitskreisen du teilgenommen hast und welche Erkenntnisse daraus resultierten. Diese Dokumentation belegt die aktive Nutzung der Mitgliedschaft.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.6 typischerweise diese Nachweise:

  • Fachgruppen-Register — Übersicht der Mitgliedschaften mit Kontaktdaten und internem Ansprechpartner
  • Mitgliedschaftsbestätigungen — Registrierungsbestätigungen oder Beitrittsbelege
  • Informationsauswertung — Nachweis, dass eingehende Informationen gesichtet und bewertet werden
  • Veranstaltungsteilnahme — Teilnahmebestätigungen von Workshops, Webinaren oder Arbeitskreisen
  • Maßnahmenableitung — Beispiele, wie Fachgruppeninformationen zu konkreten Sicherheitsmaßnahmen geführt haben

KPI

Anzahl aktiver Mitgliedschaften in sicherheitsbezogenen Fachgruppen oder Foren

Ein absoluter Wert. Aktiv heißt: Informationen werden tatsächlich gelesen und verarbeitet. Ein Newsletter, der ungelesen im Postfach liegt, zählt nicht. Ziel: mindestens 2–3 aktive Mitgliedschaften, die zur Branche und Risikolage passen.

Ergänzende KPIs:

  • Anzahl der verwerteten Informationen aus Fachgruppen pro Quartal
  • Anzahl der Teilnahmen an Fachgruppenveranstaltungen pro Jahr
  • Anteil der Bedrohungsinformationen, die aus Fachgruppen stammen (vs. interne Quellen)

BSI IT-Grundschutz

A.5.6 mappt auf die BSI-Anforderungen zur Informationsgewinnung:

  • DER.1.A12 (Auswertung von Informationen aus externen Quellen) — verlangt die regelmäßige Auswertung von Sicherheitswarnungen und Lageberichten aus externen Quellen.
  • IND.1.A12 (Informationsaustausch bei ICS) — branchenspezifisch für industrielle Steuerungssysteme: Teilnahme an Informationsaustausch-Initiativen.

Verwandte Kontrollen

A.5.6 ergänzt das externe Informationsnetzwerk:

Quellen

Häufig gestellte Fragen

Welche Interessengruppen sind für ein ISMS relevant?

Branchenverbände mit IS-Arbeitskreisen, die Allianz für Cyber-Sicherheit des BSI, ISACA-Chapter, (ISC)²-Community, FIRST (CERTs weltweit), branchenspezifische ISACs (Information Sharing and Analysis Centers) und lokale Sicherheitsnetzwerke. Wähle Gruppen, die zu deiner Branche und Unternehmensgröße passen.

Reicht passive Mitgliedschaft in einer Fachgruppe?

Für den Audit-Nachweis ja — solange du die Informationen aktiv auswertest. Einen Newsletter abonnieren und nie lesen zählt nicht. Dokumentiere, wie eingehende Informationen gesichtet, bewertet und in dein Sicherheitsprogramm eingespeist werden.

Wie viele Mitgliedschaften brauche ich?

ISO 27001 nennt keine Mindestanzahl. Qualität schlägt Quantität. Zwei bis drei aktive Mitgliedschaften, deren Informationen du tatsächlich nutzt, sind besser als zehn tote Abonnements. Entscheidend ist der nachweisbare Informationsfluss.