Web-Filterung ist eine der Kontrollen, die in der ISO-27001-Revision 2022 neu hinzugekommen ist — ein Zeichen dafür, dass webbasierte Bedrohungen an Bedeutung gewonnen haben. Phishing-Seiten, Drive-by-Downloads, Malvertising und Watering-Hole-Angriffe nutzen den Webbrowser als Einfallstor. A.8.23 verlangt Maßnahmen, die den Zugang zu bösartigen oder nicht autorisierten Webressourcen verhindern.
Die Kontrolle kombiniert technische Filterung (Blockierung bekannter Bedrohungen) mit organisatorischen Regelungen (Nutzungsrichtlinien, Schulungen).
Was verlangt die Norm?
- Bösartige Websites blockieren. Zugang zu Seiten, die für Malware-Verteilung, Phishing oder illegale Inhalte bekannt sind, unterbinden.
- IP- oder Domain-basierte Filterung. Technische Umsetzung über DNS-Filter, Proxy-Server oder Firewall-Regeln.
- Browser- und Anti-Malware-Integration. Browser-Schutzfunktionen und Anti-Malware-Tools ergänzen die Netzwerkfilterung.
- Nutzungsrichtlinie definieren. Klare und regelmäßig aktualisierte Regeln, welche Webseiten erlaubt sind.
- Beschäftigte schulen. Training im sicheren Umgang mit dem Internet und im Erkennen von Sicherheitswarnungen.
In der Praxis
Kategorie-basierte Filterung einrichten. Web-Filter klassifizieren Websites nach Kategorien: Malware, Phishing, Glücksspiel, Pornografie, Filesharing. Definiere, welche Kategorien blockiert werden — und welche Ausnahmen existieren.
Bedrohungsintelligenz-Feeds integrieren. Aktuelle Listen bekannter bösartiger Domains und IP-Adressen automatisch in den Web-Filter einspeisen. Die meisten kommerziellen Lösungen aktualisieren diese Listen mehrmals täglich.
Ausnahme-Prozess definieren. Manche blockierten Seiten werden geschäftlich benötigt. Ein definierter Antragsprozess — Begründung, Prüfung, befristete Freigabe — stellt sicher, dass Ausnahmen dokumentiert und kontrolliert sind.
Beschäftigte sensibilisieren. Schulungen zu Phishing-Erkennung, sicherem Surfverhalten und dem richtigen Umgang mit Browser-Warnungen. Die beste technische Filterung versagt, wenn ein Benutzer die Warnung aktiv wegklickt.
Typische Audit-Nachweise
Auditoren erwarten bei A.8.23 typischerweise diese Nachweise:
- Web-Nutzungsrichtlinie — dokumentierte Regeln für die Internetnutzung (→ IT-Betriebsrichtlinie im Starter Kit)
- Filterkonfiguration — blockierte Kategorien und Domains
- Blocking-Statistiken — Anzahl blockierter Zugriffe nach Kategorie
- Ausnahme-Register — genehmigte Ausnahmen mit Begründung
- Schulungsnachweise — Awareness-Trainings zu sicherem Surfen
KPI
Anteil der Internetzugangspunkte mit aktiver Webfilterung
Gemessen als Prozentsatz: Wie viele deiner Internetzugangspunkte (Proxy, DNS, direkte Verbindungen) werden durch Web-Filter geschützt? Ziel: 100%.
Ergänzende KPIs:
- Anzahl der blockierten Malware-/Phishing-Zugriffe pro Monat
- Anteil der Beschäftigten mit abgeschlossenem Safe-Browsing-Training
- Anzahl der offenen Ausnahme-Anträge
BSI IT-Grundschutz
A.8.23 mappt auf den BSI-Baustein für Firewalls:
- NET.3.2 (Firewall) — Webfilterung als Funktion der Perimeter-Firewall oder eines dedizierten Web-Proxys. Verlangt die Filterung von Webinhalten, Protokollierung und regelmäßige Aktualisierung der Filterregeln.
Verwandte Kontrollen
- A.8.7 — Schutz vor Malware: Web-Filter blockieren den Zugang zu Malware-Verteilern.
- A.8.22 — Trennung von Netzwerken: Web-Filter stehen typischerweise an der Zonengrenze zum Internet.
- A.6.3 — Informationssicherheitsbewusstsein: Schulungen ergänzen die technische Filterung.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.8.23 — Web-Filterung
- ISO/IEC 27002:2022 Abschnitt 8.23 — Umsetzungshinweise zur Web-Filterung
- BSI IT-Grundschutz, NET.3.2 — Firewall