Keine Ruhmestat
Die DIN EN ISO/IEC 27002:2024-01 „Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen (ISO/IEC 27002:2022)“ ist seit Anfang des Jahres 2024 erhältlich und ersetzt die Vorgängerversion DIN EN ISO/IEC 27002:2017-06. Auf nunmehr 209 Seiten liefert die deutsche Sprachfassung der internationalen Norm Best/Good Practice Empfehlungen für die 93 Kontrollmechanismen. Zum Vergleich: die englische Version kommt mit 164 Seiten aus und ist mit € 277,90 auch preiswerter als die € 345,10 des deutschen Pendants (Preise gemäß des Beuth-Verlags).
Die übersetzten deutschen Normen sind nicht meins – z. T. liegt das auch an der Qualität der Übersetzung. Die Übersetzung einer Norm ist bei weitem nicht trivial und muss hochwertig „gelektort“ werden, wobei es an spezifischem Fachwissen auch nicht mangeln sollte.
Vor kurzem habe ich in einem internen ISMS-Audit bei einem Kunden die ISO 27002:2022 geprüft. Da diese verpflichtend für u.a. Energienetzbetreiber ist, haben wir uns im Audit intensiv mit den zahlreichen Änderungen in den einzelnen Kontrollmechanismen beschäftigt. Mir lag die englische Version vor, die auditierte Sicherheitsorganisation hat dagegen mit der deutschen Version gearbeitet und diese auf dem Großbildschirm geteilt.
Und so kamen einige Überraschungen zutage – erst musste ich schmunzeln, teilweise verärgerte die Übersetzung mich aber auch. Auch die deutsche Version wird bestimmt in großer Stückzahl verkauft und ist so hochpreisig, dass eine qualitativ hochwertige Übersetzung obligatorisch sein sollte.
Hier mal ein paar Übersetzungsbeispiele – da kann dann jeder selbst entscheiden, ob das lustig oder ärgerlich ist:
Englische Version, Annex A, Seite 132:
#Human_resource_security
Deutsche Version, Anhang A, Seite 173:
#Sicherheit_der_Humanressourcen
Englische Version, Control 8.2 Privilegierte Zugangsrechte, Seite 84
h) establishing specific rules in order to avoid the use of generic administration user IDs (such as „root“) …
Deutsche Version, Control 8.2 Privilegierte Zugangsrechte, Seite 114
h) Festlegung spezifischer Regeln, um die Nutzung von Benutzerkennungen mit allgemeinen Administratorrechten (z.B. „Stamm“) …
Englische Version, Control 8.2 Networks security, Seite 112
m) temporarily isolating critical subnetworks (e.g. with drawbridges) if the network is under attack;
Deutsche Version, Control 8.2 Netzwerksicherheit, Seite 149
m) vorübergehende Isolierung kritischer Teilnetze (z.B. mit Zugbrücken), wenn das Netzwerk angegriffen wird;
Wer jetzt großzügig meint, dass sowas zwar nicht durchrutschen sollte aber eben passieren kann, der darf sich dann aber den nächsten Fauxpas anschauen, der m.E. in die Kategorie „geht gar nicht“ fällt.
”Sicherheit durch Gestaltung‟ und“ ”tief gestaffelte Verteidigung‟ sind zweifelsohne korrekte Übersetzungen, aber in diesem Kontext wohl unangebracht. ”least Privilege‟ ist an dieser Stelle nicht übersetzt, das ändert sich acht Spiegelpunkte weiter unten zu ”geringsten Privilegs‟. Es ist naheliegend zu glauben, dass dieses Ergebnis einem automatischen Übersetzungsdienst zu verdanken ist. Wie die obige Abbildung zeigt, liefern aber DeepL und Google zumindest in diesem Beispiel bessere und konsistentere Ergebnisse.