Was bedeutet ISO 27001?
Zunächst ist zu beachten, dass der vollständige Name von ISO 27001 „ISO / IEC 27001 – Informationstechnologie – Sicherheitstechniken – Managementsysteme für Informationssicherheit“ lautet – Anforderungen. “
Dies ist der führende internationale Standard für Informationssicherheit, der von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wurde. Beide sind führende internationale Organisationen, die Entwicklung internationaler Standards.
ISO-27001 ist Teil einer Reihe von Standards, die für den Umgang mit Informationssicherheit entwickelt wurden: die ISO / IEC 27000-Serie.
Was ist der Zweck von ISO 27001?
ISO 27001 wurde entwickelt, um Unternehmen jeder Größe oder Branche zu helfen, ihre Informationen durch die Einführung eines Informationssicherheits-Managementsystems (ISMS) systematisch und kostengünstig zu schützen.
Warum ist ISO 27001 wichtig?
Der Standard bietet nicht nur Compan Sie verfügen über das erforderliche Know-how, um ihre wertvollsten Informationen zu schützen. Ein Unternehmen kann sich jedoch auch nach ISO 27001 zertifizieren lassen und auf diese Weise seinen Kunden und Partnern nachweisen, dass es seine Daten schützt.
Einzelpersonen können sich auch durch die Teilnahme an einem Kurs und das Bestehen der Prüfung nach ISO 27001 zertifizieren lassen und auf diese Weise potenziellen Arbeitgebern ihre Fähigkeiten unter Beweis stellen.
Da es sich um einen internationalen Standard handelt, ISO 27001 ist weltweit leicht zu erkennen und erhöht die Geschäftsmöglichkeiten für Unternehmen und Fachleute.
Was sind die drei ISMS-Sicherheitsziele?
Das grundlegende Ziel von ISO 27001 besteht darin, drei zu schützen Aspekte von Informationen:
- Vertraulichkeit: Nur die autorisierten Personen haben das Recht, auf Informationen zuzugreifen.
- Integrität: Nur die autorisierten Personen können die Informationen ändern.
erfügbarkeit: Die Informationen müssen autorisierten Personen jederzeit zugänglich sein.
Was ist ein ISMS?
Ein Informationssicherheits-Managementsystem (ISMS) ist ein Regelwerk, das ein Unternehmen festlegen muss, um:
- Stakeholder und ihre Erwartungen an das Unternehmen in Bezug auf Informationssicherheit zu identifizieren
- Identifizieren Sie, welche Risiken für die Informationen bestehen.
- Definieren Sie Kontrollen (Schutzmaßnahmen) und andere Minderungsmethoden, um die identifizierten Erwartungen zu erfüllen und mit Risiken umzugehen.
- Legen Sie klare Ziele fest, was erreicht werden muss mit Informationssicherheit
- implementieren Sie alle Kontrollen und andere Risikobehandlungsmethoden
- messen Sie kontinuierlich, ob die implementierten Kontrollen wie erwartet funktionieren
- und verbessern Sie das gesamte ISMS kontinuierlich besser arbeiten
Diese Regeln können in Form von Richtlinien, Verfahren und anderen Arten von Dokumenten oder in Form von etablierten Prozessen und Technologien, die dies nicht sind, niedergeschrieben werden dokumentiert. ISO 27001 definiert, welche Dokumente erforderlich sind, dh welche mindestens vorhanden sein müssen.
Warum benötigen wir ISMS?
Es gibt vier wesentliche Geschäftsvorteile Ein Unternehmen kann mit der Implementierung dieses Informationssicherheitsstandards Folgendes erreichen:
Einhaltung gesetzlicher Anforderungen – Es gibt immer mehr Gesetze, Vorschriften und vertragliche Anforderungen in Bezug auf Informationssicherheit, und die gute Nachricht ist dass die meisten von ihnen durch die Implementierung von ISO 27001 gelöst werden können – diese Norm bietet Ihnen die perfekte Methodik, um sie alle zu erfüllen.
Wettbewerbsvorteil erzielen – Wenn Ihr Unternehmen zertifiziert wird und Ihre Konkurrenten dies nicht tun, haben Sie möglicherweise einen Vorteil gegenüber diesen in den Augen der Kunden, die sensibel auf die Sicherheit ihrer Informationen achten.
Niedrigere Kosten – die Hauptphilosophie von ISO 27001 besteht darin, das Auftreten von Sicherheitsvorfällen zu verhindern – und jeder große oder kleine Vorfall kostet Geld. Wenn Sie sie verhindern, spart Ihr Unternehmen daher eine Menge Geld. Und das Beste von allem: Die Investition in ISO 27001 ist weitaus geringer als die Kosteneinsparungen, die Sie erzielen werden.
Bessere Organisation – in der Regel haben schnell wachsende Unternehmen nicht die Zeit, ihre Prozesse und Verfahren anzuhalten und zu definieren. Infolgedessen wissen die Mitarbeiter häufig nicht, was wann zu tun ist. und von wem. Die Implementierung von ISO 27001 hilft bei der Lösung solcher Situationen, da Unternehmen dazu ermutigt werden, ihre Hauptprozesse (auch diejenigen, die nicht sicherheitsrelevant sind) aufzuschreiben, wodurch sie den Zeitverlust ihrer Mitarbeiter reduzieren können.
Wie funktioniert ISO 27001?
Der Schwerpunkt von ISO 27001 liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in einem Unternehmen. Dies erfolgt durch Herausfinden, welche potenziellen Probleme mit den Informationen auftreten könnten (d. H., Risikobewertung) und dann Definieren, was getan werden muss, um das Auftreten solcher Probleme zu verhindern (d. h. Risikominderung oder Risikobehandlung).
Daher basiert die Hauptphilosophie von ISO 27001 auf einem Prozess für das Risikomanagement: Finden Sie heraus, wo sich die Risiken befinden, und behandeln Sie sie dann systematisch durch die Implementierung von Sicherheitskontrollen (oder Schutzmaßnahmen).
Nach ISO 27001 muss ein Unternehmen alle Kontrollen auflisten, die in einem Dokument namens „Erklärung der Anwendbarkeit“ implementiert werden sollen.
Was sind die Anforderungen für ISO 27001?
Die obligatorischen Anforderungen für ISO 27001 sind in den Abschnitten 4 bis 10 definiert – dies bedeutet, dass alle diese Anforderungen in einer Organisation implementiert werden müssen, wenn sie dem Standard entsprechen möchten. Kontrollen aus Anhang A dürfen nur durchgeführt werden, wenn sie in der Anwendbarkeitserklärung als zutreffend deklariert sind.
Die Anforderungen aus den Abschnitten 4 bis 10 können wie folgt zusammengefasst werden:
Abschnitt 4: Kontext von Die Organisation – definiert Anforderungen zum Verständnis externer und interner Probleme, interessierter Kreise und ihrer Anforderungen und definiert den ISMS-Bereich.
Abschnitt 5: Führung – Definiert die Verantwortlichkeiten des Top-Managements, legt die Rollen und Verantwortlichkeiten sowie den Inhalt der Informationssicherheitsrichtlinie der obersten Ebene fest.
Abschnitt 6: Planung – Definiert Anforderungen für die Risikobewertung, Risikobehandlung, Erklärung der Anwendbarkeit, Risikobehandlungsplan und Festlegung der Informationssicherheitsziele.
Abschnitt 7: Unterstützung – Definiert Anforderungen für die Verfügbarkeit von Ressourcen, Kompetenzen, Sensibilisierung, Kommunikation und Kontrolle von Dokumenten und Aufzeichnungen.
Abschnitt 8: Betrieb – Definiert die Implementierung der Risikobewertung und -behandlung sowie Kontrollen und andere Prozesse, die zur Erreichung der Ziele der Informationssicherheit erforderlich sind.
Abschnitt 9: Leistungsbewertung – Definiert Anforderungen für Überwachung, Messung, Analyse, Bewertung, interne Revision und Managementüberprüfung.
Abschnitt 10: Verbesserung – Definiert Anforderungen für Nichtkonformitäten, Korrekturen, Korrekturmaßnahmen und kontinuierliche Verbesserung.
Was sind die 14 Bereiche von ISO 27001?
Dort In Anhang A der ISO 27001 sind 14 „Domänen“ aufgeführt, die in den Abschnitten A.5 bis A.18 organisiert sind. Die Abschnitte behandeln Folgendes:
A.5. Richtlinien zur Informationssicherheit: Die Kontrollen in diesem Abschnitt Beschreiben des Umgangs mit Richtlinien zur Informationssicherheit.
A.6. Organisation der Informationssicherheit: Die Steuerelemente in diesem Abschnitt bilden den grundlegenden Rahmen für die Implementierung und den Betrieb der Informationssicherheit, indem sie die interne Organisation (z. B. Rollen) definieren , Verantwortlichkeiten usw.) und durch die organisatorischen Aspekte der Informationssicherheit wie Projektmanagement, Verwendung mobiler Geräte und Telearbeit.
A.7. Sicherheit der Humanressourcen: Die Kontrollen in diesem Abschnitt stellen dies sicher Personen, die unter der Kontrolle der Organisation stehen, werden auf sichere Weise eingestellt, geschult und verwaltet Disziplinarmaßnahmen und die Beendigung der Vereinbarungen werden angesprochen.
A.8. Asset Management: Die Kontrollen in diesem Abschnitt stellen sicher, dass Informationssicherheitsressourcen (z. B. Informationen, Verarbeitungsgeräte, Speichergeräte usw.) identifiziert werden, dass Verantwortlichkeiten für ihre Sicherheit festgelegt sind und dass die Benutzer wissen, wie sie gemäß einer vordefinierten Klassifizierung damit umgehen sollen Ebenen.
A.9. Zugriffskontrolle: Die Kontrollen in diesem Abschnitt beschränken den Zugriff auf Informationen und Informationsressourcen entsprechend den tatsächlichen Geschäftsanforderungen. Die Steuerelemente sind sowohl für den physischen als auch für den logischen Zugriff vorgesehen.
A.10. Kryptographie: Die Kontrollen in diesem Abschnitt bilden die Grundlage für die ordnungsgemäße Verwendung von Verschlüsselungslösungen zum Schutz der Vertraulichkeit, Authentizität und / oder Integrität von Informationen.
A.11. Physische Sicherheit und Umweltsicherheit: Die Kontrollen in diesem Abschnitt verhindern den unbefugten Zugriff auf physische Bereiche und schützen Geräte und Einrichtungen vor Beeinträchtigungen durch menschliche oder natürliche Eingriffe.
A.12. Betriebssicherheit: Die Kontrollen in diesem Abschnitt stellen sicher, dass die IT-Systeme, einschließlich Betriebssysteme und Software, sicher und vor Datenverlust geschützt sind. Darüber hinaus erfordern die Kontrollen in diesem Abschnitt die Möglichkeit, Ereignisse aufzuzeichnen und Beweise zu generieren, Schwachstellen regelmäßig zu überprüfen und Vorkehrungen zu treffen, um zu verhindern, dass Überwachungsaktivitäten den Betrieb beeinträchtigen.
A.13. Kommunikationssicherheit: Die Steuerelemente in diesem Abschnitt schützen die Netzwerkinfrastruktur und -dienste sowie die durch sie übertragenen Informationen.
A.14. Systembeschaffung, -entwicklung und -wartung: Die Kontrollen in diesem Abschnitt stellen sicher, dass die Informationssicherheit beim Kauf neuer Informationssysteme oder beim Upgrade der vorhandenen berücksichtigt wird.
A.15.Lieferantenbeziehungen: Die Kontrollen in diesem Abschnitt stellen sicher, dass ausgelagerte Aktivitäten von Lieferanten und Partnern auch geeignete Informationssicherheitskontrollen verwenden, und beschreiben, wie die Sicherheitsleistung von Drittanbietern überwacht wird.
A.16. Management von Informationssicherheitsvorfällen: Die Kontrollen in diesem Abschnitt bieten einen Rahmen, um die ordnungsgemäße Kommunikation und Behandlung von Sicherheitsereignissen und -vorfällen sicherzustellen, damit diese rechtzeitig behoben werden können. Sie definieren auch, wie Beweise aufbewahrt werden und wie aus Vorfällen gelernt werden kann, um deren Wiederholung zu verhindern.
A.17. Informationssicherheitsaspekte des Business Continuity Managements: Die Kontrollen in diesem Abschnitt stellen die Kontinuität des Informationssicherheitsmanagements bei Störungen und die Verfügbarkeit von Informationssystemen sicher.
A.18. Konformität: Die Kontrollen in diesem Abschnitt bieten einen Rahmen, um rechtliche, gesetzliche, behördliche und vertragliche Verstöße zu verhindern und zu prüfen, ob die Informationssicherheit implementiert ist und gemäß den definierten Richtlinien, Verfahren und Anforderungen der Norm ISO 27001 wirksam ist.
Ein genauerer Blick auf diese Domänen zeigt, dass es bei der Verwaltung der Informationssicherheit nicht nur um die IT-Sicherheit (dh Firewalls, Antivirenprogramme usw.) geht, sondern auch um die Verwaltung von Prozessen, den Rechtsschutz, die Verwaltung von Humanressourcen und die physische Sicherheit Schutz usw.
Was sind die ISO 27001-Kontrollen?
Die ISO 27001-Kontrollen (auch als Schutzmaßnahmen bezeichnet) sind die Praktiken, die implementiert werden müssen, um Risiken auf ein akzeptables Maß zu reduzieren. Kontrollen können technisch, organisatorisch, rechtlich, physisch, menschlich usw. sein.
Wie viele Kontrollen enthält ISO 27001?
ISO 27001 Anhang A listet 114 Kontrollen auf, die in den 14 Abschnitten organisiert sind nummeriert A.5 bis A.18 oben aufgeführt.
Wie implementieren Sie ISO 27001-Steuerungen?
Technische Steuerungen werden hauptsächlich in Informationssystemen unter Verwendung von Software, Hardware und Firmware-Komponenten implementiert zum System hinzugefügt. Z.B. Backup-, Antivirensoftware usw.
Organisationskontrollen werden implementiert, indem zu befolgende Regeln und das erwartete Verhalten von Benutzern, Geräten, Software und Systemen definiert werden. Z.B. Zugriffssteuerungsrichtlinie, BYOD-Richtlinie usw.
Rechtliche Kontrollen werden implementiert, indem sichergestellt wird, dass Regeln und erwartete Verhaltensweisen den Gesetzen, Vorschriften, Verträgen und anderen ähnlichen Rechtsinstrumenten entsprechen und diese durchsetzen, die die Organisation einhalten muss. Z.B. NDA (Geheimhaltungsvereinbarung), SLA (Service Level Agreement) usw.
Physikalische Kontrollen werden hauptsächlich mithilfe von Geräten oder Geräten implementiert, die eine physische Interaktion mit Personen und Objekten haben. Z.B. CCTV-Kameras, Alarmsysteme, Schlösser usw.
Personalkontrollen werden implementiert, indem Personen Wissen, Ausbildung, Fähigkeiten oder Erfahrung zur Verfügung gestellt werden, damit sie ihre Aktivitäten auf sichere Weise ausführen können. Z.B. Schulung zum Sicherheitsbewusstsein, Schulung zum internen Prüfer nach ISO 27001 usw.
ISO 27001 obligatorische Dokumente
ISO 27001 legt einen Mindestsatz von Richtlinien, Verfahren, Plänen, Aufzeichnungen und anderen dokumentierten Informationen fest, die erforderlich sind, um die Konformität zu gewährleisten.
Nach ISO 27001 müssen die folgenden Dokumente geschrieben werden:
Und dies sind die obligatorischen Aufzeichnungen:
Natürlich kann ein Unternehmen beschließen, zusätzliche Sicherheitsdokumente zu schreiben wenn es es für notwendig hält.
Um eine detailliertere Erläuterung der einzelnen Dokumente zu erhalten, laden Sie das kostenlose Whitepaper Checkliste für die nach ISO 27001 (Revision 2013) erforderliche obligatorische Dokumentation herunter.
Wie viel kostet ISO 27001? ?
Die Kosten für die Implementierung und Zertifizierung des ISMS hängen von der Größe und Komplexität des ISMS-Bereichs ab, die von Organisation zu Organisation unterschiedlich sind. Die Kosten hängen auch von den lokalen Preisen der verschiedenen Dienste ab, die Sie für die Implementierung verwenden.
Im Großen und Ganzen sind dies einige der Kosten, die Sie berücksichtigen sollten:
- Schulung und Literatur
- Externe Unterstützung
- Technologien zu aktualisieren / umzusetzen
- Aufwand und Zeit der Mitarbeiter
- Die Kosten der Zertifizierungsstelle
Um eine detailliertere Erläuterung der Zertifizierung zu erhalten Kosten, laden Sie das kostenlose Whitepaper herunter. Budgetieren eines ISO 27001-Implementierungsprojekts.
Was ist „ISO 27001-zertifiziert“?
Ein Unternehmen kann eine ISO 27001-Zertifizierung beantragen, indem es einen Akkreditierten einlädt Zertifizierungsstelle zur Durchführung des Zertifizierungsaudits und bei erfolgreichem Audit zur Ausstellung des ISO 27001-Zertifikats an das Unternehmen. Dieses Zertifikat bedeutet, dass das Unternehmen den ISO 27001-Standard vollständig erfüllt.
Eine Person Sie können eine ISO 27001-Zertifizierung beantragen, indem Sie die ISO 27001-Schulung absolvieren und die Prüfung bestehen. Dieses Zertifikat bedeutet, dass diese Person während des Kurses die entsprechenden Fähigkeiten erworben hat.
Wie lange ist ISO 27001 einmal zertifiziert gültig?
Sobald eine Zertifizierungsstelle einem Unternehmen ein ISO 27001-Zertifikat ausstellt, ist es drei Jahre lang gültig. Während dieser Zeit führt die Zertifizierungsstelle Überwachungsaudits durch, um zu bewerten, ob die Organisation das ISMS ordnungsgemäß unterhält. und falls erforderlich, werden Verbesserungen rechtzeitig umgesetzt.
Welche Unternehmen sind nach ISO 27001 zertifiziert?
Die Website ISO.org bietet einen allgemeinen Überblick über zertifizierte Organisationen, gegliedert nach Branche, Land, Anzahl der Standorte usw. ISO-Umfrage unter diesem Link: https://www.iso.org/the-iso-survey.html.
Um zu überprüfen, ob ein bestimmtes Unternehmen nach ISO 27001 zertifiziert ist, müssen Sie sich an die Zertifizierungsstelle wenden, da es keine gibt offizielle zentralisierte Datenbank zertifizierter Unternehmen.
Kann eine Person ISO-zertifiziert sein?
Ja, eine Person kann eine ISO 27001-Zertifizierung erhalten, indem sie an einer oder mehreren der folgenden Schulungen teilnimmt und diese besteht die Prüfung:
- ISO 27001 Lead Implementer-Kurs – Diese Schulung richtet sich an fortgeschrittene Praktiker und Berater.
- ISO 27001 Lead Auditor-Kurs – Diese Schulung richtet sich an zertifizierte Auditoren Gremien und für Berater.
- Interner Revisionskurs ISO 27001 – Diese Schulung richtet sich an Personen, die interne Audits in ihrem Unternehmen durchführen.
li> ISO 27001-Grundlagenkurs – Diese Schulung richtet sich an Personen, die die Grundlagen der Norm und die wichtigsten Schritte bei der Implementierung erlernen möchten.
Was sind die ISO 27000-Standards?
Da ISO 27001 die Anforderungen für ein ISMS definiert, ist es der Hauptstandard in der ISO 27000-Normenfamilie. Da jedoch hauptsächlich definiert wird, was benötigt wird, aber nicht angegeben wird, wie dies zu tun ist, wurden mehrere andere Informationssicherheitsstandards entwickelt, um zusätzliche Anleitungen bereitzustellen. Derzeit gibt es mehr als 40 Normen in der ISO27k-Reihe, und die am häufigsten verwendeten sind folgende:
ISO / IEC 27000 enthält Begriffe und Definitionen, die in der ISO 27k-Reihe von Normen verwendet werden.
ISO / IEC 27002 enthält Richtlinien für die Implementierung der in Anhang A ISO 27001 aufgeführten Kontrollen. Dies kann sehr nützlich sein, da es Details zur Implementierung dieser Kontrollen enthält.
ISO / IEC 27004 enthält Richtlinien für die Messung der Informationssicherheit – sie passt gut zu ISO 27001, da erläutert wird, wie festgestellt werden kann, ob das ISMS seine Ziele erreicht hat.
ISO / IEC 27005 enthält Richtlinien für das Management von Informationssicherheitsrisiken. Es ist eine sehr gute Ergänzung zu ISO 27001, da es Einzelheiten zur Durchführung der Risikobewertung und Risikobehandlung enthält, die wahrscheinlich die schwierigste Phase in der Implementierung darstellen.
ISO / IEC 27017 enthält Richtlinien für die Informationssicherheit in Cloud-Umgebungen.
ISO / IEC 27018 enthält Richtlinien zum Schutz der Privatsphäre in Cloud-Umgebungen.
ISO / IEC 27031 enthält Richtlinien dazu, was bei der Entwicklung der Geschäftskontinuität für Informations- und Kommunikationstechnologien (IKT) zu beachten ist. Dieser Standard ist eine hervorragende Verbindung zwischen Informationssicherheit und Business Continuity-Praktiken.
Was ist die aktuelle Version von ISO 27001?
Zum Veröffentlichungsdatum dieses Artikels ist die aktuelle Version von ISO 27001 ist ISO / IEC 27001: 2013.
Die erste Version von ISO 27001 wurde 2005 veröffentlicht (ISO / IEC 27001: 2005), die zweite Version 2013, und die Norm wurde zuletzt 2019 überprüft , als die Version 2013 bestätigt wurde (dh es waren keine Änderungen erforderlich).
Es ist wichtig zu beachten, dass verschiedene Länder, die Mitglieder der ISO sind, den Standard in ihre eigenen Sprachen übersetzen können, wobei geringfügige Ergänzungen vorgenommen werden (z , nationale Vorworte), die den Inhalt der internationalen Version des Standards nicht beeinflussen. Diese „Versionen“ haben zusätzliche Buchstaben, um sie von der internationalen Norm zu unterscheiden, z. B. bezeichnet NBR ISO / IEC 27001 die „brasilianische Version“, während BS ISO / IEC 27001 die „britische Version“ bezeichnet. Diese lokalen Versionen der Norm enthalten auch das Jahr, in dem sie von der lokalen Normungsbehörde verabschiedet wurden. Die neueste britische Version lautet daher BS EN ISO / IEC 27001: 2017, was bedeutet, dass ISO / IEC 27001: 2013 von der British Standards Institution übernommen wurde
Was ist der Unterschied zwischen ISO 27001 und 27002?
ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS), während ISO 27002 Leitlinien für die Implementierung enthält der Kontrollen aus ISO 27001 Anhang A.
Mit anderen Worten, für jede Kontrolle enthält ISO 27001 nur eine kurze Beschreibung, während ISO 27002 detaillierte Anleitungen enthält.
Was ist der Unterschied zwischen NIST und ISO 27001?
Während ISO 27001 ein internationaler Standard ist, ist NIST eine US-Regierungsbehörde, die Messstandards in den USA fördert und aufrechterhält – darunter die SP 800-Serie, eine Reihe von Dokumenten, die spezifizieren Best Practices für die Informationssicherheit.
Obwohl sie nicht identisch sind, können die NIST SP 800-Serie und ISO 27001 zusammen für die Implementierung der Informationssicherheit verwendet werden.
Ist ISO 27001 obligatorisch?
In den meisten Ländern ist die Umsetzung von ISO 27001 nicht obligatorisch. Einige Länder haben jedoch Vorschriften veröffentlicht, nach denen bestimmte Branchen ISO 27001 implementieren müssen.
Um festzustellen, ob ISO 27001 für Ihr Unternehmen obligatorisch ist oder nicht, sollten Sie sich in dem Land, in dem Sie tätig sind, an einen Experten wenden.
Was sind die ISO 27001-Kontrollen?
Öffentliche und private Organisationen können die Einhaltung von ISO 27001 als gesetzliche Anforderung in ihren Verträgen und Servicevereinbarungen mit ihren Anbietern definieren. Wie oben erwähnt, können Länder außerdem Gesetze oder Vorschriften definieren, die die Annahme von ISO 27001 zu einer gesetzlichen Anforderung machen, die von den in ihrem Hoheitsgebiet tätigen Organisationen zu erfüllen ist.
In diesem Artikel erfahren Sie mehr über die DSGVO der EU und warum sie auf die ganze Welt anwendbar ist.