ISMS (Information Security Management System)

Disclaimer und Haftungsausschluss

Allgemeiner Hinweis

Diese Dokumentation dient als interne Arbeits- und Orientierungshilfe zum Aufbau und zur Weiterentwicklung eines Informationssicherheits-Managementsystems (ISMS). Die Inhalte wurden mit größtmöglicher Sorgfalt erstellt, erheben jedoch keinen Anspruch auf Vollständigkeit, Aktualität oder rechtliche Verbindlichkeit.

Die beschriebenen Vorgehensweisen, Empfehlungen, Checklisten und Beispiele ersetzen keine individuelle rechtliche, steuerliche, datenschutzrechtliche oder sicherheitstechnische Beratung. Vor einer konkreten Umsetzung sind die Inhalte immer auf den jeweiligen Einzelfall, die Unternehmensgröße, die Branche, die eingesetzten Systeme und die geltenden Anforderungen zu prüfen.

Keine Garantie für Fehlerfreiheit

Obwohl die Inhalte sorgfältig geprüft werden, können Fehler, Ungenauigkeiten, veraltete Informationen oder unvollständige Darstellungen enthalten sein. Dies gilt insbesondere für technische Empfehlungen, rechtliche Hinweise, Normbezüge, organisatorische Maßnahmen und beispielhafte Formulierungen.

Fehler in dieser Dokumentation sind ausdrücklich nicht ausgeschlossen. Die Nutzung der Inhalte erfolgt daher eigenverantwortlich. Vor einer produktiven Anwendung sollten die jeweiligen Aussagen fachlich geprüft und an die konkrete Umgebung angepasst werden.

Keine Haftung für Umsetzung und Folgen

Aus der Nutzung dieser Dokumentation können keine Ansprüche auf bestimmte Sicherheitsniveaus, Zertifizierungen, Compliance-Ergebnisse oder technische Erfolge abgeleitet werden.

Für Schäden, Ausfälle, Datenverluste, Sicherheitsvorfälle, Fehlkonfigurationen, Fehlentscheidungen oder sonstige Nachteile, die direkt oder indirekt aus der Nutzung, Auslegung oder Umsetzung dieser Inhalte entstehen, wird keine Haftung übernommen, soweit gesetzlich zulässig.

Keine Zertifizierungszusage

Diese Dokumentation orientiert sich teilweise an bekannten Standards und Methoden der Informationssicherheit, beispielsweise an Grundgedanken eines ISMS und an typischen Anforderungen aus ISO/IEC 27001-orientierten Projekten. Sie stellt jedoch keine vollständige Normenumsetzung und keine Zertifizierungsvorbereitung im engeren Sinne dar.

Die Verwendung dieser Unterlagen garantiert weder die Erfüllung einer bestimmten Norm noch das Bestehen eines Audits oder einer Zertifizierung.

Verwendung von KI und LLM-Unterstützung

Teile dieser Dokumentation wurden mit Unterstützung eines Large Language Models (LLM) erstellt, überarbeitet oder strukturiert. Die KI-gestützte Erstellung dient der Unterstützung bei Formulierung, Strukturierung und Ideensammlung.

KI-generierte Inhalte können Fehler enthalten, Zusammenhänge unvollständig darstellen oder Aussagen erzeugen, die im konkreten Einzelfall nicht zutreffen. Deshalb müssen alle Inhalte vor der Verwendung fachlich geprüft, bewertet und gegebenenfalls angepasst werden.

Verantwortung der Anwender

Die Verantwortung für die Bewertung, Auswahl und Umsetzung geeigneter Sicherheitsmaßnahmen liegt immer beim jeweiligen Unternehmen und den verantwortlichen Personen.

Insbesondere sollten technische Änderungen, organisatorische Vorgaben, Datenschutzmaßnahmen und Notfallkonzepte nur nach sorgfältiger Prüfung und mit angemessener Freigabe umgesetzt werden.

Aktualität der Inhalte

Informationssicherheit, IT-Technik, gesetzliche Vorgaben und Bedrohungslagen verändern sich fortlaufend. Diese Dokumentation sollte daher regelmäßig überprüft und aktualisiert werden.

Veraltete Inhalte sollten nicht ungeprüft weiterverwendet werden. Dies gilt insbesondere für technische Empfehlungen, Produktbezeichnungen, gesetzliche Anforderungen und Verweise auf Standards oder Normen.

Interne Verwendung

Diese Dokumentation ist primär für die interne Nutzung vorgesehen. Eine Weitergabe an Dritte sollte nur erfolgen, wenn die Inhalte vorher auf Zweck, Aktualität und Angemessenheit geprüft wurden.

Stand

Stand dieser Disclaimer-Seite: Juli 2026

Einleitung

Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister

Ansatz: Orientierung an ISO/IEC 27001 ohne Zertifizierungsziel.

Einleitung

Dieses interne Handbuch beschreibt einen praxisnahen Weg zum Aufbau eines Informationssicherheits-Managementsystems für kleine und mittlere Unternehmen. Es richtet sich an IT-Entscheider, Geschäftsführungen und IT-Dienstleister, die bei einem Unternehmen praktisch bei Null beginnen: keine Dokumentation, keine geregelte Wartung, kein strukturiertes Risikomanagement und oft nur ein externer Dienstleister, der bei Störungen angerufen wird.

Das Ziel ist nicht, möglichst schnell eine ISO-27001-Zertifizierung zu erreichen. Das Ziel ist ein belastbares, nachvollziehbares und im Alltag nutzbares Sicherheitsniveau. Die ISO/IEC 27001 dient dabei als Orientierung, wird aber bewusst pragmatisch auf die Realität von KMU übertragen.

Warum dieses Handbuch?

Viele KMU sind vollständig von ihrer IT abhängig, verfügen aber nicht über die organisatorischen Strukturen, die für einen sicheren Betrieb notwendig wären. Häufig existieren keine aktuellen Netzwerkpläne, keine vollständige Asset-Liste, keine geprüften Backups, keine klaren Verantwortlichkeiten und kein Notfallplan.

Dieses Handbuch soll helfen, diese Lücke strukturiert zu schließen. Es beschreibt nicht nur, welche Themen betrachtet werden müssen, sondern auch, warum sie wichtig sind und welche Arbeitsergebnisse am Ende jeder Phase vorliegen sollten.

Grundprinzip

Informationssicherheit beginnt nicht mit Technik. Sie beginnt mit dem Verständnis des Unternehmens, seiner Geschäftsprozesse, Informationen und Risiken. Erst danach werden technische Maßnahmen sinnvoll ausgewählt und umgesetzt.

Was ist ein ISMS

Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister

Ansatz: Orientierung an ISO/IEC 27001 ohne Zertifizierungsziel.

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem, kurz ISMS, ist ein System aus Regeln, Verantwortlichkeiten, Prozessen, Dokumentationen und technischen Maßnahmen zum Schutz von Informationen.

Ein ISMS ist kein einzelnes Produkt und keine reine IT-Lösung. Es besteht nicht nur aus Firewall, Virenschutz und Backup. Diese technischen Maßnahmen sind wichtig, bilden aber nur einen Teil des gesamten Systems.

Die drei Schutzziele

Vertraulichkeit

Informationen dürfen nur von berechtigten Personen eingesehen werden. Beispiele sind Kundendaten, Personaldaten, Verträge, Angebote, Zugangsdaten oder interne Kalkulationen.

Integrität

Informationen müssen korrekt und unverändert bleiben. Werden Daten unbemerkt manipuliert, kann dies zu falschen Entscheidungen, fehlerhaften Rechnungen oder Problemen in der Produktion führen.

Verfügbarkeit

Informationen und Systeme müssen verfügbar sein, wenn sie benötigt werden. Ein Unternehmen, das ohne ERP, E-Mail, Telefonie oder Warenwirtschaft nicht arbeiten kann, muss diese Systeme besonders schützen.

Warum braucht man ein ISMS?

Ein ISMS schafft Transparenz. Es zeigt, welche Informationen und Systeme wichtig sind, welche Risiken bestehen und welche Maßnahmen bereits vorhanden sind.

Gleichzeitig hilft ein ISMS dabei, Verantwortlichkeiten zu klären. Es wird festgelegt, wer Benutzer freigibt, wer Backups prüft, wer Sicherheitsvorfälle bearbeitet und wer Entscheidungen im Notfall trifft.

Für wen ist ein ISMS sinnvoll?

Ein ISMS ist für nahezu jedes Unternehmen sinnvoll, das von Informationen, IT-Systemen oder digitalen Prozessen abhängig ist. Dies gilt auch für kleine Unternehmen mit wenigen Mitarbeitenden.

Eine Zertifizierung nach ISO/IEC 27001 ist dagegen nicht immer notwendig. Viele KMU profitieren bereits erheblich von einem pragmatischen, nicht zertifizierten ISMS.

Die Phasen auf dem Weg zum ISMS

Die Phasen zum ISMS

Der Aufbau eines ISMS erfolgt schrittweise. Jede Phase liefert Ergebnisse, die in den folgenden Phasen benötigt werden. Die Reihenfolge ist bewusst praxisnah gewählt und orientiert sich an typischen KMU-Projekten.

  1. Unternehmen verstehen
  2. Rechtliche und organisatorische Anforderungen erfassen
  3. Assets erfassen
  4. IT-Landschaft aufnehmen
  5. Bestehende Sicherheitsmaßnahmen bewerten
  6. Risiken analysieren und bewerten
  7. Maßnahmen planen und priorisieren
  8. Dokumentation erstellen
  9. Prozesse definieren
  10. Technische Maßnahmen umsetzen
  11. Notfallmanagement und Business Continuity aufbauen
  12. Mitarbeitende sensibilisieren
  13. Kontinuierlich verbessern

Warum diese Reihenfolge?

Viele Projekte beginnen mit der IT-Inventarisierung. Für ein ISMS ist es jedoch sinnvoller, zuerst das Unternehmen und seine Anforderungen zu verstehen. Erst danach kann beurteilt werden, welche Assets wirklich kritisch sind und welche Risiken priorisiert werden müssen.

Ergebnis

Am Ende entsteht kein theoretisches Papier, sondern ein nutzbares Managementsystem: mit dokumentierten Verantwortlichkeiten, nachvollziehbaren Risiken, priorisierten Maßnahmen, technischen Verbesserungen und regelmäßiger Überprüfung.

Die Phasen im Detail

Die Phasen im Detail

Phase 1 – Unternehmen verstehen

„Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen.“

Einleitung

Phase 1 – Unternehmen verstehen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Unternehmensdaten

Ziel

Firmenname, Rechtsform, Branche, Standorte und Mitarbeitendenzahl werden erfasst. Diese Angaben liefern erste Hinweise auf Komplexität, Anforderungen und mögliche regulatorische Themen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Unternehmensstruktur

Ziel

Organigramm, Abteilungen, Entscheidungswege und Vertretungen werden aufgenommen. Gerade in KMU existieren diese Informationen oft nur mündlich.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Geschäftsbereiche

Ziel

Produkte, Dienstleistungen, Kundenstruktur und Lieferanten werden betrachtet. Daraus ergibt sich, womit das Unternehmen Geld verdient und welche Werte besonders schützenswert sind.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Geschäftsprozesse

Ziel

Vertrieb, Einkauf, Buchhaltung, Produktion, Support, Lager und Versand werden beschrieben. Diese Prozesse bilden später die Grundlage der Risikoanalyse.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Kritische Geschäftsprozesse

Ziel

Es wird geklärt, welche Prozesse nur kurz oder gar nicht ausfallen dürfen. Beispiele sind ERP, Warenwirtschaft, Rechnungsstellung, E-Mail, Telefonie oder Produktionssteuerung.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Mitarbeitende und Arbeitsweise

Ziel

Homeoffice, Außendienst, Schichtbetrieb, mobile Geräte und externe Mitarbeitende werden erfasst. Daraus ergeben sich spätere Anforderungen an Zugriffsschutz, MFA, VPN und Geräteverwaltung.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Standorte

Ziel

Hauptsitz, Lager, Produktion, Niederlassungen und Homeoffice werden betrachtet. Jeder Standort beeinflusst Netzwerk, Backup, Zutritt und Notfallplanung.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Externe Dienstleister

Ziel

IT-Dienstleister, Softwarehäuser, Hostinganbieter, Steuerberater, Telefonanbieter und Cloud-Anbieter werden erfasst. Entscheidend ist, wer wofür verantwortlich ist.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Kommunikationswege

Ziel

E-Mail, Telefonie, Teams, Messenger, Videokonferenzen und Ticketsysteme werden aufgenommen. Kommunikationssysteme sind oft geschäftskritisch und werden bei Notfallplänen häufig unterschätzt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 2 – Rechtliche und organisatorische Anforderungen

„Ein ISMS muss die tatsächlichen Pflichten des Unternehmens kennen.“

Einleitung

Phase 2 – Rechtliche und organisatorische Anforderungen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Gesetzliche Anforderungen

Ziel

DSGVO, BDSG und ggf. branchenspezifische Vorgaben werden geprüft. Nicht jede Norm ist relevant, aber relevante Pflichten müssen dokumentiert werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Vertragliche Anforderungen

Ziel

Kundenverträge, Lieferantenverträge, Geheimhaltungsvereinbarungen und Serviceverträge können Sicherheitsanforderungen enthalten. Diese Anforderungen werden oft erst bei Audits sichtbar.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Kundenanforderungen

Ziel

Manche Kunden verlangen Sicherheitsnachweise, Fragebögen, Mindeststandards oder Zertifizierungen. Diese Anforderungen bestimmen häufig die Priorisierung.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Cyberversicherung

Ziel

Versicherer verlangen oft MFA, Patchmanagement, Backups, EDR oder Notfallpläne. Der tatsächliche Versicherungsvertrag sollte geprüft werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Auftragsverarbeitung

Ziel

AV-Verträge und Datenschutzrollen müssen geklärt werden. Besonders wichtig ist die Abgrenzung zwischen Verantwortlichem, Auftragsverarbeiter und Unterauftragnehmer.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Datenschutzorganisation

Ziel

Datenschutzbeauftragter, Verzeichnis der Verarbeitungstätigkeiten, Löschkonzepte und Betroffenenrechte werden betrachtet. Datenschutz und Informationssicherheit überschneiden sich stark.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Interne Richtlinien

Ziel

Vorhandene Regeln zu Passwörtern, Homeoffice, mobilen Geräten oder E-Mail werden gesammelt. Fehlen sie, entsteht daraus später ein Maßnahmenbedarf.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Rollen und Verantwortlichkeiten

Ziel

Es wird geklärt, wer Informationssicherheit steuert, Entscheidungen trifft und Maßnahmen freigibt. Ohne klare Rollen bleibt das ISMS wirkungslos.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 3 – Assets erfassen

„Ein ISMS schützt Werte – nicht nur Computer.“

Einleitung

Phase 3 – Assets erfassen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Informationen

Ziel

Kundendaten, Personaldaten, Verträge, Angebote, E-Mails, Konstruktionsdaten und Kalkulationen werden erfasst. Informationen sind oft das wichtigste Asset.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Hardware

Ziel

Server, PCs, Notebooks, Drucker, Netzwerkgeräte, mobile Geräte und Datenträger werden aufgenommen. Alter, Garantie und Kritikalität sollten dokumentiert werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Software

Ziel

ERP, Buchhaltung, Office, Branchensoftware, Datenbanken und Spezialanwendungen werden erfasst. Wichtig sind Versionen, Lizenzen, Hersteller und Supportstatus.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Cloud-Dienste

Ziel

Microsoft 365, Hosting, Backupdienste, SaaS-Anwendungen und Portale werden aufgenommen. Cloud-Dienste sind oft geschäftskritisch, aber schlecht dokumentiert.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Benutzer- und Dienstkonten

Ziel

Benutzerkonten, Administratoren, Servicekonten und API-Zugänge werden erfasst. Besonders Dienstkonten sind häufig unkontrollierte Risiken.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Netzwerkkomponenten

Ziel

Firewall, Router, Switches, WLAN, VPN und Internetanschlüsse werden dokumentiert. Ohne Netzwerkübersicht sind Risiken und Abhängigkeiten kaum bewertbar.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Backups

Ziel

Backupziele, Aufbewahrung, Offline-Kopien und Wiederherstellungswege gelten ebenfalls als Assets. Ein Backup ist nur wertvoll, wenn es wiederherstellbar ist.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Verträge und Lizenzen

Ziel

Wartungsverträge, Lizenznachweise, Supportverträge und Zugangsdaten müssen auffindbar sein. Fehlende Verträge erschweren Notfälle und Audits.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Gebäude und Räume

Ziel

Serverräume, Technikschränke, Zutrittsmedien und Schlüssel werden erfasst. Physische Sicherheit ist Teil der Informationssicherheit.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 4 – IT-Landschaft aufnehmen

„Jetzt wird sichtbar, wie die IT das Unternehmen tatsächlich trägt.“

Einleitung

Phase 4 – IT-Landschaft aufnehmen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Server und Dienste

Ziel

Physische Server, virtuelle Maschinen, Rollen, Betriebssysteme und Dienste werden dokumentiert. Beispiele sind AD, Fileserver, Datenbanken, RDS oder Backupserver.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Clients

Ziel

PCs, Notebooks, Betriebssystemversionen, lokale Administratoren und Gerätezustand werden aufgenommen. Einheitliche Standards reduzieren Support- und Sicherheitsrisiken.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Active Directory und Identitäten

Ziel

Domänenstruktur, Gruppen, GPOs, Administratoren, Passwortregeln und Anmeldewege werden analysiert. Identitäten sind ein zentraler Angriffspunkt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Netzwerk

Ziel

IP-Netze, VLANs, Firewallregeln, VPN, WLAN und Internetanschlüsse werden erfasst. Ziel ist ein nachvollziehbarer technischer Überblick.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Cloud und E-Mail

Ziel

Microsoft 365, Exchange, Mailrouting, SPF, DKIM, DMARC, OneDrive, SharePoint und andere Dienste werden betrachtet. E-Mail ist häufig der wichtigste Angriffsweg.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Fernwartung

Ziel

RMM, VPN, Remote Desktop, TeamViewer, AnyDesk oder andere Zugänge werden dokumentiert. Externe Zugänge benötigen klare Regeln und Protokollierung.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Drucker und Peripherie

Ziel

Drucker, Scanner, MFPs und Spezialgeräte werden aufgenommen. Diese Geräte werden oft vergessen, besitzen aber Netzwerkzugriff und gespeicherte Daten.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Technische Abhängigkeiten

Ziel

Abhängigkeiten zwischen Systemen werden sichtbar gemacht. Beispiele: ERP benötigt SQL-Server, VPN benötigt Firewall, Anmeldung benötigt Domain Controller.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 5 – Bestehende Sicherheitsmaßnahmen

„Vorhandene Maßnahmen müssen nicht nur existieren, sondern wirksam sein.“

Einleitung

Phase 5 – Bestehende Sicherheitsmaßnahmen bewerten ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Patchmanagement

Ziel

Windows, Server, Office, Browser, Drittsoftware und Firmware werden betrachtet. Ungepatchte Systeme gehören zu den häufigsten Einfallstoren.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Endpoint Security

Ziel

Antivirus, EDR, Firewall, Gerätekontrolle und Manipulationsschutz werden geprüft. Entscheidend ist die zentrale Verwaltung und Alarmierung.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Backup und Restore

Ziel

Backupumfang, Zeitplan, Aufbewahrung, Offline-Schutz und Restore-Tests werden bewertet. Backups ohne getestete Wiederherstellung sind ein Scheinschutz.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

MFA und Zugriffsschutz

Ziel

Mehr-Faktor-Authentifizierung, Passwortregeln, Admintrennung und Zugriffsbeschränkungen werden geprüft. Besonders Cloud- und Fernzugriffe müssen abgesichert sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

E-Mail-Sicherheit

Ziel

Spamfilter, Phishingschutz, SPF, DKIM, DMARC und sichere Anhänge werden bewertet. Viele Angriffe beginnen mit E-Mail.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Netzwerksicherheit

Ziel

Firewallregeln, Segmentierung, VPN, WLAN-Sicherheit und offene Ports werden geprüft. Flache Netzwerke erhöhen das Schadensausmaß.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Protokollierung und Monitoring

Ziel

Logs, Warnmeldungen, Systemüberwachung und Zuständigkeiten werden betrachtet. Ohne Monitoring werden Vorfälle oft erst spät erkannt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Physische Sicherheit

Ziel

Serverraum, USV, Zutritt, Brandschutz und Umgebung werden geprüft. Ein gestohlener oder beschädigter Server kann genauso kritisch sein wie ein Cyberangriff.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 6 – Risiken analysieren und bewerten

„Risiken werden erst sinnvoll, wenn Unternehmen, Assets und Schutzmaßnahmen bekannt sind.“

Einleitung

Phase 6 – Risiken analysieren und bewerten ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Bedrohungen identifizieren

Ziel

Ransomware, Phishing, Hardwareausfall, Fehlbedienung, Diebstahl, Feuer, Wasser, Stromausfall und Dienstleisterausfall werden betrachtet. Nicht jede Bedrohung ist für jedes Unternehmen gleich relevant.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Schwachstellen erkennen

Ziel

Fehlende Dokumentation, veraltete Systeme, gemeinsame Administratorkonten, fehlende Backups oder offene Fernzugänge werden erfasst. Schwachstellen machen Bedrohungen wirksam.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Auswirkungen bewerten

Ziel

Finanzielle Schäden, Betriebsunterbrechung, Datenverlust, Reputationsschaden und Vertragsstrafen werden bewertet. Die Auswirkungen sollten für Entscheider verständlich beschrieben werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Eintrittswahrscheinlichkeit bewerten

Ziel

Es wird eingeschätzt, wie wahrscheinlich ein Ereignis ist. Dabei helfen Erfahrung, technische Lage und bekannte Vorfälle.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Risikohöhe bestimmen

Ziel

Aus Auswirkung und Wahrscheinlichkeit ergibt sich eine Priorisierung. Das Ergebnis muss nicht mathematisch perfekt sein, aber nachvollziehbar.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Risikoeigentümer festlegen

Ziel

Für jedes wesentliche Risiko wird ein Verantwortlicher benannt. Ohne Owner bleiben Risiken abstrakt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Risikobehandlung wählen

Ziel

Risiken können reduziert, akzeptiert, übertragen oder vermieden werden. Beispiel: Cyberversicherung überträgt Risiko nur teilweise, ersetzt aber keine Sicherheitsmaßnahmen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 7 – Maßnahmen planen und priorisieren

„Nicht alles kann sofort umgesetzt werden – aber das Wichtigste zuerst.“

Einleitung

Phase 7 – Maßnahmen planen und priorisieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Maßnahmen ableiten

Ziel

Aus Risiken werden konkrete technische oder organisatorische Maßnahmen abgeleitet. Jede Maßnahme sollte einem Risiko oder einer Anforderung zugeordnet sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Priorisieren

Ziel

Risiko, Aufwand, Kosten und Nutzen werden bewertet. Schnelle Verbesserungen mit hohem Nutzen sollten früh umgesetzt werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Verantwortliche benennen

Ziel

Jede Maßnahme benötigt einen Verantwortlichen und einen Termin. Sonst bleiben Maßnahmen Absichtserklärungen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Aufwand und Kosten schätzen

Ziel

Lizenzkosten, Hardware, Dienstleistung und interne Aufwände werden betrachtet. Geschäftsführung benötigt realistische Entscheidungsgrundlagen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Umsetzungsplan erstellen

Ziel

Maßnahmen werden in kurzfristig, mittelfristig und langfristig eingeteilt. Das verhindert Überforderung und schafft sichtbaren Fortschritt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Abhängigkeiten beachten

Ziel

Manche Maßnahmen benötigen Vorarbeiten. Beispiel: MFA-Einführung setzt saubere Benutzerverwaltung und Kommunikationsplanung voraus.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Restrisiken dokumentieren

Ziel

Nicht jedes Risiko wird vollständig beseitigt. Akzeptierte Restrisiken müssen bewusst entschieden und dokumentiert werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 8 – Dokumentation erstellen

„Dokumentation macht Sicherheit nachvollziehbar und wiederholbar.“

Einleitung

Phase 8 – Dokumentation erstellen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Systemdokumentation

Ziel

Server, Clients, Netzwerk, Cloud-Dienste und Anwendungen werden verständlich dokumentiert. Ziel ist Nutzbarkeit im Betrieb und im Notfall.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Netzwerkplan

Ziel

Netze, VLANs, Router, Firewalls, Switches, WLAN und Internetanschlüsse werden grafisch dargestellt. Ein einfacher Plan ist besser als kein Plan.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Betriebsdokumentation

Ziel

Wichtige Routineaufgaben, Wartung, Updates und Zuständigkeiten werden beschrieben. Dadurch wird Betrieb weniger personenabhängig.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Richtlinien

Ziel

Passwortrichtlinie, Homeoffice-Regelung, E-Mail-Nutzung, mobile Geräte und Berechtigungen werden festgelegt. Richtlinien müssen verständlich und realistisch sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Notfalldokumentation

Ziel

Kontakte, Zugangsdatenorte, Wiederherstellungswege und Eskalationen werden dokumentiert. Diese Dokumentation muss im Notfall verfügbar sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Lizenz- und Vertragsübersicht

Ziel

Lizenzen, Verträge, Laufzeiten und Ansprechpartner werden zusammengeführt. Das reduziert Risiken bei Ausfällen oder Anbieterwechseln.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Änderungshistorie

Ziel

Wichtige Änderungen sollten nachvollziehbar sein. Dadurch lassen sich Fehlerquellen und Verantwortlichkeiten besser klären.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 9 – Prozesse definieren

„Sicherheit entsteht durch wiederholbare Abläufe.“

Einleitung

Phase 9 – Prozesse definieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Onboarding

Ziel

Neue Mitarbeitende erhalten definierte Konten, Rechte, Geräte und Einweisungen. So wird verhindert, dass Zugänge improvisiert entstehen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Offboarding

Ziel

Beim Austritt werden Konten deaktiviert, Geräte zurückgegeben und Zugriffe entzogen. Dieser Prozess ist besonders kritisch.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Berechtigungsmanagement

Ziel

Freigabe, Änderung und Prüfung von Berechtigungen werden geregelt. Berechtigungen sollten regelmäßig überprüft werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Change Management

Ziel

Änderungen an Systemen werden geplant, dokumentiert und bei Bedarf freigegeben. Auch in KMU reicht oft ein pragmatischer Prozess.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Patchprozess

Ziel

Updates werden geplant, getestet und überwacht. Kritische Sicherheitsupdates benötigen klare Reaktionszeiten.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Backupkontrolle

Ziel

Backupjobs und Restore-Tests werden regelmäßig geprüft. Zuständigkeit und Nachweis müssen eindeutig sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Incident Management

Ziel

Sicherheitsvorfälle werden erkannt, bewertet, dokumentiert und eskaliert. Mitarbeitende müssen wissen, wen sie informieren sollen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Beschaffung und Entsorgung

Ziel

Neue Systeme werden sicher beschafft und alte Geräte datenschutzkonform entsorgt. Besonders Datenträger benötigen klare Regeln.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 10 – Technische Maßnahmen

„Technik folgt aus Risiken, nicht aus Bauchgefühl.“

Einleitung

Phase 10 – Technische Maßnahmen umsetzen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Identität und MFA

Ziel

MFA, Admintrennung, Passwortregeln und Conditional Access werden umgesetzt. Identitäten sind oft der wichtigste Schutzbereich.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Endpoint-Härtung

Ziel

BitLocker, lokale Adminrechte, EDR, Firewall und Sicherheitsbaselines werden eingerichtet. Clients sind häufig der Einstiegspunkt für Angriffe.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Server-Härtung

Ziel

Nicht benötigte Dienste, veraltete Protokolle, Adminzugriffe und Protokollierung werden optimiert. Server benötigen klare Betriebsstandards.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Netzwerksegmentierung

Ziel

Server, Clients, WLAN, Gäste und Spezialgeräte werden getrennt. Segmentierung reduziert die Ausbreitung von Schadsoftware.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Backup-Verbesserung

Ziel

3-2-1-Prinzip, Offline- oder Immutable-Backups und regelmäßige Restore-Tests werden umgesetzt. Schutz vor Ransomware steht im Mittelpunkt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Monitoring

Ziel

Server, Dienste, Backup, Speicherplatz, Zertifikate und Sicherheitsereignisse werden überwacht. Nur erkannte Probleme können rechtzeitig behoben werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

E-Mail-Schutz

Ziel

SPF, DKIM, DMARC, Spamfilter, Phishing-Schutz und Schulungsmeldungen werden umgesetzt. E-Mail-Sicherheit verbindet Technik und Verhalten.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Fernzugriff absichern

Ziel

VPN, RMM, RDP und externe Zugänge werden eingeschränkt, protokolliert und mit MFA geschützt. Offene Fernwartung ist ein hohes Risiko.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 11 – Notfallmanagement und Business Continuity

„Nicht jeder Vorfall lässt sich verhindern – aber man kann vorbereitet sein.“

Einleitung

Phase 11 – Notfallmanagement und Business Continuity ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Notfallszenarien

Ziel

Ransomware, Serverausfall, Internetausfall, Brand, Wasser, Stromausfall, Ausfall des Dienstleisters und Cloud-Ausfälle werden betrachtet. Szenarien müssen realistisch sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Wiederanlaufziele

Ziel

RTO und RPO werden je Prozess oder System festgelegt. Entscheider müssen verstehen, welche Ausfallzeiten akzeptabel sind.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Notfallkontakte

Ziel

Geschäftsführung, IT-Dienstleister, Provider, Versicherer, Datenschutz, Rechtsberatung und Behördenkontakte werden dokumentiert. Im Notfall darf keine Suche beginnen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Kommunikationsplan

Ziel

Es wird geregelt, wie intern und extern kommuniziert wird, wenn E-Mail oder Telefonie ausfallen. Alternative Kanäle müssen vorher bekannt sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Restore-Verfahren

Ziel

Wiederherstellungsschritte werden beschrieben und getestet. Ein Restore-Test ist der wichtigste Nachweis eines funktionierenden Backups.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Entscheidungswege

Ziel

Es wird festgelegt, wer Systeme abschalten, externe Hilfe beauftragen oder Kunden informieren darf. Unklare Entscheidungswege kosten im Ernstfall Zeit.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Übungen

Ziel

Notfallübungen oder Tabletop-Übungen prüfen, ob der Plan funktioniert. Schon eine jährliche Trockenübung bringt große Erkenntnisse.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 12 – Mitarbeitende sensibilisieren

„Menschen sind nicht das Problem – sie sind Teil der Sicherheitslösung.“

Einleitung

Phase 12 – Mitarbeitende sensibilisieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Grundlagenschulung

Ziel

Mitarbeitende lernen die wichtigsten Sicherheitsregeln. Inhalte sollten praxisnah und kurz sein.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Phishing erkennen

Ziel

Verdächtige E-Mails, Links, Anhänge und Absender werden erklärt. Phishing bleibt einer der häufigsten Angriffswege.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Passwörter und MFA

Ziel

Sichere Passwörter, Passwortmanager und MFA werden verständlich erklärt. Ziel ist Akzeptanz, nicht Angst.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Umgang mit Daten

Ziel

Vertrauliche Informationen, Kundendaten, Personaldaten und Ausdrucke werden behandelt. Informationssicherheit gilt auch außerhalb der IT-Systeme.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Homeoffice und mobile Arbeit

Ziel

Private Netze, Geräte, Blickschutz, Transport und Verlust werden besprochen. Mobile Arbeit erweitert den Schutzbereich.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Melden von Vorfällen

Ziel

Mitarbeitende müssen wissen, wie und an wen sie Vorfälle melden. Eine frühe Meldung ist wichtiger als Schuldzuweisung.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Wiederholung

Ziel

Sensibilisierung ist kein einmaliges Ereignis. Kurze regelmäßige Impulse wirken besser als lange seltene Schulungen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Die Phasen im Detail

Phase 13 – Kontinuierliche Verbesserung

„Ein ISMS ist kein Projektende, sondern ein Regelkreis.“

Einleitung

Phase 13 – Kontinuierliche Verbesserung ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

Arbeitsergebnisse der Phase

Checkliste

Regelmäßige Überprüfung

Ziel

Risiken, Maßnahmen, Dokumentation und Prozesse werden regelmäßig geprüft. Änderungen im Unternehmen führen zu neuen Anforderungen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Management Review

Ziel

Die Geschäftsführung bewertet Status, Risiken, Vorfälle und Maßnahmen. Informationssicherheit bleibt dadurch Führungsaufgabe.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Interne Audits

Ziel

Stichproben prüfen, ob dokumentierte Regeln auch tatsächlich gelebt werden. Audits sollen verbessern, nicht bestrafen.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Kennzahlen

Ziel

Backup-Erfolge, Patchstände, offene Maßnahmen, Schulungen und Vorfälle können als Kennzahlen dienen. Gute Kennzahlen sind einfach und handlungsorientiert.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Lessons Learned

Ziel

Vorfälle, Störungen und Projekte werden nachbetrachtet. Daraus entstehen Verbesserungen für Technik und Organisation.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Aktualisierung der Dokumentation

Ziel

Dokumente werden regelmäßig gepflegt. Veraltete Dokumentation ist im Notfall gefährlich.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Roadmap

Ziel

Langfristige Verbesserungen werden geplant. So wird aus Einzelmaßnahmen ein nachhaltiger Sicherheitsprozess.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.

Links und Infos

Beitrag vom 30.06.26 im Administrator-Forum

https://administrator.de/report/isms-iso27001-active-directory-richtlinien-678358.html

BSI IT-Grundschutz-Profil für Mittelstand oder CIS Controls (v8) statt ISO 27001

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Profile/it-grundschutz-profile_node.html

https://www.cisecurity.org/controls

VdS 10000 statt ISO 27001

https://vds.de/kompetenzen/cyber-security/zertifizierungen/informationssicherheits-und-datenschutzmanagement/vds-10000-informationssicherheit-fuer-kmu

Weg in die Basis-Absicherung (WiBA)

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/WIBA/Weg_in_die_Basis_Absicherung_WiBA_node.html