ISMS (Information Security Management System)
- Disclaimer und Haftungsausschluss
- Einleitung
- Was ist ein ISMS
- Die Phasen auf dem Weg zum ISMS
- Die Phasen im Detail
- Phase 1 – Unternehmen verstehen
- Phase 2 – Rechtliche und organisatorische Anforderungen
- Phase 3 – Assets erfassen
- Phase 4 – IT-Landschaft aufnehmen
- Phase 5 – Bestehende Sicherheitsmaßnahmen
- Phase 6 – Risiken analysieren und bewerten
- Phase 7 – Maßnahmen planen und priorisieren
- Phase 8 – Dokumentation erstellen
- Phase 9 – Prozesse definieren
- Phase 10 – Technische Maßnahmen
- Phase 11 – Notfallmanagement und Business Continuity
- Phase 12 – Mitarbeitende sensibilisieren
- Phase 13 – Kontinuierliche Verbesserung
- Links und Infos
Disclaimer und Haftungsausschluss
Allgemeiner Hinweis
Diese Dokumentation dient als interne Arbeits- und Orientierungshilfe zum Aufbau und zur Weiterentwicklung eines Informationssicherheits-Managementsystems (ISMS). Die Inhalte wurden mit größtmöglicher Sorgfalt erstellt, erheben jedoch keinen Anspruch auf Vollständigkeit, Aktualität oder rechtliche Verbindlichkeit.
Die beschriebenen Vorgehensweisen, Empfehlungen, Checklisten und Beispiele ersetzen keine individuelle rechtliche, steuerliche, datenschutzrechtliche oder sicherheitstechnische Beratung. Vor einer konkreten Umsetzung sind die Inhalte immer auf den jeweiligen Einzelfall, die Unternehmensgröße, die Branche, die eingesetzten Systeme und die geltenden Anforderungen zu prüfen.
Keine Garantie für Fehlerfreiheit
Obwohl die Inhalte sorgfältig geprüft werden, können Fehler, Ungenauigkeiten, veraltete Informationen oder unvollständige Darstellungen enthalten sein. Dies gilt insbesondere für technische Empfehlungen, rechtliche Hinweise, Normbezüge, organisatorische Maßnahmen und beispielhafte Formulierungen.
Fehler in dieser Dokumentation sind ausdrücklich nicht ausgeschlossen. Die Nutzung der Inhalte erfolgt daher eigenverantwortlich. Vor einer produktiven Anwendung sollten die jeweiligen Aussagen fachlich geprüft und an die konkrete Umgebung angepasst werden.
Keine Haftung für Umsetzung und Folgen
Aus der Nutzung dieser Dokumentation können keine Ansprüche auf bestimmte Sicherheitsniveaus, Zertifizierungen, Compliance-Ergebnisse oder technische Erfolge abgeleitet werden.
Für Schäden, Ausfälle, Datenverluste, Sicherheitsvorfälle, Fehlkonfigurationen, Fehlentscheidungen oder sonstige Nachteile, die direkt oder indirekt aus der Nutzung, Auslegung oder Umsetzung dieser Inhalte entstehen, wird keine Haftung übernommen, soweit gesetzlich zulässig.
Keine Zertifizierungszusage
Diese Dokumentation orientiert sich teilweise an bekannten Standards und Methoden der Informationssicherheit, beispielsweise an Grundgedanken eines ISMS und an typischen Anforderungen aus ISO/IEC 27001-orientierten Projekten. Sie stellt jedoch keine vollständige Normenumsetzung und keine Zertifizierungsvorbereitung im engeren Sinne dar.
Die Verwendung dieser Unterlagen garantiert weder die Erfüllung einer bestimmten Norm noch das Bestehen eines Audits oder einer Zertifizierung.
Verwendung von KI und LLM-Unterstützung
Teile dieser Dokumentation wurden mit Unterstützung eines Large Language Models (LLM) erstellt, überarbeitet oder strukturiert. Die KI-gestützte Erstellung dient der Unterstützung bei Formulierung, Strukturierung und Ideensammlung.
KI-generierte Inhalte können Fehler enthalten, Zusammenhänge unvollständig darstellen oder Aussagen erzeugen, die im konkreten Einzelfall nicht zutreffen. Deshalb müssen alle Inhalte vor der Verwendung fachlich geprüft, bewertet und gegebenenfalls angepasst werden.
Verantwortung der Anwender
Die Verantwortung für die Bewertung, Auswahl und Umsetzung geeigneter Sicherheitsmaßnahmen liegt immer beim jeweiligen Unternehmen und den verantwortlichen Personen.
Insbesondere sollten technische Änderungen, organisatorische Vorgaben, Datenschutzmaßnahmen und Notfallkonzepte nur nach sorgfältiger Prüfung und mit angemessener Freigabe umgesetzt werden.
Aktualität der Inhalte
Informationssicherheit, IT-Technik, gesetzliche Vorgaben und Bedrohungslagen verändern sich fortlaufend. Diese Dokumentation sollte daher regelmäßig überprüft und aktualisiert werden.
Veraltete Inhalte sollten nicht ungeprüft weiterverwendet werden. Dies gilt insbesondere für technische Empfehlungen, Produktbezeichnungen, gesetzliche Anforderungen und Verweise auf Standards oder Normen.
Interne Verwendung
Diese Dokumentation ist primär für die interne Nutzung vorgesehen. Eine Weitergabe an Dritte sollte nur erfolgen, wenn die Inhalte vorher auf Zweck, Aktualität und Angemessenheit geprüft wurden.
Stand
Stand dieser Disclaimer-Seite: Juli 2026
Einleitung
Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister
Ansatz: Orientierung an ISO/IEC 27001 ohne Zertifizierungsziel.
Einleitung
Dieses interne Handbuch beschreibt einen praxisnahen Weg zum Aufbau eines Informationssicherheits-Managementsystems für kleine und mittlere Unternehmen. Es richtet sich an IT-Entscheider, Geschäftsführungen und IT-Dienstleister, die bei einem Unternehmen praktisch bei Null beginnen: keine Dokumentation, keine geregelte Wartung, kein strukturiertes Risikomanagement und oft nur ein externer Dienstleister, der bei Störungen angerufen wird.
Das Ziel ist nicht, möglichst schnell eine ISO-27001-Zertifizierung zu erreichen. Das Ziel ist ein belastbares, nachvollziehbares und im Alltag nutzbares Sicherheitsniveau. Die ISO/IEC 27001 dient dabei als Orientierung, wird aber bewusst pragmatisch auf die Realität von KMU übertragen.
Warum dieses Handbuch?
Viele KMU sind vollständig von ihrer IT abhängig, verfügen aber nicht über die organisatorischen Strukturen, die für einen sicheren Betrieb notwendig wären. Häufig existieren keine aktuellen Netzwerkpläne, keine vollständige Asset-Liste, keine geprüften Backups, keine klaren Verantwortlichkeiten und kein Notfallplan.
Dieses Handbuch soll helfen, diese Lücke strukturiert zu schließen. Es beschreibt nicht nur, welche Themen betrachtet werden müssen, sondern auch, warum sie wichtig sind und welche Arbeitsergebnisse am Ende jeder Phase vorliegen sollten.
Grundprinzip
Informationssicherheit beginnt nicht mit Technik. Sie beginnt mit dem Verständnis des Unternehmens, seiner Geschäftsprozesse, Informationen und Risiken. Erst danach werden technische Maßnahmen sinnvoll ausgewählt und umgesetzt.
Was ist ein ISMS
Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister
Ansatz: Orientierung an ISO/IEC 27001 ohne Zertifizierungsziel.
Was ist ein ISMS?
Ein Informationssicherheits-Managementsystem, kurz ISMS, ist ein System aus Regeln, Verantwortlichkeiten, Prozessen, Dokumentationen und technischen Maßnahmen zum Schutz von Informationen.
Ein ISMS ist kein einzelnes Produkt und keine reine IT-Lösung. Es besteht nicht nur aus Firewall, Virenschutz und Backup. Diese technischen Maßnahmen sind wichtig, bilden aber nur einen Teil des gesamten Systems.
Die drei Schutzziele
Vertraulichkeit
Informationen dürfen nur von berechtigten Personen eingesehen werden. Beispiele sind Kundendaten, Personaldaten, Verträge, Angebote, Zugangsdaten oder interne Kalkulationen.
Integrität
Informationen müssen korrekt und unverändert bleiben. Werden Daten unbemerkt manipuliert, kann dies zu falschen Entscheidungen, fehlerhaften Rechnungen oder Problemen in der Produktion führen.
Verfügbarkeit
Informationen und Systeme müssen verfügbar sein, wenn sie benötigt werden. Ein Unternehmen, das ohne ERP, E-Mail, Telefonie oder Warenwirtschaft nicht arbeiten kann, muss diese Systeme besonders schützen.
Warum braucht man ein ISMS?
Ein ISMS schafft Transparenz. Es zeigt, welche Informationen und Systeme wichtig sind, welche Risiken bestehen und welche Maßnahmen bereits vorhanden sind.
Gleichzeitig hilft ein ISMS dabei, Verantwortlichkeiten zu klären. Es wird festgelegt, wer Benutzer freigibt, wer Backups prüft, wer Sicherheitsvorfälle bearbeitet und wer Entscheidungen im Notfall trifft.
Für wen ist ein ISMS sinnvoll?
Ein ISMS ist für nahezu jedes Unternehmen sinnvoll, das von Informationen, IT-Systemen oder digitalen Prozessen abhängig ist. Dies gilt auch für kleine Unternehmen mit wenigen Mitarbeitenden.
Eine Zertifizierung nach ISO/IEC 27001 ist dagegen nicht immer notwendig. Viele KMU profitieren bereits erheblich von einem pragmatischen, nicht zertifizierten ISMS.
Die Phasen auf dem Weg zum ISMS
Die Phasen zum ISMS
Der Aufbau eines ISMS erfolgt schrittweise. Jede Phase liefert Ergebnisse, die in den folgenden Phasen benötigt werden. Die Reihenfolge ist bewusst praxisnah gewählt und orientiert sich an typischen KMU-Projekten.
- Unternehmen verstehen
- Rechtliche und organisatorische Anforderungen erfassen
- Assets erfassen
- IT-Landschaft aufnehmen
- Bestehende Sicherheitsmaßnahmen bewerten
- Risiken analysieren und bewerten
- Maßnahmen planen und priorisieren
- Dokumentation erstellen
- Prozesse definieren
- Technische Maßnahmen umsetzen
- Notfallmanagement und Business Continuity aufbauen
- Mitarbeitende sensibilisieren
- Kontinuierlich verbessern
Warum diese Reihenfolge?
Viele Projekte beginnen mit der IT-Inventarisierung. Für ein ISMS ist es jedoch sinnvoller, zuerst das Unternehmen und seine Anforderungen zu verstehen. Erst danach kann beurteilt werden, welche Assets wirklich kritisch sind und welche Risiken priorisiert werden müssen.
Ergebnis
Am Ende entsteht kein theoretisches Papier, sondern ein nutzbares Managementsystem: mit dokumentierten Verantwortlichkeiten, nachvollziehbaren Risiken, priorisierten Maßnahmen, technischen Verbesserungen und regelmäßiger Überprüfung.
Die Phasen im Detail
Phase 1 – Unternehmen verstehen
„Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen.“
Einleitung
Phase 1 – Unternehmen verstehen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Unternehmensdaten
Ziel
Firmenname, Rechtsform, Branche, Standorte und Mitarbeitendenzahl werden erfasst. Diese Angaben liefern erste Hinweise auf Komplexität, Anforderungen und mögliche regulatorische Themen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Unternehmensstruktur
Ziel
Organigramm, Abteilungen, Entscheidungswege und Vertretungen werden aufgenommen. Gerade in KMU existieren diese Informationen oft nur mündlich.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Geschäftsbereiche
Ziel
Produkte, Dienstleistungen, Kundenstruktur und Lieferanten werden betrachtet. Daraus ergibt sich, womit das Unternehmen Geld verdient und welche Werte besonders schützenswert sind.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Geschäftsprozesse
Ziel
Vertrieb, Einkauf, Buchhaltung, Produktion, Support, Lager und Versand werden beschrieben. Diese Prozesse bilden später die Grundlage der Risikoanalyse.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Kritische Geschäftsprozesse
Ziel
Es wird geklärt, welche Prozesse nur kurz oder gar nicht ausfallen dürfen. Beispiele sind ERP, Warenwirtschaft, Rechnungsstellung, E-Mail, Telefonie oder Produktionssteuerung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Mitarbeitende und Arbeitsweise
Ziel
Homeoffice, Außendienst, Schichtbetrieb, mobile Geräte und externe Mitarbeitende werden erfasst. Daraus ergeben sich spätere Anforderungen an Zugriffsschutz, MFA, VPN und Geräteverwaltung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Standorte
Ziel
Hauptsitz, Lager, Produktion, Niederlassungen und Homeoffice werden betrachtet. Jeder Standort beeinflusst Netzwerk, Backup, Zutritt und Notfallplanung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Externe Dienstleister
Ziel
IT-Dienstleister, Softwarehäuser, Hostinganbieter, Steuerberater, Telefonanbieter und Cloud-Anbieter werden erfasst. Entscheidend ist, wer wofür verantwortlich ist.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Kommunikationswege
Ziel
E-Mail, Telefonie, Teams, Messenger, Videokonferenzen und Ticketsysteme werden aufgenommen. Kommunikationssysteme sind oft geschäftskritisch und werden bei Notfallplänen häufig unterschätzt.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 2 – Rechtliche und organisatorische Anforderungen
„Ein ISMS muss die tatsächlichen Pflichten des Unternehmens kennen.“
Einleitung
Phase 2 – Rechtliche und organisatorische Anforderungen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Gesetzliche Anforderungen
Ziel
DSGVO, BDSG und ggf. branchenspezifische Vorgaben werden geprüft. Nicht jede Norm ist relevant, aber relevante Pflichten müssen dokumentiert werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Vertragliche Anforderungen
Ziel
Kundenverträge, Lieferantenverträge, Geheimhaltungsvereinbarungen und Serviceverträge können Sicherheitsanforderungen enthalten. Diese Anforderungen werden oft erst bei Audits sichtbar.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Kundenanforderungen
Ziel
Manche Kunden verlangen Sicherheitsnachweise, Fragebögen, Mindeststandards oder Zertifizierungen. Diese Anforderungen bestimmen häufig die Priorisierung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Cyberversicherung
Ziel
Versicherer verlangen oft MFA, Patchmanagement, Backups, EDR oder Notfallpläne. Der tatsächliche Versicherungsvertrag sollte geprüft werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Auftragsverarbeitung
Ziel
AV-Verträge und Datenschutzrollen müssen geklärt werden. Besonders wichtig ist die Abgrenzung zwischen Verantwortlichem, Auftragsverarbeiter und Unterauftragnehmer.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Datenschutzorganisation
Ziel
Datenschutzbeauftragter, Verzeichnis der Verarbeitungstätigkeiten, Löschkonzepte und Betroffenenrechte werden betrachtet. Datenschutz und Informationssicherheit überschneiden sich stark.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Interne Richtlinien
Ziel
Vorhandene Regeln zu Passwörtern, Homeoffice, mobilen Geräten oder E-Mail werden gesammelt. Fehlen sie, entsteht daraus später ein Maßnahmenbedarf.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Rollen und Verantwortlichkeiten
Ziel
Es wird geklärt, wer Informationssicherheit steuert, Entscheidungen trifft und Maßnahmen freigibt. Ohne klare Rollen bleibt das ISMS wirkungslos.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 3 – Assets erfassen
„Ein ISMS schützt Werte – nicht nur Computer.“
Einleitung
Phase 3 – Assets erfassen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Informationen
Ziel
Kundendaten, Personaldaten, Verträge, Angebote, E-Mails, Konstruktionsdaten und Kalkulationen werden erfasst. Informationen sind oft das wichtigste Asset.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Hardware
Ziel
Server, PCs, Notebooks, Drucker, Netzwerkgeräte, mobile Geräte und Datenträger werden aufgenommen. Alter, Garantie und Kritikalität sollten dokumentiert werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Software
Ziel
ERP, Buchhaltung, Office, Branchensoftware, Datenbanken und Spezialanwendungen werden erfasst. Wichtig sind Versionen, Lizenzen, Hersteller und Supportstatus.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Cloud-Dienste
Ziel
Microsoft 365, Hosting, Backupdienste, SaaS-Anwendungen und Portale werden aufgenommen. Cloud-Dienste sind oft geschäftskritisch, aber schlecht dokumentiert.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Benutzer- und Dienstkonten
Ziel
Benutzerkonten, Administratoren, Servicekonten und API-Zugänge werden erfasst. Besonders Dienstkonten sind häufig unkontrollierte Risiken.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Netzwerkkomponenten
Ziel
Firewall, Router, Switches, WLAN, VPN und Internetanschlüsse werden dokumentiert. Ohne Netzwerkübersicht sind Risiken und Abhängigkeiten kaum bewertbar.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Backups
Ziel
Backupziele, Aufbewahrung, Offline-Kopien und Wiederherstellungswege gelten ebenfalls als Assets. Ein Backup ist nur wertvoll, wenn es wiederherstellbar ist.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Verträge und Lizenzen
Ziel
Wartungsverträge, Lizenznachweise, Supportverträge und Zugangsdaten müssen auffindbar sein. Fehlende Verträge erschweren Notfälle und Audits.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Gebäude und Räume
Ziel
Serverräume, Technikschränke, Zutrittsmedien und Schlüssel werden erfasst. Physische Sicherheit ist Teil der Informationssicherheit.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 4 – IT-Landschaft aufnehmen
„Jetzt wird sichtbar, wie die IT das Unternehmen tatsächlich trägt.“
Einleitung
Phase 4 – IT-Landschaft aufnehmen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Server und Dienste
Ziel
Physische Server, virtuelle Maschinen, Rollen, Betriebssysteme und Dienste werden dokumentiert. Beispiele sind AD, Fileserver, Datenbanken, RDS oder Backupserver.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Clients
Ziel
PCs, Notebooks, Betriebssystemversionen, lokale Administratoren und Gerätezustand werden aufgenommen. Einheitliche Standards reduzieren Support- und Sicherheitsrisiken.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Active Directory und Identitäten
Ziel
Domänenstruktur, Gruppen, GPOs, Administratoren, Passwortregeln und Anmeldewege werden analysiert. Identitäten sind ein zentraler Angriffspunkt.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Netzwerk
Ziel
IP-Netze, VLANs, Firewallregeln, VPN, WLAN und Internetanschlüsse werden erfasst. Ziel ist ein nachvollziehbarer technischer Überblick.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Cloud und E-Mail
Ziel
Microsoft 365, Exchange, Mailrouting, SPF, DKIM, DMARC, OneDrive, SharePoint und andere Dienste werden betrachtet. E-Mail ist häufig der wichtigste Angriffsweg.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Fernwartung
Ziel
RMM, VPN, Remote Desktop, TeamViewer, AnyDesk oder andere Zugänge werden dokumentiert. Externe Zugänge benötigen klare Regeln und Protokollierung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Drucker und Peripherie
Ziel
Drucker, Scanner, MFPs und Spezialgeräte werden aufgenommen. Diese Geräte werden oft vergessen, besitzen aber Netzwerkzugriff und gespeicherte Daten.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Technische Abhängigkeiten
Ziel
Abhängigkeiten zwischen Systemen werden sichtbar gemacht. Beispiele: ERP benötigt SQL-Server, VPN benötigt Firewall, Anmeldung benötigt Domain Controller.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 5 – Bestehende Sicherheitsmaßnahmen
„Vorhandene Maßnahmen müssen nicht nur existieren, sondern wirksam sein.“
Einleitung
Phase 5 – Bestehende Sicherheitsmaßnahmen bewerten ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Patchmanagement
Ziel
Windows, Server, Office, Browser, Drittsoftware und Firmware werden betrachtet. Ungepatchte Systeme gehören zu den häufigsten Einfallstoren.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Endpoint Security
Ziel
Antivirus, EDR, Firewall, Gerätekontrolle und Manipulationsschutz werden geprüft. Entscheidend ist die zentrale Verwaltung und Alarmierung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Backup und Restore
Ziel
Backupumfang, Zeitplan, Aufbewahrung, Offline-Schutz und Restore-Tests werden bewertet. Backups ohne getestete Wiederherstellung sind ein Scheinschutz.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
MFA und Zugriffsschutz
Ziel
Mehr-Faktor-Authentifizierung, Passwortregeln, Admintrennung und Zugriffsbeschränkungen werden geprüft. Besonders Cloud- und Fernzugriffe müssen abgesichert sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
E-Mail-Sicherheit
Ziel
Spamfilter, Phishingschutz, SPF, DKIM, DMARC und sichere Anhänge werden bewertet. Viele Angriffe beginnen mit E-Mail.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Netzwerksicherheit
Ziel
Firewallregeln, Segmentierung, VPN, WLAN-Sicherheit und offene Ports werden geprüft. Flache Netzwerke erhöhen das Schadensausmaß.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Protokollierung und Monitoring
Ziel
Logs, Warnmeldungen, Systemüberwachung und Zuständigkeiten werden betrachtet. Ohne Monitoring werden Vorfälle oft erst spät erkannt.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Physische Sicherheit
Ziel
Serverraum, USV, Zutritt, Brandschutz und Umgebung werden geprüft. Ein gestohlener oder beschädigter Server kann genauso kritisch sein wie ein Cyberangriff.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 6 – Risiken analysieren und bewerten
„Risiken werden erst sinnvoll, wenn Unternehmen, Assets und Schutzmaßnahmen bekannt sind.“
Einleitung
Phase 6 – Risiken analysieren und bewerten ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Bedrohungen identifizieren
Ziel
Ransomware, Phishing, Hardwareausfall, Fehlbedienung, Diebstahl, Feuer, Wasser, Stromausfall und Dienstleisterausfall werden betrachtet. Nicht jede Bedrohung ist für jedes Unternehmen gleich relevant.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Schwachstellen erkennen
Ziel
Fehlende Dokumentation, veraltete Systeme, gemeinsame Administratorkonten, fehlende Backups oder offene Fernzugänge werden erfasst. Schwachstellen machen Bedrohungen wirksam.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Auswirkungen bewerten
Ziel
Finanzielle Schäden, Betriebsunterbrechung, Datenverlust, Reputationsschaden und Vertragsstrafen werden bewertet. Die Auswirkungen sollten für Entscheider verständlich beschrieben werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Eintrittswahrscheinlichkeit bewerten
Ziel
Es wird eingeschätzt, wie wahrscheinlich ein Ereignis ist. Dabei helfen Erfahrung, technische Lage und bekannte Vorfälle.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Risikohöhe bestimmen
Ziel
Aus Auswirkung und Wahrscheinlichkeit ergibt sich eine Priorisierung. Das Ergebnis muss nicht mathematisch perfekt sein, aber nachvollziehbar.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Risikoeigentümer festlegen
Ziel
Für jedes wesentliche Risiko wird ein Verantwortlicher benannt. Ohne Owner bleiben Risiken abstrakt.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Risikobehandlung wählen
Ziel
Risiken können reduziert, akzeptiert, übertragen oder vermieden werden. Beispiel: Cyberversicherung überträgt Risiko nur teilweise, ersetzt aber keine Sicherheitsmaßnahmen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 7 – Maßnahmen planen und priorisieren
„Nicht alles kann sofort umgesetzt werden – aber das Wichtigste zuerst.“
Einleitung
Phase 7 – Maßnahmen planen und priorisieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Maßnahmen ableiten
Ziel
Aus Risiken werden konkrete technische oder organisatorische Maßnahmen abgeleitet. Jede Maßnahme sollte einem Risiko oder einer Anforderung zugeordnet sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Priorisieren
Ziel
Risiko, Aufwand, Kosten und Nutzen werden bewertet. Schnelle Verbesserungen mit hohem Nutzen sollten früh umgesetzt werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Verantwortliche benennen
Ziel
Jede Maßnahme benötigt einen Verantwortlichen und einen Termin. Sonst bleiben Maßnahmen Absichtserklärungen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Aufwand und Kosten schätzen
Ziel
Lizenzkosten, Hardware, Dienstleistung und interne Aufwände werden betrachtet. Geschäftsführung benötigt realistische Entscheidungsgrundlagen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Umsetzungsplan erstellen
Ziel
Maßnahmen werden in kurzfristig, mittelfristig und langfristig eingeteilt. Das verhindert Überforderung und schafft sichtbaren Fortschritt.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Abhängigkeiten beachten
Ziel
Manche Maßnahmen benötigen Vorarbeiten. Beispiel: MFA-Einführung setzt saubere Benutzerverwaltung und Kommunikationsplanung voraus.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Restrisiken dokumentieren
Ziel
Nicht jedes Risiko wird vollständig beseitigt. Akzeptierte Restrisiken müssen bewusst entschieden und dokumentiert werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 8 – Dokumentation erstellen
„Dokumentation macht Sicherheit nachvollziehbar und wiederholbar.“
Einleitung
Phase 8 – Dokumentation erstellen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Systemdokumentation
Ziel
Server, Clients, Netzwerk, Cloud-Dienste und Anwendungen werden verständlich dokumentiert. Ziel ist Nutzbarkeit im Betrieb und im Notfall.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Netzwerkplan
Ziel
Netze, VLANs, Router, Firewalls, Switches, WLAN und Internetanschlüsse werden grafisch dargestellt. Ein einfacher Plan ist besser als kein Plan.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Betriebsdokumentation
Ziel
Wichtige Routineaufgaben, Wartung, Updates und Zuständigkeiten werden beschrieben. Dadurch wird Betrieb weniger personenabhängig.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Richtlinien
Ziel
Passwortrichtlinie, Homeoffice-Regelung, E-Mail-Nutzung, mobile Geräte und Berechtigungen werden festgelegt. Richtlinien müssen verständlich und realistisch sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Notfalldokumentation
Ziel
Kontakte, Zugangsdatenorte, Wiederherstellungswege und Eskalationen werden dokumentiert. Diese Dokumentation muss im Notfall verfügbar sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Lizenz- und Vertragsübersicht
Ziel
Lizenzen, Verträge, Laufzeiten und Ansprechpartner werden zusammengeführt. Das reduziert Risiken bei Ausfällen oder Anbieterwechseln.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Änderungshistorie
Ziel
Wichtige Änderungen sollten nachvollziehbar sein. Dadurch lassen sich Fehlerquellen und Verantwortlichkeiten besser klären.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 9 – Prozesse definieren
„Sicherheit entsteht durch wiederholbare Abläufe.“
Einleitung
Phase 9 – Prozesse definieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Onboarding
Ziel
Neue Mitarbeitende erhalten definierte Konten, Rechte, Geräte und Einweisungen. So wird verhindert, dass Zugänge improvisiert entstehen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Offboarding
Ziel
Beim Austritt werden Konten deaktiviert, Geräte zurückgegeben und Zugriffe entzogen. Dieser Prozess ist besonders kritisch.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Berechtigungsmanagement
Ziel
Freigabe, Änderung und Prüfung von Berechtigungen werden geregelt. Berechtigungen sollten regelmäßig überprüft werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Change Management
Ziel
Änderungen an Systemen werden geplant, dokumentiert und bei Bedarf freigegeben. Auch in KMU reicht oft ein pragmatischer Prozess.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Patchprozess
Ziel
Updates werden geplant, getestet und überwacht. Kritische Sicherheitsupdates benötigen klare Reaktionszeiten.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Backupkontrolle
Ziel
Backupjobs und Restore-Tests werden regelmäßig geprüft. Zuständigkeit und Nachweis müssen eindeutig sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Incident Management
Ziel
Sicherheitsvorfälle werden erkannt, bewertet, dokumentiert und eskaliert. Mitarbeitende müssen wissen, wen sie informieren sollen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Beschaffung und Entsorgung
Ziel
Neue Systeme werden sicher beschafft und alte Geräte datenschutzkonform entsorgt. Besonders Datenträger benötigen klare Regeln.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 10 – Technische Maßnahmen
„Technik folgt aus Risiken, nicht aus Bauchgefühl.“
Einleitung
Phase 10 – Technische Maßnahmen umsetzen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Identität und MFA
Ziel
MFA, Admintrennung, Passwortregeln und Conditional Access werden umgesetzt. Identitäten sind oft der wichtigste Schutzbereich.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Endpoint-Härtung
Ziel
BitLocker, lokale Adminrechte, EDR, Firewall und Sicherheitsbaselines werden eingerichtet. Clients sind häufig der Einstiegspunkt für Angriffe.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Server-Härtung
Ziel
Nicht benötigte Dienste, veraltete Protokolle, Adminzugriffe und Protokollierung werden optimiert. Server benötigen klare Betriebsstandards.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Netzwerksegmentierung
Ziel
Server, Clients, WLAN, Gäste und Spezialgeräte werden getrennt. Segmentierung reduziert die Ausbreitung von Schadsoftware.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Backup-Verbesserung
Ziel
3-2-1-Prinzip, Offline- oder Immutable-Backups und regelmäßige Restore-Tests werden umgesetzt. Schutz vor Ransomware steht im Mittelpunkt.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Monitoring
Ziel
Server, Dienste, Backup, Speicherplatz, Zertifikate und Sicherheitsereignisse werden überwacht. Nur erkannte Probleme können rechtzeitig behoben werden.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
E-Mail-Schutz
Ziel
SPF, DKIM, DMARC, Spamfilter, Phishing-Schutz und Schulungsmeldungen werden umgesetzt. E-Mail-Sicherheit verbindet Technik und Verhalten.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Fernzugriff absichern
Ziel
VPN, RMM, RDP und externe Zugänge werden eingeschränkt, protokolliert und mit MFA geschützt. Offene Fernwartung ist ein hohes Risiko.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 11 – Notfallmanagement und Business Continuity
„Nicht jeder Vorfall lässt sich verhindern – aber man kann vorbereitet sein.“
Einleitung
Phase 11 – Notfallmanagement und Business Continuity ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Notfallszenarien
Ziel
Ransomware, Serverausfall, Internetausfall, Brand, Wasser, Stromausfall, Ausfall des Dienstleisters und Cloud-Ausfälle werden betrachtet. Szenarien müssen realistisch sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Wiederanlaufziele
Ziel
RTO und RPO werden je Prozess oder System festgelegt. Entscheider müssen verstehen, welche Ausfallzeiten akzeptabel sind.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Notfallkontakte
Ziel
Geschäftsführung, IT-Dienstleister, Provider, Versicherer, Datenschutz, Rechtsberatung und Behördenkontakte werden dokumentiert. Im Notfall darf keine Suche beginnen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Kommunikationsplan
Ziel
Es wird geregelt, wie intern und extern kommuniziert wird, wenn E-Mail oder Telefonie ausfallen. Alternative Kanäle müssen vorher bekannt sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Restore-Verfahren
Ziel
Wiederherstellungsschritte werden beschrieben und getestet. Ein Restore-Test ist der wichtigste Nachweis eines funktionierenden Backups.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Entscheidungswege
Ziel
Es wird festgelegt, wer Systeme abschalten, externe Hilfe beauftragen oder Kunden informieren darf. Unklare Entscheidungswege kosten im Ernstfall Zeit.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Übungen
Ziel
Notfallübungen oder Tabletop-Übungen prüfen, ob der Plan funktioniert. Schon eine jährliche Trockenübung bringt große Erkenntnisse.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 12 – Mitarbeitende sensibilisieren
„Menschen sind nicht das Problem – sie sind Teil der Sicherheitslösung.“
Einleitung
Phase 12 – Mitarbeitende sensibilisieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Grundlagenschulung
Ziel
Mitarbeitende lernen die wichtigsten Sicherheitsregeln. Inhalte sollten praxisnah und kurz sein.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Phishing erkennen
Ziel
Verdächtige E-Mails, Links, Anhänge und Absender werden erklärt. Phishing bleibt einer der häufigsten Angriffswege.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Passwörter und MFA
Ziel
Sichere Passwörter, Passwortmanager und MFA werden verständlich erklärt. Ziel ist Akzeptanz, nicht Angst.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Umgang mit Daten
Ziel
Vertrauliche Informationen, Kundendaten, Personaldaten und Ausdrucke werden behandelt. Informationssicherheit gilt auch außerhalb der IT-Systeme.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Homeoffice und mobile Arbeit
Ziel
Private Netze, Geräte, Blickschutz, Transport und Verlust werden besprochen. Mobile Arbeit erweitert den Schutzbereich.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Melden von Vorfällen
Ziel
Mitarbeitende müssen wissen, wie und an wen sie Vorfälle melden. Eine frühe Meldung ist wichtiger als Schuldzuweisung.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Wiederholung
Ziel
Sensibilisierung ist kein einmaliges Ereignis. Kurze regelmäßige Impulse wirken besser als lange seltene Schulungen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Phase 13 – Kontinuierliche Verbesserung
„Ein ISMS ist kein Projektende, sondern ein Regelkreis.“
Einleitung
Phase 13 – Kontinuierliche Verbesserung ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.
Ziel der Phase
Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.
Benötigte Teilnehmer
- Geschäftsführung oder IT-Entscheider
- Interner oder externer IT-Verantwortlicher
- Fachabteilungen nach Bedarf
- Datenschutz oder Qualitätsmanagement, falls vorhanden
Arbeitsergebnisse der Phase
- Dokumentierte Ergebnisse der Bestandsaufnahme
- Offene Fragen und Risiken
- Erste Prioritäten für spätere Maßnahmen
- Grundlage für die nächste Phase
Checkliste
Regelmäßige Überprüfung
Ziel
Risiken, Maßnahmen, Dokumentation und Prozesse werden regelmäßig geprüft. Änderungen im Unternehmen führen zu neuen Anforderungen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Management Review
Ziel
Die Geschäftsführung bewertet Status, Risiken, Vorfälle und Maßnahmen. Informationssicherheit bleibt dadurch Führungsaufgabe.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Interne Audits
Ziel
Stichproben prüfen, ob dokumentierte Regeln auch tatsächlich gelebt werden. Audits sollen verbessern, nicht bestrafen.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Kennzahlen
Ziel
Backup-Erfolge, Patchstände, offene Maßnahmen, Schulungen und Vorfälle können als Kennzahlen dienen. Gute Kennzahlen sind einfach und handlungsorientiert.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Lessons Learned
Ziel
Vorfälle, Störungen und Projekte werden nachbetrachtet. Daraus entstehen Verbesserungen für Technik und Organisation.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Aktualisierung der Dokumentation
Ziel
Dokumente werden regelmäßig gepflegt. Veraltete Dokumentation ist im Notfall gefährlich.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Roadmap
Ziel
Langfristige Verbesserungen werden geplant. So wird aus Einzelmaßnahmen ein nachhaltiger Sicherheitsprozess.
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.
Typische Feststellungen
In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.
Hinweise für den IT-Berater
Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.
Praxistipp
Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?
Ergebnis der Phase
Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.
Links und Infos
Beitrag vom 30.06.26 im Administrator-Forum
https://administrator.de/report/isms-iso27001-active-directory-richtlinien-678358.html
BSI IT-Grundschutz-Profil für Mittelstand oder CIS Controls (v8) statt ISO 27001
https://www.cisecurity.org/controls
VdS 10000 statt ISO 27001
Weg in die Basis-Absicherung (WiBA)