ISMS (Information Security Management System) Disclaimer und Haftungsausschluss Allgemeiner Hinweis Diese Dokumentation dient als interne Arbeits- und Orientierungshilfe zum Aufbau und zur Weiterentwicklung eines Informationssicherheits-Managementsystems (ISMS). Die Inhalte wurden mit größtmöglicher Sorgfalt erstellt, erheben jedoch keinen Anspruch auf Vollständigkeit, Aktualität oder rechtliche Verbindlichkeit. Die beschriebenen Vorgehensweisen, Empfehlungen, Checklisten und Beispiele ersetzen keine individuelle rechtliche, steuerliche, datenschutzrechtliche oder sicherheitstechnische Beratung. Vor einer konkreten Umsetzung sind die Inhalte immer auf den jeweiligen Einzelfall, die Unternehmensgröße, die Branche, die eingesetzten Systeme und die geltenden Anforderungen zu prüfen. Keine Garantie für Fehlerfreiheit Obwohl die Inhalte sorgfältig geprüft werden, können Fehler, Ungenauigkeiten, veraltete Informationen oder unvollständige Darstellungen enthalten sein. Dies gilt insbesondere für technische Empfehlungen, rechtliche Hinweise, Normbezüge, organisatorische Maßnahmen und beispielhafte Formulierungen. Fehler in dieser Dokumentation sind ausdrücklich nicht ausgeschlossen. Die Nutzung der Inhalte erfolgt daher eigenverantwortlich. Vor einer produktiven Anwendung sollten die jeweiligen Aussagen fachlich geprüft und an die konkrete Umgebung angepasst werden. Keine Haftung für Umsetzung und Folgen Aus der Nutzung dieser Dokumentation können keine Ansprüche auf bestimmte Sicherheitsniveaus, Zertifizierungen, Compliance-Ergebnisse oder technische Erfolge abgeleitet werden. Für Schäden, Ausfälle, Datenverluste, Sicherheitsvorfälle, Fehlkonfigurationen, Fehlentscheidungen oder sonstige Nachteile, die direkt oder indirekt aus der Nutzung, Auslegung oder Umsetzung dieser Inhalte entstehen, wird keine Haftung übernommen, soweit gesetzlich zulässig. Keine Zertifizierungszusage Diese Dokumentation orientiert sich teilweise an bekannten Standards und Methoden der Informationssicherheit, beispielsweise an Grundgedanken eines ISMS und an typischen Anforderungen aus ISO/IEC 27001-orientierten Projekten. Sie stellt jedoch keine vollständige Normenumsetzung und keine Zertifizierungsvorbereitung im engeren Sinne dar. Die Verwendung dieser Unterlagen garantiert weder die Erfüllung einer bestimmten Norm noch das Bestehen eines Audits oder einer Zertifizierung. Verwendung von KI und LLM-Unterstützung Teile dieser Dokumentation wurden mit Unterstützung eines Large Language Models (LLM) erstellt, überarbeitet oder strukturiert. Die KI-gestützte Erstellung dient der Unterstützung bei Formulierung, Strukturierung und Ideensammlung. KI-generierte Inhalte können Fehler enthalten, Zusammenhänge unvollständig darstellen oder Aussagen erzeugen, die im konkreten Einzelfall nicht zutreffen. Deshalb müssen alle Inhalte vor der Verwendung fachlich geprüft, bewertet und gegebenenfalls angepasst werden. Verantwortung der Anwender Die Verantwortung für die Bewertung, Auswahl und Umsetzung geeigneter Sicherheitsmaßnahmen liegt immer beim jeweiligen Unternehmen und den verantwortlichen Personen. Insbesondere sollten technische Änderungen, organisatorische Vorgaben, Datenschutzmaßnahmen und Notfallkonzepte nur nach sorgfältiger Prüfung und mit angemessener Freigabe umgesetzt werden. Aktualität der Inhalte Informationssicherheit, IT-Technik, gesetzliche Vorgaben und Bedrohungslagen verändern sich fortlaufend. Diese Dokumentation sollte daher regelmäßig überprüft und aktualisiert werden. Veraltete Inhalte sollten nicht ungeprüft weiterverwendet werden. Dies gilt insbesondere für technische Empfehlungen, Produktbezeichnungen, gesetzliche Anforderungen und Verweise auf Standards oder Normen. Interne Verwendung Diese Dokumentation ist primär für die interne Nutzung vorgesehen. Eine Weitergabe an Dritte sollte nur erfolgen, wenn die Inhalte vorher auf Zweck, Aktualität und Angemessenheit geprüft wurden. Stand Stand dieser Disclaimer-Seite: Juli 2026 Einleitung Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister Ansatz: Orientierung an ISO/IEC 27001 ohne Zertifizierungsziel. Einleitung Dieses interne Handbuch beschreibt einen praxisnahen Weg zum Aufbau eines Informationssicherheits-Managementsystems für kleine und mittlere Unternehmen. Es richtet sich an IT-Entscheider, Geschäftsführungen und IT-Dienstleister, die bei einem Unternehmen praktisch bei Null beginnen: keine Dokumentation, keine geregelte Wartung, kein strukturiertes Risikomanagement und oft nur ein externer Dienstleister, der bei Störungen angerufen wird. Das Ziel ist nicht, möglichst schnell eine ISO-27001-Zertifizierung zu erreichen. Das Ziel ist ein belastbares, nachvollziehbares und im Alltag nutzbares Sicherheitsniveau. Die ISO/IEC 27001 dient dabei als Orientierung, wird aber bewusst pragmatisch auf die Realität von KMU übertragen. Warum dieses Handbuch? Viele KMU sind vollständig von ihrer IT abhängig, verfügen aber nicht über die organisatorischen Strukturen, die für einen sicheren Betrieb notwendig wären. Häufig existieren keine aktuellen Netzwerkpläne, keine vollständige Asset-Liste, keine geprüften Backups, keine klaren Verantwortlichkeiten und kein Notfallplan. Dieses Handbuch soll helfen, diese Lücke strukturiert zu schließen. Es beschreibt nicht nur, welche Themen betrachtet werden müssen, sondern auch, warum sie wichtig sind und welche Arbeitsergebnisse am Ende jeder Phase vorliegen sollten. Grundprinzip Informationssicherheit beginnt nicht mit Technik. Sie beginnt mit dem Verständnis des Unternehmens, seiner Geschäftsprozesse, Informationen und Risiken. Erst danach werden technische Maßnahmen sinnvoll ausgewählt und umgesetzt. Was ist ein ISMS Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister Ansatz: Orientierung an ISO/IEC 27001 ohne Zertifizierungsziel. Was ist ein ISMS? Ein Informationssicherheits-Managementsystem, kurz ISMS, ist ein System aus Regeln, Verantwortlichkeiten, Prozessen, Dokumentationen und technischen Maßnahmen zum Schutz von Informationen. Ein ISMS ist kein einzelnes Produkt und keine reine IT-Lösung. Es besteht nicht nur aus Firewall, Virenschutz und Backup. Diese technischen Maßnahmen sind wichtig, bilden aber nur einen Teil des gesamten Systems. Die drei Schutzziele Vertraulichkeit Informationen dürfen nur von berechtigten Personen eingesehen werden. Beispiele sind Kundendaten, Personaldaten, Verträge, Angebote, Zugangsdaten oder interne Kalkulationen. Integrität Informationen müssen korrekt und unverändert bleiben. Werden Daten unbemerkt manipuliert, kann dies zu falschen Entscheidungen, fehlerhaften Rechnungen oder Problemen in der Produktion führen. Verfügbarkeit Informationen und Systeme müssen verfügbar sein, wenn sie benötigt werden. Ein Unternehmen, das ohne ERP, E-Mail, Telefonie oder Warenwirtschaft nicht arbeiten kann, muss diese Systeme besonders schützen. Warum braucht man ein ISMS? Ein ISMS schafft Transparenz. Es zeigt, welche Informationen und Systeme wichtig sind, welche Risiken bestehen und welche Maßnahmen bereits vorhanden sind. Gleichzeitig hilft ein ISMS dabei, Verantwortlichkeiten zu klären. Es wird festgelegt, wer Benutzer freigibt, wer Backups prüft, wer Sicherheitsvorfälle bearbeitet und wer Entscheidungen im Notfall trifft. Für wen ist ein ISMS sinnvoll? Ein ISMS ist für nahezu jedes Unternehmen sinnvoll, das von Informationen, IT-Systemen oder digitalen Prozessen abhängig ist. Dies gilt auch für kleine Unternehmen mit wenigen Mitarbeitenden. Eine Zertifizierung nach ISO/IEC 27001 ist dagegen nicht immer notwendig. Viele KMU profitieren bereits erheblich von einem pragmatischen, nicht zertifizierten ISMS. Die Phasen auf dem Weg zum ISMS Die Phasen zum ISMS Der Aufbau eines ISMS erfolgt schrittweise. Jede Phase liefert Ergebnisse, die in den folgenden Phasen benötigt werden. Die Reihenfolge ist bewusst praxisnah gewählt und orientiert sich an typischen KMU-Projekten. Unternehmen verstehen Rechtliche und organisatorische Anforderungen erfassen Assets erfassen IT-Landschaft aufnehmen Bestehende Sicherheitsmaßnahmen bewerten Risiken analysieren und bewerten Maßnahmen planen und priorisieren Dokumentation erstellen Prozesse definieren Technische Maßnahmen umsetzen Notfallmanagement und Business Continuity aufbauen Mitarbeitende sensibilisieren Kontinuierlich verbessern Warum diese Reihenfolge? Viele Projekte beginnen mit der IT-Inventarisierung. Für ein ISMS ist es jedoch sinnvoller, zuerst das Unternehmen und seine Anforderungen zu verstehen. Erst danach kann beurteilt werden, welche Assets wirklich kritisch sind und welche Risiken priorisiert werden müssen. Ergebnis Am Ende entsteht kein theoretisches Papier, sondern ein nutzbares Managementsystem: mit dokumentierten Verantwortlichkeiten, nachvollziehbaren Risiken, priorisierten Maßnahmen, technischen Verbesserungen und regelmäßiger Überprüfung. Die Phasen im Detail Phase 1 – Unternehmen verstehen „Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen.“ Einleitung Phase 1 – Unternehmen verstehen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Unternehmensdaten Ziel Firmenname, Rechtsform, Branche, Standorte und Mitarbeitendenzahl werden erfasst. Diese Angaben liefern erste Hinweise auf Komplexität, Anforderungen und mögliche regulatorische Themen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Unternehmensstruktur Ziel Organigramm, Abteilungen, Entscheidungswege und Vertretungen werden aufgenommen. Gerade in KMU existieren diese Informationen oft nur mündlich. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Geschäftsbereiche Ziel Produkte, Dienstleistungen, Kundenstruktur und Lieferanten werden betrachtet. Daraus ergibt sich, womit das Unternehmen Geld verdient und welche Werte besonders schützenswert sind. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Geschäftsprozesse Ziel Vertrieb, Einkauf, Buchhaltung, Produktion, Support, Lager und Versand werden beschrieben. Diese Prozesse bilden später die Grundlage der Risikoanalyse. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Kritische Geschäftsprozesse Ziel Es wird geklärt, welche Prozesse nur kurz oder gar nicht ausfallen dürfen. Beispiele sind ERP, Warenwirtschaft, Rechnungsstellung, E-Mail, Telefonie oder Produktionssteuerung. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Mitarbeitende und Arbeitsweise Ziel Homeoffice, Außendienst, Schichtbetrieb, mobile Geräte und externe Mitarbeitende werden erfasst. Daraus ergeben sich spätere Anforderungen an Zugriffsschutz, MFA, VPN und Geräteverwaltung. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Standorte Ziel Hauptsitz, Lager, Produktion, Niederlassungen und Homeoffice werden betrachtet. Jeder Standort beeinflusst Netzwerk, Backup, Zutritt und Notfallplanung. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Externe Dienstleister Ziel IT-Dienstleister, Softwarehäuser, Hostinganbieter, Steuerberater, Telefonanbieter und Cloud-Anbieter werden erfasst. Entscheidend ist, wer wofür verantwortlich ist. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Kommunikationswege Ziel E-Mail, Telefonie, Teams, Messenger, Videokonferenzen und Ticketsysteme werden aufgenommen. Kommunikationssysteme sind oft geschäftskritisch und werden bei Notfallplänen häufig unterschätzt. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 2 – Rechtliche und organisatorische Anforderungen „Ein ISMS muss die tatsächlichen Pflichten des Unternehmens kennen.“ Einleitung Phase 2 – Rechtliche und organisatorische Anforderungen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Gesetzliche Anforderungen Ziel DSGVO, BDSG und ggf. branchenspezifische Vorgaben werden geprüft. Nicht jede Norm ist relevant, aber relevante Pflichten müssen dokumentiert werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Vertragliche Anforderungen Ziel Kundenverträge, Lieferantenverträge, Geheimhaltungsvereinbarungen und Serviceverträge können Sicherheitsanforderungen enthalten. Diese Anforderungen werden oft erst bei Audits sichtbar. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Kundenanforderungen Ziel Manche Kunden verlangen Sicherheitsnachweise, Fragebögen, Mindeststandards oder Zertifizierungen. Diese Anforderungen bestimmen häufig die Priorisierung. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Cyberversicherung Ziel Versicherer verlangen oft MFA, Patchmanagement, Backups, EDR oder Notfallpläne. Der tatsächliche Versicherungsvertrag sollte geprüft werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Auftragsverarbeitung Ziel AV-Verträge und Datenschutzrollen müssen geklärt werden. Besonders wichtig ist die Abgrenzung zwischen Verantwortlichem, Auftragsverarbeiter und Unterauftragnehmer. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Datenschutzorganisation Ziel Datenschutzbeauftragter, Verzeichnis der Verarbeitungstätigkeiten, Löschkonzepte und Betroffenenrechte werden betrachtet. Datenschutz und Informationssicherheit überschneiden sich stark. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Interne Richtlinien Ziel Vorhandene Regeln zu Passwörtern, Homeoffice, mobilen Geräten oder E-Mail werden gesammelt. Fehlen sie, entsteht daraus später ein Maßnahmenbedarf. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Rollen und Verantwortlichkeiten Ziel Es wird geklärt, wer Informationssicherheit steuert, Entscheidungen trifft und Maßnahmen freigibt. Ohne klare Rollen bleibt das ISMS wirkungslos. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 3 – Assets erfassen „Ein ISMS schützt Werte – nicht nur Computer.“ Einleitung Phase 3 – Assets erfassen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Informationen Ziel Kundendaten, Personaldaten, Verträge, Angebote, E-Mails, Konstruktionsdaten und Kalkulationen werden erfasst. Informationen sind oft das wichtigste Asset. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Hardware Ziel Server, PCs, Notebooks, Drucker, Netzwerkgeräte, mobile Geräte und Datenträger werden aufgenommen. Alter, Garantie und Kritikalität sollten dokumentiert werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Software Ziel ERP, Buchhaltung, Office, Branchensoftware, Datenbanken und Spezialanwendungen werden erfasst. Wichtig sind Versionen, Lizenzen, Hersteller und Supportstatus. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Cloud-Dienste Ziel Microsoft 365, Hosting, Backupdienste, SaaS-Anwendungen und Portale werden aufgenommen. Cloud-Dienste sind oft geschäftskritisch, aber schlecht dokumentiert. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Benutzer- und Dienstkonten Ziel Benutzerkonten, Administratoren, Servicekonten und API-Zugänge werden erfasst. Besonders Dienstkonten sind häufig unkontrollierte Risiken. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Netzwerkkomponenten Ziel Firewall, Router, Switches, WLAN, VPN und Internetanschlüsse werden dokumentiert. Ohne Netzwerkübersicht sind Risiken und Abhängigkeiten kaum bewertbar. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Backups Ziel Backupziele, Aufbewahrung, Offline-Kopien und Wiederherstellungswege gelten ebenfalls als Assets. Ein Backup ist nur wertvoll, wenn es wiederherstellbar ist. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Verträge und Lizenzen Ziel Wartungsverträge, Lizenznachweise, Supportverträge und Zugangsdaten müssen auffindbar sein. Fehlende Verträge erschweren Notfälle und Audits. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Gebäude und Räume Ziel Serverräume, Technikschränke, Zutrittsmedien und Schlüssel werden erfasst. Physische Sicherheit ist Teil der Informationssicherheit. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 4 – IT-Landschaft aufnehmen „Jetzt wird sichtbar, wie die IT das Unternehmen tatsächlich trägt.“ Einleitung Phase 4 – IT-Landschaft aufnehmen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Server und Dienste Ziel Physische Server, virtuelle Maschinen, Rollen, Betriebssysteme und Dienste werden dokumentiert. Beispiele sind AD, Fileserver, Datenbanken, RDS oder Backupserver. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Clients Ziel PCs, Notebooks, Betriebssystemversionen, lokale Administratoren und Gerätezustand werden aufgenommen. Einheitliche Standards reduzieren Support- und Sicherheitsrisiken. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Active Directory und Identitäten Ziel Domänenstruktur, Gruppen, GPOs, Administratoren, Passwortregeln und Anmeldewege werden analysiert. Identitäten sind ein zentraler Angriffspunkt. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Netzwerk Ziel IP-Netze, VLANs, Firewallregeln, VPN, WLAN und Internetanschlüsse werden erfasst. Ziel ist ein nachvollziehbarer technischer Überblick. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Cloud und E-Mail Ziel Microsoft 365, Exchange, Mailrouting, SPF, DKIM, DMARC, OneDrive, SharePoint und andere Dienste werden betrachtet. E-Mail ist häufig der wichtigste Angriffsweg. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Fernwartung Ziel RMM, VPN, Remote Desktop, TeamViewer, AnyDesk oder andere Zugänge werden dokumentiert. Externe Zugänge benötigen klare Regeln und Protokollierung. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Drucker und Peripherie Ziel Drucker, Scanner, MFPs und Spezialgeräte werden aufgenommen. Diese Geräte werden oft vergessen, besitzen aber Netzwerkzugriff und gespeicherte Daten. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Technische Abhängigkeiten Ziel Abhängigkeiten zwischen Systemen werden sichtbar gemacht. Beispiele: ERP benötigt SQL-Server, VPN benötigt Firewall, Anmeldung benötigt Domain Controller. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 5 – Bestehende Sicherheitsmaßnahmen „Vorhandene Maßnahmen müssen nicht nur existieren, sondern wirksam sein.“ Einleitung Phase 5 – Bestehende Sicherheitsmaßnahmen bewerten ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Patchmanagement Ziel Windows, Server, Office, Browser, Drittsoftware und Firmware werden betrachtet. Ungepatchte Systeme gehören zu den häufigsten Einfallstoren. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Endpoint Security Ziel Antivirus, EDR, Firewall, Gerätekontrolle und Manipulationsschutz werden geprüft. Entscheidend ist die zentrale Verwaltung und Alarmierung. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Backup und Restore Ziel Backupumfang, Zeitplan, Aufbewahrung, Offline-Schutz und Restore-Tests werden bewertet. Backups ohne getestete Wiederherstellung sind ein Scheinschutz. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. MFA und Zugriffsschutz Ziel Mehr-Faktor-Authentifizierung, Passwortregeln, Admintrennung und Zugriffsbeschränkungen werden geprüft. Besonders Cloud- und Fernzugriffe müssen abgesichert sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. E-Mail-Sicherheit Ziel Spamfilter, Phishingschutz, SPF, DKIM, DMARC und sichere Anhänge werden bewertet. Viele Angriffe beginnen mit E-Mail. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Netzwerksicherheit Ziel Firewallregeln, Segmentierung, VPN, WLAN-Sicherheit und offene Ports werden geprüft. Flache Netzwerke erhöhen das Schadensausmaß. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Protokollierung und Monitoring Ziel Logs, Warnmeldungen, Systemüberwachung und Zuständigkeiten werden betrachtet. Ohne Monitoring werden Vorfälle oft erst spät erkannt. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Physische Sicherheit Ziel Serverraum, USV, Zutritt, Brandschutz und Umgebung werden geprüft. Ein gestohlener oder beschädigter Server kann genauso kritisch sein wie ein Cyberangriff. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 6 – Risiken analysieren und bewerten „Risiken werden erst sinnvoll, wenn Unternehmen, Assets und Schutzmaßnahmen bekannt sind.“ Einleitung Phase 6 – Risiken analysieren und bewerten ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Bedrohungen identifizieren Ziel Ransomware, Phishing, Hardwareausfall, Fehlbedienung, Diebstahl, Feuer, Wasser, Stromausfall und Dienstleisterausfall werden betrachtet. Nicht jede Bedrohung ist für jedes Unternehmen gleich relevant. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Schwachstellen erkennen Ziel Fehlende Dokumentation, veraltete Systeme, gemeinsame Administratorkonten, fehlende Backups oder offene Fernzugänge werden erfasst. Schwachstellen machen Bedrohungen wirksam. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Auswirkungen bewerten Ziel Finanzielle Schäden, Betriebsunterbrechung, Datenverlust, Reputationsschaden und Vertragsstrafen werden bewertet. Die Auswirkungen sollten für Entscheider verständlich beschrieben werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Eintrittswahrscheinlichkeit bewerten Ziel Es wird eingeschätzt, wie wahrscheinlich ein Ereignis ist. Dabei helfen Erfahrung, technische Lage und bekannte Vorfälle. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Risikohöhe bestimmen Ziel Aus Auswirkung und Wahrscheinlichkeit ergibt sich eine Priorisierung. Das Ergebnis muss nicht mathematisch perfekt sein, aber nachvollziehbar. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Risikoeigentümer festlegen Ziel Für jedes wesentliche Risiko wird ein Verantwortlicher benannt. Ohne Owner bleiben Risiken abstrakt. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Risikobehandlung wählen Ziel Risiken können reduziert, akzeptiert, übertragen oder vermieden werden. Beispiel: Cyberversicherung überträgt Risiko nur teilweise, ersetzt aber keine Sicherheitsmaßnahmen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 7 – Maßnahmen planen und priorisieren „Nicht alles kann sofort umgesetzt werden – aber das Wichtigste zuerst.“ Einleitung Phase 7 – Maßnahmen planen und priorisieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Maßnahmen ableiten Ziel Aus Risiken werden konkrete technische oder organisatorische Maßnahmen abgeleitet. Jede Maßnahme sollte einem Risiko oder einer Anforderung zugeordnet sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Priorisieren Ziel Risiko, Aufwand, Kosten und Nutzen werden bewertet. Schnelle Verbesserungen mit hohem Nutzen sollten früh umgesetzt werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Verantwortliche benennen Ziel Jede Maßnahme benötigt einen Verantwortlichen und einen Termin. Sonst bleiben Maßnahmen Absichtserklärungen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Aufwand und Kosten schätzen Ziel Lizenzkosten, Hardware, Dienstleistung und interne Aufwände werden betrachtet. Geschäftsführung benötigt realistische Entscheidungsgrundlagen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Umsetzungsplan erstellen Ziel Maßnahmen werden in kurzfristig, mittelfristig und langfristig eingeteilt. Das verhindert Überforderung und schafft sichtbaren Fortschritt. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Abhängigkeiten beachten Ziel Manche Maßnahmen benötigen Vorarbeiten. Beispiel: MFA-Einführung setzt saubere Benutzerverwaltung und Kommunikationsplanung voraus. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Restrisiken dokumentieren Ziel Nicht jedes Risiko wird vollständig beseitigt. Akzeptierte Restrisiken müssen bewusst entschieden und dokumentiert werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 8 – Dokumentation erstellen „Dokumentation macht Sicherheit nachvollziehbar und wiederholbar.“ Einleitung Phase 8 – Dokumentation erstellen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Systemdokumentation Ziel Server, Clients, Netzwerk, Cloud-Dienste und Anwendungen werden verständlich dokumentiert. Ziel ist Nutzbarkeit im Betrieb und im Notfall. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Netzwerkplan Ziel Netze, VLANs, Router, Firewalls, Switches, WLAN und Internetanschlüsse werden grafisch dargestellt. Ein einfacher Plan ist besser als kein Plan. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Betriebsdokumentation Ziel Wichtige Routineaufgaben, Wartung, Updates und Zuständigkeiten werden beschrieben. Dadurch wird Betrieb weniger personenabhängig. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Richtlinien Ziel Passwortrichtlinie, Homeoffice-Regelung, E-Mail-Nutzung, mobile Geräte und Berechtigungen werden festgelegt. Richtlinien müssen verständlich und realistisch sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Notfalldokumentation Ziel Kontakte, Zugangsdatenorte, Wiederherstellungswege und Eskalationen werden dokumentiert. Diese Dokumentation muss im Notfall verfügbar sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Lizenz- und Vertragsübersicht Ziel Lizenzen, Verträge, Laufzeiten und Ansprechpartner werden zusammengeführt. Das reduziert Risiken bei Ausfällen oder Anbieterwechseln. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Änderungshistorie Ziel Wichtige Änderungen sollten nachvollziehbar sein. Dadurch lassen sich Fehlerquellen und Verantwortlichkeiten besser klären. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 9 – Prozesse definieren „Sicherheit entsteht durch wiederholbare Abläufe.“ Einleitung Phase 9 – Prozesse definieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Onboarding Ziel Neue Mitarbeitende erhalten definierte Konten, Rechte, Geräte und Einweisungen. So wird verhindert, dass Zugänge improvisiert entstehen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Offboarding Ziel Beim Austritt werden Konten deaktiviert, Geräte zurückgegeben und Zugriffe entzogen. Dieser Prozess ist besonders kritisch. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Berechtigungsmanagement Ziel Freigabe, Änderung und Prüfung von Berechtigungen werden geregelt. Berechtigungen sollten regelmäßig überprüft werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Change Management Ziel Änderungen an Systemen werden geplant, dokumentiert und bei Bedarf freigegeben. Auch in KMU reicht oft ein pragmatischer Prozess. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Patchprozess Ziel Updates werden geplant, getestet und überwacht. Kritische Sicherheitsupdates benötigen klare Reaktionszeiten. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Backupkontrolle Ziel Backupjobs und Restore-Tests werden regelmäßig geprüft. Zuständigkeit und Nachweis müssen eindeutig sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Incident Management Ziel Sicherheitsvorfälle werden erkannt, bewertet, dokumentiert und eskaliert. Mitarbeitende müssen wissen, wen sie informieren sollen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Beschaffung und Entsorgung Ziel Neue Systeme werden sicher beschafft und alte Geräte datenschutzkonform entsorgt. Besonders Datenträger benötigen klare Regeln. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 10 – Technische Maßnahmen „Technik folgt aus Risiken, nicht aus Bauchgefühl.“ Einleitung Phase 10 – Technische Maßnahmen umsetzen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Identität und MFA Ziel MFA, Admintrennung, Passwortregeln und Conditional Access werden umgesetzt. Identitäten sind oft der wichtigste Schutzbereich. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Endpoint-Härtung Ziel BitLocker, lokale Adminrechte, EDR, Firewall und Sicherheitsbaselines werden eingerichtet. Clients sind häufig der Einstiegspunkt für Angriffe. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Server-Härtung Ziel Nicht benötigte Dienste, veraltete Protokolle, Adminzugriffe und Protokollierung werden optimiert. Server benötigen klare Betriebsstandards. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Netzwerksegmentierung Ziel Server, Clients, WLAN, Gäste und Spezialgeräte werden getrennt. Segmentierung reduziert die Ausbreitung von Schadsoftware. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Backup-Verbesserung Ziel 3-2-1-Prinzip, Offline- oder Immutable-Backups und regelmäßige Restore-Tests werden umgesetzt. Schutz vor Ransomware steht im Mittelpunkt. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Monitoring Ziel Server, Dienste, Backup, Speicherplatz, Zertifikate und Sicherheitsereignisse werden überwacht. Nur erkannte Probleme können rechtzeitig behoben werden. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. E-Mail-Schutz Ziel SPF, DKIM, DMARC, Spamfilter, Phishing-Schutz und Schulungsmeldungen werden umgesetzt. E-Mail-Sicherheit verbindet Technik und Verhalten. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Fernzugriff absichern Ziel VPN, RMM, RDP und externe Zugänge werden eingeschränkt, protokolliert und mit MFA geschützt. Offene Fernwartung ist ein hohes Risiko. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 11 – Notfallmanagement und Business Continuity „Nicht jeder Vorfall lässt sich verhindern – aber man kann vorbereitet sein.“ Einleitung Phase 11 – Notfallmanagement und Business Continuity ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Notfallszenarien Ziel Ransomware, Serverausfall, Internetausfall, Brand, Wasser, Stromausfall, Ausfall des Dienstleisters und Cloud-Ausfälle werden betrachtet. Szenarien müssen realistisch sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Wiederanlaufziele Ziel RTO und RPO werden je Prozess oder System festgelegt. Entscheider müssen verstehen, welche Ausfallzeiten akzeptabel sind. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Notfallkontakte Ziel Geschäftsführung, IT-Dienstleister, Provider, Versicherer, Datenschutz, Rechtsberatung und Behördenkontakte werden dokumentiert. Im Notfall darf keine Suche beginnen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Kommunikationsplan Ziel Es wird geregelt, wie intern und extern kommuniziert wird, wenn E-Mail oder Telefonie ausfallen. Alternative Kanäle müssen vorher bekannt sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Restore-Verfahren Ziel Wiederherstellungsschritte werden beschrieben und getestet. Ein Restore-Test ist der wichtigste Nachweis eines funktionierenden Backups. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Entscheidungswege Ziel Es wird festgelegt, wer Systeme abschalten, externe Hilfe beauftragen oder Kunden informieren darf. Unklare Entscheidungswege kosten im Ernstfall Zeit. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Übungen Ziel Notfallübungen oder Tabletop-Übungen prüfen, ob der Plan funktioniert. Schon eine jährliche Trockenübung bringt große Erkenntnisse. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 12 – Mitarbeitende sensibilisieren „Menschen sind nicht das Problem – sie sind Teil der Sicherheitslösung.“ Einleitung Phase 12 – Mitarbeitende sensibilisieren ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Grundlagenschulung Ziel Mitarbeitende lernen die wichtigsten Sicherheitsregeln. Inhalte sollten praxisnah und kurz sein. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Phishing erkennen Ziel Verdächtige E-Mails, Links, Anhänge und Absender werden erklärt. Phishing bleibt einer der häufigsten Angriffswege. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Passwörter und MFA Ziel Sichere Passwörter, Passwortmanager und MFA werden verständlich erklärt. Ziel ist Akzeptanz, nicht Angst. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Umgang mit Daten Ziel Vertrauliche Informationen, Kundendaten, Personaldaten und Ausdrucke werden behandelt. Informationssicherheit gilt auch außerhalb der IT-Systeme. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Homeoffice und mobile Arbeit Ziel Private Netze, Geräte, Blickschutz, Transport und Verlust werden besprochen. Mobile Arbeit erweitert den Schutzbereich. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Melden von Vorfällen Ziel Mitarbeitende müssen wissen, wie und an wen sie Vorfälle melden. Eine frühe Meldung ist wichtiger als Schuldzuweisung. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Wiederholung Ziel Sensibilisierung ist kein einmaliges Ereignis. Kurze regelmäßige Impulse wirken besser als lange seltene Schulungen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Phase 13 – Kontinuierliche Verbesserung „Ein ISMS ist kein Projektende, sondern ein Regelkreis.“ Einleitung Phase 13 – Kontinuierliche Verbesserung ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung. Ziel der Phase Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen. Benötigte Teilnehmer Geschäftsführung oder IT-Entscheider Interner oder externer IT-Verantwortlicher Fachabteilungen nach Bedarf Datenschutz oder Qualitätsmanagement, falls vorhanden Arbeitsergebnisse der Phase Dokumentierte Ergebnisse der Bestandsaufnahme Offene Fragen und Risiken Erste Prioritäten für spätere Maßnahmen Grundlage für die nächste Phase Checkliste Regelmäßige Überprüfung Ziel Risiken, Maßnahmen, Dokumentation und Prozesse werden regelmäßig geprüft. Änderungen im Unternehmen führen zu neuen Anforderungen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Management Review Ziel Die Geschäftsführung bewertet Status, Risiken, Vorfälle und Maßnahmen. Informationssicherheit bleibt dadurch Führungsaufgabe. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Interne Audits Ziel Stichproben prüfen, ob dokumentierte Regeln auch tatsächlich gelebt werden. Audits sollen verbessern, nicht bestrafen. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Kennzahlen Ziel Backup-Erfolge, Patchstände, offene Maßnahmen, Schulungen und Vorfälle können als Kennzahlen dienen. Gute Kennzahlen sind einfach und handlungsorientiert. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Lessons Learned Ziel Vorfälle, Störungen und Projekte werden nachbetrachtet. Daraus entstehen Verbesserungen für Technik und Organisation. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Aktualisierung der Dokumentation Ziel Dokumente werden regelmäßig gepflegt. Veraltete Dokumentation ist im Notfall gefährlich. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Roadmap Ziel Langfristige Verbesserungen werden geplant. So wird aus Einzelmaßnahmen ein nachhaltiger Sicherheitsprozess. Warum ist das wichtig? Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits. Typische Feststellungen In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS. Hinweise für den IT-Berater Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden. Praxistipp Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt? Ergebnis der Phase Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann. Links und Infos Beitrag vom 30.06.26 im Administrator-Forum https://administrator.de/report/isms-iso27001-active-directory-richtlinien-678358.html BSI IT-Grundschutz-Profil für Mittelstand oder CIS Controls (v8) statt ISO 27001 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Profile/it-grundschutz-profile_node.html https://www.cisecurity.org/controls VdS 10000 statt ISO 27001 https://vds.de/kompetenzen/cyber-security/zertifizierungen/informationssicherheits-und-datenschutzmanagement/vds-10000-informationssicherheit-fuer-kmu Weg in die Basis-Absicherung (WiBA) https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/WIBA/Weg_in_die_Basis_Absicherung_WiBA_node.html