Die Phasen auf dem Weg zum ISMS
Allgemein
Ein Informationssicherheits-Managementsystem entsteht nicht an einem Tag. Es entwickelt sich Schritt für Schritt. Dabei baut jede Phase auf den Ergebnissen der vorherigen auf.
Das Ziel ist nicht, möglichst schnell viele Dokumente zu erstellen, sondern das Unternehmen und dessen Risiken zunächst vollständig zu verstehen. Erst danach können sinnvolle Maßnahmen geplant und umgesetzt werden.
Phase 1 – Unternehmen verstehen
Am Anfang steht immer das Unternehmen selbst und nicht die IT. Nur wenn bekannt ist, wie das Unternehmen arbeitet, welche Dienstleistungen oder Produkte angeboten werden und welche Geschäftsprozesse erfolgskritisch sind, kann die Informationssicherheit sinnvoll geplant werden.
Hierzu gehören beispielsweise die Unternehmensstruktur, Standorte, Mitarbeitenden, Verantwortlichkeiten, Arbeitsabläufe sowie die wichtigsten Geschäftsprozesse. Auch Themen wie Homeoffice, Außendienst oder Schichtbetrieb können später Einfluss auf die Sicherheitsmaßnahmen haben.
Phase 2 – Rechtliche und vertragliche Anforderungen
Jedes Unternehmen unterliegt unterschiedlichen gesetzlichen und vertraglichen Anforderungen. Diese bilden den Rahmen, innerhalb dessen sich das spätere ISMS bewegen muss.
Dazu gehören unter anderem die DSGVO, branchenspezifische Vorgaben, Anforderungen von Kunden, Cyberversicherungen oder vertragliche Verpflichtungen gegenüber Geschäftspartnern. Bereits zu Beginn sollte geklärt werden, welche Anforderungen tatsächlich relevant sind.
Phase 3 – IT-Landschaft erfassen
Nun wird die vorhandene IT vollständig aufgenommen. Ziel ist ein möglichst vollständiges Bild aller Systeme und ihrer Aufgaben.
Erfasst werden unter anderem Server, virtuelle Maschinen, Clients, Notebooks, Netzwerke, Firewalls, WLANs, Cloud-Dienste, Telefonanlagen, Drucker sowie eingesetzte Software. Ebenso wichtig ist die Dokumentation von Abhängigkeiten zwischen den einzelnen Systemen.
Phase 4 – Assets identifizieren
Ein Asset ist alles, was für das Unternehmen einen Wert besitzt und geschützt werden muss. Dabei handelt es sich nicht nur um Hardware.
Zu den Assets gehören beispielsweise Kundendaten, Verträge, E-Mails, Quellcode, ERP-Systeme, Mitarbeitende, Produktionsanlagen, Cloud-Dienste oder auch das Unternehmenswissen. Erst wenn alle schützenswerten Werte bekannt sind, lassen sich Risiken sinnvoll bewerten.
Phase 5 – Verantwortlichkeiten und Organisation erfassen
Informationssicherheit ist keine reine Aufgabe der IT. Deshalb müssen Verantwortlichkeiten eindeutig festgelegt werden.
Hierzu gehört beispielsweise die Klärung, wer Administratoren benennt, Benutzer anlegt, Freigaben erteilt, Dienstleister steuert oder Entscheidungen im Notfall trifft. Gerade in kleinen Unternehmen liegen viele dieser Aufgaben häufig bei einer einzigen Person oder einem externen IT-Dienstleister.
Phase 6 – Risiken analysieren und bewerten
Nachdem Unternehmen, Prozesse und Assets bekannt sind, beginnt die eigentliche Risikoanalyse.
Dabei wird betrachtet, welche Bedrohungen bestehen, wie wahrscheinlich diese eintreten können und welche Auswirkungen sie auf das Unternehmen hätten. Beispiele sind Ransomware, Hardwaredefekte, versehentlich gelöschte Daten, Phishing-Angriffe, Stromausfälle oder der Ausfall eines wichtigen Cloud-Dienstes.
Phase 7 – Bestehende Sicherheitsmaßnahmen bewerten
Nicht jedes Unternehmen beginnt bei null. Häufig existieren bereits Sicherheitsmaßnahmen, deren Wirksamkeit jedoch nie überprüft wurde.
In dieser Phase werden beispielsweise Firewalls, Virenschutz, Mehr-Faktor-Authentifizierung, Backup-Konzepte, Patchmanagement, Benutzerverwaltung oder Verschlüsselung bewertet. Ziel ist es festzustellen, welche Maßnahmen bereits ausreichend sind und wo Handlungsbedarf besteht.
Phase 8 – Maßnahmen planen und priorisieren
Aus der Risikoanalyse ergeben sich zahlreiche Verbesserungsmöglichkeiten. Diese sollten jedoch nicht gleichzeitig umgesetzt werden.
Stattdessen werden Maßnahmen nach Risiko, Aufwand, Kosten und Nutzen priorisiert. Oft lassen sich bereits mit wenigen organisatorischen Änderungen erhebliche Sicherheitsgewinne erzielen, bevor größere Investitionen erforderlich werden.
Phase 9 – Dokumentation erstellen
Ein ISMS lebt von einer nachvollziehbaren Dokumentation. Sie sorgt dafür, dass Wissen nicht nur in den Köpfen einzelner Personen vorhanden ist.
Zur Dokumentation gehören unter anderem Netzwerkpläne, Systemübersichten, Notfallinformationen, Verantwortlichkeiten, Richtlinien, Backup-Konzepte, Wiederherstellungsverfahren und Betriebsdokumentationen. Ziel ist eine verständliche und pflegbare Dokumentation, die im Alltag tatsächlich genutzt wird.
Phase 10 – Prozesse definieren
Neben der Technik müssen auch wiederkehrende Abläufe standardisiert werden.
Hierzu gehören beispielsweise das Anlegen neuer Benutzer, der Austritt von Mitarbeitenden, Softwarefreigaben, Änderungen an Servern, Backup-Kontrollen oder die Behandlung von Sicherheitsvorfällen. Klare Prozesse erhöhen die Qualität und reduzieren Fehler.
Phase 11 – Technische Maßnahmen umsetzen
Erst jetzt beginnt die eigentliche technische Umsetzung der geplanten Verbesserungen.
Dazu gehören beispielsweise Netzwerksegmentierung, Einführung von MFA, BitLocker-Verschlüsselung, EDR-Lösungen, Härtung von Servern, Monitoring, zentrale Protokollierung, Patchmanagement oder die Modernisierung veralteter Systeme. Welche Maßnahmen sinnvoll sind, hängt von den zuvor ermittelten Risiken ab.
Phase 12 – Notfallmanagement und Business Continuity
Kein Unternehmen kann jeden Sicherheitsvorfall verhindern. Deshalb muss bereits vorher festgelegt werden, wie im Ernstfall gehandelt wird.
Typische Szenarien sind Serverausfälle, Cyberangriffe, Internetausfälle, Feuer, Wasserschäden oder der Ausfall eines wichtigen Dienstleisters. Ziel ist es, den Geschäftsbetrieb möglichst schnell wiederherzustellen und Schäden zu minimieren.
Phase 13 – Mitarbeitende sensibilisieren
Technische Schutzmaßnahmen allein reichen nicht aus. Viele Sicherheitsvorfälle entstehen durch menschliche Fehler.
Regelmäßige Schulungen vermitteln den sicheren Umgang mit Passwörtern, E-Mails, Phishing, mobilen Geräten, vertraulichen Informationen und Social Engineering. Sicherheitsbewusstsein sollte Teil der Unternehmenskultur werden und nicht nur einmal jährlich behandelt werden.
Phase 14 – Überprüfen und kontinuierlich verbessern
Ein ISMS ist niemals abgeschlossen. Unternehmen verändern sich ständig und damit auch die Risiken.
Neue Mitarbeitende, neue Software, geänderte Geschäftsprozesse oder neue Bedrohungen machen regelmäßige Überprüfungen notwendig. Deshalb werden Sicherheitsmaßnahmen, Risiken und Dokumentationen in festgelegten Abständen bewertet und bei Bedarf angepasst.
Das Ergebnis
Nach Abschluss aller Phasen verfügt das Unternehmen über ein strukturiertes Informationssicherheits-Managementsystem, das sowohl organisatorische als auch technische Aspekte berücksichtigt.
Unabhängig davon, ob später eine ISO/IEC-27001-Zertifizierung angestrebt wird, entsteht dadurch eine nachvollziehbare Dokumentation, ein klar definiertes Sicherheitsniveau und eine belastbare Grundlage für den langfristigen sicheren Betrieb der IT.