Der Weg zum ISMS
Einleitung
Informationssicherheit ist heute keine Frage mehr der Unternehmensgröße. Während früher hauptsächlich Konzerne Ziel von Cyberangriffen waren, richten sich Angriffe heute zunehmend gegen kleine und mittelständische Unternehmen. Der Grund ist einfach: KMU verfügen häufig über weniger Schutzmaßnahmen und sind dadurch ein attraktives Ziel.
Ein Informationssicherheits-Managementsystem (ISMS) hilft dabei, Informationen und IT-Systeme systematisch zu schützen. Dabei geht es nicht darum, jedes Risiko vollständig auszuschließen – das ist in der Praxis unmöglich. Ziel ist vielmehr, Risiken zu erkennen, zu bewerten und auf ein akzeptables Maß zu reduzieren.
Ein ISMS ist deshalb kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess. Das Unternehmen überprüft regelmäßig seine Sicherheitsmaßnahmen, bewertet neue Risiken und passt seine Prozesse entsprechend an.
Was ist ein ISMS?
Ein Informationssicherheits-Managementsystem (ISMS) ist die Gesamtheit aller organisatorischen und technischen Maßnahmen, mit denen ein Unternehmen seine Informationen schützt.
Dabei werden insbesondere die drei klassischen Schutzziele berücksichtigt:
-
Vertraulichkeit – Informationen dürfen nur von berechtigten Personen eingesehen werden.
-
Integrität – Informationen dürfen nicht unbemerkt verändert oder beschädigt werden.
-
Verfügbarkeit – Informationen und Systeme müssen verfügbar sein, wenn sie benötigt werden.
Ein ISMS besteht daher nicht nur aus Firewalls, Virenscannern oder Backups. Ebenso wichtig sind organisatorische Regelungen, Verantwortlichkeiten, Dokumentationen und definierte Prozesse.
Warum benötigt ein Unternehmen ein ISMS?
Ein funktionierendes ISMS schafft Transparenz und reduziert Risiken.
Es hilft unter anderem dabei,
-
Cyberangriffe besser abzuwehren,
-
Ausfallzeiten zu reduzieren,
-
Datenverluste zu vermeiden,
-
gesetzliche Anforderungen einzuhalten,
-
Kundenanforderungen zu erfüllen,
-
Verantwortlichkeiten eindeutig festzulegen,
-
den Betrieb auch im Notfall aufrechterhalten zu können.
Ein weiterer Vorteil besteht darin, dass Sicherheitsmaßnahmen geplant und nachvollziehbar umgesetzt werden, anstatt erst nach einem Sicherheitsvorfall hektisch reagieren zu müssen.
Für wen ist ein ISMS sinnvoll?
Grundsätzlich profitiert nahezu jedes Unternehmen von einem strukturierten Umgang mit Informationssicherheit.
Besonders sinnvoll ist ein ISMS für Unternehmen,
-
die personenbezogene Daten verarbeiten,
-
die von ihrer IT abhängig sind,
-
die Kunden- oder Geschäftsgeheimnisse schützen müssen,
-
die gesetzliche oder vertragliche Anforderungen erfüllen müssen,
-
die ihre IT professioneller organisieren möchten,
-
die wachsen und ihre Prozesse standardisieren möchten.
Dabei spielt die Unternehmensgröße zunächst eine untergeordnete Rolle. Ein Unternehmen mit zehn Mitarbeitenden kann durch einen Cyberangriff genauso handlungsunfähig werden wie ein Unternehmen mit tausend Beschäftigten.
Für wen ist eine ISO-27001-Zertifizierung sinnvoll?
Ein häufiger Irrtum besteht darin, ein ISMS mit einer ISO-27001-Zertifizierung gleichzusetzen.
Ein Unternehmen kann ein sehr gutes ISMS besitzen, ohne jemals eine Zertifizierung anzustreben.
Eine Zertifizierung lohnt sich insbesondere dann,
-
wenn Kunden diese verlangen,
-
wenn öffentliche Ausschreibungen dies voraussetzen,
-
wenn sie einen Wettbewerbsvorteil bietet,
-
wenn regulatorische Anforderungen bestehen.
Viele kleine und mittlere Unternehmen benötigen dagegen keine offizielle Zertifizierung. Sie profitieren dennoch erheblich davon, ihre Informationssicherheit nach den Grundprinzipien der ISO/IEC 27001 oder vergleichbarer Standards aufzubauen.
Für wen ist ein vollständiges ISMS möglicherweise nicht geeignet?
Nicht jedes Unternehmen benötigt sofort ein umfangreich dokumentiertes Managementsystem.
Bei sehr kleinen Unternehmen mit wenigen Mitarbeitenden kann ein vollständiges ISMS schnell mehr Verwaltungsaufwand als Nutzen erzeugen.
In solchen Fällen empfiehlt sich ein pragmatischer Einstieg:
-
IT-Landschaft dokumentieren
-
Verantwortlichkeiten festlegen
-
Backups prüfen
-
Patchmanagement etablieren
-
Benutzerverwaltung verbessern
-
Notfallmaßnahmen dokumentieren
-
Risiken bewerten
Diese Maßnahmen bilden bereits die Grundlage eines späteren vollständigen ISMS.
Unser Ansatz
Wir orientieren uns grundsätzlich an den bewährten Grundsätzen der ISO/IEC 27001, verfolgen jedoch einen praxisnahen Ansatz.
Unser Ziel ist es nicht, möglichst viele Dokumente zu erstellen, sondern die tatsächliche Sicherheit des Unternehmens nachhaltig zu verbessern.
Deshalb beginnen wir jedes Projekt mit einer umfassenden Bestandsaufnahme. Erst wenn bekannt ist,
-
welche Systeme vorhanden sind,
-
welche Informationen verarbeitet werden,
-
welche Risiken bestehen und
-
welche Geschäftsprozesse kritisch sind,
können sinnvolle Maßnahmen geplant und priorisiert werden.
Das Ergebnis ist ein schrittweiser Weg zu einem individuell passenden Informationssicherheitsniveau – unabhängig davon, ob später eine Zertifizierung angestrebt wird oder nicht.
Der Weg zum ISMS
Diese Dokumentation beschreibt den Weg von einem Unternehmen ohne strukturierte Informationssicherheit bis hin zu einem professionell organisierten Informationssicherheits-Managementsystem.
Der Ablauf orientiert sich an folgenden Schritten:
-
Unternehmen verstehen
-
Rechtliche und vertragliche Anforderungen erfassen
-
IT-Landschaft aufnehmen
-
Assets identifizieren
-
Risiken bewerten
-
Sicherheitsmaßnahmen planen
-
Dokumentation erstellen
-
Prozesse etablieren
-
Mitarbeitende sensibilisieren
-
Regelmäßig überprüfen und verbessern
Jedes Kapitel dieser Dokumentation baut auf dem vorherigen auf und kann auch unabhängig als Nachschlagewerk verwendet werden.