Skip to main content

Phase 1 – Unternehmen verstehen

Phase 1 – Unternehmen verstehen

"Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen."


Ziel der Phase

Bevor Server inventarisiert, Firewalls bewertet oder Passwortrichtlinien erstellt werden, muss zunächst verstanden werden, wie das Unternehmen arbeitet.

Viele IT-Projekte beginnen mit der Technik. Für ein erfolgreiches ISMS ist dies jedoch der falsche Ansatz. Informationssicherheit schützt keine Computer, sondern die Geschäftsprozesse und Informationen eines Unternehmens.

Das Ziel dieser Phase besteht darin, das Unternehmen vollständig kennenzulernen. Erst wenn bekannt ist, welche Produkte oder Dienstleistungen angeboten werden, welche Prozesse geschäftskritisch sind und welche Personen Verantwortung tragen, können Risiken sinnvoll bewertet werden.

Am Ende dieser Phase sollte der IT-Berater das Unternehmen so gut verstehen, dass er einem Außenstehenden erklären kann, wie das Unternehmen arbeitet.


Warum ist diese Phase wichtig?

Ein kleines Produktionsunternehmen benötigt völlig andere Sicherheitsmaßnahmen als ein Architekturbüro oder ein Steuerberater.

Ebenso unterscheiden sich die Anforderungen zwischen einem Unternehmen mit ausschließlich Büroarbeitsplätzen und einem Unternehmen mit Produktionsmaschinen, Außendienst oder mehreren Standorten.

Ohne dieses Verständnis besteht die Gefahr, Sicherheitsmaßnahmen umzusetzen, die zwar technisch sinnvoll erscheinen, den tatsächlichen Geschäftsbetrieb jedoch kaum verbessern oder sogar behindern.

Informationssicherheit muss sich immer am Unternehmen orientieren – niemals umgekehrt.


Ergebnis der Phase

Nach Abschluss dieser Phase sollten folgende Fragen beantwortet werden können:

  • Was macht das Unternehmen?

  • Womit verdient es sein Geld?

  • Welche Geschäftsprozesse sind kritisch?

  • Welche Informationen sind besonders schützenswert?

  • Wer trägt Verantwortung?

  • Welche Abteilungen gibt es?

  • Welche externen Partner spielen eine wichtige Rolle?

Erst wenn diese Fragen beantwortet sind, beginnt die eigentliche technische Betrachtung.


Checkliste


Unternehmensdaten

Ziel

Die grundlegenden Stammdaten des Unternehmens bilden die Basis für sämtliche weiteren Arbeiten.

Zu erfassende Informationen

  • Firmenname

  • Rechtsform

  • Branche

  • Anzahl der Mitarbeitenden

  • Anzahl der Standorte

  • Gründungsjahr

  • Ansprechpartner

  • Geschäftsführung

Erläuterung

Diese Informationen erscheinen zunächst selbstverständlich, liefern jedoch bereits wichtige Hinweise.

Ein Unternehmen mit 15 Mitarbeitenden kann beispielsweise vollständig digital arbeiten oder eine Produktion mit Schichtbetrieb besitzen. Beides hat erhebliche Auswirkungen auf spätere Sicherheitsmaßnahmen.


Unternehmensstruktur

Ziel

Verstehen, wie das Unternehmen organisatorisch aufgebaut ist.

Zu erfassende Informationen

  • Organigramm

  • Abteilungen

  • Verantwortungsbereiche

  • Teamgrößen

  • Entscheidungswege

Erläuterung

Informationssicherheit betrifft niemals ausschließlich die IT.

Bereits in dieser Phase sollte geklärt werden, wer Entscheidungen treffen darf, wer Budgets freigibt und wer später Richtlinien genehmigt.

Oft existiert kein offizielles Organigramm. In kleinen Unternehmen genügt häufig eine einfache Skizze.


Geschäftsbereiche

Ziel

Verstehen, womit das Unternehmen Geld verdient.

Zu erfassende Informationen

  • Produkte

  • Dienstleistungen

  • Kundenstruktur

  • Lieferanten

  • Märkte

  • Besonderheiten

Erläuterung

Die eigentliche Wertschöpfung bestimmt später die Schutzbedarfe.

Ein Maschinenbauer schützt Konstruktionszeichnungen.

Ein Steuerberater schützt Mandantendaten.

Ein Onlineshop schützt Bestellungen und Zahlungsdaten.

Ein IT-Dienstleister schützt Kundensysteme und Zugangsdaten.


Geschäftsprozesse

Ziel

Die wichtigsten Abläufe im Unternehmen verstehen.

Zu erfassende Informationen

  • Vertrieb

  • Einkauf

  • Produktion

  • Projektgeschäft

  • Buchhaltung

  • Personal

  • Support

  • Lager

  • Versand

Erläuterung

Nicht jeder Prozess ist gleich wichtig.

Manche Prozesse dürfen mehrere Tage ausfallen.

Andere verursachen bereits nach wenigen Stunden erhebliche finanzielle Schäden.

Diese Priorisierung bildet später die Grundlage des Notfallmanagements.


Kritische Geschäftsprozesse

Ziel

Die Prozesse identifizieren, deren Ausfall das Unternehmen unmittelbar beeinträchtigen würde.

Beispiele

  • Rechnungsstellung

  • Warenversand

  • Produktionssteuerung

  • Warenwirtschaft

  • Telefonie

  • E-Mail

  • ERP-System

  • Zeiterfassung

Erläuterung

Die Frage lautet:

"Was würde passieren, wenn dieser Prozess morgen früh nicht mehr funktioniert?"

Kann das Unternehmen dennoch mehrere Tage weiterarbeiten?

Oder steht der Betrieb nach wenigen Stunden still?


Mitarbeitende

Ziel

Überblick über die personelle Struktur gewinnen.

Zu erfassende Informationen

  • Anzahl Mitarbeitende

  • Vollzeit / Teilzeit

  • Homeoffice

  • Außendienst

  • Schichtbetrieb

  • Saisonkräfte

  • Externe Mitarbeitende

Erläuterung

Die Anzahl der Mitarbeitenden ist weniger entscheidend als deren Arbeitsweise.

Ein Unternehmen mit ausschließlich Büroarbeitsplätzen stellt andere Anforderungen als ein Unternehmen mit vielen mobilen Mitarbeitenden.


Standorte

Ziel

Alle Betriebsstätten erfassen.

Beispiele

  • Hauptsitz

  • Niederlassungen

  • Lager

  • Produktion

  • Rechenzentrum

  • Homeoffice

Erläuterung

Jeder zusätzliche Standort erhöht die organisatorische Komplexität.

Besonders wichtig sind Fragen zur Netzwerkanbindung, Datensicherung und Verantwortlichkeit vor Ort.


Arbeitsweise

Ziel

Verstehen, wie gearbeitet wird.

Beispiele

  • Büroarbeitsplätze

  • Produktion

  • Außendienst

  • Homeoffice

  • Mobile Geräte

  • VPN

  • Cloud-Anwendungen

Erläuterung

Hier zeigt sich häufig bereits, welche Sicherheitsmaßnahmen später erforderlich werden.

Viele mobile Arbeitsplätze machen beispielsweise VPN, MFA und Mobile Device Management deutlich wichtiger als in einem klassischen Büro.


Externe Dienstleister

Ziel

Alle wichtigen Partner identifizieren.

Beispiele

  • IT-Dienstleister

  • Steuerberater

  • Softwarehäuser

  • Cloud-Anbieter

  • Telefonanbieter

  • Hostinganbieter

  • Managed-Service-Provider

Erläuterung

Gerade bei kleinen Unternehmen übernimmt häufig ein externer Dienstleister große Teile der IT.

Dabei sollte geklärt werden,

  • welche Leistungen erbracht werden,

  • welche Verträge bestehen,

  • wer welche Verantwortung trägt,

  • und welche Dokumentationen vorhanden sind.


Kommunikationswege

Ziel

Verstehen, wie intern und extern kommuniziert wird.

Beispiele

  • E-Mail

  • Telefonie

  • Microsoft Teams

  • Videokonferenzen

  • Messenger

  • Ticketsysteme

Erläuterung

Kommunikation gehört zu den wichtigsten Geschäftsprozessen.

Fällt sie aus oder wird kompromittiert, kann dies erhebliche wirtschaftliche Folgen haben.


Typische Probleme

In nahezu jedem Erstgespräch treten ähnliche Situationen auf.

Beispiele:

  • Es existiert keine Dokumentation.

  • Niemand kennt alle Passwörter.

  • Der externe IT-Dienstleister besitzt exklusives Wissen.

  • Niemand weiß, welche Software tatsächlich genutzt wird.

  • Es gibt keinen Verantwortlichen für Informationssicherheit.

  • Die Geschäftsführung geht davon aus, dass "der IT-Dienstleister sich darum kümmert".

Diese Erkenntnisse sind keine Kritik, sondern Ausgangspunkt für die weiteren Phasen.


Interviewfragen an den Kunden

Zum Abschluss dieser Phase sollte der IT-Berater unter anderem folgende Fragen beantworten können:

  • Was macht Ihr Unternehmen genau?

  • Welche Leistungen sind für Ihr Unternehmen besonders wichtig?

  • Welche Geschäftsprozesse dürfen niemals ausfallen?

  • Welche Systeme werden täglich benötigt?

  • Welche Informationen wären bei einem Verlust besonders kritisch?

  • Wer trifft Entscheidungen in der IT?

  • Welche externen Dienstleister arbeiten für Sie?

  • Gibt es bekannte Schwachstellen oder wiederkehrende Probleme?

  • Welche Veränderungen sind in den nächsten Jahren geplant?


Ergebnis der Phase

Nach Abschluss der ersten Phase besitzt der IT-Berater ein umfassendes Verständnis des Unternehmens.

Er kennt die wichtigsten Geschäftsprozesse, die organisatorische Struktur und die kritischen Bereiche des Unternehmens.

Damit ist die Grundlage geschaffen, um in der nächsten Phase die Verantwortlichkeiten, rechtlichen Rahmenbedingungen und organisatorischen Anforderungen systematisch zu erfassen.