Phase 1 – Unternehmen verstehen
Phase 1 – Unternehmen verstehen
"Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen."
Ziel der Phase
Bevor Server inventarisiert, Firewalls bewertet oder Passwortrichtlinien erstellt werden, muss zunächst verstanden werden, wie das Unternehmen arbeitet.
Viele IT-Projekte beginnen mit der Technik. Für ein erfolgreiches ISMS ist dies jedoch der falsche Ansatz. Informationssicherheit schützt keine Computer, sondern die Geschäftsprozesse und Informationen eines Unternehmens.
Das Ziel dieser Phase besteht darin, das Unternehmen vollständig kennenzulernen. Erst wenn bekannt ist, welche Produkte oder Dienstleistungen angeboten werden, welche Prozesse geschäftskritisch sind und welche Personen Verantwortung tragen, können Risiken sinnvoll bewertet werden.
Am Ende dieser Phase sollte der IT-Berater das Unternehmen so gut verstehen, dass er einem Außenstehenden erklären kann, wie das Unternehmen arbeitet.
Warum ist diese Phase wichtig?
Ein kleines Produktionsunternehmen benötigt völlig andere Sicherheitsmaßnahmen als ein Architekturbüro oder ein Steuerberater.
Ebenso unterscheiden sich die Anforderungen zwischen einem Unternehmen mit ausschließlich Büroarbeitsplätzen und einem Unternehmen mit Produktionsmaschinen, Außendienst oder mehreren Standorten.
Ohne dieses Verständnis besteht die Gefahr, Sicherheitsmaßnahmen umzusetzen, die zwar technisch sinnvoll erscheinen, den tatsächlichen Geschäftsbetrieb jedoch kaum verbessern oder sogar behindern.
Informationssicherheit muss sich immer am Unternehmen orientieren – niemals umgekehrt.
Ergebnis der Phase
Nach Abschluss dieser Phase sollten folgende Fragen beantwortet werden können:
-
Was macht das Unternehmen?
-
Womit verdient es sein Geld?
-
Welche Geschäftsprozesse sind kritisch?
-
Welche Informationen sind besonders schützenswert?
-
Wer trägt Verantwortung?
-
Welche Abteilungen gibt es?
-
Welche externen Partner spielen eine wichtige Rolle?
Erst wenn diese Fragen beantwortet sind, beginnt die eigentliche technische Betrachtung.
Checkliste
Unternehmensdaten
Ziel
Die grundlegenden Stammdaten des Unternehmens bilden die Basis für sämtliche weiteren Arbeiten.
Zu erfassende Informationen
-
Firmenname
-
Rechtsform
-
Branche
-
Anzahl der Mitarbeitenden
-
Anzahl der Standorte
-
Gründungsjahr
-
Ansprechpartner
-
Geschäftsführung
Erläuterung
Diese Informationen erscheinen zunächst selbstverständlich, liefern jedoch bereits wichtige Hinweise.
Ein Unternehmen mit 15 Mitarbeitenden kann beispielsweise vollständig digital arbeiten oder eine Produktion mit Schichtbetrieb besitzen. Beides hat erhebliche Auswirkungen auf spätere Sicherheitsmaßnahmen.
Unternehmensstruktur
Ziel
Verstehen, wie das Unternehmen organisatorisch aufgebaut ist.
Zu erfassende Informationen
-
Organigramm
-
Abteilungen
-
Verantwortungsbereiche
-
Teamgrößen
-
Entscheidungswege
Erläuterung
Informationssicherheit betrifft niemals ausschließlich die IT.
Bereits in dieser Phase sollte geklärt werden, wer Entscheidungen treffen darf, wer Budgets freigibt und wer später Richtlinien genehmigt.
Oft existiert kein offizielles Organigramm. In kleinen Unternehmen genügt häufig eine einfache Skizze.
Geschäftsbereiche
Ziel
Verstehen, womit das Unternehmen Geld verdient.
Zu erfassende Informationen
-
Produkte
-
Dienstleistungen
-
Kundenstruktur
-
Lieferanten
-
Märkte
-
Besonderheiten
Erläuterung
Die eigentliche Wertschöpfung bestimmt später die Schutzbedarfe.
Ein Maschinenbauer schützt Konstruktionszeichnungen.
Ein Steuerberater schützt Mandantendaten.
Ein Onlineshop schützt Bestellungen und Zahlungsdaten.
Ein IT-Dienstleister schützt Kundensysteme und Zugangsdaten.
Geschäftsprozesse
Ziel
Die wichtigsten Abläufe im Unternehmen verstehen.
Zu erfassende Informationen
-
Vertrieb
-
Einkauf
-
Produktion
-
Projektgeschäft
-
Buchhaltung
-
Personal
-
Support
-
Lager
-
Versand
Erläuterung
Nicht jeder Prozess ist gleich wichtig.
Manche Prozesse dürfen mehrere Tage ausfallen.
Andere verursachen bereits nach wenigen Stunden erhebliche finanzielle Schäden.
Diese Priorisierung bildet später die Grundlage des Notfallmanagements.
Kritische Geschäftsprozesse
Ziel
Die Prozesse identifizieren, deren Ausfall das Unternehmen unmittelbar beeinträchtigen würde.
Beispiele
-
Rechnungsstellung
-
Warenversand
-
Produktionssteuerung
-
Warenwirtschaft
-
Telefonie
-
E-Mail
-
ERP-System
-
Zeiterfassung
Erläuterung
Die Frage lautet:
"Was würde passieren, wenn dieser Prozess morgen früh nicht mehr funktioniert?"
Kann das Unternehmen dennoch mehrere Tage weiterarbeiten?
Oder steht der Betrieb nach wenigen Stunden still?
Mitarbeitende
Ziel
Überblick über die personelle Struktur gewinnen.
Zu erfassende Informationen
-
Anzahl Mitarbeitende
-
Vollzeit / Teilzeit
-
Homeoffice
-
Außendienst
-
Schichtbetrieb
-
Saisonkräfte
-
Externe Mitarbeitende
Erläuterung
Die Anzahl der Mitarbeitenden ist weniger entscheidend als deren Arbeitsweise.
Ein Unternehmen mit ausschließlich Büroarbeitsplätzen stellt andere Anforderungen als ein Unternehmen mit vielen mobilen Mitarbeitenden.
Standorte
Ziel
Alle Betriebsstätten erfassen.
Beispiele
-
Hauptsitz
-
Niederlassungen
-
Lager
-
Produktion
-
Rechenzentrum
-
Homeoffice
Erläuterung
Jeder zusätzliche Standort erhöht die organisatorische Komplexität.
Besonders wichtig sind Fragen zur Netzwerkanbindung, Datensicherung und Verantwortlichkeit vor Ort.
Arbeitsweise
Ziel
Verstehen, wie gearbeitet wird.
Beispiele
-
Büroarbeitsplätze
-
Produktion
-
Außendienst
-
Homeoffice
-
Mobile Geräte
-
VPN
-
Cloud-Anwendungen
Erläuterung
Hier zeigt sich häufig bereits, welche Sicherheitsmaßnahmen später erforderlich werden.
Viele mobile Arbeitsplätze machen beispielsweise VPN, MFA und Mobile Device Management deutlich wichtiger als in einem klassischen Büro.
Externe Dienstleister
Ziel
Alle wichtigen Partner identifizieren.
Beispiele
-
IT-Dienstleister
-
Steuerberater
-
Softwarehäuser
-
Cloud-Anbieter
-
Telefonanbieter
-
Hostinganbieter
-
Managed-Service-Provider
Erläuterung
Gerade bei kleinen Unternehmen übernimmt häufig ein externer Dienstleister große Teile der IT.
Dabei sollte geklärt werden,
-
welche Leistungen erbracht werden,
-
welche Verträge bestehen,
-
wer welche Verantwortung trägt,
-
und welche Dokumentationen vorhanden sind.
Kommunikationswege
Ziel
Verstehen, wie intern und extern kommuniziert wird.
Beispiele
-
E-Mail
-
Telefonie
-
Microsoft Teams
-
Videokonferenzen
-
Messenger
-
Ticketsysteme
Erläuterung
Kommunikation gehört zu den wichtigsten Geschäftsprozessen.
Fällt sie aus oder wird kompromittiert, kann dies erhebliche wirtschaftliche Folgen haben.
Typische Probleme
In nahezu jedem Erstgespräch treten ähnliche Situationen auf.
Beispiele:
-
Es existiert keine Dokumentation.
-
Niemand kennt alle Passwörter.
-
Der externe IT-Dienstleister besitzt exklusives Wissen.
-
Niemand weiß, welche Software tatsächlich genutzt wird.
-
Es gibt keinen Verantwortlichen für Informationssicherheit.
-
Die Geschäftsführung geht davon aus, dass "der IT-Dienstleister sich darum kümmert".
Diese Erkenntnisse sind keine Kritik, sondern Ausgangspunkt für die weiteren Phasen.
Interviewfragen an den Kunden
Zum Abschluss dieser Phase sollte der IT-Berater unter anderem folgende Fragen beantworten können:
-
Was macht Ihr Unternehmen genau?
-
Welche Leistungen sind für Ihr Unternehmen besonders wichtig?
-
Welche Geschäftsprozesse dürfen niemals ausfallen?
-
Welche Systeme werden täglich benötigt?
-
Welche Informationen wären bei einem Verlust besonders kritisch?
-
Wer trifft Entscheidungen in der IT?
-
Welche externen Dienstleister arbeiten für Sie?
-
Gibt es bekannte Schwachstellen oder wiederkehrende Probleme?
-
Welche Veränderungen sind in den nächsten Jahren geplant?
Ergebnis der Phase
Nach Abschluss der ersten Phase besitzt der IT-Berater ein umfassendes Verständnis des Unternehmens.
Er kennt die wichtigsten Geschäftsprozesse, die organisatorische Struktur und die kritischen Bereiche des Unternehmens.
Damit ist die Grundlage geschaffen, um in der nächsten Phase die Verantwortlichkeiten, rechtlichen Rahmenbedingungen und organisatorischen Anforderungen systematisch zu erfassen.