Skip to main content

Phase 1 – Unternehmen verstehen

„Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen.“

Einleitung

Jedes Informationssicherheits-Managementsystem (ISMS) beginnt mit einer einfachen Frage:

Was genau soll eigentlich geschützt werden?

Viele Unternehmen und auch manche IT-Dienstleister beginnen sofort mit der Analyse der IT-Infrastruktur. Server werden inventarisiert, Firewalls geprüft und Backupkonzepte bewertet. Für den Aufbau eines nachhaltigen ISMS ist dies jedoch nicht der richtige Einstieg.

Informationssicherheit schützt nicht die IT selbst, sondern die Geschäftsprozesse und Informationen eines Unternehmens. Die IT ist lediglich ein Werkzeug, mit dem diese Prozesse unterstützt werden.

Deshalb muss zunächst verstanden werden, wie das Unternehmen arbeitet, welche Leistungen es erbringt, welche Informationen verarbeitet werden und welche Prozesse für den Geschäftserfolg unverzichtbar sind.

Diese erste Phase bildet das Fundament für alle weiteren Arbeiten. Fehler oder fehlende Informationen in dieser Phase führen später häufig dazu, dass Risiken falsch bewertet oder Maßnahmen umgesetzt werden, die den tatsächlichen Bedarf des Unternehmens nicht treffen.


Ziel der Phase

Nach Abschluss dieser Phase soll ein umfassendes Verständnis des Unternehmens vorliegen.

Dabei geht es ausdrücklich nicht um technische Details, sondern um das Unternehmen selbst.

Folgende Fragen sollten anschließend beantwortet werden können:

  • Womit verdient das Unternehmen sein Geld?
  • Welche Produkte oder Dienstleistungen werden angeboten?
  • Welche Geschäftsprozesse sind für den täglichen Betrieb unverzichtbar?
  • Welche Personen tragen Verantwortung?
  • Welche Informationen besitzen einen besonderen Wert?
  • Welche externen Partner sind für den Geschäftsbetrieb wichtig?

Erst wenn diese Fragen beantwortet sind, sollte mit der technischen Analyse begonnen werden.


Benötigte Teilnehmer

Je nach Unternehmensgröße sollten möglichst folgende Personen an dieser Phase teilnehmen:

  • Geschäftsführung
  • IT-Verantwortlicher, intern oder extern
  • Verantwortliche der wichtigsten Fachabteilungen
  • Datenschutzbeauftragter, falls vorhanden
  • Qualitätsmanagement, falls vorhanden

Gerade in kleinen Unternehmen übernimmt häufig die Geschäftsführung mehrere dieser Rollen gleichzeitig.


Arbeitsergebnisse der Phase

Nach Abschluss dieser Phase sollten mindestens folgende Dokumente erstellt worden sein:

  • Unternehmensprofil
  • Organigramm
  • Übersicht der Geschäftsbereiche
  • Liste der wichtigsten Ansprechpartner
  • Übersicht der Geschäftsprozesse
  • Liste kritischer Geschäftsprozesse
  • Übersicht externer Dienstleister
  • Offene Fragen für die nächste Phase

Diese Dokumente bilden die Grundlage für alle weiteren Kapitel.


Warum ist diese Phase wichtig?

Jedes Unternehmen arbeitet unterschiedlich.

Ein Steuerberater verarbeitet hauptsächlich vertrauliche Mandantendaten.

Ein Maschinenbauer schützt Konstruktionszeichnungen und Produktionsdaten.

Ein Onlinehändler ist auf sein Shopsystem angewiesen.

Ein IT-Dienstleister verwaltet Zugangsdaten und Kundensysteme.

Obwohl alle diese Unternehmen Computer einsetzen, unterscheiden sich ihre Risiken erheblich.

Deshalb gibt es keine allgemeingültige Sicherheitslösung. Ein ISMS muss sich immer am Unternehmen orientieren.


Checkliste

Unternehmensdaten

Ziel

Erfassung der grundlegenden Stammdaten des Unternehmens.

Zu erfassende Informationen

  • Firmenname
  • Rechtsform
  • Branche
  • Gründungsjahr
  • Anzahl der Mitarbeitenden
  • Anzahl der Standorte
  • Geschäftsführung

Warum ist das wichtig?

Diese Informationen liefern einen ersten Überblick über Größe und Struktur des Unternehmens. Außerdem ergeben sich daraus häufig bereits erste gesetzliche oder branchenspezifische Anforderungen.

Ein Unternehmen mit 15 Mitarbeitenden benötigt beispielsweise andere organisatorische Maßnahmen als ein Unternehmen mit mehreren hundert Beschäftigten oder mehreren Niederlassungen.


Unternehmensstruktur

Ziel

Die organisatorische Struktur verstehen.

Zu erfassende Informationen

  • Organigramm
  • Abteilungen
  • Verantwortlichkeiten
  • Entscheidungswege
  • Vertretungsregelungen

Warum ist das wichtig?

Informationssicherheit ist keine reine IT-Aufgabe.

Bereits in dieser Phase sollte geklärt werden, wer Entscheidungen treffen darf, wer Budgets freigibt, wer Richtlinien genehmigt und wer später Verantwortung für einzelne Maßnahmen übernimmt.

Gerade in kleineren Unternehmen existieren diese Informationen häufig nur im Kopf der Geschäftsführung.


Geschäftsbereiche

Ziel

Die wirtschaftliche Grundlage des Unternehmens verstehen.

Zu erfassende Informationen

  • Produkte
  • Dienstleistungen
  • Kundenstruktur
  • Lieferanten
  • Märkte
  • Besonderheiten

Warum ist das wichtig?

Nur wer versteht, womit ein Unternehmen Geld verdient, kann später beurteilen, welche Informationen und Systeme besonders schützenswert sind.

Ein Produktionsunternehmen bewertet beispielsweise Maschinenstillstände völlig anders als ein Beratungsunternehmen.


Geschäftsprozesse

Ziel

Die wichtigsten Abläufe innerhalb des Unternehmens erfassen.

Zu erfassende Informationen

  • Vertrieb
  • Einkauf
  • Produktion
  • Projektgeschäft
  • Buchhaltung
  • Personalwesen
  • Support
  • Lager
  • Versand

Warum ist das wichtig?

Geschäftsprozesse bilden später die Grundlage der Risikoanalyse.

Dabei geht es nicht nur darum, welche Tätigkeiten durchgeführt werden, sondern auch darum, welche Systeme, Personen und Informationen hierfür benötigt werden.

Ein gut dokumentierter Geschäftsprozess erleichtert später sowohl die Risikoanalyse als auch das Notfallmanagement.


Kritische Geschäftsprozesse

Ziel

Die Prozesse identifizieren, deren Ausfall unmittelbare Auswirkungen auf das Unternehmen hätte.

Beispiele

  • Rechnungsstellung
  • ERP-System
  • Produktionssteuerung
  • Warenwirtschaft
  • Telefonie
  • E-Mail
  • Zeiterfassung
  • Kundenportal

Warum ist das wichtig?

Nicht jeder Geschäftsprozess besitzt den gleichen Stellenwert. Während manche Prozesse problemlos mehrere Tage ausfallen können, führt der Ausfall anderer Prozesse bereits nach wenigen Stunden zu erheblichen wirtschaftlichen Schäden.

Diese Erkenntnisse bilden später die Grundlage für Notfallmanagement, Wiederanlaufplanung und Priorisierung von Schutzmaßnahmen.


Mitarbeitende

Ziel

Die personelle Struktur des Unternehmens kennenlernen.

Zu erfassende Informationen

  • Anzahl der Mitarbeitenden
  • Vollzeit und Teilzeit
  • Homeoffice
  • Außendienst
  • Schichtbetrieb
  • Externe Mitarbeitende

Warum ist das wichtig?

Die Arbeitsweise der Mitarbeitenden beeinflusst viele spätere Sicherheitsmaßnahmen.

Ein Unternehmen mit überwiegend mobilen Arbeitsplätzen benötigt beispielsweise andere Sicherheitskonzepte als ein Unternehmen mit ausschließlich stationären Büroarbeitsplätzen.


Standorte

Ziel

Alle Betriebsstätten und Arbeitsorte erfassen.

Zu erfassende Informationen

  • Hauptsitz
  • Niederlassungen
  • Lager
  • Produktion
  • Homeoffice
  • Externe Rechenzentren

Warum ist das wichtig?

Jeder zusätzliche Standort erhöht die organisatorische und technische Komplexität.

Netzwerke, Datensicherung, Zugriffsrechte und Notfallkonzepte müssen standortübergreifend betrachtet werden.


Arbeitsweise

Ziel

Verstehen, wie die Mitarbeitenden täglich arbeiten.

Zu erfassende Informationen

  • Büroarbeitsplätze
  • Mobile Arbeitsplätze
  • Homeoffice
  • Außendienst
  • VPN
  • Cloud-Anwendungen
  • Mobile Endgeräte

Warum ist das wichtig?

Die tägliche Arbeitsweise bestimmt viele spätere Sicherheitsmaßnahmen.

Je flexibler gearbeitet wird, desto wichtiger werden beispielsweise Mehr-Faktor-Authentifizierung, Mobile Device Management, sichere Fernzugriffe und klare Vorgaben zur Nutzung privater Geräte.


Externe Dienstleister

Ziel

Alle externen Partner erfassen, die Einfluss auf die Informationssicherheit haben.

Zu erfassende Informationen

  • IT-Dienstleister
  • Softwarehäuser
  • Hostinganbieter
  • Cloud-Anbieter
  • Steuerberater
  • Telefonanbieter
  • Managed Service Provider

Warum ist das wichtig?

Viele kleine Unternehmen lagern große Teile ihrer IT aus. Trotzdem verbleibt die Verantwortung für Informationssicherheit immer beim Unternehmen selbst.

Deshalb müssen Verantwortlichkeiten, Zuständigkeiten, Zugriffsrechte und Vertragsgrundlagen eindeutig dokumentiert werden.


Kommunikationswege

Ziel

Alle wichtigen Kommunikationskanäle erfassen.

Zu erfassende Informationen

  • E-Mail
  • Telefonie
  • Videokonferenzen
  • Microsoft Teams
  • Messenger
  • Ticketsysteme

Warum ist das wichtig?

Kommunikation gehört zu den wichtigsten Geschäftsprozessen.

Ein Ausfall der Kommunikationssysteme führt häufig bereits nach kurzer Zeit zu erheblichen Einschränkungen im Geschäftsbetrieb. Zusätzlich sind Kommunikationswege häufig Ziel von Phishing, Social Engineering und Betrugsversuchen.


Typische Feststellungen

In nahezu jedem Erstgespräch treten ähnliche Situationen auf.

Häufig fehlen:

  • aktuelle Dokumentationen
  • eindeutige Verantwortlichkeiten
  • vollständige Passwortübersichten
  • Netzwerkpläne
  • Übersichten der eingesetzten Software
  • Notfallpläne

Ebenso häufig verlässt sich die Geschäftsführung darauf, dass sich der externe IT-Dienstleister „um alles kümmert“, obwohl Verantwortlichkeiten nie schriftlich geregelt wurden.

Diese Feststellungen sind kein Zeichen schlechter Arbeit, sondern bilden den Ausgangspunkt für den Aufbau eines strukturierten ISMS.


Hinweise für den IT-Berater

Hören Sie während des Gesprächs aufmerksam zu.

Aussagen wie

  • „Das macht immer Herr Müller.“
  • „Das weiß nur unser IT-Dienstleister.“
  • „Das haben wir noch nie dokumentiert.“
  • „Das funktioniert einfach.“

sind häufig wertvolle Hinweise auf organisatorische Risiken.

Versuchen Sie außerdem, Zusammenhänge zwischen Geschäftsprozessen und IT-Systemen zu erkennen. Oft werden diese vom Kunden selbst als selbstverständlich angesehen und deshalb nicht erwähnt.

Wichtig ist auch, keine Vorwürfe zu formulieren. Gerade kleinere Unternehmen starten häufig ohne geregelte IT-Dokumentation. Ziel ist nicht die Bewertung der Vergangenheit, sondern der strukturierte Aufbau eines belastbaren Sicherheitsniveaus.


Praxistipp

Nach dem Erstgespräch sollten Sie versuchen, das Unternehmen einer außenstehenden Person in wenigen Minuten zu erklären.

Wenn Sie nachvollziehbar beschreiben können,

  • womit das Unternehmen Geld verdient,
  • welche Geschäftsprozesse kritisch sind,
  • welche Informationen besonders schützenswert sind,
  • welche Personen Verantwortung tragen,
  • und welche externen Partner beteiligt sind,

haben Sie das Ziel dieser Phase erreicht.


Ergebnis der Phase

Nach Abschluss der ersten Phase besitzen Sie ein grundlegendes Verständnis des Unternehmens, seiner Organisation und seiner Geschäftsprozesse.

Sie wissen, was geschützt werden muss und warum.

Erst auf dieser Grundlage kann in der nächsten Phase untersucht werden, welche rechtlichen, vertraglichen und organisatorischen Anforderungen an das spätere ISMS bestehen.