Skip to main content

Phase 1 – Unternehmen verstehen

Phase 1 – Unternehmen verstehen

"Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen."

Einleitung

Jedes Informationssicherheits-Managementsystem (ISMS) beginnt mit einer einfachen Frage:

Was


genau

Zielsoll eigentlich geschützt werden?

Viele Unternehmen und auch manche IT-Dienstleister beginnen sofort mit der Phase

Analyse

Bevorder IT-Infrastruktur. Server werden inventarisiert, Firewalls bewertetgeprüft oderund PasswortrichtlinienBackupkonzepte erstellt werden, muss zunächst verstanden werden, wie das Unternehmen arbeitet.

Viele IT-Projekte beginnen mit der Technik.bewertet. Für einden erfolgreichesAufbau eines nachhaltigen ISMS ist dies jedoch nicht der falscherichtige Ansatz.Einstieg.

Informationssicherheit schützt keinenicht Computer,die IT selbst, sondern die Geschäftsprozesse und Informationen eines Unternehmens. Die IT ist lediglich ein Werkzeug, mit dem diese Prozesse unterstützt werden.

DasDeshalb Zielmuss zunächst verstanden werden, wie das Unternehmen arbeitet, welche Leistungen es erbringt, welche Informationen verarbeitet werden und welche Prozesse für den Geschäftserfolg unverzichtbar sind.

Diese erste Phase bildet das Fundament für alle weiteren Arbeiten. Fehler oder fehlende Informationen in dieser Phase bestehtführen darin,später häufig dazu, dass Risiken falsch bewertet oder Maßnahmen umgesetzt werden, die den tatsächlichen Bedarf des Unternehmens nicht treffen.


Ziel der Phase

Nach Abschluss dieser Phase soll ein umfassendes Verständnis des Unternehmens vorliegen.

Dabei geht es ausdrücklich nicht um technische Details, sondern um das Unternehmen vollständigselbst.

kennenzulernen.

Folgende ErstFragen wennsollten bekanntanschließend ist,beantwortet welchewerden können:

  • Womit verdient das Unternehmen sein Geld?
  • Welche Produkte oder Dienstleistungen angebotenwerden werden,angeboten?
  • welche
  • Welche Prozesse geschäftskritischGeschäftsprozesse sind undfür welcheden täglichen Betrieb unverzichtbar?
  • Welche Personen Verantwortungtragen tragen,Verantwortung?
  • können
  • Welche RisikenInformationen sinnvollbesitzen bewerteteinen besonderen Wert?
  • Welche externen Partner sind für den Geschäftsbetrieb wichtig?

Erst wenn diese Fragen beantwortet sind, sollte mit der technischen Analyse begonnen werden.


Benötigte Teilnehmer

AmJe Endenach Unternehmensgröße sollten möglichst folgende Personen an dieser Phase sollteteilnehmen:

  • Geschäftsführung
  • IT-Verantwortlicher, intern oder extern
  • Verantwortliche der IT-Beraterwichtigsten dasFachabteilungen
  • Datenschutzbeauftragter, falls vorhanden
  • Qualitätsmanagement, falls vorhanden

Gerade in kleinen Unternehmen soübernimmt guthäufig verstehen,die dassGeschäftsführung ermehrere einemdieser AußenstehendenRollen erklärengleichzeitig.

kann,
wie

Arbeitsergebnisse dasder UnternehmenPhase

arbeitet.

Nach Abschluss dieser Phase sollten mindestens folgende Dokumente erstellt worden sein:

  • Unternehmensprofil
  • Organigramm
  • Übersicht der Geschäftsbereiche
  • Liste der wichtigsten Ansprechpartner
  • Übersicht der Geschäftsprozesse
  • Liste kritischer Geschäftsprozesse
  • Übersicht externer Dienstleister
  • Offene Fragen für die nächste Phase

Diese Dokumente bilden die Grundlage für alle weiteren Kapitel.


Warum ist diese Phase wichtig?

EinJedes kleinesUnternehmen Produktionsunternehmenarbeitet benötigt völlig andere Sicherheitsmaßnahmen als ein Architekturbüro oder ein Steuerberater.unterschiedlich.

EbensoEin Steuerberater verarbeitet hauptsächlich vertrauliche Mandantendaten.

Ein Maschinenbauer schützt Konstruktionszeichnungen und Produktionsdaten.

Ein Onlinehändler ist auf sein Shopsystem angewiesen.

Ein IT-Dienstleister verwaltet Zugangsdaten und Kundensysteme.

Obwohl alle diese Unternehmen Computer einsetzen, unterscheiden sich dieihre AnforderungenRisiken zwischen einem Unternehmen mit ausschließlich Büroarbeitsplätzen und einem Unternehmen mit Produktionsmaschinen, Außendienst oder mehreren Standorten.erheblich.

OhneDeshalb diesesgibt Verständnises bestehtkeine dieallgemeingültige Gefahr,Sicherheitslösung. SicherheitsmaßnahmenEin umzusetzen, die zwar technisch sinnvoll erscheinen, den tatsächlichen Geschäftsbetrieb jedoch kaum verbessern oder sogar behindern.

InformationssicherheitISMS muss sich immer am Unternehmen orientieren – niemals umgekehrt.


Ergebnis der Phase

Nach Abschluss dieser Phase sollten folgende Fragen beantwortet werden können:

  • Was macht das Unternehmen?

  • Womit verdient es sein Geld?

  • Welche Geschäftsprozesse sind kritisch?

  • Welche Informationen sind besonders schützenswert?

  • Wer trägt Verantwortung?

  • Welche Abteilungen gibt es?

  • Welche externen Partner spielen eine wichtige Rolle?

Erst wenn diese Fragen beantwortet sind, beginnt die eigentliche technische Betrachtung.orientieren.


Checkliste


Unternehmensdaten

Ziel

DieZiel

Erfassung der grundlegenden Stammdaten des Unternehmens bilden die Basis für sämtliche weiteren Arbeiten.Unternehmens.

Zu erfassende Informationen

  • Firmenname

  • Rechtsform

  • Branche

  • Gründungsjahr
  • Anzahl der Mitarbeitenden

  • Anzahl der Standorte

  • Gründungsjahr

  • Ansprechpartner

  • Geschäftsführung

Erläuterung

Warum ist das wichtig?

Diese Informationen erscheinen zunächst selbstverständlich, liefern jedocheinen ersten Überblick über Größe und Struktur des Unternehmens. Außerdem ergeben sich daraus häufig bereits wichtigeerste Hinweise.gesetzliche oder branchenspezifische Anforderungen.

Ein Unternehmen mit 15 Mitarbeitenden kannbenötigt beispielsweise vollständigandere digitalorganisatorische arbeitenMaßnahmen als ein Unternehmen mit mehreren hundert Beschäftigten oder einemehreren Produktion mit Schichtbetrieb besitzen. Beides hat erhebliche Auswirkungen auf spätere Sicherheitsmaßnahmen.Niederlassungen.


Unternehmensstruktur

Ziel

Verstehen, wie das Unternehmen organisatorisch aufgebaut ist.Ziel

Die organisatorische Struktur verstehen.

Zu erfassende Informationen

  • Organigramm

  • Abteilungen

  • Verantwortungsbereiche

    Verantwortlichkeiten
  • Teamgrößen

    Entscheidungswege
  • Entscheidungswege

    Vertretungsregelungen

Erläuterung

Warum ist das wichtig?

Informationssicherheit betrifftist niemalskeine ausschließlichreine die IT.IT-Aufgabe.

Bereits in dieser Phase sollte geklärt werden, wer Entscheidungen treffen darf, wer Budgets freigibtfreigibt, wer Richtlinien genehmigt und wer später RichtlinienVerantwortung genehmigt.für einzelne Maßnahmen übernimmt.

OftGerade existiertin kein offizielles Organigramm. In kleinenkleineren Unternehmen genügtexistieren diese Informationen häufig einenur einfacheim Skizze.Kopf der Geschäftsführung.


Geschäftsbereiche

Ziel

Verstehen,Ziel

Die wirtschaftliche Grundlage des Unternehmens verstehen.

Zu erfassende Informationen

  • Produkte
  • Dienstleistungen
  • Kundenstruktur
  • Lieferanten
  • Märkte
  • Besonderheiten

Warum ist das wichtig?

Nur wer versteht, womit dasein Unternehmen Geld verdient.

verdient,

Zu erfassende Informationen

  • Produkte

  • Dienstleistungen

  • Kundenstruktur

  • Lieferanten

  • Märkte

  • Besonderheiten

Erläuterung

Die eigentliche Wertschöpfung bestimmtkann später diebeurteilen, Schutzbedarfe.welche Informationen und Systeme besonders schützenswert sind.

Ein MaschinenbauerProduktionsunternehmen schütztbewertet Konstruktionszeichnungen.

beispielsweise

EinMaschinenstillstände Steuerberatervöllig schütztanders Mandantendaten.

als

Einein Onlineshop schützt Bestellungen und Zahlungsdaten.

Ein IT-Dienstleister schützt Kundensysteme und Zugangsdaten.Beratungsunternehmen.


Geschäftsprozesse

Ziel

Die wichtigsten Abläufe iminnerhalb Unternehmendes verstehen.Unternehmens erfassen.

Zu erfassende Informationen

  • Vertrieb

  • Einkauf

  • Produktion

  • Projektgeschäft

  • Buchhaltung

  • Personal

    Personalwesen
  • Support

  • Lager

  • Versand

Erläuterung

Nicht jeder ProzessWarum ist gleichdas wichtig.wichtig?

MancheGeschäftsprozesse Prozesse dürfen mehrere Tage ausfallen.

Andere verursachen bereits nach wenigen Stunden erhebliche finanzielle Schäden.

Diese Priorisierung bildetbilden später die Grundlage desder Notfallmanagements.Risikoanalyse.

Dabei geht es nicht nur darum, welche Tätigkeiten durchgeführt werden, sondern auch darum, welche Systeme, Personen und Informationen hierfür benötigt werden.

Ein gut dokumentierter Geschäftsprozess erleichtert später sowohl die Risikoanalyse als auch das Notfallmanagement.


Kritische Geschäftsprozesse

Ziel

Die Prozesse identifizieren, deren Ausfall dasunmittelbare UnternehmenAuswirkungen unmittelbar beeinträchtigen würde.

Beispiele

  • Rechnungsstellung

  • Warenversand

  • Produktionssteuerung

  • Warenwirtschaft

  • Telefonie

  • E-Mail

  • ERP-System

  • Zeiterfassung

Erläuterung

Die Frage lautet:

"Was würde passieren, wenn dieser Prozess morgen früh nicht mehr funktioniert?"

Kannauf das Unternehmen dennochhätte.

Beispiele

  • Rechnungsstellung
  • ERP-System
  • Produktionssteuerung
  • Warenwirtschaft
  • Telefonie
  • E-Mail
  • Zeiterfassung
  • Kundenportal

Warum ist das wichtig?

Nicht jeder Geschäftsprozess besitzt den gleichen Stellenwert. Während manche Prozesse problemlos mehrere Tage weiterarbeiten?

ausfallen

Oderkönnen, stehtführt der BetriebAusfall anderer Prozesse bereits nach wenigen Stunden still?zu erheblichen wirtschaftlichen Schäden.

Diese Erkenntnisse bilden später die Grundlage für Notfallmanagement, Wiederanlaufplanung und Priorisierung von Schutzmaßnahmen.


Mitarbeitende

Ziel

ÜberblickZiel

über die

Die personelle Struktur gewinnen.des Unternehmens kennenlernen.

Zu erfassende Informationen

  • Anzahl Mitarbeitende

  • Vollzeit / Teilzeit

  • Homeoffice

  • Außendienst

  • Schichtbetrieb

  • Saisonkräfte

  • Externe Mitarbeitende

Erläuterung

Die Anzahl der Mitarbeitenden

  • Vollzeit und Teilzeit
  • Homeoffice
  • Außendienst
  • Schichtbetrieb
  • Externe Mitarbeitende
  • Warum ist wenigerdas entscheidendwichtig?

    als

    Die derenArbeitsweise Arbeitsweise.der Mitarbeitenden beeinflusst viele spätere Sicherheitsmaßnahmen.

    Ein Unternehmen mit ausschließlichüberwiegend Büroarbeitsplätzenmobilen stelltArbeitsplätzen benötigt beispielsweise andere AnforderungenSicherheitskonzepte als ein Unternehmen mit vielenausschließlich mobilenstationären Mitarbeitenden.Büroarbeitsplätzen.


    Standorte

    Ziel

    Alle Betriebsstätten und Arbeitsorte erfassen.

    Beispiele

    Zu erfassende Informationen

    • Hauptsitz

    • Niederlassungen

    • Lager

    • Produktion

    • Rechenzentrum

      Homeoffice
    • Externe

      Homeoffice

      Rechenzentren

    Erläuterung

    Warum ist das wichtig?

    Jeder zusätzliche Standort erhöht die organisatorische und technische Komplexität.

    BesondersNetzwerke, wichtigDatensicherung, sind Fragen zur Netzwerkanbindung, DatensicherungZugriffsrechte und VerantwortlichkeitNotfallkonzepte vormüssen Ort.standortübergreifend betrachtet werden.


    Arbeitsweise

    Ziel

    Verstehen, wie gearbeitetdie wird.Mitarbeitenden täglich arbeiten.

    Beispiele

    Zu erfassende Informationen

    • Büroarbeitsplätze

    • Mobile

      Produktion

      Arbeitsplätze
    • Außendienst

      Homeoffice
    • Homeoffice

      Außendienst
    • Mobile Geräte

      VPN
    • VPN

      Cloud-Anwendungen
    • Mobile

      Cloud-Anwendungen

      Endgeräte

    Warum ist das wichtig?

    Die tägliche Arbeitsweise bestimmt viele spätere Sicherheitsmaßnahmen.

    Je flexibler gearbeitet wird, desto wichtiger werden beispielsweise Mehr-Faktor-Authentifizierung, Mobile Device Management, sichere Fernzugriffe und klare Vorgaben zur Nutzung privater Geräte.


    ErläuterungExterne Dienstleister

    HierZiel

    zeigt

    Alle sichexternen häufigPartner bereits,erfassen, welchedie SicherheitsmaßnahmenEinfluss späterauf erforderlichdie werden.Informationssicherheit haben.

    Zu erfassende Informationen

    • IT-Dienstleister
    • Softwarehäuser
    • Hostinganbieter
    • Cloud-Anbieter
    • Steuerberater
    • Telefonanbieter
    • Managed Service Provider

    Warum ist das wichtig?

    Viele mobilekleine ArbeitsplätzeUnternehmen machenlagern beispielsweisegroße VPN,Teile MFAihrer IT aus. Trotzdem verbleibt die Verantwortung für Informationssicherheit immer beim Unternehmen selbst.

    Deshalb müssen Verantwortlichkeiten, Zuständigkeiten, Zugriffsrechte und MobileVertragsgrundlagen Deviceeindeutig Managementdokumentiert deutlich wichtiger als in einem klassischen Büro.werden.


    Externe

    Kommunikationswege

    Dienstleister

    Ziel

    Alle wichtigen PartnerKommunikationskanäle identifizieren.

    Beispiele

    • IT-Dienstleister

    • Steuerberater

    • Softwarehäuser

    • Cloud-Anbieter

    • Telefonanbieter

    • Hostinganbieter

    • Managed-Service-Provider

    Erläuterung

    Gerade bei kleinen Unternehmen übernimmt häufig ein externer Dienstleister große Teile der IT.erfassen.

    DabeiZu sollteerfassende geklärt werden,Informationen

    • welche Leistungen erbracht werden,

      E-Mail
    • welche Verträge bestehen,

      Telefonie
    • wer welche Verantwortung trägt,

      Videokonferenzen
    • Microsoft

      undTeams

    • welche
    • Messenger
    • Dokumentationen vorhanden sind.

    • Ticketsysteme

    Warum

    Kommunikationswege

    ist

    Ziel

    das

    Verstehen, wie intern und extern kommuniziert wird.wichtig?

    Beispiele

    • E-Mail

    • Telefonie

    • Microsoft Teams

    • Videokonferenzen

    • Messenger

    • Ticketsysteme

    Erläuterung

    Kommunikation gehört zu den wichtigsten Geschäftsprozessen.

    FälltEin sieAusfall ausder oderKommunikationssysteme wirdführt kompromittiert,häufig kannbereits diesnach erheblichekurzer wirtschaftlicheZeit Folgenzu haben.erheblichen Einschränkungen im Geschäftsbetrieb. Zusätzlich sind Kommunikationswege häufig Ziel von Phishing, Social Engineering und Betrugsversuchen.


    Typische ProblemeFeststellungen

    In nahezu jedem Erstgespräch treten ähnliche Situationen auf.

    Beispiele:Häufig fehlen:

    • aktuelle

      Es existiert keine Dokumentation.

      Dokumentationen
    • eindeutige

      Niemand kennt alle Passwörter.

      Verantwortlichkeiten
    • vollständige Passwortübersichten
    • Netzwerkpläne
    • Übersichten der eingesetzten Software
    • Notfallpläne

    DerEbenso häufig verlässt sich die Geschäftsführung darauf, dass sich der externe IT-Dienstleister besitzt„um exklusivesalles Wissen.kümmert“, obwohl Verantwortlichkeiten nie schriftlich geregelt wurden.

    Diese Feststellungen sind kein Zeichen schlechter Arbeit, sondern bilden den Ausgangspunkt für den Aufbau eines strukturierten ISMS.


    Hinweise für den IT-Berater

    Hören Sie während des Gesprächs aufmerksam zu.

    Aussagen wie

    • „Das macht immer Herr Müller.“
    • „Das

      Niemandweiß weiß,nur welcheunser Software tatsächlich genutzt wird.

      IT-Dienstleister.“
    • „Das

      Eshaben gibtwir keinennoch Verantwortlichennie für Informationssicherheit.

      dokumentiert.“
    • „Das

      Diefunktioniert Geschäftsführung geht davon aus, dass "der IT-Dienstleister sich darum kümmert".

      einfach.“

    Diesesind Erkenntnissehäufig sindwertvolle Hinweise auf organisatorische Risiken.

    Versuchen Sie außerdem, Zusammenhänge zwischen Geschäftsprozessen und IT-Systemen zu erkennen. Oft werden diese vom Kunden selbst als selbstverständlich angesehen und deshalb nicht erwähnt.

    Wichtig ist auch, keine Kritik,Vorwürfe zu formulieren. Gerade kleinere Unternehmen starten häufig ohne geregelte IT-Dokumentation. Ziel ist nicht die Bewertung der Vergangenheit, sondern Ausgangspunktder fürstrukturierte dieAufbau weitereneines Phasen.belastbaren Sicherheitsniveaus.


    Interviewfragen an den KundenPraxistipp

    ZumNach Abschlussdem Erstgespräch sollten Sie versuchen, das Unternehmen einer außenstehenden Person in wenigen Minuten zu erklären.

    Wenn Sie nachvollziehbar beschreiben können,

    • womit das Unternehmen Geld verdient,
    • welche Geschäftsprozesse kritisch sind,
    • welche Informationen besonders schützenswert sind,
    • welche Personen Verantwortung tragen,
    • und welche externen Partner beteiligt sind,

    haben Sie das Ziel dieser Phase sollte der IT-Berater unter anderem folgende Fragen beantworten können:erreicht.

    • Was macht Ihr Unternehmen genau?

    • Welche Leistungen sind für Ihr Unternehmen besonders wichtig?

    • Welche Geschäftsprozesse dürfen niemals ausfallen?

    • Welche Systeme werden täglich benötigt?

    • Welche Informationen wären bei einem Verlust besonders kritisch?

    • Wer trifft Entscheidungen in der IT?

    • Welche externen Dienstleister arbeiten für Sie?

    • Gibt es bekannte Schwachstellen oder wiederkehrende Probleme?

    • Welche Veränderungen sind in den nächsten Jahren geplant?


    Ergebnis der Phase

    Nach Abschluss der ersten Phase besitztbesitzen der IT-BeraterSie ein umfassendesgrundlegendes Verständnis des Unternehmens.Unternehmens, seiner Organisation und seiner Geschäftsprozesse.

    ErSie kenntwissen, diewas wichtigstengeschützt Geschäftsprozesse,werden die organisatorische Strukturmuss und die kritischen Bereiche des Unternehmens.warum.

    DamitErst istauf diedieser Grundlage geschaffen, umkann in der nächsten Phase dieuntersucht Verantwortlichkeiten,werden, rechtlichenwelche Rahmenbedingungenrechtlichen, vertraglichen und organisatorischen Anforderungen systematischan zudas erfassen.spätere ISMS bestehen.