Phase 1 – Unternehmen verstehen
Phase 1 – Unternehmen verstehen
"„Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen."“
Einleitung
Jedes Informationssicherheits-Managementsystem (ISMS) beginnt mit einer einfachen Frage:
Was
genau Zielsoll eigentlich geschützt werden?
Viele Unternehmen und auch manche IT-Dienstleister beginnen sofort mit der PhaseAnalyse
Bevorder IT-Infrastruktur. Server werden inventarisiert, Firewalls bewertetgeprüft oderund PasswortrichtlinienBackupkonzepte erstellt werden, muss zunächst verstanden werden, wie das Unternehmen arbeitet.
Viele IT-Projekte beginnen mit der Technik.bewertet. Für einden erfolgreichesAufbau eines nachhaltigen ISMS ist dies jedoch nicht der falscherichtige Ansatz.Einstieg.
Informationssicherheit schützt keinenicht Computer,die IT selbst, sondern die Geschäftsprozesse und Informationen eines Unternehmens. Die IT ist lediglich ein Werkzeug, mit dem diese Prozesse unterstützt werden.
DasDeshalb Zielmuss zunächst verstanden werden, wie das Unternehmen arbeitet, welche Leistungen es erbringt, welche Informationen verarbeitet werden und welche Prozesse für den Geschäftserfolg unverzichtbar sind.
Diese erste Phase bildet das Fundament für alle weiteren Arbeiten. Fehler oder fehlende Informationen in dieser Phase bestehtführen darin,später häufig dazu, dass Risiken falsch bewertet oder Maßnahmen umgesetzt werden, die den tatsächlichen Bedarf des Unternehmens nicht treffen.
Ziel der Phase
Nach Abschluss dieser Phase soll ein umfassendes Verständnis des Unternehmens vorliegen.
Dabei geht es ausdrücklich nicht um technische Details, sondern um das Unternehmen vollständigselbst.
Folgende ErstFragen wennsollten bekanntanschließend ist,beantwortet welchewerden können:
- Womit verdient das Unternehmen sein Geld?
- Welche Produkte oder Dienstleistungen
angebotenwerdenwerden,angeboten? - Welche
Prozesse geschäftskritischGeschäftsprozesse sindundfürwelcheden täglichen Betrieb unverzichtbar? - Welche Personen
Verantwortungtragentragen,Verantwortung? - Welche
RisikenInformationensinnvollbesitzenbewerteteinen besonderen Wert? - Welche externen Partner sind für den Geschäftsbetrieb wichtig?
Erst wenn diese Fragen beantwortet sind, sollte mit der technischen Analyse begonnen werden.
Benötigte Teilnehmer
AmJe Endenach Unternehmensgröße sollten möglichst folgende Personen an dieser Phase sollteteilnehmen:
- Geschäftsführung
- IT-Verantwortlicher, intern oder extern
- Verantwortliche der
IT-BeraterwichtigstendasFachabteilungen - Datenschutzbeauftragter, falls vorhanden
- Qualitätsmanagement, falls vorhanden
Gerade in kleinen Unternehmen soübernimmt guthäufig verstehen,die dassGeschäftsführung ermehrere einemdieser AußenstehendenRollen erklärengleichzeitig.
Arbeitsergebnisse dasder UnternehmenPhase
Nach Abschluss dieser Phase sollten mindestens folgende Dokumente erstellt worden sein:
- Unternehmensprofil
- Organigramm
- Übersicht der Geschäftsbereiche
- Liste der wichtigsten Ansprechpartner
- Übersicht der Geschäftsprozesse
- Liste kritischer Geschäftsprozesse
- Übersicht externer Dienstleister
- Offene Fragen für die nächste Phase
Diese Dokumente bilden die Grundlage für alle weiteren Kapitel.
Warum ist diese Phase wichtig?
EinJedes kleinesUnternehmen Produktionsunternehmenarbeitet benötigt völlig andere Sicherheitsmaßnahmen als ein Architekturbüro oder ein Steuerberater.unterschiedlich.
EbensoEin Steuerberater verarbeitet hauptsächlich vertrauliche Mandantendaten.
Ein Maschinenbauer schützt Konstruktionszeichnungen und Produktionsdaten.
Ein Onlinehändler ist auf sein Shopsystem angewiesen.
Ein IT-Dienstleister verwaltet Zugangsdaten und Kundensysteme.
Obwohl alle diese Unternehmen Computer einsetzen, unterscheiden sich dieihre AnforderungenRisiken zwischen einem Unternehmen mit ausschließlich Büroarbeitsplätzen und einem Unternehmen mit Produktionsmaschinen, Außendienst oder mehreren Standorten.erheblich.
OhneDeshalb diesesgibt Verständnises bestehtkeine dieallgemeingültige Gefahr,Sicherheitslösung. SicherheitsmaßnahmenEin umzusetzen, die zwar technisch sinnvoll erscheinen, den tatsächlichen Geschäftsbetrieb jedoch kaum verbessern oder sogar behindern.
InformationssicherheitISMS muss sich immer am Unternehmen orientieren – niemals umgekehrt.
Ergebnis der Phase
Nach Abschluss dieser Phase sollten folgende Fragen beantwortet werden können:
Was macht das Unternehmen?Womit verdient es sein Geld?Welche Geschäftsprozesse sind kritisch?Welche Informationen sind besonders schützenswert?Wer trägt Verantwortung?Welche Abteilungen gibt es?Welche externen Partner spielen eine wichtige Rolle?
Erst wenn diese Fragen beantwortet sind, beginnt die eigentliche technische Betrachtung.orientieren.
Checkliste
Unternehmensdaten
Ziel
DieZiel
Erfassung der grundlegenden Stammdaten des Unternehmens bilden die Basis für sämtliche weiteren Arbeiten.Unternehmens.
Zu erfassende Informationen
Firmenname
Rechtsform
Branche
- Gründungsjahr
- Anzahl der Mitarbeitenden
Anzahl der Standorte
GründungsjahrAnsprechpartnerGeschäftsführung
Erläuterung
Warum ist das wichtig?
Diese Informationen erscheinen zunächst selbstverständlich, liefern jedocheinen ersten Überblick über Größe und Struktur des Unternehmens. Außerdem ergeben sich daraus häufig bereits wichtigeerste Hinweise.gesetzliche oder branchenspezifische Anforderungen.
Ein Unternehmen mit 15 Mitarbeitenden kannbenötigt beispielsweise vollständigandere digitalorganisatorische arbeitenMaßnahmen als ein Unternehmen mit mehreren hundert Beschäftigten oder einemehreren Produktion mit Schichtbetrieb besitzen. Beides hat erhebliche Auswirkungen auf spätere Sicherheitsmaßnahmen.Niederlassungen.
Unternehmensstruktur
Ziel
Verstehen, wie das Unternehmen organisatorisch aufgebaut ist.Ziel
Die organisatorische Struktur verstehen.
Zu erfassende Informationen
Organigramm
Abteilungen
VerantwortungsbereicheVerantwortlichkeitenTeamgrößenEntscheidungswegeEntscheidungswegeVertretungsregelungen
Erläuterung
Warum ist das wichtig?
Informationssicherheit betrifftist niemalskeine ausschließlichreine die IT.IT-Aufgabe.
Bereits in dieser Phase sollte geklärt werden, wer Entscheidungen treffen darf, wer Budgets freigibtfreigibt, wer Richtlinien genehmigt und wer später RichtlinienVerantwortung genehmigt.für einzelne Maßnahmen übernimmt.
OftGerade existiertin kein offizielles Organigramm. In kleinenkleineren Unternehmen genügtexistieren diese Informationen häufig einenur einfacheim Skizze.Kopf der Geschäftsführung.
Geschäftsbereiche
Ziel
Verstehen,Ziel
Die wirtschaftliche Grundlage des Unternehmens verstehen.
Zu erfassende Informationen
- Produkte
- Dienstleistungen
- Kundenstruktur
- Lieferanten
- Märkte
- Besonderheiten
Warum ist das wichtig?
Nur wer versteht, womit dasein Unternehmen Geld verdient.
Zu erfassende Informationen
ProdukteDienstleistungenKundenstrukturLieferantenMärkteBesonderheiten
Erläuterung
Die eigentliche Wertschöpfung bestimmtkann später diebeurteilen, Schutzbedarfe.welche Informationen und Systeme besonders schützenswert sind.
Ein MaschinenbauerProduktionsunternehmen schütztbewertet Konstruktionszeichnungen.
EinMaschinenstillstände Steuerberatervöllig schütztanders Mandantendaten.
Einein Onlineshop schützt Bestellungen und Zahlungsdaten.
Ein IT-Dienstleister schützt Kundensysteme und Zugangsdaten.Beratungsunternehmen.
Geschäftsprozesse
Ziel
Die wichtigsten Abläufe iminnerhalb Unternehmendes verstehen.Unternehmens erfassen.
Zu erfassende Informationen
Vertrieb
Einkauf
Produktion
Projektgeschäft
Buchhaltung
PersonalPersonalwesenSupport
Lager
Versand
Erläuterung
Nicht jeder ProzessWarum ist gleichdas wichtig.wichtig?
MancheGeschäftsprozesse Prozesse dürfen mehrere Tage ausfallen.
Andere verursachen bereits nach wenigen Stunden erhebliche finanzielle Schäden.
Diese Priorisierung bildetbilden später die Grundlage desder Notfallmanagements.Risikoanalyse.
Dabei geht es nicht nur darum, welche Tätigkeiten durchgeführt werden, sondern auch darum, welche Systeme, Personen und Informationen hierfür benötigt werden.
Ein gut dokumentierter Geschäftsprozess erleichtert später sowohl die Risikoanalyse als auch das Notfallmanagement.
Kritische Geschäftsprozesse
Ziel
Die Prozesse identifizieren, deren Ausfall dasunmittelbare UnternehmenAuswirkungen unmittelbar beeinträchtigen würde.
Beispiele
RechnungsstellungWarenversandProduktionssteuerungWarenwirtschaftTelefonieE-MailERP-SystemZeiterfassung
Erläuterung
Die Frage lautet:
"Was würde passieren, wenn dieser Prozess morgen früh nicht mehr funktioniert?"
Kannauf das Unternehmen dennochhätte.
Beispiele
- Rechnungsstellung
- ERP-System
- Produktionssteuerung
- Warenwirtschaft
- Telefonie
- Zeiterfassung
- Kundenportal
Warum ist das wichtig?
Nicht jeder Geschäftsprozess besitzt den gleichen Stellenwert. Während manche Prozesse problemlos mehrere Tage weiterarbeiten?
Oderkönnen, stehtführt der BetriebAusfall anderer Prozesse bereits nach wenigen Stunden still?zu erheblichen wirtschaftlichen Schäden.
Diese Erkenntnisse bilden später die Grundlage für Notfallmanagement, Wiederanlaufplanung und Priorisierung von Schutzmaßnahmen.
Mitarbeitende
Ziel
ÜberblickZiel
Die personelle Struktur gewinnen.des Unternehmens kennenlernen.
Zu erfassende Informationen
Anzahl MitarbeitendeVollzeit / TeilzeitHomeofficeAußendienstSchichtbetriebSaisonkräfteExterne Mitarbeitende
Erläuterung
Die Anzahl der Mitarbeitenden
Warum ist wenigerdas entscheidendwichtig?
Die derenArbeitsweise Arbeitsweise.der Mitarbeitenden beeinflusst viele spätere Sicherheitsmaßnahmen.
Ein Unternehmen mit ausschließlichüberwiegend Büroarbeitsplätzenmobilen stelltArbeitsplätzen benötigt beispielsweise andere AnforderungenSicherheitskonzepte als ein Unternehmen mit vielenausschließlich mobilenstationären Mitarbeitenden.Büroarbeitsplätzen.
Standorte
Ziel
Alle Betriebsstätten und Arbeitsorte erfassen.
Beispiele
Zu erfassende Informationen
Hauptsitz
Niederlassungen
Lager
Produktion
RechenzentrumHomeoffice- Externe
HomeofficeRechenzentren
Erläuterung
Warum ist das wichtig?
Jeder zusätzliche Standort erhöht die organisatorische und technische Komplexität.
BesondersNetzwerke, wichtigDatensicherung, sind Fragen zur Netzwerkanbindung, DatensicherungZugriffsrechte und VerantwortlichkeitNotfallkonzepte vormüssen Ort.standortübergreifend betrachtet werden.
Arbeitsweise
Ziel
Verstehen, wie gearbeitetdie wird.Mitarbeitenden täglich arbeiten.
Beispiele
Zu erfassende Informationen
Büroarbeitsplätze
- Mobile
ProduktionArbeitsplätze AußendienstHomeofficeHomeofficeAußendienstMobile GeräteVPNVPNCloud-Anwendungen- Mobile
Cloud-AnwendungenEndgeräte
Warum ist das wichtig?
Die tägliche Arbeitsweise bestimmt viele spätere Sicherheitsmaßnahmen.
Je flexibler gearbeitet wird, desto wichtiger werden beispielsweise Mehr-Faktor-Authentifizierung, Mobile Device Management, sichere Fernzugriffe und klare Vorgaben zur Nutzung privater Geräte.
ErläuterungExterne Dienstleister
HierZiel
Alle sichexternen häufigPartner bereits,erfassen, welchedie SicherheitsmaßnahmenEinfluss späterauf erforderlichdie werden.Informationssicherheit haben.
Zu erfassende Informationen
- IT-Dienstleister
- Softwarehäuser
- Hostinganbieter
- Cloud-Anbieter
- Steuerberater
- Telefonanbieter
- Managed Service Provider
Warum ist das wichtig?
Viele mobilekleine ArbeitsplätzeUnternehmen machenlagern beispielsweisegroße VPN,Teile MFAihrer IT aus. Trotzdem verbleibt die Verantwortung für Informationssicherheit immer beim Unternehmen selbst.
Deshalb müssen Verantwortlichkeiten, Zuständigkeiten, Zugriffsrechte und MobileVertragsgrundlagen Deviceeindeutig Managementdokumentiert deutlich wichtiger als in einem klassischen Büro.werden.
ExterneKommunikationswege
Dienstleister
Ziel
Alle wichtigen PartnerKommunikationskanäle identifizieren.
Beispiele
IT-DienstleisterSteuerberaterSoftwarehäuserCloud-AnbieterTelefonanbieterHostinganbieterManaged-Service-Provider
Erläuterung
Gerade bei kleinen Unternehmen übernimmt häufig ein externer Dienstleister große Teile der IT.erfassen.
DabeiZu sollteerfassende geklärt werden,Informationen
welche Leistungen erbracht werden,welche Verträge bestehen,Telefoniewer welche Verantwortung trägt,Videokonferenzen- Microsoft
undTeams - Messenger
- Ticketsysteme
Warum
ist Kommunikationswege
das ZielVerstehen, wie intern und extern kommuniziert wird.wichtig?
Beispiele
E-MailTelefonieMicrosoft TeamsVideokonferenzenMessengerTicketsysteme
Erläuterung
Kommunikation gehört zu den wichtigsten Geschäftsprozessen.
FälltEin sieAusfall ausder oderKommunikationssysteme wirdführt kompromittiert,häufig kannbereits diesnach erheblichekurzer wirtschaftlicheZeit Folgenzu haben.erheblichen Einschränkungen im Geschäftsbetrieb. Zusätzlich sind Kommunikationswege häufig Ziel von Phishing, Social Engineering und Betrugsversuchen.
Typische ProblemeFeststellungen
In nahezu jedem Erstgespräch treten ähnliche Situationen auf.
Beispiele:Häufig fehlen:
- aktuelle
Es existiert keine Dokumentation.Dokumentationen - eindeutige
Niemand kennt alle Passwörter.Verantwortlichkeiten - vollständige Passwortübersichten
- Netzwerkpläne
- Übersichten der eingesetzten Software
- Notfallpläne
DerEbenso häufig verlässt sich die Geschäftsführung darauf, dass sich der externe IT-Dienstleister besitzt„um exklusivesalles Wissen.kümmert“, obwohl Verantwortlichkeiten nie schriftlich geregelt wurden.
Diese Feststellungen sind kein Zeichen schlechter Arbeit, sondern bilden den Ausgangspunkt für den Aufbau eines strukturierten ISMS.
Hinweise für den IT-Berater
Hören Sie während des Gesprächs aufmerksam zu.
Aussagen wie
- „Das macht immer Herr Müller.“
- „Das
Niemandweißweiß,nurwelcheunserSoftware tatsächlich genutzt wird.IT-Dienstleister.“ - „Das
EshabengibtwirkeinennochVerantwortlichenniefür Informationssicherheit.dokumentiert.“ - „Das
DiefunktioniertGeschäftsführung geht davon aus, dass "der IT-Dienstleister sich darum kümmert".einfach.“
Diesesind Erkenntnissehäufig sindwertvolle Hinweise auf organisatorische Risiken.
Versuchen Sie außerdem, Zusammenhänge zwischen Geschäftsprozessen und IT-Systemen zu erkennen. Oft werden diese vom Kunden selbst als selbstverständlich angesehen und deshalb nicht erwähnt.
Wichtig ist auch, keine Kritik,Vorwürfe zu formulieren. Gerade kleinere Unternehmen starten häufig ohne geregelte IT-Dokumentation. Ziel ist nicht die Bewertung der Vergangenheit, sondern Ausgangspunktder fürstrukturierte dieAufbau weitereneines Phasen.belastbaren Sicherheitsniveaus.
Interviewfragen an den KundenPraxistipp
ZumNach Abschlussdem Erstgespräch sollten Sie versuchen, das Unternehmen einer außenstehenden Person in wenigen Minuten zu erklären.
Wenn Sie nachvollziehbar beschreiben können,
- womit das Unternehmen Geld verdient,
- welche Geschäftsprozesse kritisch sind,
- welche Informationen besonders schützenswert sind,
- welche Personen Verantwortung tragen,
- und welche externen Partner beteiligt sind,
haben Sie das Ziel dieser Phase sollte der IT-Berater unter anderem folgende Fragen beantworten können:erreicht.
Was macht Ihr Unternehmen genau?Welche Leistungen sind für Ihr Unternehmen besonders wichtig?Welche Geschäftsprozesse dürfen niemals ausfallen?Welche Systeme werden täglich benötigt?Welche Informationen wären bei einem Verlust besonders kritisch?Wer trifft Entscheidungen in der IT?Welche externen Dienstleister arbeiten für Sie?Gibt es bekannte Schwachstellen oder wiederkehrende Probleme?Welche Veränderungen sind in den nächsten Jahren geplant?
Ergebnis der Phase
Nach Abschluss der ersten Phase besitztbesitzen der IT-BeraterSie ein umfassendesgrundlegendes Verständnis des Unternehmens.Unternehmens, seiner Organisation und seiner Geschäftsprozesse.
ErSie kenntwissen, diewas wichtigstengeschützt Geschäftsprozesse,werden die organisatorische Strukturmuss und die kritischen Bereiche des Unternehmens.warum.
DamitErst istauf diedieser Grundlage geschaffen, umkann in der nächsten Phase dieuntersucht Verantwortlichkeiten,werden, rechtlichenwelche Rahmenbedingungenrechtlichen, vertraglichen und organisatorischen Anforderungen systematischan zudas erfassen.spätere ISMS bestehen.