Skip to main content

Phase 1 – Unternehmen verstehen

„Wer die IT schützen möchte, muss zuerst das Unternehmen verstehen.“

Einleitung

JedesPhase Informationssicherheits-Managementsystem1 (ISMS) beginnt mit einer einfachen Frage:

Was genau soll eigentlich geschützt werden?

Viele Unternehmen verstehen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und auchdie manche IT-Dienstleister beginnen sofort mitAnforderungen der Analyse der IT-Infrastruktur. Server werden inventarisiert, Firewalls geprüft und Backupkonzepte bewertet. Für den Aufbau eines nachhaltigen ISMS ist dies jedoch nicht der richtige Einstieg.Geschäftsführung.

Informationssicherheit schützt nicht die IT selbst, sondern die Geschäftsprozesse und Informationen eines Unternehmens. Die IT ist lediglich ein Werkzeug, mit dem diese Prozesse unterstützt werden.

Deshalb muss zunächst verstanden werden, wie das Unternehmen arbeitet, welche Leistungen es erbringt, welche Informationen verarbeitet werden und welche Prozesse für den Geschäftserfolg unverzichtbar sind.

Diese erste Phase bildet das Fundament für alle weiteren Arbeiten. Fehler oder fehlende Informationen in dieser Phase führen später häufig dazu, dass Risiken falsch bewertet oder Maßnahmen umgesetzt werden, die den tatsächlichen Bedarf des Unternehmens nicht treffen.


Ziel der Phase

NachZiel Abschlussist dieseres, Phasedie sollrelevanten einInformationen umfassendesstrukturiert Verständniszu deserfassen, Unternehmensverständlich vorliegen.

zu

Dabeidokumentieren gehtund esals ausdrücklich nicht um technische Details, sondern um das Unternehmen selbst.

Folgende Fragen sollten anschließend beantwortet werden können:

  • Womit verdient das Unternehmen sein Geld?
  • Welche Produkte oder Dienstleistungen werden angeboten?
  • Welche Geschäftsprozesse sindGrundlage für dendie täglichennächsten BetriebSchritte unverzichtbar?
  • nutzbar
  • Welchezu Personen tragen Verantwortung?
  • Welche Informationen besitzen einen besonderen Wert?
  • Welche externen Partner sind für den Geschäftsbetrieb wichtig?

Erst wenn diese Fragen beantwortet sind, sollte mit der technischen Analyse begonnen werden.machen.


Benötigte Teilnehmer

Je nach Unternehmensgröße sollten möglichst folgende Personen an dieser Phase teilnehmen:

  • Geschäftsführung oder IT-Entscheider
  • IT-Verantwortlicher, internInterner oder externexterner IT-Verantwortlicher
  • VerantwortlicheFachabteilungen dernach wichtigsten FachabteilungenBedarf
  • Datenschutzbeauftragter,Datenschutz fallsoder vorhanden
  • Qualitätsmanagement, falls vorhanden

Gerade in kleinen Unternehmen übernimmt häufig die Geschäftsführung mehrere dieser Rollen gleichzeitig.


Arbeitsergebnisse der Phase

Nach Abschluss dieser Phase sollten mindestens folgende Dokumente erstellt worden sein:

  • Unternehmensprofil
  • Dokumentierte
  • Organigramm
  • ÜbersichtErgebnisse der Geschäftsbereiche
  • Liste der wichtigsten Ansprechpartner
  • Übersicht der Geschäftsprozesse
  • Liste kritischer Geschäftsprozesse
  • Übersicht externer DienstleisterBestandsaufnahme
  • Offene Fragen und Risiken
  • Erste Prioritäten für spätere Maßnahmen
  • Grundlage für die nächste Phase

Diese Dokumente bilden die Grundlage für alle weiteren Kapitel.


Warum ist diese Phase wichtig?

Jedes Unternehmen arbeitet unterschiedlich.

Ein Steuerberater verarbeitet hauptsächlich vertrauliche Mandantendaten.

Ein Maschinenbauer schützt Konstruktionszeichnungen und Produktionsdaten.

Ein Onlinehändler ist auf sein Shopsystem angewiesen.

Ein IT-Dienstleister verwaltet Zugangsdaten und Kundensysteme.

Obwohl alle diese Unternehmen Computer einsetzen, unterscheiden sich ihre Risiken erheblich.

Deshalb gibt es keine allgemeingültige Sicherheitslösung. Ein ISMS muss sich immer am Unternehmen orientieren.


Checkliste

Unternehmensdaten

Ziel

ErfassungFirmenname, derRechtsform, grundlegenden Stammdaten des Unternehmens.

Zu erfassende Informationen

  • Firmenname
  • Rechtsform
  • Branche
  • Gründungsjahr
  • Anzahl der Mitarbeitenden
  • Anzahl derBranche, Standorte
  • Geschäftsführung
  • und
Mitarbeitendenzahl werden erfasst. Diese Angaben liefern erste Hinweise auf Komplexität, Anforderungen und mögliche regulatorische Themen.

Warum ist das wichtig?

DieseDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen liefernnicht einendokumentiert, erstensondern Überblicknur übereinzelnen GrößePersonen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und Struktureine desbelastbare Unternehmens.Grundlage Außerdemfür ergebenRisikoanalyse, sichMaßnahmenplanung darausund häufigspätere bereits erste gesetzliche oder branchenspezifische Anforderungen.Audits.

Ein Unternehmen mit 15 Mitarbeitenden benötigt beispielsweise andere organisatorische Maßnahmen als ein Unternehmen mit mehreren hundert Beschäftigten oder mehreren Niederlassungen.


Unternehmensstruktur

Ziel

DieOrganigramm, organisatorischeAbteilungen, StrukturEntscheidungswege verstehen.

und

ZuVertretungen erfassendewerden aufgenommen. Gerade in KMU existieren diese Informationen oft nur mündlich.

  • Organigramm
  • Abteilungen
  • Verantwortlichkeiten
  • Entscheidungswege
  • Vertretungsregelungen

Warum ist das wichtig?

InformationssicherheitDieser istPunkt keinesorgt reinedafür, IT-Aufgabe.

Bereits in dieser Phase sollte geklärt werden, werdass Entscheidungen treffennicht darf,auf werAnnahmen Budgetsberuhen. freigibt, wer Richtlinien genehmigt und wer später Verantwortung für einzelne Maßnahmen übernimmt.

Gerade in kleinerenkleinen Unternehmen existierensind dieseviele Informationen häufignicht dokumentiert, sondern nur imeinzelnen KopfPersonen derbekannt. Geschäftsführung.Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


Geschäftsbereiche

Ziel

DieProdukte, wirtschaftlicheDienstleistungen, GrundlageKundenstruktur desund UnternehmensLieferanten verstehen.werden betrachtet. Daraus ergibt sich, womit das Unternehmen Geld verdient und welche Werte besonders schützenswert sind.

Zu erfassende Informationen

  • Produkte
  • Dienstleistungen
  • Kundenstruktur
  • Lieferanten
  • Märkte
  • Besonderheiten

Warum ist das wichtig?

NurDieser werPunkt versteht,sorgt womitdafür, eindass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen Geldsind verdient, kann später beurteilen, welcheviele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und Systemeeine besondersbelastbare schützenswertGrundlage sind.für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Ein Produktionsunternehmen bewertet beispielsweise Maschinenstillstände völlig anders als ein Beratungsunternehmen.


Geschäftsprozesse

Ziel

DieVertrieb, wichtigstenEinkauf, AbläufeBuchhaltung, innerhalbProduktion, desSupport, UnternehmensLager erfassen.

und

ZuVersand erfassendewerden Informationen

beschrieben.
    Diese
  • Vertrieb
  • Einkauf
  • Produktion
  • Projektgeschäft
  • Buchhaltung
  • Personalwesen
  • Support
  • Lager
  • Versand

Warum ist das wichtig?

GeschäftsprozesseProzesse bilden später die Grundlage der Risikoanalyse.

DabeiWarum gehtist esdas wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht nurauf darum,Annahmen welcheberuhen. TätigkeitenGerade durchgeführtin werden,kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern auchnur darum, welche Systeme,einzelnen Personen undbekannt. Informationen hierfür benötigt werden.

Ein gut dokumentierter Geschäftsprozess erleichtert später sowohlDurch die Risikoanalysestrukturierte alsErfassung auchentsteht dasTransparenz Notfallmanagement.und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.


Kritische Geschäftsprozesse

Ziel

DieEs wird geklärt, welche Prozesse identifizieren,nur derenkurz Ausfalloder unmittelbaregar Auswirkungennicht aufausfallen dasdürfen. UnternehmenBeispiele hätte.sind ERP, Warenwirtschaft, Rechnungsstellung, E-Mail, Telefonie oder Produktionssteuerung.

Beispiele

  • Rechnungsstellung
  • ERP-System
  • Produktionssteuerung
  • Warenwirtschaft
  • Telefonie
  • E-Mail
  • Zeiterfassung
  • Kundenportal

Warum ist das wichtig?

NichtDieser jederPunkt Geschäftsprozesssorgt besitztdafür, dendass gleichenEntscheidungen Stellenwert.nicht Währendauf mancheAnnahmen Prozesseberuhen. problemlosGerade mehrerein Tagekleinen ausfallenUnternehmen können,sind führtviele derInformationen Ausfallnicht andererdokumentiert, Prozessesondern bereitsnur nacheinzelnen wenigenPersonen Stundenbekannt. zu erheblichen wirtschaftlichen Schäden.

Diese Erkenntnisse bilden späterDurch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Notfallmanagement,Risikoanalyse, WiederanlaufplanungMaßnahmenplanung und Priorisierungspätere von Schutzmaßnahmen.Audits.


Mitarbeitende und Arbeitsweise

Ziel

DieHomeoffice, personelleAußendienst, StrukturSchichtbetrieb, desmobile Unternehmens kennenlernen.

Zu erfassende Informationen

  • Anzahl der Mitarbeitenden
  • VollzeitGeräte und Teilzeit
  • Homeoffice
  • Außendienst
  • Schichtbetrieb
  • Externeexterne Mitarbeitende
werden erfasst. Daraus ergeben sich spätere Anforderungen an Zugriffsschutz, MFA, VPN und Geräteverwaltung.

Warum ist das wichtig?

DieDieser ArbeitsweisePunkt dersorgt Mitarbeitendendafür, beeinflusstdass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Sicherheitsmaßnahmen.Audits.

Ein Unternehmen mit überwiegend mobilen Arbeitsplätzen benötigt beispielsweise andere Sicherheitskonzepte als ein Unternehmen mit ausschließlich stationären Büroarbeitsplätzen.


Standorte

Ziel

AlleHauptsitz, BetriebsstättenLager, Produktion, Niederlassungen und ArbeitsorteHomeoffice erfassen.werden betrachtet. Jeder Standort beeinflusst Netzwerk, Backup, Zutritt und Notfallplanung.

Zu erfassende Informationen

  • Hauptsitz
  • Niederlassungen
  • Lager
  • Produktion
  • Homeoffice
  • Externe Rechenzentren

Warum ist das wichtig?

JederDieser zusätzlichePunkt Standortsorgt erhöhtdafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die organisatorischestrukturierte Erfassung entsteht Transparenz und technischeeine Komplexität.

belastbare

Netzwerke,Grundlage Datensicherung,für ZugriffsrechteRisikoanalyse, Maßnahmenplanung und Notfallkonzeptespätere müssen standortübergreifend betrachtet werden.Audits.


Externe

ArbeitsweiseDienstleister

Ziel

Verstehen,IT-Dienstleister, wieSoftwarehäuser, dieHostinganbieter, MitarbeitendenSteuerberater, täglichTelefonanbieter arbeiten.und Cloud-Anbieter werden erfasst. Entscheidend ist, wer wofür verantwortlich ist.

Zu erfassende Informationen

  • Büroarbeitsplätze
  • Mobile Arbeitsplätze
  • Homeoffice
  • Außendienst
  • VPN
  • Cloud-Anwendungen
  • Mobile Endgeräte

Warum ist das wichtig?

DieDieser täglichePunkt Arbeitsweisesorgt bestimmtdafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele spätereInformationen Sicherheitsmaßnahmen.

nicht

Jedokumentiert, flexiblersondern gearbeitetnur wird,einzelnen destoPersonen wichtigerbekannt. werdenDurch beispielsweisedie Mehr-Faktor-Authentifizierung,strukturierte MobileErfassung Deviceentsteht Management, sichere FernzugriffeTransparenz und klareeine Vorgabenbelastbare zurGrundlage Nutzungfür privaterRisikoanalyse, Geräte.Maßnahmenplanung und spätere Audits.


Externe DienstleisterKommunikationswege

Ziel

AlleE-Mail, externenTelefonie, PartnerTeams, erfassen,Messenger, dieVideokonferenzen Einflussund aufTicketsysteme diewerden Informationssicherheitaufgenommen. haben.Kommunikationssysteme sind oft geschäftskritisch und werden bei Notfallplänen häufig unterschätzt.

Zu erfassende Informationen

  • IT-Dienstleister
  • Softwarehäuser
  • Hostinganbieter
  • Cloud-Anbieter
  • Steuerberater
  • Telefonanbieter
  • Managed Service Provider

Warum ist das wichtig?

VieleDieser kleinePunkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen lagernsind großeviele TeileInformationen ihrernicht ITdokumentiert, aus.sondern Trotzdemnur verbleibteinzelnen Personen bekannt. Durch die Verantwortungstrukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für InformationssicherheitRisikoanalyse, immer beim Unternehmen selbst.

Deshalb müssen Verantwortlichkeiten, Zuständigkeiten, ZugriffsrechteMaßnahmenplanung und Vertragsgrundlagenspätere eindeutig dokumentiert werden.Audits.


Kommunikationswege

Ziel

Alle wichtigen Kommunikationskanäle erfassen.

Zu erfassende Informationen

  • E-Mail
  • Telefonie
  • Videokonferenzen
  • Microsoft Teams
  • Messenger
  • Ticketsysteme

Warum ist das wichtig?

Kommunikation gehört zu den wichtigsten Geschäftsprozessen.

Ein Ausfall der Kommunikationssysteme führt häufig bereits nach kurzer Zeit zu erheblichen Einschränkungen im Geschäftsbetrieb. Zusätzlich sind Kommunikationswege häufig Ziel von Phishing, Social Engineering und Betrugsversuchen.


Typische Feststellungen

In nahezuKMU jedemfehlen Erstgesprächhäufig treten ähnliche Situationen auf.

Häufig fehlen:

  • aktuelle Dokumentationen
  • Dokumentationen,
  • eindeutige Verantwortlichkeiten
  • vollständigeund Passwortübersichten
  • regelmäßige
  • Netzwerkpläne
  • Prüfungen.
  • ÜbersichtenDas der eingesetzten Software
  • Notfallpläne

Ebenso häufig verlässt sich die Geschäftsführung darauf, dass sich der externe IT-Dienstleister „um alles kümmert“, obwohl Verantwortlichkeiten nie schriftlich geregelt wurden.

Diese Feststellungen sindist kein Zeichen schlechter Arbeit,Vorwurf, sondern bilden dender Ausgangspunkt für den Aufbau eines strukturierten ISMS.


Hinweise für den IT-Berater

Hören Sie während des Gesprächs aufmerksam zu.

Aussagen wie

  • „Das macht immer Herr Müller.“
  • „Das weiß nur unser IT-Dienstleister.“
  • „Das haben wir noch nie dokumentiert.“
  • „Das funktioniert einfach.“

sind häufig wertvolle Hinweise auf organisatorische Risiken.

Versuchen Sie außerdem, Zusammenhänge zwischen Geschäftsprozessen und IT-Systemen zu erkennen. Oft werden diese vom Kunden selbst als selbstverständlich angesehen und deshalb nicht erwähnt.

Wichtig ist auch,eine keinepragmatische VorwürfeSprache. zuGeschäftsführung formulieren.und GeradeFachbereiche kleineremüssen Unternehmenverstehen, startenwelchen häufig ohne geregelte IT-Dokumentation. Ziel ist nichtNutzen die BewertungPhase derfür Vergangenheit,den sondernBetrieb derhat. strukturierteTechnische AufbauDetails einessind belastbarenwichtig, Sicherheitsniveaus.sollten aber immer mit Geschäftsrisiken verbunden werden.


Praxistipp

NachAm demEnde Erstgesprächjeder solltenPhase Siesollte versuchen,eine daskurze UnternehmenZusammenfassung einererstellt außenstehendenwerden: PersonWas inwurde wenigenerkannt, Minutenwas zuist erklären.

kritisch,

Wennwas Sieist nachvollziehbaroffen beschreiben können,

  • womit das Unternehmen Geld verdient,
  • welche Geschäftsprozesse kritisch sind,
  • welche Informationen besonders schützenswert sind,
  • welche Personen Verantwortung tragen,
  • und welche externenEntscheidung Partnerwird beteiligtals sind,
  • nächstes

haben Sie das Ziel dieser Phase erreicht.benötigt?


Ergebnis der Phase

Nach Abschluss der erstenDie Phase besitzenist Sieabgeschlossen, einwenn grundlegendesdie VerständnisErgebnisse desso Unternehmens,dokumentiert seinersind, Organisationdass eine andere fachkundige Person die Ausgangslage nachvollziehen und seiner Geschäftsprozesse.

Sie wissen, was geschützt werden muss und warum.

Erst auf dieser Grundlage kann inmit der nächsten Phase untersuchtfortfahren werden, welche rechtlichen, vertraglichen und organisatorischen Anforderungen an das spätere ISMS bestehen.kann.