Skip to main content

Phase 10 – Prozesse definieren

„Technik folgt aus Risiken, nicht aus Bauchgefühl.“

Einleitung

Phase 10 – Technische Maßnahmen umsetzen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase verbindet organisatorische Sicht, technische Realität und die Anforderungen der Geschäftsführung.

Ziel der Phase

Ziel ist es, die relevanten Informationen strukturiert zu erfassen, verständlich zu dokumentieren und als Grundlage für die nächsten Schritte nutzbar zu machen.

Benötigte Teilnehmer

  • Geschäftsführung oder IT-Entscheider
  • Interner oder externer IT-Verantwortlicher
  • Fachabteilungen nach Bedarf
  • Datenschutz oder Qualitätsmanagement, falls vorhanden

Arbeitsergebnisse der Phase

  • Dokumentierte Ergebnisse der Bestandsaufnahme
  • Offene Fragen und Risiken
  • Erste Prioritäten für spätere Maßnahmen
  • Grundlage für die nächste Phase

Checkliste

Identität und MFA

Ziel

MFA, Admintrennung, Passwortregeln und Conditional Access werden umgesetzt. Identitäten sind oft der wichtigste Schutzbereich.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Endpoint-Härtung

Ziel

BitLocker, lokale Adminrechte, EDR, Firewall und Sicherheitsbaselines werden eingerichtet. Clients sind häufig der Einstiegspunkt für Angriffe.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Server-Härtung

Ziel

Nicht benötigte Dienste, veraltete Protokolle, Adminzugriffe und Protokollierung werden optimiert. Server benötigen klare Betriebsstandards.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Netzwerksegmentierung

Ziel

Server, Clients, WLAN, Gäste und Spezialgeräte werden getrennt. Segmentierung reduziert die Ausbreitung von Schadsoftware.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Backup-Verbesserung

Ziel

3-2-1-Prinzip, Offline- oder Immutable-Backups und regelmäßige Restore-Tests werden umgesetzt. Schutz vor Ransomware steht im Mittelpunkt.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Monitoring

Ziel

Server, Dienste, Backup, Speicherplatz, Zertifikate und Sicherheitsereignisse werden überwacht. Nur erkannte Probleme können rechtzeitig behoben werden.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

E-Mail-Schutz

Ziel

SPF, DKIM, DMARC, Spamfilter, Phishing-Schutz und Schulungsmeldungen werden umgesetzt. E-Mail-Sicherheit verbindet Technik und Verhalten.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Fernzugriff absichern

Ziel

VPN, RMM, RDP und externe Zugänge werden eingeschränkt, protokolliert und mit MFA geschützt. Offene Fernwartung ist ein hohes Risiko.

Warum ist das wichtig?

Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.

Typische Feststellungen

In KMU fehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten und regelmäßige Prüfungen. Das ist kein Vorwurf, sondern der Ausgangspunkt für den Aufbau eines ISMS.

Hinweise für den IT-Berater

Wichtig ist eine pragmatische Sprache. Geschäftsführung und Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.

Praxistipp

Am Ende jeder Phase sollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen und welche Entscheidung wird als nächstes benötigt?

Ergebnis der Phase

Die Phase ist abgeschlossen, wenn die Ergebnisse so dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen und mit der nächsten Phase fortfahren kann.