Phase 2 – Rechtliche und vertragliche Anforderungen
„Ein ISMS muss nicht nur technisch sinnvoll sein, sondern auch zu den rechtlichen, vertraglichen und organisatorischen Anforderungen des Unternehmens passen.“
Einleitung
Nachdem in Phase 1 das Unternehmen, seine Geschäftsprozesse und seine grundlegende Struktur verstanden wurden, folgt nun die Betrachtung der rechtlichen, vertraglichen und organisatorischen Anforderungen.
Diese Phase ist wichtig, weil Informationssicherheit nicht im luftleeren Raum stattfindet. Unternehmen müssen gesetzliche Vorgaben einhalten, Verträge erfüllen, Kundenerwartungen berücksichtigen und interne Verantwortlichkeiten klären.
Gerade bei kleinen und mittleren Unternehmen ist häufig unklar, welche Anforderungen überhaupt bestehen. Oft gibt es Datenschutzthemen, Anforderungen von Kunden, Versicherungsbedingungen oder branchenspezifische Vorgaben, die nie systematisch erfasst wurden.
Das Ziel dieser Phase ist daher nicht, sofort juristische Detailbewertungen vorzunehmen. Vielmehr soll ein vollständiger Überblick entstehen, welche externen und internen Anforderungen für das spätere ISMS relevant sind.
Ziel der Phase
Das Ziel dieser Phase besteht darin, alle Anforderungen zu erfassen, die Einfluss auf Informationssicherheit, Datenschutz, IT-Betrieb und organisatorische Verantwortlichkeiten haben.
Nach Abschluss dieser Phase sollte bekannt sein,
- welche gesetzlichen Anforderungen relevant sind,
- welche vertraglichen Verpflichtungen bestehen,
- welche Anforderungen Kunden oder Geschäftspartner stellen,
- ob Versicherungen bestimmte Sicherheitsmaßnahmen voraussetzen,
- welche Rollen und Verantwortlichkeiten bereits existieren,
- und welche organisatorischen Lücken geschlossen werden müssen.
Diese Informationen bilden später die Grundlage für Richtlinien, Prozesse, Risikoanalysen und Maßnahmenpläne.
Benötigte Teilnehmer
Je nach Unternehmensgröße sollten möglichst folgende Personen beteiligt werden:
- Geschäftsführung
- IT-Verantwortlicher oder externer IT-Dienstleister
- Datenschutzbeauftragter, falls vorhanden
- Verantwortliche aus Verwaltung, Buchhaltung oder Personal
- Verantwortliche aus Vertrieb oder Kundenmanagement
- Qualitätsmanagement, falls vorhanden
Bei kleinen Unternehmen reicht häufig ein Gespräch mit der Geschäftsführung und dem externen IT-Dienstleister. Wichtig ist jedoch, dass nicht nur technische Themen betrachtet werden.
Arbeitsergebnisse der Phase
Nach Abschluss dieser Phase sollten mindestens folgende Ergebnisse vorliegen:
- Übersicht der relevanten gesetzlichen Anforderungen
- Übersicht der vertraglichen Anforderungen
- Liste wichtiger Kundenanforderungen
- Übersicht bestehender Versicherungsanforderungen
- Liste vorhandener Richtlinien und interner Regelungen
- Übersicht vorhandener Rollen und Verantwortlichkeiten
- Liste offener rechtlicher oder organisatorischer Fragen
Diese Ergebnisse müssen nicht perfekt sein. Wichtig ist zunächst, dass Transparenz entsteht und offene Punkte sichtbar werden.
Warum ist diese Phase wichtig?
Viele Sicherheitsmaßnahmen werden erst dann nachvollziehbar, wenn die zugrunde liegenden Anforderungen bekannt sind.
Ein Unternehmen kann beispielsweise technisch gut abgesichert sein, aber dennoch gegen Datenschutzvorgaben verstoßen, weil Auftragsverarbeitungsverträge fehlen oder personenbezogene Daten unkontrolliert weitergegeben werden.
Ebenso kann ein Unternehmen davon ausgehen, gut versichert zu sein, obwohl die Cyberversicherung im Schadensfall bestimmte Mindestmaßnahmen wie Mehr-Faktor-Authentifizierung, Patchmanagement oder funktionierende Backups voraussetzt.
Diese Phase verhindert, dass Informationssicherheit nur aus technischer Sicht betrachtet wird.
Checkliste
Gesetzliche Anforderungen
Ziel
Erfassen, welche gesetzlichen Vorgaben für das Unternehmen relevant sind.
Zu erfassende Informationen
- DSGVO
- BDSG
- Handels- und steuerrechtliche Aufbewahrungspflichten
- Arbeitsrechtliche Anforderungen
- Branchenspezifische Vorgaben
- Regulatorische Anforderungen
Warum ist das wichtig?
Gesetzliche Anforderungen bilden häufig den Mindeststandard, den ein Unternehmen einhalten muss. Besonders die Verarbeitung personenbezogener Daten betrifft nahezu jedes Unternehmen.
Für das ISMS ist wichtig zu wissen, welche Daten verarbeitet werden, wie lange sie aufbewahrt werden müssen und welche Schutzmaßnahmen gesetzlich oder faktisch erforderlich sind.
Datenschutz
Ziel
Den aktuellen Stand der Datenschutzorganisation erfassen.
Zu erfassende Informationen
- Datenschutzbeauftragter
- Datenschutzerklärungen
- Verzeichnis der Verarbeitungstätigkeiten
- Auftragsverarbeitungsverträge
- Technische und organisatorische Maßnahmen
- Löschkonzepte
- Umgang mit Auskunftsersuchen
Warum ist das wichtig?
Datenschutz und Informationssicherheit überschneiden sich stark. Während Datenschutz den Schutz personenbezogener Daten betrachtet, schützt Informationssicherheit auch andere schützenswerte Informationen wie Geschäftsgeheimnisse, Verträge, Zugangsdaten oder technische Dokumentationen.
Ein ISMS sollte daher den Datenschutz nicht ersetzen, aber sinnvoll ergänzen.
Auftragsverarbeitung
Ziel
Erfassen, welche externen Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeiten.
Zu erfassende Informationen
- IT-Dienstleister
- Cloud-Anbieter
- Hostinganbieter
- Lohnbuchhaltung
- Newsletter-Dienste
- Support-Dienstleister
- Software-as-a-Service-Anbieter
Warum ist das wichtig?
Viele Unternehmen nutzen externe Dienste, ohne die datenschutzrechtlichen und sicherheitstechnischen Auswirkungen vollständig zu kennen.
Für das ISMS ist entscheidend, welche Dienstleister Zugriff auf Daten, Systeme oder Benutzerkonten haben und ob deren Leistungen vertraglich sauber geregelt sind.
Vertragliche Anforderungen
Ziel
Alle Verträge identifizieren, die Anforderungen an IT, Datenschutz oder Informationssicherheit enthalten.
Zu erfassende Informationen
- Kundenverträge
- Lieferantenverträge
- Wartungsverträge
- Service Level Agreements
- Geheimhaltungsvereinbarungen
- Rahmenverträge
- Verträge mit IT-Dienstleistern
Warum ist das wichtig?
Vertragliche Anforderungen werden häufig übersehen. Kunden können beispielsweise bestimmte Sicherheitsmaßnahmen, Reaktionszeiten, Verfügbarkeiten oder Vertraulichkeitsregeln verlangen.
Wenn solche Anforderungen nicht bekannt sind, können Risiken falsch bewertet oder Verpflichtungen unbeabsichtigt verletzt werden.
Kundenanforderungen
Ziel
Erfassen, ob Kunden besondere Anforderungen an Informationssicherheit stellen.
Zu erfassende Informationen
- Sicherheitsfragebögen
- Kundenaudits
- Vertraulichkeitsanforderungen
- Zertifizierungsanforderungen
- Technische Mindestanforderungen
- Branchenvorgaben der Kunden
Warum ist das wichtig?
Gerade größere Kunden verlangen zunehmend Nachweise zur Informationssicherheit. Auch wenn keine ISO-27001-Zertifizierung gefordert wird, erwarten Kunden häufig dokumentierte Prozesse, Zugriffskontrollen, Backupkonzepte oder Notfallpläne.
Ein ISMS kann helfen, solche Anforderungen strukturiert zu beantworten.
Cyberversicherung
Ziel
Prüfen, ob eine Cyberversicherung besteht und welche Sicherheitsanforderungen damit verbunden sind.
Zu erfassende Informationen
- Versicherungspolice
- Sicherheitsfragebogen
- Mindestanforderungen
- Ausschlüsse
- Meldepflichten im Schadensfall
- Kontaktwege zur Versicherung
Warum ist das wichtig?
Viele Cyberversicherungen setzen bestimmte Sicherheitsmaßnahmen voraus. Dazu gehören beispielsweise funktionierende Backups, aktuelle Systeme, Virenschutz, Mehr-Faktor-Authentifizierung oder ein dokumentiertes Patchmanagement.
Werden diese Anforderungen nicht erfüllt, kann dies im Schadensfall problematisch werden.
Branchenspezifische Anforderungen
Ziel
Ermitteln, ob besondere Anforderungen aus der Branche des Unternehmens bestehen.
Beispiele
- Gesundheitswesen
- Steuerberatung
- Rechtsberatung
- Produktion
- Automobilzulieferer
- Kritische Infrastrukturen
- Finanz- und Versicherungsbereich
Warum ist das wichtig?
Einige Branchen haben deutlich höhere Anforderungen an Datenschutz, Verfügbarkeit oder Vertraulichkeit.
Auch wenn ein kleines Unternehmen selbst nicht reguliert ist, kann es durch Kunden oder Lieferketten indirekt mit solchen Anforderungen konfrontiert werden.
Zertifizierungen und Standards
Ziel
Erfassen, ob bestehende oder geplante Zertifizierungen Einfluss auf das ISMS haben.
Zu erfassende Informationen
- ISO 9001
- ISO 27001
- TISAX
- Branchenspezifische Standards
- Kundenspezifische Audits
- Interne Qualitätsmanagement-Vorgaben
Warum ist das wichtig?
Bestehende Managementsysteme können für den Aufbau eines ISMS sehr hilfreich sein. Wenn bereits Qualitätsmanagement, Prozessbeschreibungen oder interne Audits existieren, sollte das ISMS daran anknüpfen.
So wird vermieden, dass parallele Dokumentationen entstehen, die später nicht gepflegt werden.
Interne Richtlinien
Ziel
Erfassen, welche internen Vorgaben bereits existieren.
Zu erfassende Informationen
- IT-Richtlinien
- Passwortrichtlinien
- Homeoffice-Regelungen
- Bring-your-own-device-Regelungen
- Datenschutzrichtlinien
- Nutzungsrichtlinien für E-Mail und Internet
- Arbeitsanweisungen
Warum ist das wichtig?
Viele Unternehmen haben einzelne Regeln, aber kein geschlossenes Regelwerk. Häufig existieren mündliche Vorgaben oder alte Dokumente, die nicht mehr zum tatsächlichen Betrieb passen.
Für das ISMS muss geklärt werden, welche Richtlinien weiterverwendet, überarbeitet oder neu erstellt werden müssen.
Rollen und Verantwortlichkeiten
Ziel
Klären, wer für welche Themen verantwortlich ist.
Zu erfassende Informationen
- Geschäftsführung
- IT-Verantwortlicher
- Datenschutzbeauftragter
- Fachbereichsverantwortliche
- Administratorinnen und Administratoren
- Externe Dienstleister
- Vertretungsregelungen
Warum ist das wichtig?
Informationssicherheit funktioniert nur, wenn Verantwortlichkeiten klar geregelt sind.
In kleinen Unternehmen ist häufig unklar, ob die Geschäftsführung, der externe IT-Dienstleister oder einzelne Mitarbeitende für bestimmte Aufgaben zuständig sind. Diese Unklarheit führt im Ernstfall zu Verzögerungen und Fehlern.
IT-Dienstleister und Verantwortungsabgrenzung
Ziel
Verstehen, welche Aufgaben externe IT-Dienstleister tatsächlich übernehmen.
Zu erfassende Informationen
- Wartungsverträge
- Reaktionszeiten
- Regelmäßige Prüfungen
- Backup-Verantwortung
- Patchmanagement
- Monitoring
- Dokumentationspflichten
- Zugriff auf Administratorenkonten
Warum ist das wichtig?
Viele Unternehmen gehen davon aus, dass der IT-Dienstleister „alles macht“. In der Praxis gibt es jedoch oft nur eine reine Störungsbehebung ohne Wartung, Dokumentation oder proaktive Sicherheitsmaßnahmen.
Für das ISMS muss daher genau dokumentiert werden, welche Aufgaben tatsächlich beauftragt sind und welche nicht.
Nachweis- und Dokumentationspflichten
Ziel
Erfassen, welche Nachweise das Unternehmen im Bedarfsfall vorlegen können muss.
Beispiele
- Backup-Nachweise
- Patchstände
- Benutzer- und Rechteübersichten
- Protokolle von Sicherheitsprüfungen
- Verträge mit Dienstleistern
- Schulungsnachweise
- Dokumentierte Risikoentscheidungen
Warum ist das wichtig?
Viele Sicherheitsmaßnahmen sind nur dann belastbar, wenn sie dokumentiert und nachweisbar sind.
Ein Backupkonzept ist beispielsweise wenig wert, wenn nie dokumentiert wurde, was gesichert wird, ob die Sicherung funktioniert und ob eine Wiederherstellung getestet wurde.
Geplante Veränderungen
Ziel
Erfassen, ob in naher Zukunft organisatorische oder technische Veränderungen geplant sind.
Beispiele
- Umzug
- Wachstum
- Neue Standorte
- Neue Software
- Cloud-Migration
- Neue Kundenanforderungen
- Wechsel des IT-Dienstleisters
Warum ist das wichtig?
Ein ISMS sollte nicht nur den aktuellen Zustand betrachten, sondern auch absehbare Veränderungen berücksichtigen.
Wenn beispielsweise ohnehin eine neue ERP-Software eingeführt wird, können Anforderungen an Berechtigungen, Protokollierung und Datensicherung direkt in das Projekt aufgenommen werden.
Typische Feststellungen
In vielen kleinen und mittleren Unternehmen zeigt sich in dieser Phase ein ähnliches Bild.
- Es gibt keinen formalen IT-Verantwortlichen.
- Der externe IT-Dienstleister wird nur bei Störungen kontaktiert.
- Es existieren keine oder nur veraltete Verträge.
- Datenschutzdokumente sind unvollständig oder nicht gepflegt.
- Auftragsverarbeitungsverträge fehlen.
- Kundenanforderungen wurden nie zentral gesammelt.
- Versicherungsbedingungen wurden nicht mit der tatsächlichen IT abgeglichen.
- Interne Richtlinien existieren nur mündlich.
Diese Feststellungen sind kein Scheitern, sondern ein wichtiger Erkenntnisgewinn. Sie zeigen, an welchen Stellen das spätere ISMS zuerst ansetzen muss.
Hinweise für den IT-Berater
In dieser Phase sollte klar zwischen technischer Beratung und rechtlicher Bewertung unterschieden werden.
Ein IT-Berater kann Anforderungen identifizieren, Lücken sichtbar machen und organisatorische Maßnahmen vorschlagen. Eine verbindliche juristische Bewertung sollte jedoch durch entsprechend qualifizierte Stellen erfolgen, beispielsweise Rechtsberatung oder Datenschutzberatung.
Wichtig ist außerdem, nicht zu früh in technische Lösungen zu springen. Wenn beispielsweise ein Kunde nach ISO 27001 fragt, bedeutet das nicht automatisch, dass eine Zertifizierung sinnvoll oder erforderlich ist.
Häufig reicht zunächst ein pragmatisches, gut dokumentiertes Sicherheitsmanagement, das sich an bewährten Standards orientiert.
Praxistipp
Fragen Sie bei jedem Vertrag und jeder Anforderung:
„Was passiert, wenn diese Anforderung nicht erfüllt wird?“
Diese Frage hilft, Anforderungen zu priorisieren.
Manche Anforderungen sind gesetzlich zwingend. Andere sind vertraglich wichtig. Wieder andere sind eher wünschenswert, aber nicht unmittelbar kritisch.
Diese Unterscheidung ist später für die Maßnahmenplanung sehr hilfreich.
Ergebnis der Phase
Nach Abschluss dieser Phase liegt ein Überblick über die rechtlichen, vertraglichen und organisatorischen Rahmenbedingungen des Unternehmens vor.
Es ist bekannt, welche Anforderungen zwingend berücksichtigt werden müssen, welche Verantwortlichkeiten bestehen und welche organisatorischen Lücken noch geschlossen werden müssen.
Damit ist die Grundlage geschaffen, um in der nächsten Phase die schützenswerten Werte des Unternehmens systematisch zu erfassen.