Phase 2 – Rechtliche und vertragliche Anforderungen
„Ein ISMS muss
nichtdienurtatsächlichentechnisch sinnvoll sein, sondern auch zu den rechtlichen, vertraglichen und organisatorischen AnforderungenPflichten des Unternehmenspassen.kennen.“
Einleitung
NachdemPhase in2 – Rechtliche und organisatorische Anforderungen ist ein Baustein auf dem Weg zu einem belastbaren ISMS für KMU. Die Phase 1verbindet dasorganisatorische Unternehmen,Sicht, seinetechnische GeschäftsprozesseRealität und seine grundlegende Struktur verstanden wurden, folgt nun die BetrachtungAnforderungen der rechtlichen, vertraglichen und organisatorischen Anforderungen.Geschäftsführung.
Diese Phase ist wichtig, weil Informationssicherheit nicht im luftleeren Raum stattfindet. Unternehmen müssen gesetzliche Vorgaben einhalten, Verträge erfüllen, Kundenerwartungen berücksichtigen und interne Verantwortlichkeiten klären.
Gerade bei kleinen und mittleren Unternehmen ist häufig unklar, welche Anforderungen überhaupt bestehen. Oft gibt es Datenschutzthemen, Anforderungen von Kunden, Versicherungsbedingungen oder branchenspezifische Vorgaben, die nie systematisch erfasst wurden.
Das Ziel dieser Phase ist daher nicht, sofort juristische Detailbewertungen vorzunehmen. Vielmehr soll ein vollständiger Überblick entstehen, welche externen und internen Anforderungen für das spätere ISMS relevant sind.
Ziel der Phase
Das Ziel dieserist Phasees, bestehtdie darin,relevanten alleInformationen Anforderungenstrukturiert zu erfassen, dieverständlich Einflusszu auf Informationssicherheit, Datenschutz, IT-Betriebdokumentieren und organisatorische Verantwortlichkeiten haben.
Nach Abschluss dieser Phase sollte bekannt sein,
welche gesetzlichen Anforderungen relevant sind,welche vertraglichen Verpflichtungen bestehen,welche Anforderungen Kunden oder Geschäftspartner stellen,ob Versicherungen bestimmte Sicherheitsmaßnahmen voraussetzen,welche Rollen und Verantwortlichkeiten bereits existieren,und welche organisatorischen Lücken geschlossen werden müssen.
Diese Informationen bilden später dieals Grundlage für Richtlinien,die Prozesse,nächsten RisikoanalysenSchritte undnutzbar Maßnahmenpläne.zu machen.
Benötigte Teilnehmer
Je nach Unternehmensgröße sollten möglichst folgende Personen beteiligt werden:
- Geschäftsführung oder IT-Entscheider
IT-VerantwortlicherInterner oder externer IT-DienstleisterVerantwortlicherDatenschutzbeauftragter,FachabteilungenfallsnachvorhandenBedarfVerantwortliche aus Verwaltung, BuchhaltungDatenschutz oderPersonalVerantwortliche aus Vertrieb oder Kundenmanagement- Qualitätsmanagement, falls vorhanden
Bei kleinen Unternehmen reicht häufig ein Gespräch mit der Geschäftsführung und dem externen IT-Dienstleister. Wichtig ist jedoch, dass nicht nur technische Themen betrachtet werden.
Arbeitsergebnisse der Phase
Nach
- Dokumentierte Ergebnisse
vorliegen:Übersichtderrelevanten gesetzlichen AnforderungenBestandsaufnahmeÜbersichtOffenederFragenvertraglichenundAnforderungenRisikenListeErstewichtigerPrioritätenKundenanforderungenfür spätere MaßnahmenÜbersichtGrundlagebestehenderfürVersicherungsanforderungendie Listenächstevorhandener Richtlinien und interner RegelungenÜbersicht vorhandener Rollen und VerantwortlichkeitenListe offener rechtlicher oder organisatorischer FragenPhase
Diese Ergebnisse müssen nicht perfekt sein. Wichtig ist zunächst, dass Transparenz entsteht und offene Punkte sichtbar werden.Warum ist diese Phase wichtig?Viele Sicherheitsmaßnahmen werden erst dann nachvollziehbar, wenn die zugrunde liegenden Anforderungen bekannt sind.Ein Unternehmen kann beispielsweise technisch gut abgesichert sein, aber dennoch gegen Datenschutzvorgaben verstoßen, weil Auftragsverarbeitungsverträge fehlen oder personenbezogene Daten unkontrolliert weitergegeben werden.Ebenso kann ein Unternehmen davon ausgehen, gut versichert zu sein, obwohl die Cyberversicherung im Schadensfall bestimmte Mindestmaßnahmen wie Mehr-Faktor-Authentifizierung, Patchmanagement oder funktionierende Backups voraussetzt.Diese Phase verhindert, dass Informationssicherheit nur aus technischer Sicht betrachtet wird.
Checkliste
Gesetzliche Anforderungen
Ziel
Erfassen,DSGVO,welcheBDSGgesetzlichenund ggf. branchenspezifische Vorgabenfürwerdendasgeprüft.UnternehmenNichtrelevantjedesind.Norm ist relevant, aber relevante Pflichten müssen dokumentiert werden.Zu erfassende InformationenDSGVOBDSGHandels- und steuerrechtliche AufbewahrungspflichtenArbeitsrechtliche AnforderungenBranchenspezifische VorgabenRegulatorische Anforderungen
Warum ist das wichtig?
GesetzlicheDieserAnforderungenPunktbildensorgthäufigdafür,dendassMindeststandard,Entscheidungendennichteinauf Annahmen beruhen. Gerade in kleinen Unternehmeneinhaltensindmuss.vieleBesondersInformationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch dieVerarbeitungstrukturiertepersonenbezogenerErfassungDatenentstehtbetrifft nahezu jedes Unternehmen.Für das ISMS ist wichtig zu wissen, welche Daten verarbeitet werden, wie lange sie aufbewahrt werden müssenTransparenz undwelcheeineSchutzmaßnahmenbelastbaregesetzlichGrundlageoderfürfaktischRisikoanalyse,erforderlichMaßnahmenplanungsind.und spätere Audits.Vertragliche
DatenschutzAnforderungenZiel
DenKundenverträge,aktuellenLieferantenverträge,Stand der Datenschutzorganisation erfassen.Zu erfassende InformationenDatenschutzbeauftragterDatenschutzerklärungenVerzeichnis der VerarbeitungstätigkeitenAuftragsverarbeitungsverträgeTechnischeGeheimhaltungsvereinbarungen undorganisatorischeServiceverträgeMaßnahmenkönnen LöschkonzepteSicherheitsanforderungen Umgangenthalten.mitDieseAuskunftsersuchenAnforderungen
Warum ist das wichtig?
DatenschutzDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz undInformationssicherheiteineüberschneidenbelastbaresichGrundlagestark.fürWährendRisikoanalyse,DatenschutzMaßnahmenplanungdenundSchutzspäterepersonenbezogener Daten betrachtet, schützt Informationssicherheit auch andere schützenswerte Informationen wie Geschäftsgeheimnisse, Verträge, Zugangsdaten oder technische Dokumentationen.Audits.Ein ISMS sollte daher den Datenschutz nicht ersetzen, aber sinnvoll ergänzen.AuftragsverarbeitungKundenanforderungenZiel
Erfassen,ManchewelcheKundenexternenverlangenDienstleisterSicherheitsnachweise,personenbezogeneFragebögen,DatenMindeststandardsimoderAuftragZertifizierungen.desDieseUnternehmensAnforderungenverarbeiten.bestimmen häufig die Priorisierung.Zu erfassende InformationenIT-DienstleisterCloud-AnbieterHostinganbieterLohnbuchhaltungNewsletter-DiensteSupport-DienstleisterSoftware-as-a-Service-Anbieter
Warum ist das wichtig?
Risikoanalyse,VieleDieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade in kleinen UnternehmennutzensindexternevieleDienste,Informationenohnenicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch diedatenschutzrechtlichenstrukturierte Erfassung entsteht Transparenz undsicherheitstechnischeneineAuswirkungenbelastbarevollständigGrundlagezufürkennen.Für das ISMS ist entscheidend, welche Dienstleister Zugriff auf Daten, Systeme oder Benutzerkonten habenMaßnahmenplanung undobspäterederen Leistungen vertraglich sauber geregelt sind.Audits.Vertragliche AnforderungenCyberversicherungZiel
AlleVersichererVerträgeverlangenidentifizieren,oftdieMFA,AnforderungenPatchmanagement,anBackups,IT, DatenschutzEDR oderInformationssicherheitNotfallpläne.enthalten.Der tatsächliche Versicherungsvertrag sollte geprüft werden.Zu erfassende InformationenKundenverträgeLieferantenverträgeWartungsverträgeService Level AgreementsGeheimhaltungsvereinbarungenRahmenverträgeVerträge mit IT-Dienstleistern
Warum ist das wichtig?
VertraglicheDieserAnforderungenPunktwerdensorgthäufigdafür,übersehen.dassKunden können beispielsweise bestimmte Sicherheitsmaßnahmen, Reaktionszeiten, Verfügbarkeiten oder Vertraulichkeitsregeln verlangen.Wenn solche AnforderungenEntscheidungen nichtbekanntaufsind,Annahmenkönnenberuhen.RisikenGeradefalschinbewertetkleinenoderUnternehmenVerpflichtungensindunbeabsichtigtvieleverletztInformationenwerden.nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.KundenanforderungenAuftragsverarbeitungZiel
Erfassen,AV-VerträgeobundKundenDatenschutzrollenbesonderemüssenAnforderungengeklärtanwerden.InformationssicherheitBesondersstellen.wichtig ist die Abgrenzung zwischen Verantwortlichem, Auftragsverarbeiter und Unterauftragnehmer.Zu erfassende InformationenSicherheitsfragebögenKundenauditsVertraulichkeitsanforderungenZertifizierungsanforderungenTechnische MindestanforderungenBranchenvorgaben der Kunden
Warum ist das wichtig?
Dieser Punkt sorgt dafür, dass Entscheidungen nicht auf Annahmen beruhen. Gerade
größereinKundenkleinenverlangenUnternehmenzunehmendsindNachweisevielezurInformationenInformationssicherheit.nichtAuchdokumentiert,wennsondernkeinenurISO-27001-ZertifizierungeinzelnengefordertPersonenwird,bekannt.erwartenDurchKundendiehäufigstrukturiertedokumentierteErfassungProzesse,entstehtZugriffskontrollen,TransparenzBackupkonzepteundodereineNotfallpläne.belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.Ein ISMS kann helfen, solche Anforderungen strukturiert zu beantworten.CyberversicherungDatenschutzorganisationZiel
Prüfen,Datenschutzbeauftragter,obVerzeichniseinederCyberversicherungVerarbeitungstätigkeiten,bestehtLöschkonzepte undwelcheBetroffenenrechteSicherheitsanforderungenwerdendamitbetrachtet.verbundenDatenschutzsind.und Informationssicherheit überschneiden sich stark.Zu erfassende InformationenVersicherungspoliceSicherheitsfragebogenMindestanforderungenAusschlüsseMeldepflichten im SchadensfallKontaktwege zur Versicherung
Warum ist das wichtig?
VieleDieserCyberversicherungenPunktsetzensorgtbestimmtedafür,Sicherheitsmaßnahmendassvoraus. Dazu gehören beispielsweise funktionierende Backups, aktuelle Systeme, Virenschutz, Mehr-Faktor-Authentifizierung oder ein dokumentiertes Patchmanagement.Werden diese AnforderungenEntscheidungen nichterfüllt,aufkannAnnahmendiesberuhen.imGeradeSchadensfallinproblematischkleinenwerden.Unternehmen sind viele Informationen nicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch die strukturierte Erfassung entsteht Transparenz und eine belastbare Grundlage für Risikoanalyse, Maßnahmenplanung und spätere Audits.Interne
Branchenspezifische AnforderungenRichtlinienZiel
Ermitteln,VorhandeneobRegelnbesonderezuAnforderungenPasswörtern,ausHomeoffice,dermobilenBrancheGerätendesoderUnternehmensE-Mailbestehen.werden gesammelt. Fehlen sie, entsteht daraus später ein Maßnahmenbedarf.BeispieleGesundheitswesenSteuerberatungRechtsberatungProduktionAutomobilzuliefererKritische InfrastrukturenFinanz- und Versicherungsbereich
Warum ist das wichtig?
GeradeEinigeDieserBranchenPunkthabensorgtdeutlichdafür,höheredassAnforderungenEntscheidungenannichtDatenschutz,aufVerfügbarkeitAnnahmenoderberuhen.Vertraulichkeit.Auchinwenn ein kleineskleinen Unternehmenselbstsind viele Informationen nichtreguliertdokumentiert,ist,sondernkannnureseinzelnendurchPersonenKundenbekannt.oderDurchLieferkettendieindirektstrukturiertemitErfassungsolchenentstehtAnforderungen konfrontiert werden.
eineZertifizierungenTransparenz undStandards
belastbareZielErfassen, ob bestehende oder geplante Zertifizierungen Einfluss auf das ISMS haben.Zu erfassende InformationenISO 9001ISO 27001TISAXBranchenspezifische StandardsKundenspezifische AuditsInterne Qualitätsmanagement-Vorgaben
Warum ist das wichtig?Bestehende Managementsysteme könnenGrundlage fürdenRisikoanalyse,Aufbau eines ISMS sehr hilfreich sein. Wenn bereits Qualitätsmanagement, Prozessbeschreibungen oder interne Audits existieren, sollte das ISMS daran anknüpfen.So wird vermieden, dass parallele Dokumentationen entstehen, die später nicht gepflegt werden.Interne RichtlinienZielErfassen, welche internen Vorgaben bereits existieren.Zu erfassende InformationenIT-RichtlinienPasswortrichtlinienHomeoffice-RegelungenBring-your-own-device-RegelungenDatenschutzrichtlinienNutzungsrichtlinien für E-MailMaßnahmenplanung undInternetspätere Arbeitsanweisungen
Warum ist das wichtig?Audits.Viele Unternehmen haben einzelne Regeln, aber kein geschlossenes Regelwerk. Häufig existieren mündliche Vorgaben oder alte Dokumente, die nicht mehr zum tatsächlichen Betrieb passen.Für das ISMS muss geklärt werden, welche Richtlinien weiterverwendet, überarbeitet oder neu erstellt werden müssen.
Rollen und Verantwortlichkeiten
Ziel
Klären,Es wird geklärt, werfürInformationssicherheitwelchesteuert,ThemenEntscheidungenverantwortlich ist.Zu erfassende InformationenGeschäftsführungIT-VerantwortlicherDatenschutzbeauftragterFachbereichsverantwortlicheAdministratorinnentrifft undAdministratorenMaßnahmen Externefreigibt.DienstleisterOhne Vertretungsregelungenklare
Warum ist das wichtig?
aufInformationssicherheitDieserfunktioniertPunktnur,sorgtwenndafür,VerantwortlichkeitendassklarEntscheidungengeregeltnichtsind.InAnnahmen beruhen. Gerade in kleinen Unternehmenistsindhäufigvieleunklar,Informationenobnicht dokumentiert, sondern nur einzelnen Personen bekannt. Durch dieGeschäftsführung,strukturiertederErfassungexterneentstehtIT-DienstleisterTransparenzoderundeinzelneeineMitarbeitendebelastbare Grundlage fürbestimmteRisikoanalyse,Aufgaben zuständig sind. Diese Unklarheit führt im Ernstfall zu VerzögerungenMaßnahmenplanung undFehlern.spätere Audits.IT-Dienstleister und VerantwortungsabgrenzungZielVerstehen, welche Aufgaben externe IT-Dienstleister tatsächlich übernehmen.Zu erfassende InformationenWartungsverträgeReaktionszeitenRegelmäßige PrüfungenBackup-VerantwortungPatchmanagementMonitoringDokumentationspflichtenZugriff auf Administratorenkonten
Warum ist das wichtig?Viele Unternehmen gehen davon aus, dass der IT-Dienstleister „alles macht“. In der Praxis gibt es jedoch oft nur eine reine Störungsbehebung ohne Wartung, Dokumentation oder proaktive Sicherheitsmaßnahmen.Für das ISMS muss daher genau dokumentiert werden, welche Aufgaben tatsächlich beauftragt sind und welche nicht.Nachweis- und DokumentationspflichtenZielErfassen, welche Nachweise das Unternehmen im Bedarfsfall vorlegen können muss.BeispieleBackup-NachweisePatchständeBenutzer- und RechteübersichtenProtokolle von SicherheitsprüfungenVerträge mit DienstleisternSchulungsnachweiseDokumentierte Risikoentscheidungen
Warum ist das wichtig?Viele Sicherheitsmaßnahmen sind nur dann belastbar, wenn sie dokumentiert und nachweisbar sind.Ein Backupkonzept ist beispielsweise wenig wert, wenn nie dokumentiert wurde, was gesichert wird, ob die Sicherung funktioniert und ob eine Wiederherstellung getestet wurde.Geplante VeränderungenZielErfassen, ob in naher Zukunft organisatorische oder technische Veränderungen geplant sind.BeispieleUmzugWachstumNeue StandorteNeue SoftwareCloud-MigrationNeue KundenanforderungenWechsel des IT-Dienstleisters
Warum ist das wichtig?Ein ISMS sollte nicht nur den aktuellen Zustand betrachten, sondern auch absehbare Veränderungen berücksichtigen.Wenn beispielsweise ohnehin eine neue ERP-Software eingeführt wird, können Anforderungen an Berechtigungen, Protokollierung und Datensicherung direkt in das Projekt aufgenommen werden.
Typische Feststellungen
In
vielenKMUkleinenfehlen häufig aktuelle Dokumentationen, eindeutige Verantwortlichkeiten undmittlerenregelmäßigeUnternehmenPrüfungen.zeigtDassichistinkeindieserVorwurf,Phase ein ähnliches Bild.Es gibt keinen formalen IT-Verantwortlichen.Der externe IT-Dienstleister wird nur bei Störungen kontaktiert.Es existieren keine oder nur veraltete Verträge.Datenschutzdokumente sind unvollständig oder nicht gepflegt.Auftragsverarbeitungsverträge fehlen.Kundenanforderungen wurden nie zentral gesammelt.Versicherungsbedingungen wurden nicht mitsondern dertatsächlichenAusgangspunktITfürabgeglichen.den InterneAufbauRichtlinieneinesexistieren nur mündlich.
Diese Feststellungen sind kein Scheitern, sondern ein wichtiger Erkenntnisgewinn. Sie zeigen, an welchen Stellen das spätere ISMS zuerst ansetzen muss.ISMS.
Hinweise für den IT-Berater
In dieser Phase sollte klar zwischen technischer Beratung und rechtlicher Bewertung unterschieden werden.Ein IT-Berater kann Anforderungen identifizieren, Lücken sichtbar machen und organisatorische Maßnahmen vorschlagen. Eine verbindliche juristische Bewertung sollte jedoch durch entsprechend qualifizierte Stellen erfolgen, beispielsweise Rechtsberatung oder Datenschutzberatung.Wichtig ist
außerdem, nicht zu früh in technische Lösungen zu springen. Wenn beispielsweise ein Kunde nach ISO 27001 fragt, bedeutet das nicht automatisch, dasseineZertifizierungpragmatischesinnvollSprache.oderGeschäftsführungerforderlichundist.Fachbereiche müssen verstehen, welchen Nutzen die Phase für den Betrieb hat. Technische Details sind wichtig, sollten aber immer mit Geschäftsrisiken verbunden werden.Häufig reicht zunächst ein pragmatisches, gut dokumentiertes Sicherheitsmanagement, das sich an bewährten Standards orientiert.
Praxistipp
FragenAmSieEndebeijederjedemPhaseVertragsollte eine kurze Zusammenfassung erstellt werden: Was wurde erkannt, was ist kritisch, was ist offen undjederwelcheAnforderung:Entscheidung wird als nächstes benötigt?„Was passiert, wenn diese Anforderung nicht erfüllt wird?“Diese Frage hilft, Anforderungen zu priorisieren.Manche Anforderungen sind gesetzlich zwingend. Andere sind vertraglich wichtig. Wieder andere sind eher wünschenswert, aber nicht unmittelbar kritisch.Diese Unterscheidung ist später für die Maßnahmenplanung sehr hilfreich.
Ergebnis der Phase
Nach Abschluss dieserDie Phaseliegtisteinabgeschlossen,Überblick überwenn dierechtlichen,Ergebnissevertraglichenso dokumentiert sind, dass eine andere fachkundige Person die Ausgangslage nachvollziehen undorganisatorischen Rahmenbedingungen des Unternehmens vor.Es ist bekannt, welche Anforderungen zwingend berücksichtigt werden müssen, welche Verantwortlichkeiten bestehen und welche organisatorischen Lücken noch geschlossen werden müssen.Damit ist die Grundlage geschaffen, um inmit der nächsten Phasediefortfahrenschützenswerten Werte des Unternehmens systematisch zu erfassen.kann.