close

Kontaktieren Sie uns jetzt,
um zu erfahren, wie Sie sparen können

Oder buchen Sie hier direkt einen Termin

+49 (89) 412 07033
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Bevor ein Unternehmensverkauf stattfindet, Investoren in ein Unternehmen einsteigen oder der Gang an die Börse infrage kommt, muss erstmal die Hürde der Due Diligence genommen werden. Im Fokus der Prüfungen steht unter anderem die Informationssicherheit. Wie diese gemanagt werden sollte und worauf es dabei ankommt, das definiert die internationale Norm ISO 27001. Wir erklären, was sie bedeutet und worauf Unternehmen bei der Umsetzung achten sollten. 

Das Wichtigste in Kürze 

  • Im Rahmen eines Due-Diligence-Verfahrens wird auch die Informationssicherheit des geprüften Unternehmens genau unter die Lupe genommen.
  • Informationssicherheit umfasst weit mehr als IT-Sicherheit. Es geht auch um die Prozesse und den Faktor Menschen im Unternehmen.  
  • Managementsysteme für Informationssicherheit (ISMS) sollten gemäß ISO 27001 entwickelt werden 
  • Unternehmen mit ISO 27001-Zertifizierung genießen hohes Vertrauen und steigern dadurch ihren Unternehmenswert. Bei ihnen kann eine Due Diligence wesentlich kompakter ausfallen. 
  • TISAX-Freigaben sind das Pendant zur ISO 27001-Zertifikate für Dienstleister und Zulieferer in der Automobilindustrie. 

In diesem Beitrag 

Was bedeutet Due Diligence? Wann müssen Unternehmen eine solche Prüfung durchführen? 

Wörtlich übersetzt bedeutet Due Diligence die „gebotene SorgfaltDer Begriff bezeichnet ein Verfahren zur Überprüfung von Aussagen und Angaben eines Unternehmens über die eigenen Unternehmenswerte und die damit verbundenen Risiken. Durchgeführt wird die Due-Diligence-Prüfung insbesondere dann, wenn sich ein Investor oder Käufer für ein Unternehmen interessiert oder ein Börsengang bevorsteht. Denn wer eine Unternehmensbeteiligung oder -übernahme plantmöchte sichergehen, dass seine Annahmen im Hinblick auf das Unternehmen und die künftige Zusammenarbeit auch der Realität entsprechen.  

Was wird bei einer Due Diligence geprüft? Wer prüft wen? 

Durchgeführt wird die Prüfung in der Regel von spezialisierten Wirtschaftsanwälten oder Unternehmensberatungen. Was geprüft wird, hängt von der Risikoexposition im Einzelfall ab. Verbindliche Vorgaben für eine Due Diligence gibt es außerhalb des US-amerikanischen Anlegerschutzrechts nichtDas Minimum ist die komplette Prüfung der Buchhaltung. In der Regel kommen aber viele weitere Prüfbereiche hinzu – etwa mit Fragen zu sämtlichen relevanten Prozessen eines Unternehmens, zu seinen Vermögenswerten und Verbindlichkeitenzu bestehenden Verträgen mit Mitarbeitern, Partnern und Lieferanten, zur Compliancezu deStandards in der Produktentwicklungder Sicherheit von Lieferketten sowie der Kommunikations- und Informationssicherheit. Letztere zu beurteilen ist sehr komplex und erfordert Spezialwissen. DataGuard macht dieses Wissen über eine SaaS-Plattform zugänglich und bietet damit eine Prüflösung für die Informationssicherheit sowie für den Aufbau individuell optimierter Informationssicherheits-Managementsysteme (ISMS) an 

Maßstab für Informationssicherheit ist die ISO 27001. Was besagt diese Norm? 

Der Begriff Informationssicherheit, soviel vorab, meint und beschreibt weit mehr als nur die IT-Sicherheit eines UnternehmensDenn neben der technologischen Ausstattung stehen auch die Sicherheit sämtlicher Prozesse und Geschäftsaktivitäten eines Unternehmens im Fokus sowie die Qualifikation und Vertrauenswürdigkeit der involvierten Menschen aus Belegschaft und Geschäftsführung, aber auch LieferantenBetrachtet wird also ein sehr weites Feld, welches wir nachfolgend abgebildet haben. 

  1. Allgemeine Aspekte des ISMS, Risikomanagement-Aspekte 
  2. Kontext, interessierte Parteien, Anwendungsbereich, Erklärung zur Anwendbarkeit 
  3. Management: Informationssicherheitsrichtlinie und -ziele 
  4. Organisation der Informationssicherheit
  5. Personalsicherheit 
  6. Management der Werte 
  7. Zugangssteuerung
  8. Kryptographie
  9. Physische Sicherheit und Umgebungssicherheit 
  10. Betriebssicherheit 
  11. Kommunikationssicherheit
  12. Anschaffung, Entwicklung und Instandhalten von Systemen 
  13. Lieferantenbeziehungen 
  14. Management von Informationssicherheitsvorfällen 
  15. Betriebliches Kontinuitätsmanagement  
  16. Compliance

 

Nun enthält die internationale Norm ISO 27001 keine Vorschriften, die besagen, wie dieses Feld im Einzelfall zu organisieren istDie Norm gibt lediglich vor, in welchen Bereichen und mit welchen Zielen eine Einschätzung und Behandlung der Risiken zu erfolgen hatDas Unternehmen selbst muss einschätzen, welche Betrachtungstiefe sinnvoll ist. 

Nehmen wir das Beispiel „Business Continuity Management“: Man stelle sich zwei Unternehmen vor. Beide bieten „Software-as-a-Service“-Produkte über eine Cloud an. Die Angebote setzen also eine funktionierende Cloud voraus. Beim Überprüfen der Informationssicherheit nach ISO 27001 müsste darauf ein besonderes Augenmerk gelegt werden: Welche Cloud-Anbieter nutzen die Unternehmen, wie hoch ist die Wahrscheinlichkeit eines technischen Ausfalls, welche Ausmaße und Auswirkungen könnte er auf die Geschäftsaktivitäten haben und welche Maßnahmen sind für diesen Fall getroffen? Die Antworten können sehr unterschiedlich ausfallen.  

Nehmen wir an, Unternehmen A bietet ein SaaS-Produkt zur automatischen Zeiterfassung an. Die Ausfallwahrscheinlichkeit ist sehr gering. Käme es dennoch zu einer Panne, müssten die Kunden ihre Zeiten vorübergehend in einer Tabellenkalkulation oder handschriftlich erfassen und sie später manuell in die Software eingeben. Das wäre ärgerlich, der Schaden bliebe aber überschaubar.  

Anders sieht es bei Unternehmen B aus. Dieses bietet über die Cloud ein SaaS-Produkt zum automatisierten Aktienhandel an. Kommt es hier zu einem Ausfall, könnten nicht nur Ärger, sondern hohe finanzielle Schäden entstehen, ganz zu schweigen von einer bedeutenden Rufschädigung mit entsprechenden langfristigen Folgen. Das Risiko wäre deutlich höher. Entsprechend umfassendere Schutzmaßnahmen müssten im Rahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 definiert werden.  

 

Was ist ein Informationssicherheits-Managementsystem (ISMS) 

Ein ISMS definiert Regeln, Methoden und Maßnahmen, um die Informationssicherheit einer Organisation zu gewährleisten. Die Umsetzung ist individuell und erfolgt prozessorientiert für die jeweilige Organisation als Ganzes. Dabei gelten durch die internationale Norm ISO 27001 weltweit einheitliche Standards für die Entwicklung sowie für den Betrieeines ISMS. Werden sie überprüfbar und nachweislich eingehalten, kann ein Unternehmen das eigene ISMS entsprechend zertifizieren lassen. Interessant: Die mit Abstand meisten ISMS-Zertifikate nach ISO 27001 werden in China erteilt. Deutschland liegt in diesem Ranking nur auf Platz 6, direkt hinter Italien.

 

ISO 27001 Standorte und Anzahl der Zertifikate

 

Was sind die Vorteile einezertifizierten ISMS? 

Unternehmen, die über ein zertifiziertes Managementsystem für Informationssicherheit verfügen, profitieren vielfach. Allen voran durch systematisch erkannte und minimierte Risiken im Hinblick auf ihre IT, ihre Geschäftsaktivitäten und Prozesse sowie nicht zuletzt das Verhalten der Menschen im Unternehmen. Richtiges Verhalten wird im Zuge der ISMS-Umsetzung eingeübt, potenzielle Gefahrenquellen werden eliminiert – beispielsweise durch Einführung einer Ende-zu-Ende-Verschlüsselung für Daten in der Cloud – und Reaktionspläne für mögliche Sicherheitspannen erarbeitet und regelmäßig getestet.   

Sprich: Unternehmen mit zertifiziertem ISMS verfügen in puncto Informationssicherheit über ein nachweislich exzellentes RisikomanagementDies erhöht das Vertrauen der Kunden und potenziellen Partner oder Interessenten in die Leistungsfähigkeit eines Unternehmens und bringt somit wichtige Markt- und WettbewerbsvorteileJe nach Branche dient ein zertifiziertes ISMS auch als Nachweis über das Erfüllen von Compliance-Anforderungen und weiteren gesetzlichen Vorgaben, wie sie etwa für Betreiber von kritischen Infrastrukturen (KRITIS) gelten.  

Sicher ist: Die Investitionen und der Aufwand für die Zertifizierung rechnen sich in jedem Fall – erst recht, wenn eine Due-Diligence-Prüfung bevorsteht. Denn diese lässt sich wesentlich schneller und einfacher durchführen, wenn das zu prüfende Unternehmen bereits nach ISO 27001 zertifiziert istDies verkürzt das Verfahren und steigert den Wert eines Unternehmens oft erheblich 

Sie haben weitere Fragen zum Thema ISMS, zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Fordern Sie jetzt kostenlose Informationen an oder buchen Sie direkt Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Jetzt kostenlos informieren

In der Automobilindustrie existiert mit TISAX eine eigene Norm, warum?  

TISAX steht für Trusted Information Security Assessment ExchangeEs ist ein eigener, vom Verband der Automobilindustrie entwickelter Standard für die Informationssicherheit. Die TISAX-Vorgaben wurden direkt aus der ISO 27001 abgeleitetSie sind etwas weniger umfangreich, dafür aber speziell an die Anforderungen der Automobilindustrie angepasst und richten sich explizit an die Dienstleister und Zulieferer der Hersteller. Die Automobilhersteller erwarten, dass ihre Geschäftspartner sich im Rahmen eines Information Security Assessments (ISA) regelmäßig überprüfen und zertifizieren lassen. Ergänzend zum ISA-Anforderungskatalog wurde mit TISAX 2017 ein Mechanismus für den vertrauenswürdigen Austausch der Prüfergebnisse geschaffen. Die damit gewährleistete Transparenz verhindert unnötige Mehrfachprüfungen. Die Prüfergebnisse werden branchenweit anerkannt. Das erleichtert das Knüpfen neuer Lieferantenbeziehungen und spart viel Zeit und Geld.   

TISAX und ISO 27001 verfolgen einen risikobasierten Ansatz, was ist damit gemeint?  

Das Einschätzen und Optimieren der Informationssicherheit geschieht in beiden Regelsystemen nicht durch absolute Vorgaben. Das heißt, dass nicht geschrieben steht, was ein Unternehmen konkret zu tun hat, um seine Informationssicherheit zu erhöhen. Definiert wird nur der Weg zum Ziel. Und der führt stets über sorgfältiges Abwägen: Welchen Risiken ist mein Unternehmen ausgesetzt? Wie hoch sind die Eintrittswahrscheinlichkeiten und welche Schadenpotenziale haben die Risiken? Wer die Antworten auf diese Fragen kennt, kann und muss dann auch verhältnismäßige Risikomanagementmaßnahmen einführen und umsetzen.  

Beispiel Personalsicherheit: Welche Risiken könnten von einem korrupten Mitarbeiter ausgehen? Welches Schadenpotenzial wäre damit verbundenDie Antworten fallen wieder höchst unterschiedlich aus. Handelt es sich zum Beispiel um Mitarbeiter des Verfassungsschutzes, könnte ein Geheimnisverrat zu schweren diplomatischen Verwicklungen führen. Die Risiken wären enorm, entsprechend hoch müssten die Hürden und Sicherheitsmaßnahmen im Einstellungsprozess sein. Um die charakterliche Eignung eines Bewerbers zu prüfen, dürfte das Einholen eines polizeilichen Führungszeugnisses allein nicht ausreichen. Ein solches von einem Bewerber zu verlangen, der als Mitarbeiter in einer Nudelfabrik anfangen möchte, wäre dagegen unangemessen und in keiner Wiese zielführend.  

Risiko, Schadenpotenzial und risikominimierende Maßnahmen müssen also stets in ein individuell optimales Verhältnis gebracht werden. Sehr effizient und ressourcenoptimiert wird dies künftig mithilfe des Risikomanagementmodells der neuen ISMS-Plattform von DataGuard gelingen.

Das Fazit?  

Unternehmen mit einem zertifizierten Managementsystem für Informationssicherheit gemäß ISO 27001 oder TISAX genießen höchstes Vertrauen und haben entscheidende Wettbewerbsvorteile im MarktHinzu kommt speziell im Hinblick auf Due-Diligence-Verfahren, dass diese Zertifizierungen den Unternehmenswert steigern und die Dauer einer Due Diligence massiv verkürzen. Dies erspart viele Kosten und erhöht die Handlungsfähig von Unternehmen auf der Suche nach neuen Partnern und Investoren.  

Ihre Informationssicherheit steht vor einer Due-Diligence-Prüfung? Wir helfen gern.

Wir bei DataGuard sind Ihr externer Informationssicherheitsbeauftragter! Zertifizierte Experten aus IT, Recht und Wirtschaft unterstützen Sie bei der Minimierung von Compliance-Risiken und bereiten Sie auf Audits nach ISO 27001 oder TISAX vor. 

Erfahren Sie hier mehr zu unserem Informationssicherheit-as-a-Service-Angebot.

 

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.