<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=219905&amp;fmt=gif">
close

Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 410 600
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Für viele Unternehmen sind Wissen und Information die wertvollsten Assets. Und oft sind es besonders gefährdete Assets. Denn Risiken für die Sicherheit relevanter Informationen gibt es heute mehr denn je. Allein schon durch den digitalen Datenaustausch entlang zunehmend komplexer Lieferketten, durch extern gemanagte Cloud-Services sowie die wachsende Cyber-Crime-Bedrohung. Hinzu kommen menschliche Fehler. Ein Information Security Management System (Informationssicherheits-Managementsystem) ist das Mittel der Wahl, um die Risiken kalkulierbar zu halten und sich zu schützen. 

Das Wichtigste in Kürze 

  • Ein ISMS macht die Informationssicherheitsrisiken für Unternehmen kalkulierbar und beherrschbar. 
  • IBranchen mit komplexen regulierten Lieferketten wie z.B. Automotive und Gesundheit ist ein ISMS meist eine Schlüsselvoraussetzung zur Marktteilhabe. 
  • Darüber hinaus ist ein ISMS in der Regel zwar nicht vorgeschrieben, aber für alle Unternehmen höchst wert- und sinnvoll.  
  • Informationssicherheit reicht sehr viel weiter als IT-Sicherheit. 
  • Die Verantwortung für Einführung und Betrieb eines ISMS liegt immer beim Management (Top-Down-Ansatz).  
  • Über Umsetzung und Reichweite eines ISMS entscheidet der individuelle Risikoappetit einer Organisation. 

In diesem Beitrag 

Warum steigt das Interesse an Informations-sicherheits-Managementsystemen (ISMS)? 

Ein Grund dafür ist der steigende Druck auf viele Unternehmen, bessere oder überhaupt erst einmal gewisse Standards für die Informationssicherheit umzusetzen. Ausgeübt wird dieser Druck vor allem auf Betriebedie mit ihren Leistungen und Produkten in komplexe Lieferketten eingebunden sind. Zu denken ist hier etwa an die vielen kleinen und mittleren Unternehmen (KMU) in der Automotive-BrancheAnderswo gilt Vergleichbares, etwa in der stark regulierten Bankenlandschaft mit ihren FinTechs und analog in der Versicherungswirtschaft mit einer wachsenden Anzahl von InsurTechsAuch im Gesundheitswesen sind die Anforderungen an die Informationssicherheit hochFür diese Branchen gibt es über den unmittelbaren Datenschutz hinaus einen Regulierungsimpuls, der weit in die Compliance der Unternehmen hineinreicht.  

Jenseits branchenspezifischer Ursachen und Notwendigkeiten gibt es aber auch ganz allgemein einen Trend zu mehr Informationssicherheit. So hören und lesen wir immer öfter etwa von Datenklau und Ransomware-Attacken durch HackerCyber-Sicherheit und Cyber-Kriminalität sind im Privatleben wie in der Wirtschaft viel diskutierte ThemenUnternehmen möchten von anderen Unternehmen, mit denen sie Geschäfte treiben, wissen, wie diese mit den Risiken umgehenUnd die beste Antwort auf diese mehr als berechtigten Nachfragen ist nun mal ein eigenes ISMS. 

Wer benötigt ein ISMS und warum?  

Sinnvoll ist ein ISMS generell für alle Unternehmen – unabhängig von der Branche, unabhängig von der Betriebsgröße. Im Fokus stehen aber stark softwaregetriebene, digitalisierte oder auf SaaS-Basis arbeitende UnternehmenHinzu kommen Firmen aus den genannten Industrien mit hoher Regulierungsnotwendigkeit. Beispiel Gesundheitsmarkt: Hier sind bei der Informationssicherheit von Haus aus strenge Mindeststandards einzuhalten – etwa um die ärztliche Schweigepflicht zu gewährleisten 

In der Automotive-Branche liegt es eher am ProduktEs ist so komplex und wird von so vielen Beteiligten hergestellt, dass stark regulierte Freigabeprozesse zu absolvieren sind, bis ein Fahrzeug auf die Straße darf. Deshalb müssen alle an der Supply Chain beteiligten Player die Anforderungen erfüllen: Der Konzern genauso wie ein mittelständischer Teilezulieferer, die Werbeagentur oder ein beratender FreiberuflerWer Anteil an der Lieferkette hat, muss die in der Branche gültigen Anforderungen an die Informationssicherheit erfüllen – ohne Ausnahme. Bei der Datenschutzgrundverordnung (DS-GVO) ist das zum Beispiel ganz anders, die gilt erst für Betriebe mit mehr als 20 Mitarbeitern.   

Sie haben Fragen rund um das Thema Informationssicherheit oder suchen nach einem externen Informationssicherheitsexperten? Dann buchen Sie ein kostenloses Erstgespräch mit einem unserer Branchenexperten.

Kostenloses Erstgespräch vereinbaren

 

Hat das Inkrafttreten der DS-GVO die Nachfrage nach ISMS verstärkt?  

Es gibt da keinen direkten Zusammenhang. Zumindest nicht in gesetzgeberischer Hinsicht, denn ein ISMS ist meist nicht gesetzlich geregelt. Weder in der DS-GVO noch an anderer Stelle findet sich eine gesetzliche Verpflichtung zum Aufbau eines ISMS. Es ist aber sehr wohl so, dass die DS-GVO bei Unternehmen auch den Blick für das Thema Informationssicherheit geschärft hat. Der klassische Anknüpfungspunkt sind die in der DS-GVO geforderten Technischen und Organisatorischen Maßnahmen (TOM)Zwar umfassen diese in erster Linie IT-Maßnahmen zum Schutz personenbezogener Daten, doch wird bei genauerem Hinsehen schnell klar: ein durch IT-Sicherheit erreichter Datenschutz bleibt unvollständigwenn nicht gleichzeitig auch Maßnahmen zur Informationssicherheit umgesetzt werdenDas eine bedingt das andere.  

Was ist der Unterschied zwischen IT-Sicherheit und Informationssicherheit? 

IT-Sicherheit bezieht sich auf die IT-InfrastrukturComputer, Server, Clouds, Leitungen uswmüssen sicher und vor Zugriffen durch unberechtigte Dritte geschützt sein. Informationssicherheit geht weiterDie IT transportiert und verarbeitet Information, das ist ihr Zweck. Die Information selbst ist der eigentliche Wertsie existiert unabhängig von der IT und muss in allen Erscheinungsformen geschützt werden. Zum Beispiel in Form einer Akte voller bedruckter Seiten oder in Form unternehmensspezifischen Wissens in den Köpfen der Mitarbeitenden. Auf den Punkt gebracht bedeutet dies: Jede Maßnahme der IT-Sicherheit trägt zur Informationssicherheit bei, aber nicht jeder Aspekt der Informationssicherheit hat etwas mit IT-Sicherheit zu tun (Vgl. Grafik 1). 

 

Informationssicherheit_IT-Sicherheit

Was ist ein ISMS und wie funktioniert es? 

Managementsysteme für die Informationssicherheit in Unternehmen sind prozessorientiert und – wie der Name schon sagt – immer Verantwortung des ManagementsSprich: Das ISMS verfolgt einen Top-Down-Ansatz. Das Management kann die Durchführung delegieren, nicht aber die Verantwortung selbst. Je nach Motivation (vgl. Grafik 2, linke Seite) entscheidet die Geschäftsführung, welche Maßnahmen und Mechanismen (vgl. Grafik 2, rechte Seite) umgesetzt bzw. etabliert werden sollen, um das gewünschte Maß an Informationssicherheit in den Unternehmensprozessen sicherzustellen. Umfang, Intensität und Fortschrittder einzelnen Maßnahmen müssen dann fortlaufend vom Management überprüft und gesteuert werden.  

Zum Verständnis: Bei einem ISMS geht es nicht darum, maximale Informationssicherheit zu erreichen. Ziel ist es vielmehr, das von der Organisation gewünschte Niveau an Informationssicherheit zu erreichenDer Risikoappetit ist die entscheidende Kenngröße. Ein Unternehmen muss wissen, welche Informationen es hat, welchen Risiken diese ausgesetzt sind – und was es finanziell bedeuten würde, wenn sich diese Risiken realisierten. Auf dieser Wissengrundlage hat das Management dann zu entscheiden, in welchem Umfang die Risiken durch ein ISMS reduzierten werden sollen. Das ISMS ist also am Ende auch ein Instrument zur finanziellen Risikosteuerung.  

 

ISMS_DE

Welche Schritte sind notwendig, um ein ISMS aufzubauen? 

Spezifiziert sind die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS in der internationalen Norm ISO 27001Aufbau und Betrieb eines ISMS folgen, vereinfacht gesagteinem klassischen PDCA-Zyklus. PDCA steht für PLAN, DO, CHECK, ACT (vgl. Grafik 3).  

Die Schritte im Einzelnen: 

  1. ISMS-Richtlinie erstellen. Warum wollen wir als Unternehmen ein ISMS aufbauen? Welche Ziele verbinden wir damit? Wie setzen wir ein solches System organisatorisch um? Wer übernimmt die Rolle des Informationssicherheitsbeauftragten (ISB), welche Ressourcen bekommt dieser, welche Maßnahmen sind zu ergreifen 
  2. Werte identifizieren und klassifizieren. Welche Werte/Informationen wollen wir schützen? Wie schutzbedürftig sind diese Werte überhaupt? Beispiel Automotive: Bildmaterial von einem Fahrzeug, das noch gar nicht gebaut ist, wäre wesentlich schutzbedürftiger als Aufnahmen von einem Erlkönig im Straßentest, also einem Fahrzeug kurz vor der Markteinführung. 
  3. ISMS-Organisation und Risikomanagement-Strukturen aufbauen. Welche Tools wollen wir einsetzen? Welche finanziellen und personellen Ressourcen bekommt der ISB? Welche Strukturen soll dieser aufbauen? 
  4. Kontrollmechanismen entwickeln. Wie überprüfen wir, ob das ISMS effektiv ist und unsere Unternehmenswerte in gewünschter Weise schützt? 
  5. ISMS betreiben. Welche Prozesse setzen wir wie im Alltag um, wie integrieren und dokumentieren wir sie? 
  6. Ergebnisse und KPI überprüfen. Es ist regelmäßig zu fragen: Welche Ergebnisse erzielt unser ISMS und welche Key Performance Indicator (KPI) leiten wir daraus ab?  
  7. Korrekturen vornehmen und vorsorgen. An welchen Stellen müssen wir aufgrund der Ergebnisse nachbessern? Wie können wir Risiken präventiv begegnen?  
  8. Überprüfung durch das Management. Passen die ISMS-Ziele und die generelle Ausrichtung noch, oder sind Kurskorrekturen durch das Management erforderlich? Dies sollte wenigstens einmal jährlich hinterfragt werden.  

ISMS Regelzyklus 

 

Gibt es neben der ISO 27001 weitere Normen, die beachtet werden sollten? 

Die ISO 27001 ist so etwas wie der Goldstandard für Managementsysteme zur Informationssicherheit. Je nach Branche, Markt und nationaler Gesetzgebung können aber noch weitere Standards in Betracht kommen. In Deutschland sind dies etwa vom Bundesamt für Informationssicherheit (BSI) die Standards BSI 200-1 und BSI 200-2Speziell für Kommunen und KMU interessant ist ISIS12: Dieser Standard beschreibt ein Modell zur Einführung eines Informations-Sicherheitsmanagementsystems in 12 Schritten.  

Wichtig für die Zusammenarbeit mit staatlichen US-Informationssystemen ist die NIST-Norm (National Institute of Standards and Technology) 800-53. Relevant im Hinblick auf die Finanzberichterstattung eines Unternehmens können darüber hinaus die internationalen Service Organization Control Normen SOC 1 und SOC 2 sein. 

Welche Faktoren sind ausschlaggebend für eine  erfolgreiche ISMS-Einführung? 

Ein ISMS lässt sich nur erfolgreich umsetzen, wenn es von der Unternehmensleitung wirklich gewollt und mit den nötigen Ressourcen ausgestattet wird. Lippenbekenntnisse reichen nicht. Der ISB braucht das Vertrauen der Geschäftsleitung und muss handlungsfähig gemacht werden. So, dass er ein funktionierendes Zusammenspiel von Menschen, Tools und Prozessen für die Informationssicherheit gewährleisten kann. 

Drohen bei einem unzureichend umgesetzten ISMS eigentlich Bußgelder? 

Nein, jedenfalls nicht in derselben Breite wie bei Verstößen gegen die DS-GVO. Diese gilt generell für alle Unternehmen und sieht Bußgelder explizit vor. Der Anwendungsbereich der DS-GVO ist sehr breit, und sie schreibt zwingend einen Datenschutzbeauftragten (DSB) vor. Die analoge Rolle bei einem ISMS ist der Informationssicherheitsbeauftragte (ISB)Um sich nach ISO 27001 auditieren zu lassen, brauchen Unternehmen einen ISBWie beim DSB kann diese Rolle eine interne Fachkraft übernehmen oder eine externe Stelle. Aber: Es gibt weder eine legale Verpflichtung zur Einführung eines ISMS noch zur Einsetzung eines ISB.  

Ausnahmen gelten für Unternehmen und Organisationen, die unter das IT-Sicherheitsgesetz fallen. Dabei handelt es sich um Betreiber kritischer Infrastrukturen (KRITIS), zu diesen zählen zum Beispiel große Gas- und Elektrizitätsversorger, Telekommunikationsanbieter, Wasserwerke, Finanzinstitute und GroßklinikenFür diese ist laut IT-Sicherheitsgesetz ein ISMS inklusive ISB seit 2015 vorgeschrieben. In Summe betrifft dies deutschlandweit wenige Tausend UnternehmenBei Verstößesind Bußgeldebis zu 100.000 Euro möglich. Diese dürften allerdings bald drastisch erhöht werden 

Noch 2021 soll eine Novelle des IT-Sicherheitsgesetzes verabschiedet werden. Geplant sind eine deutliche Ausweitung des Geltungsbereichs auf deutlich mehr KRITIS-Unternehmen sowie Bußgelder bis 20 Millionen Euro. Für das Gros der Unternehmen bleibt aber alles beim Alten und die Erkenntnis: Wer keine angemessene Informationssicherheit hat und nachweisen kannbekommt vielleicht Schwierigkeiten im Marktjedoch nicht mit dem Gesetz.  

Warum sollten Unternehmen aus eigenem Interesse ein ISMS einführen? 

Dafür gibt es einige gute Gründe. Wer zum Beispiel in einem noch wenig regulierten Markt unterwegs istkann bei seinen Kunden mit hohen Standards in der Informationssicherheit punkten und seine Wettbewerbssituation verbessern. In jedem Fall steigert ein ISMS den Wert von Organisationendenn erst ein ISMS verschafft einen genauen Überblick über die Prozesse und Informationswerte im eigenen Unternehmen. Bei der Suche nach möglichen Investoren zahlt sich ein ISMS daher unmittelbar ausFehlt es, ist eine Due-Diligence-Prüfung nur eingeschränkt möglich.  

Hinzu kommen marktimmanente Gründe. Beispiel Automotive: Wenn ich als Unternehmen in diesen stark regulierten Markt eintreten und als Zulieferer eine Rolle in der Lieferkette spielen möchte, muss ich die Branchenvorgaben erfüllen und ein ISMS vorweisenAm Ende ist auch ein bereits geschehener Informationssicherheitsvorfall immer ein Grund zum Handeln und für die Einführung eines ISMS. Doch soweit sollte es am besten gar nicht erst kommen.  

Unterscheidet sich der Aufbau eines ISMS je nach Branche? 

Die maßgebliche ISO 27001 macht hierzu keine Angaben, sie unterscheidet nicht nach Branche oder Unternehmensgröße, definiert aber die allgemeinen Anforderungen und geht auf 14 sicherheitsrelevante Bereiche einEs handelt sich um die gleichen Bereiche, die auch bei der Due-Diligence-Prüfung unter die Lupe genommen werden

Kurz: Es gelten immer die gleichen Rahmenbedingungen, die Umsetzung der Prozesse und Maßnahmen kann aber je nach Branche und Unternehmensgröße sehr unterschiedlich ausfallen. 

Fazit: Welche Vorteile bringt ein ISMS? 

Ein ISMS sorgt in puncto Informationssicherheit für Transparenz sowie vorhersagbare Prozesse und KPI-Ergebnisse. Sprich: Mit einem gut umgesetzten ISMS gibt es in Fragen der Informationssicherheit keine Überraschungen. Benjamin Franklin wird ein Ausspruch zugeschrieben, der den Nutzen eines ISMS im Umkehrschluss auf den Punkt bringt: „When you fail to prepare, you prepare to fail.“ 

 Zurück zum Seitenanfang

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.