In kleineren und mittleren Unternehmen ist der Einsatz von Informations- und Kommunikationstechnik nicht mehr weg zu denken. Die dabei genutzten, vielfältigen Anwendungen verarbeiten wichtige personenbezogene sowie Unternehmens- und Produktdaten. Um den geforderten Schutzbedarf zu erreichen, müssen deshalb verschiedene Maßnahmen ergriffen und Prozesse ausgerichtet werden. Dazu bietet sich ein ISMS (Information Security Management System) an, welches Ihnen helfen kann Ihre Informationssicherheit dauerhaft zu definieren und fortlaufend zu verbessern.
Was ist ein ISMS und wozu dient es?
Die Notwendigkeit ein ISMS einzuführen kann beispielsweise durch Kunden und Partner des Unternehmens oder auf Grundlage verschiedener Gesetze und Regularien entstehen. Häufig ist dafür geordnetes Herangehen oder zusätzlich ein Nachweis, dass der Stand der Technik durch die Einführung erreicht wird, erforderlich. Dies stellt viele Unternehmen vor große Herausforderungen. Standards, Normen und Branchenrichtlinien können helfen, die unternehmensspezifischen IT-Sicherheitsprozesse und -maßnahmen strukturiert anzugehen. Teilweise sind sogar Zertifizierungen möglich bzw. geeignet.
Mit einem ISMS steht den Unternehmen eine strukturierte Vorgehensweise zur Erhöhung der Informationssicherheit zur Verfügung. Sämtliche Planungs-, Lenkungs- und Kontrollaufgaben sind beschrieben, um die Informationssicherheit aufzubauen und langfristig sicherzustellen. Hierbei wird auf Regelungen, Rollen- und Verantwortlichkeiten sowie Verfahrens- bzw. Prozessanweisungen Wert gelegt. Gleichzeitig soll sich ein ISMS in die Strategie des Unternehmens und in andere Managementsysteme nahtlos einfügen.
Chancen und Hürden bei der ISMS-Einführung
Die zentrale Chance, die sich mit einer ISMS-Einführung ergibt, ist der konsequente und strukturierte Aufbau eines Informationssicherheitsprozesses. Da dem Unternehmen für die Festlegung von Regeln und Zuständigkeiten zunächst Mehraufwände entstehen, sollte die Einführung eines bestimmten ISMS kein Selbstzweck sein, sondern der eigenen Risikoabschätzung folgen. Zahlreiche Vorteile rechtfertigen jedoch den Aufwand.
Innerbetrieblich können im Falle von ISMS wesentliche IT-Prozesse verbessert werden, was sich mittel- und langfristig positiv auf Mitarbeiter, Produkte und Kunden auswirkt. Dies wird durch eine konsequente und strukturierte Herangehensweise zur Definition und Erreichung der eigenen IT-Sicherheitsschutzziele erreicht (siehe Exkurs). Somit können die IT-Systeme, Informationen und Daten im Unternehmen geschützt und systematisch sowie methodisch gestützt werden.
Darüber hinaus wird dem Unternehmen eine eigene Risikobewertung ermöglicht, die im Rahmen des allgemeinen Risikomanagements Anwendung finden kann. Zusätzlich können Entscheidungen für oder gegen die Einführung von IT-Systemen oder der Implementierung bestimmter Maßnahmen durch die Risikobewertung getroffen werden.
Auch die Wirkung nach außen ist ein nicht unerheblicher Grund für die Einführung eines Standards. So verlangen immer mehr Geschäftspartner eine Zertifizierung als Nachweis, dass IT-Sicherheitsrisiken minimiert werden und somit die Zusammenarbeit nicht gefährdet ist. Weiterhin kann solch ein Nachweis die Kapitalbeschaffung bei Banken unterstützen oder zu geringeren Beiträgen für Cyber-Versicherungen führen. Neben der bereits gesetzlich festgelegten Pflicht zur Zertifizierung von Unternehmen im Bereich Kritische Infrastrukturen (KRITIS) kann ein derartiges Zertifikat auch gegenüber dem Gesetzgeber verwendet werden. Es zeigt auf, dass der Stand der Technik gewahrt wird und wirkt somit möglichen negativen Folgen von Gesetzen aus dem Bereich der Datenübertragung oder des Datenschutzes entgegen.
„Für kleinere Unternehmen stellt die Einführung eines ISMS anfangs eine Herausforderung dar, insbesondere in Bezug auf Ressourcen und Fachkenntnisse. Dennoch können die langfristigen Vorteile in Bezug auf Sicherheit, Effizienz und Vertrauen erheblich sein. Die Anpassung an international anerkannte Standards kann auch die Zusammenarbeit mit größeren Unternehmen erleichtern.“
Mike Wäsche, tti Magdeburg GmbH
Grundlegende Schritte
Für die Umsetzung eines ISMS in Unternehmen sind verschiedene Schritte durchzuführen, die wie folgt zusammengefasst werden können:
- Überblick zum Thema ISMS verschaffen
- IT-Sicherheit analysieren
- IT dokumentieren
- Passendes ISMS wählen
- Risiken und Schutzbedarfe bestimmen
- Ziele und Leitlinien festlegen
- Verantwortlichkeiten bestimmen und Schulungsmaßnahmen initiieren
- Richtlinien, Prozesse und Anweisungen definieren
- Plan-Do-Check-Act-Zyklus (PDCA) beachten
- Sicherheitsprozess dokumentieren und kontinuierlich verbessern
Und jetzt?
Um Ihre Bedarfe an ein ISMS ganz individuell für Ihr Unternehmen zu ermitteln, bietet es sich zunächst an den CyberRisiko-Check zu nutzen. Zusätzlich steht Ihnen das Sicherheitstool-Mittelstand (SiToM) zur Verfügung.
Buchen Sie doch anschließend einen unserer CYBERDialoge, um die Ergebnisse mit unseren Expert:innen zu besprechen und die entsprechenden Schritte einzuleiten.
Verfasst von Mike Wäsche
Projektmanager
