Person hält grünen Haken in der Hand

Strukturierte Informationssicherheit durch ein ISMS

Gerade in mittleren Unternehmen mit mehr als 10 Mitarbeitenden verliert man schnell den Überblick über mögliche Cybersicherheitsrisiken. Hierbei kann ein ISMS Abhilfe schaffen.
Ein ISMS ist ein Managementsystem, das strukturierte Informationssicherheit gewährleistet und die relevanten Schutzmaßnahmen eines Unternehmens systematisch steuert.

Unternehmen mit ISMS gehen das Thema Informationssicherheit also mit Plan und Ahnung an!

Was ist ein ISMS?

Ein Informationsmanagementsystem (ISMS) ist eine Sammlung von Richtlinien, Verfahren und Kontrollen innerhalb eines Unternehmens. Es dient dazu, Risiken im Unternehmen einzuschätzen und zu bewerten und entsprechend Maßnahmen abzuleiten.

Ein ISMS ist also ein systematischer Ansatz, Informationen innerhalb des Unternehmens zu verwalten und dient dazu, die Sicherheit von Informationen sicherzustellen.

Grafische Darstellung des Themas Informationssicherheit. Ein Tresor mit den drei Inhalten Datensicherheit, IT-Sicherheit und Andere Informationen. Diese Bestandteile sind elementar für strukturierte Informationssicherheit durch ein Informationsicherheitsmanagementsystem

Wie ist ein ISMS aufgebaut?

Ein ISMS umfasst die organisatorischen und technischen Strukturen, mit denen ein Unternehmen seine Informationssicherheit systematisch steuert und weiterentwickelt.

Die folgenden Prozesse sind alle Teil eines ISMS:

  • Risikomanagementprozess: Die Identifikation, Analyse, Bewertung und Behandlung von Risiken
  • Schulungsprozess: Die Vorgaben zur Schulung und Weiterbildung von Mitarbeitenden
  • Vorfallmanagementprozess: Die Richtlinie für Abläufe im Ernstfall
  • Dokumentationsprozess: Die Pflege von Abläufen, Richtlinien und Nachweisen in einem Dokumentationssystem

Jeder dieser Prozesse wird in sich geschlossen entwickelt und evaluiert. Dementsprechend gehören zu einem ISMS auch SMARTE Ziele, also Ziele, die Spezifisch, Messbar, Erreichbar (Attainable), Relevant und Terminiert sein können.

Beispiel für ein smartes Ziel

„Bis zum Ende von Q1 2026 sollen alle Mitarbeitenden in der Vertragsabteilung entweder eine Basisschulung zum Datenschutz erhalten haben, oder ihre Schulung erneuert haben, wenn diese mehr als 2 Jahre zurückliegt.“

Für die Zielerreichung wird ein festes Datum festgelegt, die Zielsetzung ist klar definiert, und der Erfolg ist messbar.

Um sicherzustellen, dass das Informationssicherheitsmanagementsystem (ISMS) immer auf dem aktuellen Stand ist, gibt es außerdem einen Revisionsprozess, der festlegt, wie oft Ziele geprüft werden und Dokumente aktualisiert werden müssen.

Wer braucht ein ISMS?

Grundsätzlich eignet sich ein ISMS für Unternehmen mit mehr als 15 Mitarbeitenden. Bei Unternehmen dieser Größe ist es grundsätzlich ratsam, das Thema Cybersicherheit mit System und Struktur anzugehen.

Bei kleineren Unternehmen ist der Aufwand für den Aufbau und die Umsetzung eines ISMS entsprechend geringer, weil die Organisationsstruktur normalerweise übersichtlicher ist.

Für einige Unternehmen ist ein ISMS verpflichtend.

Dies ist insbesondere bei KRITIS-Unternehmen und Unternehmen, die von NIS2 betroffen sind, der Fall.

Der FitNIS2-Navigator

Sie wollen sich ausführlicher darüber informieren, ob Ihr Unternehmen von NIS2 betroffen ist? Der FitNIS2-Navigator hilft Ihnen dabei.

weitere Informationen

Die Umsetzung eines ISMS bedeutet für Unternehmen, systematisch Datenflüsse und IT-Systeme zu erfassen. Das bedeutet zum einen viel Arbeit, bringt aber auch wertvolle Einblicke in ihre Unternehmensstruktur.

Wenn Sie wissen möchten, ob sich für Sie ein ISMS lohnt, stellen Sie sich die folgenden Fragen:

  • Gibt es externe Faktoren, die ein ISMS notwendig machen? Ist es zu erwarten, dass das in den kommenden Jahren geschieht, z.B. durch Gesetzesentwürfe?
    • Sind wir gesetzlich zu einem ISMS verpflichtet?
    • Gibt es Branchenvorgaben?
    • Müssen wir Kund:innen, Behörden und Dienstleistern regelmäßig Informationssicherheit nachweisen?
  • Ist es Industriestandard in meinem Geschäftsbereich, Nachweise über Informationssicherheit zu liefern? Das ist z.B. der Fall, wenn große Teile der Branche ein ISO27001-Zeichen führen.
  • Würde ein Nachweis über Informationssicherheit uns einen Marktvorteil bringen?
  • Wäre ein Ausfall unseres Unternehmens gravierend für unseren Betrieb und/oder Kund:innen?
  • Wie hoch wäre der finanzielle Schaden für unser Unternehmen, wenn Daten verloren gingen oder der Betrieb zeitweise eingestellt werden müsse?
  • Gibt es momentan eine Regelung für den Bereich Datensicherheit, IT-Sicherheit und Informationssicherheit?

Wenn ein ISMS Ihnen und Ihrem Unternehmen entscheidende Vorteile bringen würde, und ein Betriebsausfall nachhaltig schädlich wäre, lohnt es sich, das Thema über ein ISMS systematisch anzugehen.

Nicht jedes Unternehmen muss ein ISMS unterhalten.

Die Pflicht, ein ISMS nachzuweisen, gilt unter anderem für die folgenden Gruppen:

  • KRITIS-Betreiber (nach § 8a BSIG)
  • Unternehmen in erhöhtem öffentlichen Interesse, z.B. in der Rüstungsindustrie (nach § 2 BSIG)
  • Unternehmen, die direkt oder über die Lieferkette von NIS2 betroffen sind
  • Unternehmen im Gesundheitswesen (§ 75b SGB V)
  • Unternehmen im Finanzwesen
  • Unternehmen im Telekommunikationssektor
  • Unternehmen in einer Branche mit Branchenstandards, z.B. TISAX im Automobilsektor

Branchenspezifische Standards

Einen Überblick über branchenspezifische Standards finden Sie in unserem Blogartikel.

zum Blog

ISMS und NIS2

Die NIS2-Richtlinie hat die Erhöhung der Resilienz von Netz- und Informationssystem zum Ziel. Sie betrifft in Deutschland rund 29.500 Unternehmen.

Die Kernanforderungen von NIS2 sind technische und organisatorische Maßnahmen, die der Absicherung von Unternehmensrisiken dienen. Außerdem werden Verantwortlichkeiten klar definiert und Meldepflichten formuliert.

Die wichtigsten Anforderungen von NIS2 lassen sich durch ein ISMS abdecken. Deswegen sind Unternehmen, die bereits ein ISMS entwickelt haben, in Bezug auf NIS2 gut aufgestellt.

NIS2: Eine Übersicht

Weitere Informationen zu NIS2 finden Sie in unserem Blog.

zum Blog
ISMS und BCM

Die Abkürzung BCM steht für Business Continuity Management. Hier geht es also um die Fortführung oder schnelle Wiederherstellung des Geschäftsbetriebs im Falle eines IT-Sicherheitsvorfalls.

In Deutschland gibt es keine gesetzliche Vorschrift zur Entwicklung eines BCM, allerdings ist ein BCM ein elementarer Teil von NIS2.

Das Business Continuity Management wird in Ergänzung zum ISMS gesehen, und sorgt im Falle eines Vorfalls für Resilienz im Unternehmen.

ISMS und Datenschutz

Der Großteil der Unternehmen in Deutschland ist von der DSGVO (Datenschutzgrundverordnung) betroffen. Laut Art. 32 der DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen bereitstellen, um personenbezogene Daten zu schützen.

Außerdem ist eine Datenschutz-Folgeabschätzung dann Pflicht, wenn die Datenverarbeitung im Unternehmen ein hohes Risiko birgt.

Ein ISMS kann hier eine große Hilfe sein, denn es bringt System in die Vorgänge, in denen personenbezogene Daten verarbeitet werden. Außerdem werden Nachweise im ISMS dokumentiert.

Das ISMS bietet hier den zentralen Rahmen, um alle gesetzlichen Anforderungen gesammelt zu betrachten. Somit können Doppelstrukturen vermieden werden. Für NIS2, BCM und Datenschutz ist eine Risikoanalyse elementar. Somit können alle drei Anforderungen im ISMS gemeinsam betrachtet werden.

Welche Maßnahmen umfasst ein ISMS?

Ein ISMS umfasst Maßnahmen, die zum Risiko im Unternehmen passen. Deswegen lässt sich nicht verallgemeinern, welche Maßnahmen im ISMS aufgenommen werden – jedes Unternehmen weist andere Risiken auf und muss deswegen andere, individuelle Maßnahmen anwenden.

Der Ablauf zur Entwicklung der individuellen Maßnahmen sieht mit einem ISMS folgendermaßen aus:

  1. Es erfolgt eine Risikoidentifikation:
    Es werden Systeme, Prozesse, Abhängigkeiten und Menschen aufgelistet, die für die Assets eines Unternehmens relevant sind. Dann wird untersucht, inwiefern die Assets tatsächlich ein Risiko darstellen.
    Am Ende der Risikoidentifikation soll dem Unternehmen eine möglichst vollständige Liste an möglichen Risiken vorliegen, die im nächsten Schritt dann genauer betrachtet werden.
  2. Bevor es mit der Entwicklung neuer Maßnahmen weiter geht, erfolgt eine Sammlung bereits bestehender Maßnahmen.
    Dieser Zwischenschritt ist wichtig, damit keine Doppelstrukturen entstehen. Damit schafft das Unternehmen Transparenz: Wo gibt es Lücken? Welche Schutzmaßnahmen doppeln sich?
  3. Zurück zu den Risiken: Im nächsten Schritt werden Risiken bewertet und nach Priorität sortiert.
    Dabei wird vorher eine Systematik festgelegt, um Risiken dann nach bestimmten Kriterien zu ordnen. Häufig werden hier die Eintrittswahrscheinlichkeit und die mögliche Auswirkung für die Bewertung zu Grunde gelegt. Nun liegt also eine Liste aller Risiken vor, die idealerweise nach Priorität sortiert werden kann.

Im nächsten Schritt wird jedes dieser Risiken einzeln betrachtet. Dabei ist es hilfreich, konkrete Kriterien zur Bewertung vorzulegen. Anhand dieser Kriterien werden dann Maßnahmen abgeleitet. Es können aber auch Kriterien entwickelt werden, um bestimmte Risiken zu akzeptieren – wenn sowohl Eintrittswahrscheinlichkeit als auch Auswirkung sehr gering sind.

Es gibt verschiedene Optionen, um Risiken im Unternehmen zu behandeln. Diese sind konkret:

  • Risikovermeidung (z.B. Adminrechte entziehen)
  • Risikominderung (z.B. Entwicklung eines Notfallplans)
  • Risikoübertragung (z.B. Abschließen einer Versicherung)
  • Risikoakzeptanz

Bei der Entwicklung von Maßnahmen sollte pro Risiko jede dieser Optionen diskutiert werden. Übersteigen die Kosten für mögliche Maßnahmen die Kosten im Falle eines Schadens, wird das Risiko akzeptiert und keine weiteren Schritte eingeleitet.

Was gibt es bei der Umsetzung eines ISMS zu beachten?

Grundsätzlich kann jedes Unternehmen sofort mit der Umsetzung eines ISMS starten. Doch wird hierbei nicht systematisch vorgegangen, führt das schnell zum Scheitern.

Betrachten Sie die Einführung des ISMS als Projekt:

  • Planen Sie Personal dafür ein und geben Sie Ressourcen für die Umsetzung an die Hand.
  • Entwickeln Sie Ziele, sowohl zeitliche als auch inhaltliche.

Wie bei jedem Projekt variiert der Aufwand, der für ein funktionsfähiges ISMS notwendig ist.

Entscheidend dafür, wie hoch der Aufwand ist, sind unter anderem die folgenden Faktoren:

  • Unternehmensgröße
    Je mehr Personen im Unternehmen arbeiten, desto länger und umfangreicher sind Risiken, und desto mehr Profile müssen beachtet werden.
  • Komplexität des Systems und der IT-Landschaft
    Werden in Ihrem Unternehmen viele verschiedene Geräte eingesetzt, oder z.B. Spezialprodukte in der Produktion verwendet, kann das die Entwicklung eines ISMS verkomplizieren und somit die Einführung eines ISMS verzögern
  • Regulierungsgrad
    Gibt es strenge gesetzliche Vorgaben, weil zum Beispiel besonders sensible Daten verarbeitet werden, oder weil die Branche streng reguliert ist, muss bei der Einführung eines ISMS mehr berücksichtigt werden.

Ein kleines oder mittleres Unternehmen mit geringem Regulierungsgrad, kann damit rechnen, innerhalb von 6 bis 12 Monaten ein belastbares System entwickelt zu haben.

Sind bereits Strukturen, wie ein Qualitätsmanagement, ein BCM oder ein Datenmanagement vorhanden, verringert sich der Aufwand.

Grundsätzlich entstehen für die Entwicklung eines ISMS sowohl interne, als auch externe Kosten.

Die internen Kosten werden vor allem durch Personalkosten getrieben, denn die Entwicklung des ISMS bindet vor allem Schlüsselpersonen zeitlich.

Die externen Kosten entstehen durch die Nutzung von Tools, oder wenn externe Beratung genutzt wird. Wird ein ISMS-Audit gewünscht, fallen auch hierfür Kosten an.

Außerdem kann es sein, dass technische Maßnahmen, die bei der Entwicklung des ISMS geplant werden, Kosten verursachen. Dies kann z.B. ein Passwortmanager sein, der in der Einführung und im Betrieb kostet.

Entsprechend lässt sich nur schwer eine konkrete Summe nennen. Sind bereits viele Maßnahmen umgesetzt, und das ISMS soll nicht zertifiziert werden, werden vor allem interne Kosten anfallen.

Die Kosten für ein ISMS können gesenkt werden, indem zunächst in einem begrenzten Zielbereich begonnen wird und das ISMS schrittweise ausgeweitet wird.

Wenn Sie ein ISMS in Ihrem Unternehmen einführen möchten, kann es sich lohnen, sich über Fördermöglichkeiten zu informieren. Gerade Beratungsleistungen werden in vielen Bundesländern finanziell unterstützt. Einen Überblick über Fördermöglichkeiten finden Sie hier.

Der ISMS-Auditprozess

Vor allem Unternehmen, die von NIS2 betroffen sind, aber auch Unternehmen, die ihr ISMS in der Öffentlichkeit nutzen wollen, benötigen hierfür ein Audit.

Dabei wird von einem externen Prüfer überprüft, inwiefern die umgesetzten Maßnahmen und die Dokumentation des ISMS hinreichend und geeignet sind.

Es gibt verschiedene Arten der Zertifizierung und Auditierung eines ISMS, der Auditprozess verläuft allerdings immer ähnlich.

Meist besteht die Auditierung aus internen und externen Audits. Im Audit werden Dokumente auf Vollständigkeit und grundsätzliche Angemessenheit geprüft, und die Wirksamkeit von Maßnahmen überprüft.

Außerdem wird zwischen Erstzertifizierung, Überwachungsauditierung und Rezertifizierung unterschieden.

Eine Erstzertifizierung ist genau das, was der Name verspricht: Es wird ein erstes Zertifikat im Unternehmen erstellt. Eine Überwachungsauditierung erfolgt üblicherweise jährlich und beinhaltet eine Kontrolle des aktuellen Standes. Die Rezertifizierung ist alle 3 bis 5 Jahre nötig. Hier wird geprüft ob die Standards, die für das Führen eines Zertifikates notwendig sind, weiterhin eingehalten werden.

Nach dem Audit wird ein Bericht erstellt, der auf Abweichungen hinweist, wenn diese bestehen. Anhand dieses Berichts kann dann nachgearbeitet werden.

ISMS nach ISO27001

Der ISO27001 ist ein internationaler Standard, der weltweit anerkannt wird. Der Fokus liegt hier auf Managementprozessen, organisatorischer Kontrolle und kontinuierlicher Verbesserung.

Ein ISMS nach ISO27001 kann zertifiziert werden. Verfügt Ihr Unternehmen über ein Zertifikat, kann dies auch zu Marketingzwecken genutzt werden.

In einigen Branchen ist eine Zertifizierung nach ISO27001 üblich, zum Beispiel bei Software oder Cloud-Services.

Wie viel kostet eine ISO 27001 Zertifizierung?

Die Zertifizierung nach ISO 27001 ist die verbreitetste. Die Kosten für eine Zertifizierung dieser Art unterscheiden sich, je nach Aufwand, der für die Auditierung notwendig ist.

Grundsätzlich fallen die Kosten für die auditierende Person an, die pro Tag bezahlt wird. Weiterhin entstehen Kosten für die interne Vorbereitung und eventuelle Nacharbeiten bei Abweichungen.

Kleine und mittlere Unternehmen können mit Kosten im Bereich von 10.000 bis 25.000 rechnen. Dies schließt interne Kosten ein.

ISMS nach IT-Grundschutz

Der IT-Grundschutz ist ein Standard des BSI. Er ist demnach vor allem im deutschen Raum etabliert. Der IT-Grundschutz orientiert sich an Bausteinen und enthält konkrete Anforderungen.

Er besteht aus zwei zentralen Dokumenten, dem IT-Grundschutz-Kompendium und den BSI Standards 200-1, 200-2 und 200-3.

Anders als die ISO27001 sind diese Dokumente frei einsehbar.

Für kleine und mittlere Unternehmen kann der IT-Grundschutz zunächst überwältigend wirken. Allerdings kann er durch sein modulares System gut auf die Anforderungen angepasst werden.

ISMS nach Branchenstandards, wie z.B. TISAX

In bestimmten Branchen werden eigene Branchenstandards vorgegeben. Dies kann den Zweck haben, branchenübergreifend Branchengeheimnisse zu schützen, aber auch Zulieferer und Lieferketten abzusichern.

TISAX ist ein Branchenstandard, der in der Automobilindustrie angewendet wird. Demnach ist TISAX vor allem auf die Lieferketten fokussiert, die für die Automobilindustrie relevant sind. Schwerpunkte sind entsprechend die Informationssicherheit und der Prototypenschutz.

Wenn ein Unternehmen Zulieferer oder Dienstleister der Automobilbranche ist oder sein möchte, ist für dieses Unternehmen TISAX verpflichtend. Hierfür gibt es ein Assessment durch einen Prüfdienstleister.

Und nun? Erste Schritte zur
Einführung eines ISMS

Möchten Sie nach diesen Ausführungen ein ISMS in Ihrem Unternehmen als Projekt angehen, gibt es einige Tipps, die bei der Einführung unterstützen:

  • Sichern Sie sich einen Platz in der ISMS-Werkstatt. Hier wird die Einführung eines ISMS in einer Workshopreihe unterstützt. Sie lernen hier die Grundlagen dafür, was im Unternehmen notwendig ist, um ein ISMS einzuführen. Die Teilnahme an der ISMS-Werkstatt ist kostenfrei.
    Informationen zur ISMS-Werkstatt finden Sie hier.
  • Starten Sie eine IST-Analyse im Unternehmen: Was ist der aktuelle Stand? Welche Prozesse im Unternehmen sind sicherheitsrelevant? Machen Sie eine Bestandsaufnahme und überlegen, wo eine Maßnahme am ehesten greifen sollte.
  • Versuchen Sie, Risiken zu identifizieren.
    Sie müssen hierfür keine Standards zu Grunde legen. Versuchen Sie zu identifizieren, wo Schwachstellen liegen, und wo Kontrolle notwendig ist.
  • Benennen Sie eine verantwortliche Person.
    Dazu gehört auch, Rollen klar zu benennen, und Zuständigkeiten abzugrenzen. Geben Sie der ausgewählten Person Zeit, um ihre Rolle zu erfüllen.

Durchstarten mit der ISMS-Werkstatt!

Das Angebot der ISMS-Werkstatt bietet für jedes kleine und mittlere Unternehmen – mit oder ohne Vorkenntnisse – das passende Angebot, um den Umgang mit potenziellen Cybersicherheitsbedrohungen strukturiert zu managen. Die ISMS Werkstatt begleitet Sie bei der Analyse und Bewertung Ihrer Cyberrisiken, der Auswahl und Implementierung von Sicherheitsmaßnahmen sowie der Entwicklung von Strategien zur systematischen Bewältigung von Sicherheitsvorfällen.

Mehr erfahren

In unserem Blogartikel erklären wir, was zum Aufbau eines ISMS gehört und wie Sie am besten dabei vorgehen.

Zum Beitrag

Sie möchten mit eine:r Expert:in über die Cybersicherheit in Ihrem Unternehmen sprechen? Nutzen Sie die Möglichkeit und buchen Sie einen kostenfreien CYBERDialog!

Unsere Materialien für Sie

Titelbild Passwörter Teil 2

IT-Sicherheit strukturiert aufbauen – 10 Goldene Regeln

Zum Material