Basiswissen, Blog, How to

Ein Information Security Management System (ISMS) für den Mittelstand

Veröffentlicht am 23.08.2022

Das Thema Informationssicherheit wird im Zeitalter der digitalen Arbeit wichtiger denn je. Hackerangriffe auf Unternehmen nehmen zu, sodass Bitkom den jährlichen Schaden, der allein in der deutschen Wirtschaft durch Cyber-Attacken entsteht, auf rund 223 Milliarden Euro schätzt (Quelle: Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr). Doch nicht nur gezielte Hackerangriffe, sondern auch fehlerhafte Software-Updates, versehentliche Herausgaben von Daten an Unbefugte, höhere Gewalt und vieles mehr gefährden die Sicherheit der Informationen eines Unternehmens.

Beschäftigt man sich intensiver mit der Informationssicherheit, so stößt man schnell auf das Akronym ISMS. Wofür steht ISMS? Wie führt man ein ISMS im Unternehmen ein? Was für Vorteile bringt ein ISMS? Was ist die Abgrenzung zu einem QMS? Und vor allem: wie gelingt das alles für mittelständische Unternehmen? Das erfahren Sie in diesem Beitrag.

Was ist ein Information Security Management System (ISMS)?

Information Security Management System (ISMS) ist die englische Bezeichnung für „Managementsystem für Informationssicherheit“. Es beinhaltet sämtliche Maßnahmen, Prozesse und Regeln, mit denen die Informationssicherheit eines Unternehmens definiert, gesteuert, überwacht, dokumentiert und fortlaufend verbessert wird. Dabei wirkt es in allen bestehenden Prozessen entlang der gesamten Wertschöpfungskette und bezieht auch die Mitarbeitenden mit ein.

Die Ziele eines ISMS sind:

  • Schützenswerte Assets (Vermögenswerte eines Unternehmens) identifizieren
  • Risiken für die Sicherheit dieser Assets identifizieren und bewerten
  • Geeignete Schutzmaßnahmen entwickeln
  • Ein Risikomanagementsystem für die Informationssicherheit einführen
  • Eine Sicherheitskultur im gesamten Unternehmen etablieren
  • Die Maßnahmen zur Informationssicherheit stetig verbessern.

Für BetreiberInnen kritischer Infrastrukturen wie Energie, Wasser, Gesundheit, Ernährung sowie Transport & Verkehr ist der Einsatz eines zertifizierten ISMS vorgeschrieben (§ 8a BSIG). Diese Unternehmen müssen alle zwei Jahre nachweisen, dass sie die Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse erfüllen.

Achtung: Ein ISMS hilft, zu schützende Informationen abzusichern, erfüllt aber nicht zwingend zusätzlich Anforderungen an den Datenschutz im Rahmen der Verarbeitung personenbezogener Daten, denn im Rahmen des ISMS werden alle Daten gleichbehandelt. Idealerweise setzt ein Datenschutzmanagementsystem (DSMS) auf einem ISMS auf.

ISO 27001 und der IT-Grundschutz

Grundlage für die erfolgreiche Einführung eines ISMS liefern die ISO/IEC 27001 und der IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI).

ISO 27001

Die ISO 27001 spezifiziert die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Optimierung eines ISMS. Das Ergebnis sind definierte Sicherheitsmechanismen, mit denen der Schutz sämtlicher Werte entlang aller Wertschöpfungsketten eines Unternehmens sichergestellt werden.

Anwendung findet die ISO 27001 in verschiedenen Bereichen, wie zum Beispiel bei:

  • der Formulierung von Anforderungen und Zielen,
  • der Implementierung von Maßnahmen zur Sicherstellung der Informationssicherheit,
  • dem Management der Sicherheitsrisiken,
  • der Einhaltung von Gesetzen und Regularien,
  • der Identifizierung und Definition bestehender Informationssicherheits-Managementprozesse,
  • der Definition von Informationssicherheits-Managementprozessen und -Managementtätigkeiten, und
  • der Umsetzung interner und externer Audits zur Feststellung des Umsetzungsgrades der Richtlinien und Standards.

IT-Grundschutz

Der IT-Grundschutz des BSI liefert ergänzend dazu Konzept und Methodik zur Umsetzung der Informationssicherheit innerhalb eines Unternehmens. Dabei legt das BSI besonderen Wert auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und bezieht nicht nur die IT-Infrastruktur, sondern die gesamte Organisation und die Mitarbeitenden mit ein. Ziel des IT-Grundschutz ist es, die Informationssicherheit eines Unternehmens zu etablieren und aufrechtzuerhalten.

Als Nachweis der richtigen Implementierung eines ISMS gegenüber Stakeholdern dient eine Zertifizierung nach ISO/IEC 27001 auf Basis von IT-Grundschutz. Das ISO-27001-Zertifikat dient als Nachweis für die Umsetzung der Maßnahmen zur Informationssicherheit nach internationalen Standards.

Wie führe ich ein ISMS im Unternehmen ein?

Die Einführung eines ISMS ist ein Top-Down-Ansatz. Das bedeutet, sämtliche Inhalte werden vom Top-Management des Unternehmens definiert. Das Management definiert auch einen Mitarbeitenden, der für das gesamte ISMS im Unternehmen verantwortlich ist. Diese Person wird Informationssicherheitsbeauftragter (ISB) genannt und kann auch durch einen externen Dienstleister gestellt werden.

Und so läuft die Einführung eines ISMS ab:

1. Schritt

Zu Beginn legt das Top-Level-Management fest, was das ISMS leisten soll, was für verbindliche Ziele es hat und welche Werte und Informationen zu schützen sind. Das Ergebnis sind ein klar definierter Anwendungsbereich sowie Ziele und Grenzen des ISMS.

2. Schritt

Darauf folgt die Ermittlung, welche (geschäftskritischen) Werte, also Assets, geschützt werden müssen. Das können physische (Computer, Qualifikationen) und immaterielle Werte (Ansehen) sein. Das Ergebnis ist eine Auflistung der schützenswerten Assets.

3. Schritt

Sind alle schützenswerten Assets ermittelt, geht es an die Identifizierung und Einordnung der Risiken dieser. Kriterien für die Einordnung können gesetzliche Anforderungen oder auch vorhandene Compliance-Richtlinien sein. Die Ergebnisse sind: eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen. Auswirkungen der einzelnen Risiken und Folgen durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit sind klar erkennbar und die Eintrittswahrscheinlichkeiten der Risiken sind festgehalten.

4. Schritt

Auf Basis der Risikobewertung folgt die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikovermeidung. Diese Sicherheitsrichtlinien definieren den sicheren Umgang mit der IT-Infrastruktur und den Informationen. Sie sind in einem kontinuierlichen Prozess zu prüfen und zu optimieren. Das Ergebnis ist ein umfassender Katalog an Maßnahmen zur Vermeidung sämtlicher Risiken, für die im ersten Schritt identifizierten, schützenswerten Assets.

5. Schritt

Sind nun alle verbindlichen Sicherheitsrichtlinien erstellt, werden diese an die Mitarbeitenden kommuniziert. Das Management muss dafür sorgen, dass alle ihre Verantwortlichkeiten verstehen und für ihre Aufgaben qualifiziert sind. Auch bei der Einstellung, Beendigung oder einem Wechsel der Anstellung von Mitarbeitenden müssen jederzeit die Anforderungen an die Informationssicherheit berücksichtigt werden. Nur so stellt das Unternehmen sicher, dass alle genau über die Informationssicherheit Bescheid wissen.

Sind die fünf Schritte durchlaufen, so gilt es, im Rahmen eines kontinuierlichen Verbesserungsprozesses die Wirksamkeit der Maßnahmen zu überprüfen, an die aktuelle Lage anzupassen und sie gegebenenfalls zu optimieren. Tauchen neue Risiken auf, muss mit ihnen der komplette ISMS-Prozess von Beginn durchlaufen werden.

Was sind die Vorteile durch ein ISMS?

Auch wenn die Implementierung und Aufrechterhaltung eines ISMS mit viel Aufwand verbunden ist, lohnt sich die Arbeit. Die Vorteile eines ISMS erstrecken sich nämlich über den gesamten Wirkungsbereich eines Unternehmens.

  • Die sensiblen und wichtigen Informationen wie geistiges Eigentum, Personal- und Finanzdaten sowie Informationen über KundInnen oder Dritte werden geschützt
  • Vorgaben aus Gesetzen, Compliance, Regularien und Verträgen werden erfüllt und sorgen so für mehr Rechtssicherheit
  • Durch die Minimierung der Risiken für die Informationssicherheit werden auch andere Gefahren für die Aufrechterhaltung des Geschäftsbetriebes verringert und das Sicherheitsniveau fortlaufend gesteigert
  • Bei einer erfolgten Zertifizierung des ISMS dient diese als Nachweis gegenüber Stakeholdern, dass das Unternehmen sicher mit sensiblen Informationen umgeht, was für eine bessere Außenwirkung und für mehr Vertrauen sorgt
  • Die risikoorientierten Maßnahmen führen dazu, dass die im Unternehmen vorhandenen Ressourcen sinnvoll genutzt werden können. Dadurch lassen sich die Kosten langfristig senken
  • Zusätzlich dazu, dass die Risiken durch die definierten Maßnahmen vermieden werden, sind die Unternehmen für den Fall einer Störung, eines Ausfalls oder anderer Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet

Abgrenzung zum Qualitätsmanagementsystem (QMS)

Die Implementierung eines ISMS auf Basis der ISO 27001 sorgt für die Sicherheit der im Unternehmen vorhandenen Werte – sowohl in materieller als auch in immaterieller Form. Nach einer einmaligen Einrichtung des ISMS wird in regelmäßigen Abständen eine Risikobeurteilung durchgeführt und es wird geprüft, ob alle Aspekte der Informationssicherheit auf organisatorischer und technischer Ebene berücksichtigt werden.

Ein Qualitätsmanagementsystem (QMS) basiert auf der ISO 9001 und hat als Ziel, die Produkte bzw. Dienstleistungen des Unternehmens mit zuverlässig hoher Qualität auszuliefern, um die KundInnen zufriedenzustellen. Dazu gehört unter anderem die Definition relevanter Geschäftsprozesse, die die Aufgabe haben, die Qualität aufrecht zu erhalten, zu messen und kontinuierlich zu verbessern. Des Weiteren bezieht das QMS die Sicherung zuverlässiger Lieferantenbeziehungen und die Reduktion externer Risiken für die Qualität der Produkte / Dienstleistungen mit ein.

Wenn Ihr Unternehmen beide Normen berücksichtigen muss, bietet es sich an, diese gemeinsam umzusetzen. Dabei profitieren Sie von der Schnittmenge in den Bereichen kontinuierliche Verbesserung, Nachvollziehbarkeit von Entscheidungen und der Prozess- und Risikoorientierung.

Und was machen wir im Mittelstand?

Die Problematik ist, dass gerade Kleine und Mittlere Unternehmen (KMU) meist nicht über ausreichend große Ressourcen, wie zum Beispiel ausgebildetes Personal, Budget oder auch Detailwissen verfügen. Die geforderte Risikoanalyse und die Auswahl konkreter Maßnahmen stellen Unternehmen daher häufig vor große Herausforderungen. Und genau hier setzt JobRouter® an. JobRouter® ist eine Plattform, mit der Sie sämtliche Prozesse in Ihrem Unternehmen digital abbilden können, wie zum Beispiel das gesamte Information Security Management System bis hin zur erfolgreichen Zertifizierung nach ISO 27001. Denn in der Digitalisierungsplattform können Sie Dokumente und Verfahrensanweisungen erstellen und verbreiten, alle notwendigen Prozesse für das ISMS, die Pflege und Dokumentation von Benutzerrechten sowie die Freigabe und Kenntnisnahme von Dokumenten digital und Compliance-gerecht abbilden. So sind Sie bestens für ein ISO 27001 Audit vorbereitet.

Mehr über die erfolgreiche Umsetzung einer Zertifizierung nach ISO 27001 auf Basis von JobRouter® erfahren Sie hier: Digitalisierungsplattform JobRouter® unterstützt Mittelstand bei Zertifizierung nach ISO 27001

Fazit

Das Thema Informationssicherheit ist für jedes Unternehmen wichtig – für manche Unternehmen ist es sogar gesetzlich vorgeschrieben, ein zertifiziertes ISMS einzusetzen. Für die erfolgreiche Einführung eines ISMS liefern die ISO 27001 und der IT-Grundschutz des BSI die Grundlage. Wenn Sie dabei den fünf Schritten folgen und einen kontinuierlichen Verbesserungsprozess implementieren, dann sind auch Sie vor Cyberangriffen und anderen Risiken für die Informationssicherheit bestens geschützt!

Die zertifizierte Digitalisierungsplattform JobRouter® bietet Ihnen die geeignete Anwendung für die Umsetzung eines ISMS in Ihrem Unternehmen. Wir zeigen Ihnen gerne, wie Sie JobRouter® gewinnbringend einsetzen können. Melden Sie sich einfach bei uns!

Nach oben scrollen