Ob auf eigenen Servern oder in der Cloud, Unternehmen speichern mehr Daten denn je. Die genutzten IT-Systeme gilt es zu schützen, damit sich Daten in sicherer Hand befinden. Aber nur wenige Unternehmen setzen dabei auf ein ganzheitliches Konzept, wie ein Information Security Management System (ISMS). Solch ein Verzicht bedeutet höhere Risiken.

Diesen Risiken ist Ihr Unternehmen ausgesetzt

Ohne fundiertes Konzept für Informationssicherheit droht ein unzureichender Schutz der IT-Anwendungen, IT-Prozesse und IT-Infrastruktur. Damit gehen vier Arten von Risiken einher.

  • Verstöße gegen datenschutzrechtliche Bestimmungen
    Sollten Daten mit Personenbezug in die falschen Hände gelangen, kann die zuständige Aufsichtsbehörde ein Bußgeld in schmerzhafter Höhe verhängen.
  • Verlust nicht personenbezogener Daten
    Auch beim Verlust anderer Daten droht ein erheblicher Schaden, z.B. wenn Geschäftsgeheimnisse an Mitbewerber gelangen. Besonders der Mittelstand wird häufig Opfer von Industriespionage.
  • Ausfälle und Beschädigung von Systemen
    Einige Cyberkriminelle richten gezielt Schäden an IT-Systemen und damit verbundenen Geräten an, um beispielsweise Geldzahlungen zu erpressen. Es drohen Ausfälle und damit eine verringerte Produktivität. Je nach Schadensausmaß können sogar kostspielige Reparaturen notwendig sein.
  • Imageschaden
    Erfährt die Öffentlichkeit von solchen Vorkommnissen, kann dies die Reputation des Unternehmens nachhaltig schädigen. Diesbezüglich ist zu beachten, dass bestimmte Vorfälle (insbesondere im Zusammenhang mit personenbezogenen Daten) meldepflichtig sind.

Definition: Wie ein ISMS mehr Sicherheit verspricht

Die Stärke eines Information Security Management Systems ist dessen ganzheitliche Auslegung. Es betrachtet IT-Systeme (von Anwendungen über Prozesse bis einschließlich der IT-Infrastruktur) aus allen Perspektiven und hält jeweils geeignete Lösungsansätze bereit.

  • Definition von Prozessen
    Es werden Abläufe entwickelt, die die Erreichung eines festgelegten Niveaus an IT-Sicherheit versprechen. Darüber hinaus sind die Prozesse so ausgelegt, dass das erreichte Niveau nicht nur heute, sondern auch in Zukunft eingehalten wird.
  • Aufbau und Ausbau der IT
    ISMS berücksichtigt nicht nur vorhandene IT-Systeme, sondern ebenso deren Erweiterung und Anpassung. Es leistet Unterstützung bei Auswahl neuer Komponenten (Hardware und Software), damit bereits in dieser frühen Stufe die richtigen Entscheidungen getroffen werden.
  • Laufender Betrieb
    Eine der wichtigsten Maßnahmen im Feld der Informationssicherheit ist die Wartung der Unternehmens-IT. Es werden interne Prozesse geschaffen, die u.a. ein zeitnahes Einspielen von Patches und Software-Updates gewährleisten.
  • Berücksichtigung der Mitarbeiter
    Sobald es um Daten und IT-Systeme geht, stellen Mitarbeiter eine der größten Gefahrenquellen dar. Cyberkriminelle haben dies längst erkannt und setzen lieber auf Social Engineering als auf klassisches Hacking. Ebenso sind Mitarbeiter, die das Unternehmen verlassen, zu berücksichtigen. Die richtigen Prozesse gewährleisten, dass z.B. Zugänge rechtzeitig geschlossen werden und betroffene Mitarbeiter keinen Zugriff auf Daten und Systeme mehr haben.
Information Security Management System - Die vier Perspektiven im ISMS auf IT-Systemen
Die vier Perspektiven im ISMS auf IT-Systeme

Abgrenzung vom Datenschutz

Der Zweck eines ISMS ist der Schutz von IT-Systemen und den zugehörigen Daten. Damit leistet es einen Beitrag zum Schutz personenbezogener Daten. Allerdings ist es kein Ersatz für den betrieblichen Datenschutz.

Letzterer hat andere Schwerpunkte und beschäftigt sich u.a. mit der Frage, ob und welche Daten überhaupt verarbeitet werden dürfen (z.B. auf Grundlage der DSGVO). Ein ISMS leistet hingegen Schutz auf technischer Ebene und ist damit als sinnvolle Ergänzung zu betrachten.

Herausforderung in der Praxis

Die Einführung eines ISMS wird in einigen Unternehmen nicht nur beschlossen, um Daten besser abzusichern. In bestimmten Branchen ist es für die Zusammenarbeit mit Partnern notwendig, per Zertifizierung den Nachweis über ein zuverlässig implementiertes ISMS zu erbringen.

Damit liegt die Messlatte hoch. Es existieren verschiedene Normen und Richtlinien, so wird der Begriff ISMS u.a. in ISO/IEC 27001 definiert. Weitere Standards, auf deren Basis die Einführung eines Information Security Management Systems erfolgen kann, sind BSI IT-Grundschutz und ENX-TISAX (nach VDA im Bereich Automotive auf Basis ISO 27001). Sich hier zurechtfinden und z.B. das passende System auszuwählen, ist ohne entsprechendes Fachwissen nahezu unmöglich.

Damit macht die Einführung eines ISMS professionelle Unterstützung erforderlich, sei es durch eigene Mitarbeiter mit entsprechender Qualifikation oder durch externe Dienstleister. Die vorherige Abstimmung und Planung ist maßgeblich, um gesteckte Ziele zu erreichen und dabei kosteneffizient zu sein.

Unsere Lösung und Vorzüge

Unser Expertenteam blickt auf jahrelange Erfahrung im Feld ISMS. Schon für zahlreiche Unternehmen haben wir maßgeschneiderte Konzepte entwickelt und diese ebenso bei der Umsetzung unterstützt.

Wir führen Analysen durch, die ohne Umwege sicher zum Ziel führen. Auf den Ergebnissen basierend definieren wir die notwendigen Ziele und arbeiten einen abgestimmten Fahrplan aus. Unsere langjährige Erfahrung macht sich für unsere Kunden bezahlt. Wir beraten praixnah, d.h. wir bieten eine zeitnahe und kosteneffiziente Umsetzung. Auf Wunsch kann sogar ein externer Informationssicherheitsbeauftragter bestellt werden.

Das Thema Datenschutz ist bei uns zentral verankert. Diese Nähe ist ein großer Vorteil, da wir ISMS Lösungen so gestalten können, dass sie sich mit Datenschutzkonzepten optimal unterstützen.

Fazit

Die Welt der IT-Systeme komplex und die damit verbundenen Risiken sind breit gefächert. Ein ISMS reduziert diese Risiken, damit Ihre Daten bestens geschützt sind. Je nach Geschäftsfeld kann die Notwendigkeit bestehen, ein ISMS zu integrieren und eine Zertifizierung nachzuweisen.

Die Integration gilt als anspruchsvoll, da verschiedene Normen und Vorschriften existieren. Für Unternehmen bedeutet dies, Zugriff auf umfassendes Know-how haben zu müssen. Unsere erfahrenen Berater stellen dieses Know-how bereitet und helfen dabei, praxisnahe Lösungen zu entwickeln und zu implementieren.

Fragen & Antworten zum Thema

Was sind die Vorteile eines ISMS?

Ein ISMS bedeutet eine hohe Sicherheit der IT-Anwendungen, IT-Prozesse und IT-Infrastruktur, weil die Absicherung auf einem systematischen und ganzheitlichen Ansatz erfolgt. Die Risiken sind bekannt, passende Lösungen zur Absicherung werden bereitgehalten.

Wie lange dauert die Einführung eines ISMS?

Die Dauer hängt von der Anzahl der beteiligten Personen, den Kommunikationswegen, der Größe und Zusammensetzung der IT-Infrastruktur sowie viele weitere Faktoren ab. Bei kleinen Mittelständlern kann die Einführung durchaus nach einem halben Jahr abgeschlossen sein. Im Konzernumfeld sind deutlich längere Zeiträume, von beispielsweise eineinhalb Jahren oder länger, möglich.

Welche Normen und Richtlinien sind zu empfehlen?

Auf Basis welcher Norm ein Information Security Management System eingeführt wird, hängt zumeist von der Tätigkeit des Unternehmens ab. Je nach Branche können sich unterschiedliche Normen oder Richtlinien empfehlen. Vorgaben können von Auftraggeber stammen, weil diese z.B. Wert auf eine bestimmte Zertifizierung legen.

Was sind ISMS Tools?

ISMS Tools leisten Unterstützung bei Einführung und Umsetzung eines ISMS. Üblicherweise handelt es sich um Software oder Dokumentenvorlagen mit ganzheitlicher Ausrichtung, um das Unternehmen u.a. bei Risikoidentifikation, Risikoanalyse und Dokumentation zu begleiten. Die so erzeugte Dokumentation kann dienlich bei einer anschließenden Zertifizierung sein.