neu

ISMS-Zertifizierung: Keine unlösbare Aufgabe

Informationssicherheits-Managementsysteme sind unabdingbar. Ihre Einführung kostet allerdings Kraft und Nerven. Wir zeigen, womit Sie rechnen müssen.

Was für ein Kuddelmuddel! Über die Jahre hatte sich das Problem bereits angekündigt: Diverse Übernahmen und Restrukturierungen, Kurswechsel und auch Personalrochaden hatten aus der IT-Infrastruktur der Firma ein Dickicht aus Anwendungen, Systemen und halbgaren Dokumentationen geschaffen. Immer wieder die Warnung: Man müsse die 120 Aktenordner, 18 Systeme und 38 Anwendungen dringend einmal grundlegend sichten und konsolidieren. Passiert war all die Jahre natürlich: nichts.

Und jetzt das: ein Informationssicherheits-Managementsystem – kurz: ISMS – sollte her. Natürlich mit externem Gutachter und offiziellem Gütesiegel.

Holger F., IT-Sicherheitsbeauftragter eines mittelgroßen deutschen Unternehmens, fühlte sich, als stünde er vor einer unlösbaren Aufgabe. Und das, obwohl IT eigentlich zu den Stärken der Firma gehört: Schließlich betreibt sie selbst eine komplexe IT-Landschaft.

Jedes Jahr erleben hunderte von IT-Sicherheitsbeauftragten in Deutschland solche oder ähnliche Situationen – und fühlen sich dabei häufig allein gelassen. Aber: Zertifizierung ist kein Hexenwerk – insbesondere mit punktueller Unterstützung von externen Spezialisten. Außerdem ist es hilfreich, die wichtigsten Schritte und Herausforderungen bereits vorab zu kennen: Wir liefern Ihnen hier die wichtigsten Informationen.

Was ist Informationssicherheits-Management?

Informationssicherheits-Management klärt in einem Unternehmen die Frage, wie Informationssicherheit geplant, bewertet und umgesetzt wird. Ziel ist es, kritische Werte oder Informationen vor Verlust oder Kompromittierung zu schützen. Dabei handelt es sich letztendlich um eine Sammlung von Management-Instrumenten zur Steuerung und Lenkung, und noch nicht um konkrete Maßnahmen selbst. Diese werden im zweiten Schritt anhand der Vorgaben aus dem Informationssicherheits-Management erstellt. Das bedeutet: Ich erstelle mir ganz spezifische Regeln, mit denen alle Mitarbeiter des Unternehmens täglich arbeiten, und die ich als Sicherheitsbeauftragter regelmäßig selbst unter die Lupe nehme.

Im Falle des Unternehmens von Holger F. – wie auch in den meisten anderen Fällen bei einer Einführung – standen also Systeme und Prozesse der Zusammenarbeit auf dem Prüfstand. Wir unterstützten Holger F. bei der ISMS-Einführung als externe Berater und stießen auf ein veritables Durcheinander von Prozessen mit unterschiedlicher Doktrin und Herkunft. Ein Teil stammte aus einer Zeit, in der das Unternehmen in kommunaler Hand war. Andere waren offensichtlich aus Eingliederungen in eine Unternehmensgruppe entstanden. Zum Teil widersprachen sich die Handlungsanweisungen – und im Alltag wurde dann ein gänzlich anderer Prozess gelebt.

Das Vorgehen im Detail: Plan, Do, Check, Act

Wie setzt man nun so ein ISMS konkret um? Zentral ist der sogenannte PDCA-Zyklus. PDCA steht für Plan, Do, Check, Act und beschreibt in vier Phasen, wie sich solch ein ISMS entlang eines Unternehmens aufbauen und stetig verbessern lässt.

Plan: Am Anfang steht die Suche nach den Anforderungen an interne und externe Informationssicherheit. Dabei stellen sich ganz grundlegende Fragen, wie beispielsweise: In welchen Feldern ist das Unternehmen tätig? In welchen wird es vielleicht zukünftig tätig sein? Was erwarten Aktionäre oder auch staatliche Stellen? Und insbesondere: was heißt das alles für meine Informationssicherheit? Daraus formuliere ich eine Informationssicherheitspolitik, die die strategische Richtung für alle folgenden Schritte festlegt und Ziele definiert – etwa, dass die Verfügbarkeit bestimmter Systeme für mein Geschäft von zentraler Bedeutung ist, oder dass eine Kompromittierung bestimmter vertraulicher Daten unbedingt zu verhindern ist. Eine Risikoanalyse klärt: Welche Bedrohungen und Schwachstellen können meine Ziele gefährden? Welche konkreten Maßnahmen benötige ich, um meine Werte zu schützen?

Do: Im zweiten Schritt geht es in die Umsetzung. Anhand der eingangs definierten Ziele setze ich nun Maßnahmen um – entweder, um Risiken einzudämmen oder um Chancen zur Verbesserung zu ergreifen. Insbesondere technische Maßnahmen müssen sauber dokumentiert werden – wie auch alle Prozesse, die verändert oder neu eingeführt werden sollen. Das ist viel Arbeit, insbesondere weil viele Kollegen und Abteilungen dabei eingebunden werden müssen, aber auch eine Chance auf einen sauberen Schnitt innerhalb des Unternehmens.

Check: Nun geht es in die Überprüfung dessen, was ich erreicht habe. Das kann auf unterschiedlichem Wege geschehen: durch Kennzahlen oder interne Audits – und natürlich durch einen Bericht ans Management. Dabei gilt es, sinnvolle Indikatoren zurate zu ziehen, also Zahlen, die auch wirklich etwas über mein ISMS aussagen. Je nach initial definierter Zielstellung können hier zum Beispiel die Verfügbarkeit von bestimmten Systemen oder die Anzahl von kritischen Informationssicherheitsvorfällen eine Aussage darüber treffen, ob ich meine Ziele erreicht habe, oder nicht.

Act: Aus den Erkenntnissen und der alltäglichen Arbeit mit den Prozessen sind nun regelmäßig Veränderung und Verbesserung des gesamten Systems vorzunehmen, indem Chancen zur Verbesserung ermittelt und nach ihrem Nutzen bewertet werden. Ebenso sind alle Mitarbeiter angehalten, Ideen und Vorschläge einzubringen und sich aktiv zu beteiligen.

Das Schöne an Informationssicherheits-Managementsystemen: Der Prozess geht nie zu Ende. Er ist auf kontinuierliche Verbesserung ausgelegt. Denn: Das ISO-Zertifikat ist punktuell und sagt nur aus, dass man sich zu diesem Zeitpunkt organisiert beschäftigt. Durch stetig aktualisierte Siegel wird Verbesserung zu einem integralen Bestandteil.

Checkliste: Das müssen Sie beachten

Der Aufwand für eine ISMS-Einführung beträgt – je nach Reifegrad und Größe des Unternehmens – zwischen 100 und 150 Personentage. Das strapaziert die gesamte Organisation. Aus der Erfahrung von Dutzenden Projekten haben wir folgende Herausforderungen identifiziert:

1/ Sensibilisierung für Informationssicherheit. Mitarbeitern und Verantwortlichen die Wichtigkeit zu vermitteln und alle ins Boot zu holen, ist ein wesentlicher Kraftakt der Einführung eines ISMS. Meist sind es gesetzliche Auflagen, die das Projekt überhaupt triggern – oder Kunden verlangen danach. Deswegen besteht oft keine intrinsische Motivation des Teams. Eine zentrale Aufgabe ist es deswegen, ein Gefühl für den Mehrwert eines ISMS zu schaffen. Wir machen das, indem wir die Normen und gesetzlichen Vorgaben umfangreich erklären und Nutzen für die Mitarbeiter und das Unternehmen herausarbeiten. Zudem lohnt es sich, Maßnahmen zusammen mit den Mitarbeitern zu erarbeiten. Dabei orientieren wir uns stets eng an den bestehenden Gewohnheiten und Prozessen des Unternehmens.

2/ Dezentralität der Prozesse. Prozesse variieren in den meisten Firmen von Abteilung zu Abteilung. Ein ISMS schafft idealerweise eine Vereinheitlichung – gleichzeitig entsteht eine Gefahr der Parallelwelt. Denn wenn durch die ISMS-Einführung Prozesse von oben übergestülpt werden, kommt es oft genug vor, dass die Mitarbeiter eigene Regeln etablieren. Ergo: Achten Sie darauf, dass die Prozesse des ISMS zum Unternehmen passen. Wir etablieren parallel zu den Prozessen eine Risikoanalyse mit Handlungsbedarf und geben dadurch den Teams einen spürbaren Mehrwert. Alle Abteilungen werden mit einbezogen, nichts wird von oben verordnet, alles im Team erarbeitet. Beispiel: Die Personalabteilung erklärt uns ihr System. Gemeinsam identifizieren wir Lücken – und finden Hand in Hand Lösungen.

3/ Prozesse mit Leben füllen. Hier dreht sich alles um klassisches Change Management. Denn mit neuen Prozessen ändern wir den Alltag der Mitarbeiter zum Teil signifikant. Wir lösen das durch Schulungen für Mitarbeiter. Darunter fallen auch nachträgliche Begleitung und Review-Prozesse. Gemeinsam begeben wir uns auf die Suche nach der besten Lösung und triggern so die Motivation der Mitarbeiter.

Heute kann Holger F. ruhig schlafen – sogar ruhiger als zuvor. Zwar war die Zeit der Einführung mit all den Auseinandersetzungen mit Prozessen und auch Kollegen durchaus stressig. Aber mit der Zertifizierung des ISMS, konsolidierten Prozessen und Systemen und den damit verbundenen regelmäßigen Überprüfungen der eigenen Arbeit herrscht nun eine nie gekannte Ordnung im Unternehmen. Und sollte mal etwas schieflaufen, staut sich kein Kuddelmuddel mehr an – sondern man beseitigt es schnell und effizient.