Lessons-learned: Ein Tipp

Ein ISMS wird schrittweise wirksam

Ich habe die Erfahrung gemacht, dass ein ISMS für eine Organisation deutlich einfacher umzusetzen ist, wenn es mit dem Ziel eingeführt wird, Abläufe sinnvoller zu gestalten, Risiken besser zu verstehen und Entscheidungen fundierter treffen zu können. In diesen Fällen bleibt die Motivation im Kernteam hoch, weil der Nutzen im Alltag spürbar ist. Wird das ISMS dagegen primär mit dem Ziel einer Zertifizierung aufgebaut, entsteht schneller Frust und unnötige Komplexität.

Grundsätzlich ist ein Informationssicherheits-Managementsystem (ISMS) kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess. Entscheidend ist das klare Commitment der Geschäftsleitung – also eine bewusste Entscheidung für Informationssicherheit, inklusive klarer Ziele, Verantwortlichkeiten und ausreichender Ressourcen.

Am Anfang steht die Festlegung des Geltungsbereichs (Scope). Er definiert, welche Organisationseinheiten, Prozesse und IT-Systeme betrachtet werden und legt damit den Rahmen für Aufwand und Tiefe des ISMS fest. Anschließend werden die Informationswerte identifiziert und im Rahmen einer Risikoanalyse bewertet, um echte Schwerpunkte sichtbar zu machen.

Darauf aufbauend werden Risikobehandlungsmaßnahmen festgelegt und umgesetzt. Neben technischen und organisatorischen Maßnahmen ist die Einbindung und Sensibilisierung der Mitarbeitenden zentral. Regelmäßige Überprüfung, interne Audits und Management-Reviews sorgen dafür, dass das ISMS wirksam bleibt und sich weiterentwickelt.

In 11 Schritten zum ISMS

Wenn du diese 11 Schritte verstanden hast,
kannst du zielgerichtet auf die Einführung eines ISMS in deiner Organisation hinwirken.

Management-Commitment

1. Management-Commitment sichern

Ohne Rückendeckung der Geschäftsleitung funktioniert kein ISMS. (das versuchen auch die Auditoren aus euch herauszukitzeln)

  • Klare Entscheidung für Informationssicherheit
  • Festlegung von Zielen, Budget und Verantwortlichkeiten
  • Benennung eines ISMS-Verantwortlichen (z. B. CISO / ISMS-Beauftragter)

Management-Commitment

Geltungsbereich (Scope)

2. Geltungsbereich festlegen

Hier wird definiert, was genau durch das ISMS abgedeckt ist.

  • Organisationseinheiten, Standorte, Prozesse, IT-Systeme
  • Klare Abgrenzung (was ist drin, was explizit nicht – Ggf. sind bestimmte Produktkategorien besonders marketingwirksam, wenn Kunden nach einer ISO 27001 Zertifizierung oder ähnlichem fragen…)

Geltungsbereich (Scope)

Informationen

3. Informationswerte identifizieren

Ermittlung dessen, was geschützt werden muss:

  • Informationen (z. B. Kundendaten, Entwicklungsdaten)
  • Systeme, Anwendungen, Infrastruktur
  • Personen, Dienstleister, Prozesse

Ihr müsst nicht alles maximal schützen. Ihr müsst euch nur im Klaren sein, was für euch wie schützenswert ist!

Informationen

Risikoanalyse

4. Risikoanalyse durchführen

Kernstück jedes ISMS.

  • Bedrohungen & Schwachstellen identifizieren
  • Risiken bewerten (Eintrittswahrscheinlichkeit × Schadenshöhe)
  • Risiken priorisieren

Ergebnis: Transparenz darüber, wo es wirklich weh tut, wenn etwas passiert.

Risikoanalyse

Risikobehandlung

5. Risikobehandlung festlegen

Für jedes relevante Risiko wird entschieden:

  • Vermeiden (z. B. Prozess ändern)
  • Vermindern (technische/organisatorische Maßnahmen)
  • Übertragen (z. B. Versicherung, Outsourcing)
  • Akzeptieren (bewusst und dokumentiert)

Dazu gehört die Auswahl passender Sicherheitsmaßnahmen.

Risikobehandlung

Richtlinien

6. Richtlinien & Prozesse definieren

Dokumentation ist Pflicht – aber sinnvoll gehalten.
Typisch sind u. a.:

  • Informationssicherheitsleitlinie
  • Zugriffskontroll- und Passwortregeln
  • Incident-Management-Prozess
  • Backup- & Wiederherstellungsprozesse

Wichtig: lebbar, nicht nur „für die Schublade“.

Richtlinien

Maßnahmen

7. Maßnahmen umsetzen

Jetzt geht es in die Praxis:

  • Technische Maßnahmen (z. B. MFA, Netzsegmentierung)
  • Organisatorische Maßnahmen (z. B. Vier-Augen-Prinzip)
  • Schulungen & Sensibilisierung der Mitarbeitenden

Menschen sind hier genauso wichtig wie Technik.

Maßnahmen

Überwachung

8. Überwachung & Messung

Prüfen, ob das ISMS funktioniert:

  • Regelmäßige Reviews
  • Kennzahlen (KPIs)
  • Log- und Ereignisauswertungen

Überwachung

Audits

9. Interne Audits durchführen

Unabhängige interne Prüfung:

  • Wo gibt es Verbesserungspotenzial?
  • Werden Vorgaben eingehalten?
  • Sind Prozesse wirksam?

Audits

Review

10. Management-Review

Die Leitung bewertet regelmäßig:

  • Zielerreichung
  • Ergebnisse der Audits
  • Sicherheitsvorfälle

→ Entscheidungen zur Weiterentwicklung des ISMS

Review

KVP

11. Kontinuierliche Verbesserung

Ein ISMS lebt vom PDCA-Zyklus (Plan-Do-Check-Act).

  • Anpassung an neue Risiken
  • Technologische & organisatorische Änderungen
  • Lessons Learned aus Vorfällen

KVP