ISO 27001: Aber sicher!

Führend hierbei ist der Standard ISO 27001. Er ist in zwei Bereiche gegliedert: die Anforderungen an das eigentliche Managementsystem und einen normativen Anhang mit allgemeinen Sicherheitsmaßnahmen. Die Prozesse des Managementsystems umfassen im Kern folgende Schritte, damit Unternehmen ihre Ziele gesteuert erreichen:

Das Risikomanagement ist dabei sozu­sagen das Schweizer Taschenmesser, weil es Risiken identifiziert, sie nachvollziehbar bewertet und hilft, eine zeitlich wie inhaltlich angemessene Behandlung zu planen. Damit dabei nichts übersehen wird, sind im zweiten Teil der ISO rund 100 sogenannte Referenzmaßnahmen aufgeführt. Diese berücksichtigen unterschiedliche Aspekte der Informationssicherheit. Dazu gehören der Schutz vor Schadsoftware, die Beziehungen zu Dienstleistern oder die Handhabung von Sicherheitsvorfällen. Wie genau Sie diese Anforderungen angemessen umsetzen, müssen Sie unter Berücksichtigung Ihrer eigenen Risiken individuell bestimmen.

Um die Maßnahmen umzusetzen, müssen Sie IT-Prozesse hinterfragen und Vorgaben erstellen beziehungsweise erweitern. ­Werden Defizite gefunden, müssen diese ­lösungsorientiert diskutiert und beseitigt werden. Für Vorgaben liegt sprichwörtlich in der Kürze die Würze. Sie sind verständlich, kompakt und umsetzbar zu gestalten.

Bei der Risikobehandlung sollten Sie das Paretoprinzip vorziehen, wonach 20 Prozent Aufwand reichen, um 80 Prozent des Ergebnisses zu erzielen: Schnelle Erfolge, also Quick-Wins, sind nicht nur wirtschaftlich, sondern wirken auch motivierend. Es wird zudem kaum möglich sein, von Beginn an alle Risiken auf das gewünschte Maß zu reduzieren. Ratsam ist es deshalb, das Sie Ihr Risikomanagement nutzen, um sich Restrisiken bewusst zu machen und – wenn möglich – eine weitere Reduzierung für ­einen realistischen Zeitraum zu planen.
Die knappe Formulierung der verbind­lichen Anforderungen in der ISO 27001 hat zwei Seiten: ­Einerseits ergibt sich daraus ein ­hoher Freiheitsgrad, der es Ihnen erlaubt, die Umsetzung individuell an Ihre Rahmenbedingungen anzupassen. Auf der anderen Seite fällt es ­Firmen mit wenig Erfahrung auf diesem Gebiet schwer abzuschätzen, wann die Umsetzung aus Sicht einer Zertifizierungsstelle ausreicht.

Spätestens hier könnte die Einbindung von externer Beratung hilfreich sein. Dabei ­sollten Sie darauf achten, dass diese konkret auf Ihre Bedürfnisse eingeht und Ihre Belegschaft einbindet. Die Umsetzung innerhalb Ihres Unternehmens ist dann Teamarbeit. Dabei sollten Leitung, IT und die Verantwortlichen für relevante Geschäftsbereiche mitwirken. Ein Informationssicherheitsbeauftragter sollte ernannt werden.

Sind bereits andere Managementsysteme etabliert, zum Beispiel ein Qualitätsmanagement, sollten die Erfahrungen hieraus einfließen. Die Einbindung von Datenschutzbeauftragten kann wertvolle
Synergien zum Datenschutz­management erschließen.

Die Einführung und Zertifizierung eines ISMS stellt für jedes Unternehmen eine Herausforderung dar. Durch die starke Ab­hängigkeit von IT-Prozessen in Verbindung mit bestehenden Bedrohungen sowie der Notwendigkeit, begrenzte Ressourcen ziel­gerichtet einzusetzen, liegt der Nutzen jedoch auf der Hand.

Björn Lemberg, secuvera GmbH, Gäufelden, für Magazin Wirtschaft 3-4.2023