Ist Dein Informationssicherheitsmanagementsystem (ISMS) noch ein Kostenfaktor? Viele Unternehmen kämpfen damit, das ISMS effektiv zu implementieren und zu pflegen – oft aufgrund von Insellösungen, fehlendem Überblick und mangelnder strategischer Entscheidungen.
Doch es gibt einen Weg das ISMS zum Erfolg zu führen! In diesem Video zeigen wir Dir, wie Du Dein ISMS transformieren kannst. Wir beleuchten die entscheidenden Faktoren, die ein ISMS von einem reinen Kostenfaktor in einen wertvollen Erfolgsfaktor für Dein Unternehmen verwandeln.
Erfahre, wie eine strategische Herangehensweise, die Einbindung aller Beteiligten und die intelligente Verknüpfung verschiedener Bereiche Euch zu mehr Transparenz, Effizienz und einer starken Sicherheitskultur verhelfen.
💡Tipp: Klicke nach dem Start des Videos auf das Bücher-Symbol, um zu einzelnen Kapiteln zu springen. Wenn Du lieber ließt, springe über das Inhaltsverzeichnis zu den für Dich interessanten Abschnitten des Transkriptes.
Einleitung
Mit einem lebendigen Informationssicherheitsmanagementsystem vom Kostenfaktor zum Erfolgsfaktor.
Ich möchte drei wesentliche Grundsätze für ein wirkungsvolles und ressourcenschonendes Informationssicherheitsmanagementsystem mit Dir teilen.
Die Herausforderungen eines statischen ISMS
Manchmal denke ich, dass diese drei Grundsätze noch ein Geheimnis sein müssen. In den meisten Unternehmen wird tatsächlich das ISMS noch als Kostenfaktor betrachtet. Aus welchen Gründen das meiner Meinung nach so ist, das möchte ich Dir an ein paar Beispielen zeigen.
Insellösungen und fehlende Vernetzung
Es fängt damit an, dass das ISMS mit Bordmitteln implementiert ist. Word, Excel, irgendein Wiki. Damit schaffst Du Dir Insellösungen.
Die Daten können nicht miteinander ausgetauscht werden. Es ist schwierig, kollaborativ an den Themen zu arbeiten. Die Vernetzung zwischen den Prozessen und den Assets, so wie sie zusammengehören, ist überhaupt nicht darstellbar.
Wenn Du vielleicht mit Marcros gearbeitet hast, um Dein Tool ein bisschen aufzupimpen, ja, dann kann ich Dir fast versprechen, früher oder später funktionieren die nicht mehr. Das sind einfach Erfahrungswerte.
Schwierigkeiten bei Änderungen
Die Bewertung von Anforderungen und Risiken ist eher mühsam in einer großen, ewig breiten Excel-Tabelle beispielsweise. Das ist das, was wir häufig sehen.
Es wird auch sehr schwierig, Änderungen vorzunehmen, wenn Du einmal möglichst alles erfasst hast, hast Du nämlich ein sehr statisches System.
Themen wie Normumstellung machen Dir unglaublich Probleme. Auch die Erweiterung Deines Geltungsbereichs, so wie das vielleicht im Rahmen der NIS-2 auf Dich zukommen kann, ist gar nicht möglich, ohne wieder von Null anzufangen.
Die Folgen: Mangelnde Integration und Ineffizienz
In Konsequenz hast Du automatisch eine mangelhafte technische und organisatorische Integration der Informationssicherheit. Du hast Inkonsistenzen. Beispielsweise sind in den Datenschutzrichtlinien Punkte enthalten, die Du in der Informationssicherheitsrichtlinie ganz anders hast. Und dann ist es natürlich schwierig zu wissen, wonach sollen sich jetzt Mitarbeitende überhaupt richten? Der Überblick fehlt Dir auch einfach, um das vielleicht auch frühzeitig festzustellen.
Die Datenverwaltung, natürlich ineffizient. Denn durch die Insellösungen schaffst Du mehrere Quellen, an denen Du mehrfach dieselben Daten aufzeichnest, zu unterschiedlichen Ständen womöglich noch, so dass auch hier wieder niemand weiss, was ist eigentlich der aktuelle und verbindliche Stand.
Dann fehlt die Skalierbarkeit, wie gerade schon erwähnt. Du kannst Dich überhaupt nicht an neue Anforderungen anpassen. Und die Anforderungen, die von außen kommen, die werden sich ändern, kontinuierlich.
So verwundert es nicht, dass dann die Geschäftsführung in solchen Organisationen das Informationssicherheitsmanagementsystem als Kostenfaktor betrachtet.
Die Lösung: Drei Grundsätze für ein erfolgreiches ISMS
Wie kommst Du jetzt daraus?
1. Eine Zentrale Plattform für Alles
Also, mein erster Grundsatz zum Erfolg ist: schaffe Dir eine zentrale Plattform. Auf dieser zentralen Plattform sollten mehrere Themen vereint sein.
Asset-Register, Netzpläne und Rechtskataster
Das fängt an mit dem Asset-Register. Du brauchst die Übersicht über Deine Prozesse, Informationen und IT-Komponenten.
Damit Du den Informationsfluss nachvollziehen kannst, solltest Du auch vereinfachte Netzpläne auf dieser Plattform vorhalten.
Und um den Überblick über die regulatorischen und vielleicht auch vertraglichen Anforderungen nicht zu verlieren, hilft Dir das Rechtskataster, das eben auch unbedingt auf dieser zentralen Plattform angelegt sein sollte.
Risikomanagement und Maßnahmenmanagement im Fokus
Das Herzstück eines jeden Informationssicherheitsmanagementsystems ist das Risikomanagement. Daher darf das auf gar keinen Fall fehlen und gehört mit auf diese Plattform.
Damit Du die Risiken, nachdem Du sie priorisiert hast, auch entsprechend mit den geeigneten Maßnahmen reduzieren kannst, und auch da im Blick hast, dass die Maßnahmen, die Du dann delegiert hast, auch zeitnah, so wie du’s geplant hast, umgesetzt werden, brauchst Du unbedingt auch das Maßnahmenmanagement auf der Plattform.
Vorfall- und Business Continuity Management integrieren
Und sollte dann trotz aller präventiven Maßnahmen, die Du schon umgesetzt hast, dann doch Dich ein Vorfall ereilen, dann ist es ganz wichtig, dass Du hier über die Plattform eben auch die Beteiligten kontaktieren kannst, Ad-hoc-Maßnahmen einleiten kannst, und im Nachgang diesen Vorfall auch tiefergehend analysieren kannst. Denn das ist ganz wichtig, um herauszufinden:
- Wo hatten wir da eigentlich noch eine Schwachstelle?
- Was hatten wir im Vorfeld übersehen?
- Und was sollten wir tun, um eben in Zukunft so eine oder ähnliche Situation zu vermeiden?
Dabei unterstützt sich das Vorfallmanagement. Deswegen gehört es auch unbedingt mit auf die Plattform.
Szenarien: Notfälle, Krisen und Datenschutz
Nehme mal an, es tritt dann ja schon fast der Worst Case ein. Aus diesem Vorfall wird ein Notfall und vielleicht dann sogar die Krise. Dann muss das BCM eben auch auf der Plattform sein, damit Du von dort aus genau weißt, wen musst Du jetzt in so einem Notfall oder gar Krisenfall informieren. Was ist zu tun und eben da auch entsprechend delegieren und koordinieren kannst und die Beteiligten informierst. Deswegen gehört auch hier das Business Continuity Management auch auf diese Plattform.
Und dann kann es natürlich sein, dass in diesem imaginären Vorfall, den wir uns gerade vorstellen, dass dort auch personenbezogene Daten beteiligt waren. Und das bedeutet automatisch auch der Datenschutz ist in so einem Fall mit an Bord und der sollte halt grundsätzlich mit an Bord sein, heißt eben hier auf dieser zentralen Plattform. Das Thema ist halt auch eng verbunden mit der Informationssicherheit, auch wenn beide Themen aus verschiedenen Blickwinkeln auf ähnliche Dinge schauen.
Dokumentenmanagement: Ein wichtiger Bestandteil
Und zu guter Letzt darf auch das Dokumentenmanagement nicht fehlen, denn Du hast einige Richtlinien, die Du verwalten musst, aktualisieren musst, hast aber auch viele andere Dokumente, die beispielsweise im Rahmen des Audits bereitgestellt werden müssen. Daher gehört es auch zwingend mit auf die Plattform.
Die Vorteile einer Zentralen Plattform
Erst durch die Zusammenführung von diesen verschiedenen Komponenten kann ein ISMS seine volle Kraft entfalten. Es entsteht auf dieser zentralen Plattform eine Single-Source-of-Truth. Sie ermöglicht Dir erst eine konsistente und zuverlässige Entscheidung in den verschiedenen Situationen.
2. Mitarbeiter einbinden für mehr Erfolg
Der zweite wichtige Punkt, der Dein ISMS zum Erfolg bringt, ist das Thema Mitarbeiter einbinden.
Wir verstehen den Informationssicherheitsbeauftragten als Berater und als eine Art zentrale Koordinationsstelle. Und das bedeutet eben nicht, dass Du alle Themen alleine bearbeitest, denn das Wissen über die Informationen und über die Prozesse, das liegt bei den einzelnen verantwortlichen Mitarbeitenden. Und das ist ihre Aufgabe, eben dieses Wissen mit einzubringen, um die Informationssicherheit zu stärken. Und das kannst Du auf einer zentralen Plattform, indem Du eben diese Person zusammenbringst und sie an das Thema heranführst und ihnen erklärst, wo die einzelnen Aufgaben für die jeweiligen Bereiche liegen.
Die Rolle verschiedener Abteilungen
Und da sind einige Bereiche, die eben Berührpunkte mit der Informationssicherheit haben.
Facility Management, Prozessverantwortliche und BCM-Beauftragte
Das fängt beispielsweise an im Facility Management, wo es um die physische Sicherheit geht. Auch die gehört zum Thema Informationssicherheitsmanagement.
Dann hast Du den oder die Prozesseigner, die eben beurteilen können: Welche Informationen werden in dem Prozess verarbeitet? Und welchen Schutzbedarf sollte dieser Prozess haben, was sich daraus ableitet, wie kritisch ist er für das Unternehmen.
Und auch da macht eine enge Zusammenarbeit mit dem BCM Beauftragten Sinn, denn der muss genau dieselben Informationen erheben über kritische Prozesse.
Risikoeigner
Risikoeigner sind eben genauso strategisch wichtig für das ISMS. Die können abschliessend beurteilen, ob eine Gefährdung richtig eingestuft worden ist und wann so ein Risiko akzeptabel ist.
IT-Abteilung
Die IT selbstverständlich nimmt auch einen sehr entscheidenden Anteil an dem Management eines Informationssicherheitsmanagementsystems, denn die meisten Informationen, die sind mittlerweile digitalisiert, sodass sie eben in Zusammenspiel mit IT-Komponenten verarbeitet werden.
Datenschutzbeauftragte
Datenschutzbeauftragte sollte auch mit eingebunden sein, von Anfang an, und gehört eben da auch wie die Themen mit in das Team des Kreises, dessen Wissen zusammenfliessen muss.
Ein lebendiges Nervensystem aufbauen
Mit der Zeit entseht ein lebendiges Nervensystem bei Euch im Unternehmen, das die Gefahren dann auch erkennen kann und darauf flexibel reagiert. Und das erst stärkt Dein Unternehmen für die Zukunft und erlaubt Euch, neue Technologien einzuführen.
3. Synergien nutzen und Risiken reduzieren
Der dritte Grundsatz zum Erfolg, den ich Dir noch mitgeben möchte. Wenn Du die ersten zwei schon beherzigt hast oder beherzigen wirst, dann ist der Dritte schon fast ein Automatismus.
Trotzdem möchte ich’s nochmal betonen. Die Synergien, die da entstehen können auf einer zentralen Plattform, die müssen auch genutzt werden.
Denn die Prozesse sind hier wirklich das zentrale Element. Die spielen im Business Continuity Management, im Informationssicherheitsmanagementsystem und im Datenschutzmanagement jeweils eine zentrale Rolle. Und statt sie dreifach zu pflegen, was der Fall ist, wenn Du alles separat irgendwo abhandelst, kannst Du halt hier wirklich Dir diese dreifache Arbeit sparen.
Synergien zwischen ISMS und DSMS
Und neben den Prozessen gibt es noch mehr überschneidende Themen. Zwischen dem Informationssicherheitsmanagement und dem Datenschutzmanagement hast Du die Informationen. Im Datenschutz sind es die Personenbezogenen, während sie im Informationssicherheitsmanagement einfach jede Information mit reinspielt.
Synergien zwischen DSMS und BCM
Zwischen dem Datenschutzmanagement und dem Business Continuity Management wiederum sind es die Prozessbeschreibungen. Da bringt jeder Bereich noch mal seine spezielle Sicht mit. Du hast aber im Kern einfach eine Prozessbeschreibung, die dann eben nochmal nach den individuellen Anforderungen aus den jeweiligen Bereichen erweitert werden kann.
Synergien zwischen BCM und ISMS
Und zwischen dem BCM und dem Informationssicherheitsmanagement sind das verbindende Element die Notfallpläne. Im Business Continuity Management definierst Du, wie viele Personen Du brauchst in einem Notfall oder in einer Krise, welche IT-Komponenten, welche Räumlichkeiten oder sonstige Infrastruktur notwendig ist, um den Notbetrieb erst einmal herzustellen.
Im Informationssicherheitsmanagement dagegen interessiert Dich, ob diese Notfallpläne geübt worden sind, und zwar regelmässig, damit einfach sichergestellt ist, dass sie auch funktionieren im Falle eines Notfalls.
Reduzierte Haftungsrisiken als Vorteil für die Geschäftsführung
Durch die Vereinigung dieser Managementsysteme entsteht erst ein ganzheitliches Risikomanagement für die Prozess- und IT-Landschaft in Deiner Organisation.
Das interessiert nicht zuletzt auch die Geschäftsführung, denn erst durch diesen ganzheitlichen Blick sind auch die Haftungsrisiken der Geschäftsführung deutlich reduziert und vor allem auch im Blick und unter Kontrolle.
Die Ergebnisse: Mehr Transparenz und Effizienz
So, was wird sich verändern, wenn Du wirklich diese drei Grundsätze beherzigst, also über dem hinaus verändern, was ich Dir schon gerade gesagt habe:
- Es entsteht eine integrierte Lösung.
- Eure Audits, sofern Du zertifiziert bist, die werden entspannt. Entspannt, einfach aus dem Grund: Du sammelst nicht mehr hektisch in den letzten zwei Wochen vor dem Audit alle Informationen zusammen und füllst Lücken, die in den letzten 12 Monaten halt, ja, zwischen den Audits, vielleicht auch entstanden sind.
- Deine Geschäftsführung ist automatisch viel zufriedener, weil wir jetzt nicht mehr von einem Kostenfaktor sprechen.
- Und Du hast vor allem, da wird sich auch die IT drüber freuen, deutlich mehr Transparenz. Ihr wisst, welche Komponenten für welche Prozesse gebraucht werden, wie die Komponenten zusammenhängen, was beispielsweise alles auf einem Server läuft oder in einem Serverraum oder an einem bestimmten Standort. Ihr bekommt einfach mehr Transparenz da rein.
- Und natürlich entfällt die Doppelt- bis Dreifacharbeit ganz klar.
- Eure Datenbasis, vor allem die, wird belastbar. Ihr könnt wirklich fundierte Entscheidungen treffen und auch argumentieren, auch Entscheidungen vielleicht für notwendige Investitionen, die ihr jetzt viel besser argumentieren könnt mit dieser Datenbasis.
- Und zu guter Letzt entwickelt sich wirklich eine Sicherheitskultur, mit der Ihr in der Zukunft einfach sicher aufgestellt seid und auch auf den technologischen Wandel entsprechend reagieren könnt.
Praxisbeispiel
Wenn Du vielleicht denkst, das ist jetzt alles Theorie und Du sehen möchtest, wie das in der Praxis aussieht, dann empfehle ich Dir das Praxisbeispiel.
Ein Interview mit einem Kunden von uns, der eben genau in der Situation war, der diese Herausforderungen, die wir am Anfang gesehen haben, die eben auch dazu führen, dass das ISMS mehr ein Kostenfaktor ist, meistern musste. Er hat es geschafft, eben von seinen statischen Lösungen zu einem integrierten System zu kommen, was genau eben auch diese Vorteile, die wir jetzt hier gerade besprochen haben, mit sich bringt.
Diese Grundsätze sind ein Auszug aus einem Vortrag, den wir beim IT-Kongress in Neu-Ulm gehalten haben.
Liane Hampe
Leitende Softwareentwicklerin
Liane tüftelt für ihr Leben gern an Lösungen, die gut durchdacht sind. Vor einigen Jahren noch hat sie in der Mathematik geforscht. Mittlerweile ist sie leidenschaftiche Softwareentwicklerin. Ihre Lösungen unterstützen das Informationssicherheitsmanagement in kleinen, mittleren und großen Organisationen verschiedenster Branchen.
