Kundenerfahrungen im Fokus: Wie aus einem statischen ISMS eine integrierte Lösung wurde

In diesem Gespräch berichtet Johannes, stellvertretender Informationssicherheitsbeauftragter der Albwerk GmbH & Co. KG von der Transformation ihres Informationssicherheits-Managementsystems (ISMS). Sein Erfahrungsbericht schildert den Weg von einem statischen, schwerfälligen System bis zur Integration einer flexiblen, skalierbaren Lösung.

Johannes gibt Einblicke in typische Hürden wie aufwendige Auditvorbereitungen, Normumstellungen und mangelnde Kollaboration sowie in die Entlastung durch eine moderne Softwarelösung. Erfahre, wie neue Fachbereiche eingebunden wurden, die Umstellung in der Praxis funktionierte und welche positive Veränderung das ISMS im Unternehmen bewirkte.

Es erwartet Dich ein authentischer Erfahrungsbericht zur Transformation und den Erfolgen im Informationssicherheitsmanagement.

💡Tipp: Klicke nach dem Start des Videos auf das Bücher-Symbol, um zu einzelnen Kapiteln zu springen. Wenn Du lieber ließt, springe über das Inhaltsverzeichnis zu den für Dich interessanten Abschnitten des Transkriptes.

Einleitung

Liane

Ich spreche mit Johannes, dem stellvertretenden ISB bei Albwerk über die Transformation ihres Informationssicherheitsmanagementsystems vom statischen schwerfälligen System hin zu einer integrierten skalierbaren Lösung.

Johannes teilt dabei offen, welche Herausforderungen sie meistern mussten, von aufwendigen Auditvorbereitungen über Normumstellungen bis hin zur Einbindung eines weiteren Geltungsbereichs. Er berichtet außerdem, welche Entlastung unsere ISMS-Software in diesen Prozess gebracht hat.

Es erwartet dich ein authentischer Bericht über die Hürden und Erfolge auf dem Weg zu einem lebendigen Informationssicherheitsmanagement.

Begrüßung und Vorstellung

Liane

Ja. Hallo, Johannes.

Johannes

Hallo, Liane.

Liane

Herzlich willkommen heute hier in dieser Runde. Wir haben uns vorgenommen, heute über ein ganz spannendes und wichtiges Thema zu sprechen: Herausforderung im Informationssicherheitsmanagement.

Du hast einige Erfahrungen gemacht in den letzten Jahren bei den Albwerken und vielleicht möchtest du dich einmal kurz vorstellen, bevor wir tiefer einsteigen.

Johannes

Ja, mein Name ist Johannes Peters. Ich bin stellvertretender Informationssicherheitsbeauftragter von der Albwerk GmbH und Co. KG und von der Stauferwerk GmbH und Co. KG in Geislingen an der Steige.

Und wir haben uns seit 2017 schon mit dem Thema Informationssicherheitsmanagement beschäftigen müssen und haben das über die Zeit immer weiter vertieft. Ich habe das bei uns im Unternehmen nicht angefangen. Das war, wie gesagt, schon da und wir haben das dann weiter ausbauen wollen.

Ausgangslage

Albwerk als Kritische Infrastruktur

Liane

Und ein Informationssicherheitsmanagementsystem, was ist das genau und warum braucht das Albwerk das?

Johannes

Es gibt gesetzliche Grundlagen aus dem Energiewirtschaftsgesetz, die die kritischen Betreiber und das sind wir als Netzbetreiber, das sind aber auch beispielsweise Krankenhäuser, das sind auch Wasserversorger, können aber auch IT Unternehmen sein, die davon betroffen sind, dass sie entsprechend kritisch sind und ihre Risiken in gewisser Weise managen müssen.

Und da geht es natürlich auch darum, sich auf die mal gegen entsprechende Angriffe, Cybersicherheitsangriffe oder auch Angriffe aus den eigenen Reihen zu verteidigen, um zu gucken, was können wir machen, damit wir unsere Risiken entsprechend im Unternehmen minimieren können?

Aufbau des Informationssicherheitsmanagementsystems

Liane

Okay. Und wie kann ich mir jetzt so ein System vorstellen? Was ist da das Grundprinzip, nach dem man da arbeitet? Wie baut man das auf?

Johannes

Wir haben verschiedene Ziele, wie wir die Sicherheit unserer Assets entsprechend gewährleisten können. Und da geht es natürlich nicht nur darum, jetzt eigentlich nur das Asset zu schützen, um des Schützens willen, sondern es geht natürlich darum, dass wir die entsprechenden Daten, die da an der Stelle erzeugt werden, bestmöglich schützen, damit sie nicht abfließen, damit wir keine Datenschutzfälle bei uns im Hause bekommen, damit wir keine Verschlüsselung vielleicht erleben, wie das auch schon vorgekommen ist, damit wir unseren Kunden natürlich eine Versorgungssicherheit bieten.

Als Netzbetreiber wollen wir natürlich, dass die Leute auch Strom haben. Das ist, glaube ich, eine Gemeinsamkeit von allen kritischen Dienstleistungen, dass wir natürlich wollen, dass unsere Endverbraucher entsprechend versorgt sind, gut versorgt sind.

Herausforderung

Übernahme eines bestehenden ISMS

Liane

OK. Und wir wollen uns heute auf die Herausforderungen konzentrieren. Das ist ja schon ein komplexer Prozess, der da etabliert werden muss.

Als du angefangen hast bei Albwerk vor einigen Jahren, hast du das ISMS, was es da gab, übernommen zusammen mit dem Team.

Kannst du da vielleicht nochmal schildern, was hast du vorgefunden? Wie habt ihr das zu dem Zeitpunkt gemacht und was waren die größten Herausforderungen in dieser Situation, in die du da reingekommen warst?

Johannes

Ja, mein Kollege Ralf Werner hatte schon das ISMS übernommen von unserem Chef. Der ist Bereichsleiter Personaladministration und auch entsprechend IT Leiter gewesen. Und der wollte dieses Thema gerne abgeben, weil er sich auf andere Bereiche konzentriert hat. Und dann ist das in unseren Bereich gekommen.

Wir machen hauptsächlich Digitalisierung, Projekt und Prozessmanagement. Und Prozess passt ja schon ganz gut. Das hatten wir eben schon gehört im Informationssicherheitsbereich. Weil ich eben die Prozesse aufnehmen muss und gucken möchte, dass innerhalb dieser Prozesse eine gewisse Sicherheit für die Daten, die dort verarbeitet werden, vorhanden ist.

Statischer Aufbau aus Bordmitteln

Und ja, was habe ich vorgefunden? Wir hatten ein Confluence-System und verschiedene Excel-Tabellen, die wir mal von Beratern bekommen haben, die wir auf uns angepasst, die wir bearbeitet haben. Und damit hatten wir zu dem Zeitpunkt gearbeitet.

Vor den Audits war es immer recht aufwendig, dann durch alle Dokumente einmal durchzuschauen, zu gucken, ob vielleicht noch irgendwie was fehlt, ob das übereinstimmt. Maßnahmen Dokumentation haben wir immer in den Protokollen gemacht. Das hat alles relativ lange gedauert. Das war eine ziemlich statische Geschichte.

Vor den Audits war es immer recht aufwendig, dann durch alle Dokumente einmal durchzuschauen, zu gucken, ob vielleicht noch irgendwie was fehlt, ob das übereinstimmt. […] Das hat alles relativ lange gedauert.

Fehlende Kollaboration

Und Kollaboration zwischeneinander, also, dass irgendwer Informationen von sich aus irgendwo reingegeben hat, gab es jetzt in dem Zuge auch nicht. Wir hatten mal versucht, über Teams, Microsoft-Teams, ein Team zu etablieren, wo wir dann gesagt haben, da könnte man mal die Informationen sammeln, aber auch nicht so wirklich gut funktioniert.

Mühsame Auditvorbereitung und Abweichungen

Also so diese ganze proaktive Schiene, die hat da eigentlich noch gefehlt. Das war alles so, dass man zum Audit was vorbereiten konnte. Man hatte dann entsprechende Dokumente, hat die Dokumentation dem Auditor zur Verfügung gestellt, hat sich da durchgelesen, hat geguckt, ob alles vollständig ist und hat dann seinen Bericht geschrieben, hat irgendwie funktioniert, aber wir hatten so das Gefühl, dass es geht noch mehr und haben auch anhand der Abweichungen gemerkt, dass wir irgendwie gar nicht mehr so richtig hinterherkommen.

Liane

Wie kann ich mir so eine Abweichung vorstellen? Also vielleicht einfach mal das Thema Audit auch aufgegriffen. Wie geht das vonstatten? Und was verursacht da vielleicht auch den Stress, den man durchaus haben kann? Wenn man, fühlt sich das wie eine Prüfung an, oder wie läuft das ab?

Johannes

Also, wir haben zwei Arten von Audits. Wir haben erstmal das interne Audit. Da kommt jemand, der uns noch sehr wohlgesonnen ist ins Haus und der guckt sich einfach mal an, wie wir das Ganze machen.

Der interne Auditor, den haben wir immer so ein bisschen darauf getrimmt, dass er in die Tiefe prüft, dass er sich Sachen genauer anguckt. Und dabei fallen dann immer schon wieder Sachen auf, die wir beheben können, bis wir quasi das richtige externe Audit haben. Weil der externe Auditor, das ist der, der mit der Zertifizierungsstelle im Hintergrund uns auch das Zertifikat erteilt für die Informationssicherheit, und der prüft natürlich mit einer externen Brille, das Ganze.

Und da sollten also die wesentlichen Schnitzer raus sein und es sollte auch entsprechend nachweisbar sein, dass wir ein lebendiges Informationssicherheitsmanagementsystem bei uns im Haus haben. Und das fühlt sich nicht wirklich an wie eine Prüfung, sondern das ist eher so ein bisschen, ja, wie soll ich das sagen: Man bringt halt mit, was man gemacht hat und dann hofft man, dass nicht so viele Abweichungen dabei am Ende rauskommen.

Normumstellung

Liane

OK. Und woran habt ihr dann gemerkt, dass ihr was ändern müsst? Weil wir, wir sind ja bei dem Thema Herausforderungen und wie kann man sie meistern? Wie habt ihr sie gemeistert? Was war so der einschneidende Punkt, an dem ihr festgestellt habt: Wir können das nicht so weitermachen, wie es gerade aufgebaut ist.

Johannes

Ja, das muss eigentlich so etwa der Punkt gewesen sein, wo wir die Normumstellung machen mußten. Von der ISO 27001:2017 auf die ISO 27001:2022.

Liane

Was heißt jetzt Normumstellung? Was bedeutet das? Was fallen da für Aufgaben an?

Johannes

Da sind neue Normenpunkte hinzugekommen und alte Normenpunkte weggefallen oder wurden geändert. Einfach teilweise nur von den Überschriften, aber manchmal auch einfach von den Inhalten.

Wir haben komplett einfach das gesamte Informationssicherheitsmanagement umkrempeln müssen.

Es sind vor allen Dingen neue Inhalte dazu gekommen. Und das bedeutet, man muss wieder seine gesamten Anforderungen durchprüfen, muss eine Mapping-Tabelle pflegen, muss eine kurze GAP-Analyse machen.

GAP-Analyse bedeutet, dass wir rausfinden mussten für uns, wo haben wir noch quasi weiße Punkte, wo wir die neue Norm noch nicht erfüllen oder wo die alte Norm was vorgesehen hatte, was jetzt in der neuen Norm anders war oder noch nicht in dieser Form vorhanden war.

Liane

Also krempelt man irgendwie alles von rechts auf links und von links nach rechts?

Johannes

So muss man sich das vorstellen. Wir haben komplett einfach das gesamte Informationssicherheitsmanagement umkrempeln müssen.

Wir hatten auch eigentlich mal vor, unsere gesamte Dokumentation neu aufzubauen. Also hätten wir eigentlich von Null anfangen müssen.

Und da haben wir gemerkt, ja, das ist einfach sehr, sehr viel Arbeit, was da vor uns liegt und wir kriegen das so, wie wir das eigentlich machen müssten, gar nicht wirklich hin.

Fehlende Themen innerhalb des ISMS

Liane

Also kam jetzt der Druck dann mehr von aussen? Hat man euch direkt gesagt, ans Herz gelegt: Schaut doch mal, ob ihr euch nicht von euerm bisherigen Konstrukt trennt? Oder habt ihr selber gesag: Nee, ich glaube, wir müssen uns anders aufstellen.

Johannes

Das ist so ein bißchen beiderseitiges Spiel gewesen. Einerseits haben wir gemerkt im Audit, dass da immer mehr Fragen kamen, beispielsweise zum Lieferantenmanagement.

Und da haben wir gemerkt, wir haben zwar irgendwie eine Excel-Tabelle, da sind Lieferanten drin, die sind auch irgendwie bewertet, aber es war schwer zugänglich. Also man konnte zwar in Teams gemeinsam an der Excel-Tabelle arbeiten, aber es hat irgendwie trotzdem nicht wirklich gut funktioniert.

[…], wir haben zwar irgendwie eine Excel-Tabelle, da sind Lieferanten drin, die sind auch irgendwie bewertet, aber es war schwer zugänglich.

Und wir hatten auch gar keinen Blick darauf, wie jetzt die Lieferanten und die Assets beispielsweise zusammenhängen.

Wir hatten auch manche Regelungen noch nicht so wirklich drin in unserem System und das war einfach da an der Stelle eine grosse Herausforderung, wo wir dann gesagt haben, irgendwie müssen wir da intern was anderes machen.

Aber der Auditor hat uns natürlich auch darauf gestoßen, hat auch gesagt, nähere Zusammenarbeit, beispielsweise mit dem Datenschutzkoordinator oder mit dem Datenschutzbeauftragten wäre mal wünschenswert.

Und so haben wir immer weiter festgestellt, dass wir einfach da Themen im Unternehmen haben, die wir mit den Bordmitteln, nenne ich es mal, gar nicht mehr bewältigen konnten.

Lösung

Ganzheitliches System mit xmera Omnia

Liane

OK. Und dann habt ihr euch auf die Suche begeben. Habt überlegt, was kann man machen? Wie können wir uns jetzt von Excel trennen? Was gibt’s alternativ als Lösungen?

Seid irgendwann bei uns gelandet? Das weiss ich ja. Das ist ja klar. Sonst würden wir hier nicht sitzen.

Warum habt ihr euch für die Lösung xmera Omnia, die jetzt von uns kommt, warum habt ihr euch dafür entschieden? Was war da ausschlaggebend? Mit welchen Kriterien seid ihr rangegangen?

Ihr habt ja schon einige Zeit oder Jahre, glaube ich schon, Erfahrung sammeln können, mit dem, was ihr hattet. Und ich denke, das ist eine gute Basis, um dann sagen zu können. Das hat nicht gut funktioniert. Wir wollen genau, dass jetzt in Punkt 1, 2, 3 es besser laufen muss. Wie seid ihr da rangegangen?

Johannes

Ja, wir haben das vor allen Dingen ja festgestellt, wenn wir uns vorher mal irgendwie damit beschäftigt haben, dass man ja eine Lösung einführen könnte, dann waren das immer Lösungen, wo wir gesagt haben, entweder ist es viel zu teuer oder wir haben festgestellt, dass das sehr viel Klickarbeit irgendwie ist.

Also, wir haben Risikomanagement Lösungen angesehen. Da musste man einfach ganz viel klicken, um irgendwie alle Risiken zu bewerten. Da haben wir gesagt, also so eine 2. statische Lösung nach der ersten, damit können wir eigentlich nicht viel anfangen.

Dann haben wir uns xmera angeschaut. Ich kannte aus meiner vorherigen Tätigkeit die CISIS 12. Das ist eine Informationssicherheitsplattform eigentlich für so kleinere Unternehmen. Einfach ein anderes Rahmenwerk als jetzt die ISO 27001. Und dadurch war ich auf xmera gekommen.

Liane

Ja, das unterstützen wir nämlich auch.

Johannes

Einfach das gefunden und habe dann mal einen Termin vereinbart. Dann haben wir uns miteinander unterhalten. Haben erst gesagt: Ja gut, wir wollen von unserer Confluence-Lösung weg.

Wir brauchen eigentlich ein neues Wiki. Das haben wir gefunden. Und dann haben wir festgestellt. Okay, das Tool kann doch noch viel mehr als nur das. Und da haben wir das Aufgabenmanagement gesehen, da haben wir das Asset Management gesehen, das Risikomanagement.

Und dann haben wir festgestellt. Okay, das Tool kann doch noch viel mehr als nur das. Und da haben wir das Aufgabenmanagement gesehen, da haben wir das Asset Management gesehen, das Risikomanagement.

Und so sind wir, glaube ich, gemeinsam auch in xmera, in diese Lösung, reingewachsen und standen davor, dass wir das Stauferwerk zusätzlich zertifizieren müssen. Also, das hatte ich schon mal ein bisschen erwähnt. Aber das war da noch gar nicht so ganz klar, dass wir das zertifizieren würden und konnten das dann auch mit xmera ja sehr gut machen, weil das Stauferwerk sehr viel Dienstleistersteuerung betreibt. Das ist eine betriebsgeführte Netzgesellschaft. Das heißt, das Albwerk hat die Netzleitstelle und das Stauferwerk hat das Netz in dem Fall und als Netzbetreiber.

Implementierungsworkshop zur Unterstützung der Migration

Liane

Ja, genau. Also, wir haben den Workshop zusammen gemacht, um euch in die Software einzuführen und auch eure bestehenden Informationen zu integrieren.

Es muss ja nicht komplett neu erfunden werden. Wichtig ist ja, wenn man schon ISMS hat, dass man natürlich alles wiederverwertet, was schon da ist.

Und während dieser Implementierungsphase habt ihr ja parallel dazu auch noch, ja, andere Aufgaben gehabt. ISMS heißt ja nicht nur eine Software zu befüllen.

Hat sich da auch was noch für euch verändert? Gab es da noch Dinge, die ihr dann gleich mit in Angriff genommen habt? Nach so einem, ja, sagen wir mal, wie ein kleiner Neustart vielleicht auch?

Johannes

Ja, die Migrationsphase war schon ja, verhältnismässig aufwendig. Es hat ein bisschen Zeit gebraucht, um erst mal neu reinzukommen. Wir haben mit einem Kollegen gesprochen, der sich auch mit xmera auskennt. Der hat gesagt, die Lernkurve am Anfang war jetzt nicht ganz niedrig.

Aber wir haben uns da recht schnell reingefuchst. Und es gab auch sehr viele Templates. Also, ihr habt ja Templates bereitgestellt. Und die hatten wir auch gleich mitgekauft und haben gesagt okay, wir wollen das so. Und da konnten wir immer wieder Sachen kopieren.

Also, wir mussten nicht bei jedem Thema von Null anfangen, sondern wir haben uns einfach zusammengesetzt in den Workshops oder wir haben in der Dokumentation bestimmte Sachen angepasst, wo wir dann gesagt haben, das brauchen wir noch.

Also, wir mussten nicht bei jedem Thema von Null anfangen, sondern wir haben uns einfach zusammengesetzt in den Workshops oder wir haben in der Dokumentation bestimmte Sachen angepasst, wo wir dann gesagt haben, das brauchen wir noch. Und dann kam das auch ganz schnell. Und dann konnten wir das schon nutzen. Also, ja, der Anfang war nicht ganz einfach. Man musste sich erstmal dran gewöhnen an die neue Struktur.

Einfache Integration eines weiteren Scopes

Aber ihr habt uns da immer sehr gut unterstützt. Und wir sind da auch gemeinsam auf ein Level gekommen, wo wir recht schnell dann das Stauverwerk onboarden konnten. Ich glaube, da hat man es am besten gemerkt und waren da sehr schnell zertifizierungsfähig. Halt mit einem zweiten Unternehmen auch einfach.

Ergebnisse

Einfache Einbindung von Fachbereichen zur Unterstützung

Liane

Ja, okay. Und Wenn du das jetzt mal vergleichst. Wir haben ja schon über die Audits gesprochen. Du hast schon gesagt, ihr hattet das interne Audit, dann Externes. Gefühlt ist man, glaube ich irgendwie immer im Audit. Das ist ja doch schon gut getaktet.

Johannes

Das trifft bei uns wirklich zu, weil wir die Audits aktuell gegengleich haben. Das heißt, wir haben im Frühjahr Audit und wir haben im Herbst Audit. Und wenn wir jetzt dann bedenken, dass das immer interne und externe Audittage sind, plus dann noch Audit Tage für die Normumstellung. Also wir hatten jetzt Normumstellung. Da hatten wir dann zusätzliche Audittage, wo das Ganze noch überwacht wurde. Das ist schon sehr viel Aufwand. Also, man sitzt sehr viel Zeit im Audit und muss das Ganze natürlich auch vorbereiten.

Und die haben wir dann in xmera alle ongeboardet und zusammengebracht. Und wir können jetzt die Aufgaben, die sie zugespielt kriegen, auch eigenständig bearbeiten. Das ist natürlich sehr gut.

Das heisst, wir hatten sowieso so ein bisschen die Notwendigkeit, dass wir in dieses laufende ISMS reinkommen mussten und brauchten eben auch einfach Unterstützung aus den Fachbereichen, aus der IT, aus dem Netzbereich, aber auch aus dem personal- und aus dem materialwirtschaftlichen Bereich, die einfach alle daran mitarbeiten müssen, dass das ISMS bei uns im Haus gut funktioniert.

Und die haben wir dann in xmera alle ongeboardet und zusammengebracht. Und wir können jetzt die Aufgaben, die sie zugespielt kriegen, auch eigenständig bearbeiten. Das ist natürlich sehr gut.

Liane

Das heißt, ihr konntet jetzt Mitarbeiter einbinden, die vorher nicht so eng mit euch zusammenarbeiten konnten?

Johannes

Genau.

Entspannte Bearbeitung der Informationssicherheitsthemen

Liane

Und lässt sich das so ein bisschen quantifizieren, dass man da so eine Vorstellung hat, wie viel Prozent des Arbeitsaufwandes, den ihr vielleicht vorher hattet, um in diesen ständig Audit Vorbereitungen, in diesem Fluss, überhaupt reinzukommen.

Und jetzt, wo ihr wesentlich mehr Personen im Vorfeld schon mit einbinden könnt, mehr in dieser Kontinuitätsschleife vielleicht auch drin seid, lässt sich das irgendwie messen oder quantifizieren, was euch dieser Umstieg gebracht hat?

Johannes

Wir haben jetzt ein bisschen das Thema, dass dadurch, dass wir natürlich ein System haben, wir uns intensiver vielleicht mit dem Informationssicherheitsmanagement auseinandersetzen.

Aber trotzdem, also, wir sind zwei halbe Stellen, eigentlich. Also, mein Kollege hat eine halbe Stelle für Informationssicherheit. Und ich habe eine halbe Stelle für Informationssicherheit. Wir betreuen damit zwei Unternehmen vollumfänglich. Und man muss das dann ja nochmal quasi teilen. Also da haben wir eigentlich 0,25 pro Unternehmen und Person Stellen. Also das ist schon sehr, sehr wenig.

Also da haben wir eigentlich 0,25 pro Unternehmen und Person Stellen. Also das ist schon sehr, sehr wenig. Andere Unternehmen haben da ja einen ganzen ISB oder vielleicht sogar mehrere ISBs.

Andere Unternehmen haben da ja einen ganzen ISB oder vielleicht sogar mehrere ISBs. Das darf man nicht außer Acht lassen. Und wir haben im Jahr etwa einen Aufwand von 52 Tagen, wo wir insgesamt, also wir zwei, uns mit dem Kernteam und mit den Audits mit ISMS beschäftigen. Von unseren etwa 200 Tagen, die wir so anwesend sind, 222 werden es etwa sein. Und vorher ist das natürlich jetzt nicht unbedingt weniger gewesen, weil wir das konzentrierter hatten. Aber es war deutlich stressreicher.

Also, wenn wir jetzt einfach unsere Sitzung vorbereiten, dann haben wir monatliche Kernteamsitzungen. Wir setzen uns intern, um irgendwelche Themen zu überarbeiten, in der Dokumentenrevision zusammen.

Das können wir deutlich besser und schneller machen und haben dann da eher einzelne Termine, wo wir mal eine Stunde brauchen, als dass wir uns vom Audit wochenlang einschliessen, um die Dokumentation zu.

Kontinuierliche Aktualisierung der Datenbasis

Liane

Okay, einfach weil ihr wirklich in diese kontinuierliche nicht nur Verbesserung, sondern auch kontinuierlich an den Daten arbeitet, an der Dokumentation arbeitet und dann mehr im Fluss einfach seid?

Johannes

Genau. Also jetzt können einfach alle im Unternehmen in einem gewissen Regelzyklus daran arbeiten, während wir vorher ja auch oft auf uns alleine gestellt waren.

Und dann ging es darum. Oh, wir müssen jetzt mal das Thema klären. Wir müssen das mal nachfragen. Dann hat man ewig lang den Kollegen nicht bekommen. Dann hat man es wieder vergessen.

Also jetzt können einfach alle im Unternehmen in einem gewissen Regelzyklus daran arbeiten, während wir vorher ja auch oft auf uns alleine gestellt waren.

Und jetzt können wir dem eine Aufgabe schicken. Und dann können wir im Kernteam nochmal daran erinnern, dass er die auch bearbeiten muss. Und manchmal mit den Kollegen ist das ein bisschen aufwendiger.

Da sagen wir dann im Kernteam: Guck mal, hier ist deine Aufgabe. Die ist schon überfällig. Wolltest du da nicht mal was reinschreiben? Ja, ich sag’s euch gewinnt, dann schreiben wir es kurz rein. Das haben wir natürlich auch hin und wieder mal. Ich glaube, das ist ganz menschlich und normal.

Aber es ist dann immer gleich dokumentiert. Das heisst, wir können das nachhalten. Und der Kollege hat auch die Möglichkeit, selber was reinzuschreiben.

Höhere Sensibilität der Mitarbeitenden

Liane

Würdest du sagen, dass sich auch die Wahrnehmung in dem ISMS-Team oder vielleicht auch im Unternehmen verändert hat, dadurch, dass die Mitarbeitenden stärker integriert sind. Ist da jetzt eine andere Sensibilität da für das Thema?

Johannes

Das würde ich auf jeden Fall sagen. Also erstmal beim Kernteam. Natürlich ist eine andere Sensibilität da, aber auch in den umliegenden Bereichen, also alle, die mit Informationssicherheit irgendwo Berührungspunkte haben. Die werden von uns dann auch eingebunden.

Einbindung wichtiger Wissensträger

Und wir haben auch festgestellt, dass eben Personen, die wir vorher gar nicht wirklich auf dem Schirm hatten, doch ISMS Berührungspunkte haben, die wir jetzt intensiver eingebunden haben.

NIS-2 Anforderungen leichter erfüllen

Und wenn wir an die NIS-2 denken, die da auf uns zukommt, dann haben wir es recht leicht einfach zu sagen: Okay, wir haben jetzt neue Personen. Wir machen ein kurzes Onboarding mit denen, zeigen denen das System. Und dann kriegen die ihren Bereich und ihre Berechtigung, mit denen sie dann bestimmte Dinge da pflegen können, können den auch E-Mails zukommen lassen, wo die dann einfach darauf antworten können. Und dann ist das auch bei uns im System zu sehen.

Also, wir haben einen sehr niederschwelligen Einstieg eigentlich, uns zuzuarbeiten im ISMS. Das gab es vorher so nicht.

Liane

Okay. Kannst du vielleicht noch mal ein Beispiel machen? Du sagst Personen, die ihr vorher nicht mit einbezogen habt, die können jetzt teilnehmen. Was sind da so wichtige Position im Unternehmen, wichtiges Wissen, was mit eingebunden werden sollte. Das denke ich mal, ist ja auch für alle nochmal ein wichtiges Thema, dass man einfach ja, man arbeitet nicht alleine da dran. Es gibt halt viele Berührpunkte.

Johannes

Ich glaube, die wichtigsten zwei, die wir jetzt mit reingenommen haben, ist einmal der Bereich Materialwirtschaft, weil wir festgestellt haben, diese ISMS-kritischen Werte oder Assets zu beschaffen, ist halt ein riesiges Thema.

Und man muss bei der Beschaffung auch darauf achten, dass die Lieferanten schon bestimmte Regeln einhalten. Und das ist nochmal deutlich verschärft worden in der Richtlinie. Und das mussten wir umsetzen. Und da haben wir gesagt, wir setzen uns einfach mal mit unserer Materialwirtschaft zusammen und sagen okay, wie kriegen wir denn diesen Prozess einfach verbessert? Also die Bestellprozess einfach von informationssicherheitsrelevanten Gütern von Software, Hardware, was auch immer, die uns da betreffen.

Und der zweite Bereich, der sehr wichtig geworden ist, ist der Personalbereich. Weil wir da festlegen mussten, wie machen wir eigentlich ein vernünftiges Onboarding vom Personal, dass die gleich eine gewisse Cyber-Awareness mitkriegen? Wie machen wir dann auch ein gutes Offboarding, dass die alle Sachen wieder abgeben, die sie mitgebracht haben, dass die eine Verschwiegenheit dann entsprechend auch unterzeichnen. Wir gucken uns Personen, die wir für unseren ISMS Geltungsbereich einstellen, ganz besonders an. Da wird noch mal eine spezielle Prüfung gemacht.

Ja, und das sind vor allen Dingen die zwei wesentlichen Bereiche. In Zukunft wird das sicherlich so sein, dass wir die IT-Mitarbeiter noch tiefgreifender und stärker einbinden in den ganzen Prozess und dass die auch eine regelmässige Rückmeldung zu bestimmten Themen geben, weil unsere IT ist für den Konzern Managed-Service-Provider und NIS-2 sieht vor, dass die eben auch mehr Kriterien erfüllen, dass die Risikomanagement machen, dass die sich mit dem Thema Meldewesen auch noch mal ein bisschen deutlicher auseinandersetzen mit Notfallplan Business Continuity Management, also dass der Laden läuft und dass man da auch noch mal ganz viel tiefer reingeht, die Büro-IT richtig zu schützen.

Also ich glaube, im Netzbetrieb, da haben wir eine sehr gut geschützte IT. Da sind wir schon langfristig sehr gut aufgestellt. Und wir haben die Büro-IT immer mitgezogen. Das heißt, wenn wir die einen Maßnahmen gemacht haben, dann haben wir die anderen Maßnahmen mitgenommen und haben geguckt, dass wir die Regeln da auch haben. Aber der Bereich ist lange nicht so gut dokumentiert wie jetzt der Netzbereich.

Ausblick

Liane

NIS-2 hast du jetzt schon mehrfach erwähnt. Kannst du da vielleicht nochmal erklären, was das ist und warum das jetzt für euch nochmal einen zusätzlichen Aufwand bedeutet oder zusätzliche Dinge, die ihr mit bearbeiten müsst?

Johannes

Ja. Für die Kritis Betreiber ist es eigentlich gar nicht so ein riesiger Schritt, weil wir vieles in den Geltungsbereich Kritis schon gemacht haben. Das ist bei uns der Netzbetrieb. Aber wir haben bei NIS-2 die Herausforderung, dass wir das größer und gesamtheitlicher denken müssen.

Nist, das ist, heisst Network and Information Security Guideline, richtig. Also es ist einfach eine Richtlinie, dass die Netzwerksicherheit verbessern und verstärken soll, was die Cyber Resilience von Unternehmen verbessern soll, auch von der gesamten Europäischen Union. Da gibt es einfach eine festgelegte Strategie und das BSI ist da sehr, sehr hinterher, uns eben auch zu schulen in dem Thema. Und da kommen sehr viele weitere Einrichtungen mit dazu, die jetzt auch entsprechend Informationssicherheit betreiben müssen, auf einen neuen Stand bringen müssen.

Man denkt ja erstmal so, ja, wir haben ja ein Backup, dass man aber vielleicht nicht nur ein Backup im Haus hat, sondern auch noch ein Backup außerhalb vom Haus hat und dann vielleicht sogar noch ein Backup hat in einer anderen Stadt oder irgendwo extern. Da macht sich vielleicht nicht jeder Gedanken drüber. Und als kritische Infrastruktur sind wir verpflichtet, sowas zu haben. Als kleiner Handwerksbetrieb habe ich das vielleicht nicht, aber die Daten sind genauso wichtig. Das heißt, Informationssicherheit betrifft eigentlich jeden von ganz klein bis ganz gross.

Und das BSI hat jetzt eben geregelt, dass die Unternehmen, die eine wichtige oder besonders wichtige Rolle spielen, eine gewisse Grösse haben, dass die verpflichtend auch Regeln erfüllen müssen. Aber es haben sich jetzt viele Regeln auch einfach als Best Practice durchgesetzt. Und dass man mal kurz überlegt, was sind denn eigentlich meine Risiken? Also wenn ich jetzt hier irgendwo ein Fehler habe oder wenn hier mich einer angreift an der Stelle, dann ist mein Geschäftsbetrieb lahmgelegt, dann ist es klar, dass sich das auch wirtschaftlich lohnt, einfach Informationssicherheit groß zu schreiben.

Bonus: Tipps für ISMS-Neulinge

Wie NIS-2 angehen

Liane

Was würdest du denn jetzt Organisationen empfehlen, die noch gar nicht ihre Informationen schützen, vielleicht auch von NIS-2 betroffen sind, brauchen die ein ISMS oder wie sollte man es angehen?

Johannes

Ich denke, die Unternehmen müssten erstmal prüfen, in welcher Grössenordnung sie sich überhaupt befinden. Also bei unser praktisches Beispiel kritische Infrastrukturen. Wir haben eigentlich schon die Verpflichtung, ISMS zu haben, also diejenigen kritischen Betreiber, die vielleicht auch ein bisschen kleiner sind und bisher noch kein ISMS hatten, weil sie irgendwo eine Muttergesellschaft hatten, die sich damit beschäftigt haben oder betriebsgeführt waren oder eine Nichtanwendbarkeit hatten. Sie sollten sich noch mal intensiver damit beschäftigen, ob sie nicht ein Informationssicherheitsmanagementsystem jetzt brauchen. Das kann aber nur ein Jurist im Zweifelsfall entscheiden.

Aber wir haben natürlich auch viele Kleinere, die jetzt entweder von NIS-2 betroffen sind oder die grundsätzlich ganz gerne Informationssicherheitsmanagement betreiben wollen oder betreiben sollten, einfach um ihre Daten und Werte im Unternehmen zu schützen. Und da macht es einfach Sinn, die Best Practices, die sich bisher bewährt haben, anzuwenden. Beispielsweise beim Backup oder beispielsweise auch bei Firewalls und sowas.

Also jedes Unternehmen sollte irgendwo eine kleine Firewall haben oder sollte mit seinem IT Dienstleister zumindest mal das ganze Thema besprechen, wie man eine gewisse Sicherheit hinbekommt, weil am Ende kostet jeder Sicherheitsvorfall sehr viel Geld. Und da ist es völlig egal, wie die Unternehmensgrösse ist. Das heißt informieren. So ein bisschen gucken, was ist jetzt aktuell Stand der Technik? Was sollte man tun und was sollte man nicht tun?

Eine gewisse Awareness schaffen, also die Menschen oder Mitarbeiter im Unternehmen Schulen, darauf vorbereiten, auch zeitnah zu Fortbildung schicken, dass die sich mit dem ganzen Thema IT-Sicherheit noch mal intensiver beschäftigen.

Wir setzen da als Anbieter eine Plattform ein, wo die Kollegen sich selber informieren können. Also die können sich Videos angucken, kriegen auch regelmässig Trainings zugeschickt und lernen da eben einfach so ein bisschen spielerisch auch was zum Thema Informationssicherheit.

Vorteil der Geschäftsführung durch NIS-2

Liane

Die NIS-2 fordert ja auch von der Geschäftsführung, sich schulen zu lassen. Wie hast du das bislang wahrgenommen? Ist da schon Sensibilität vorhanden?

Johannes

Ja, bei uns auf jeden Fall. Es gibt auch Bestrebungen von den Verbänden entsprechend. Gerade die Kommunalverbände haben versucht, die Geschäftsführer zusammenzubringen und auf einer höheren Ebene mal zu schulen. Und ja, man hat einfach die auch mal gefragt: Was sind denn für sie die wichtigen Themen?

Und da sind natürlich die „Vermeidung von finanziellen Risiken“ ist natürlich ein riesiges Thema. Das ist für jeden Geschäftsführer wichtig. Aber das sind auch Haftungsthemen. Also Sie wollen immer natürlich gucken, dass sie die Haftung entsprechend ausgeschlossen bekommen oder minimieren können.

Und jeder Vorfall, der nicht eintritt, ist natürlich auch eine Minimierung der Haftung, eventuellen Haftung eines Geschäftsführers. Und das sollte man in dem Feld auf jeden Fall im Hinterkopf haben.

Chief Information Officer als Gegenspieler für kaufm. Führung

Und bei einer gewissen Unternehmensgrösse macht es vielleicht auch Sinn, jemanden speziell, also gerade in dem Bereich Geschäftsführung zu haben, den man auch mal fragen kann, der auf dem gleichen Level ist, also quasi ein CIO, der das ganze Unternehmen betreut, als Chief Information Officer und der einfach auch so ein bisschen ein Gegenspieler ist zu dem normalen Finanz- oder bei uns dann auch technischen Vorstand.

Wir haben jetzt so ein bisschen das Glück, dass unser Geschäftsführer aus dem technisch-informatischen Bereich kommt und sich auch sehr für das Thema Informationssicherheit interessiert und der macht das ganz gern.

Mit dem kann man sich auch sehr gut darüber unterhalten. Der kommt auch zu uns, wenn er ein Thema hat, und dann bauen wir das entsprechend bei uns ein und bewerten das und setzen entsprechende Massnahmen dann um.

Wie in das Informationssicherheitsmanagement als Neuling einsteigen

Liane

Wenn du jetzt jemandem einen Tipp geben müsstest, der jetzt neu ins Thema einsteigt. Was wäre das?

Johannes

Also, als ich neu eingestiegen bin in das Thema, das ist jetzt schon eine Zeit her, weil ich habe, wie gesagt, vorher mal ein anderes Unternehmen betreut im Bereich Datenschutz und Informationssicherheit. Da habe ich ja mir erstmal ein Buch gekauft und habe mal geguckt, ja, was ist das eigentlich? Und in welche Richtung geht das? Also, das kann ich sehr empfehlen.

Aber man kann sich natürlich auch einfach übers Internet beim BSI zum Beispiel mal Veranstaltungen anschauen. Man kann natürlich auch zu euch kommen und sich einfach mal grob informieren. Wie funktioniert eigentlich xmera als Basis? Und was sind so die einzelnen Bausteine in dem System, wie sowas funktionieren kann. Das fängt ja schon an.

Wir sind auch mit Dokumentation als erstes gekommen und haben gesagt, wir wollen eigentlich ein neues Wiki. Das haben wir gefunden. Und dann haben wir den ganzen Rest gesehen und gesagt: Ja, das ist genau das richtige System für uns.

Und wir haben auch schon anderen Versorgern oder anderen Unternehmen mal unser System gezeigt. Und da waren doch viele immer wieder begeistert, wie flexibel das Ganze ist und wie viele Möglichkeiten man da hat, das Ganze auf sich selber anzupassen.

Das heisst, wenn man jetzt noch gar nicht sich mit dem Thema beschäftigt hat und sich eingelesen hat und dann sagt, wie kann ich denn das alles umsetzen, dann gibt es da auch auf jeden Fall Anbieter wie euch am Markt, mit denen man das Ganze besprechen kann und mit denen man die verschiedensten Szenarien und Anwendungsfälle dann umsetzen kann.

Fehler, die Du nicht begehen solltest

Liane

Und gibt es noch irgendwelche, sagen wir mal besonderen Fettnäpfchen oder Fehler, wo du sagst, da habe ich am meisten daraus gelernt und das kann ich weitergeben. Einfach, damit andere nicht nochmal so in diese Probleme laufen.

Johannes

Also, ich finde zwei Sachen wichtig.

Einmal ist das die Zusammenarbeit. Also, wenn man ISB hat, der komplett isoliert ist im Unternehmen und keine Kontakte hat zu niemandem, dann funktioniert das Ganze nicht.

Also, man muss durch’s Haus gehen. Man muss mit den Leuten sprechen. Man muss sich die Sachen auch angucken. Man muss auch vielleicht mal die eine oder andere Stichprobe selber ziehen und mal gucken. Ja, ich habe da jetzt gesehen, irgendwie, da gibt es die und die Software. Wie ist denn jetzt der Patchstand da? Zum Beispiel kann man mal einfach fragen in der IT oder man kann auch mal zum Einkaufsleiter gehen und kann mal fragen: Wie macht ihr das denn eigentlich, wenn ein neuer Lieferant kommt? Wie prüft ihr den? Also solche Thematiken kann man einfach mal mit auf die Agenda nehmen. Einmal mit den Leuten ins Gespräch kommen. Das macht auf jeden Fall Sinn.

Also, ich finde zwei Sachen wichtig. Einmal ist das die Zusammenarbeit. […] Und das zweite wichtige Thema ist, was man definitiv nicht machen sollte, ist, dass man darauf vertraut, dass einer, der Excel kann, ewig lange eine Excel fürs Informationssicherheitsmanagement betreibt.

Und das zweite wichtige Thema ist, was man definitiv nicht machen sollte, ist, dass man darauf vertraut, dass einer, der Excel kann, ewig lange eine Excel für’s Informationssicherheitsmanagement betreibt. Da habe ich einfach schon zu viele Fälle gesehen, wo das nicht funktioniert hat. Und unsere eigene Asset Management Excel hat irgendwann einfach mal die Makros nicht mehr so genommen, wie wir sie wollten. Und dann konnten wir keine Assets mehr eintragen.

Das ist natürlich der Worst Case, wenn man irgendwie in Excel sich was Schönes gebaut hat und das funktioniert dann einfach nicht mehr.

Zeitaufwand für eine Erst-Implementierung eines ISMS

Liane

Ja, das kann ich mir vorstellen. Vielleicht nochmal so als als allerletzte Information an Neulinge. Wie viel Zeit sollte man mitbringen?

Johannes

Ich denke, wenn man von Null anfängt und jetzt wirklich sagt, ich möchte eine komplette Dokumentation aufbauen. Eine komplette Revision aufbauen. Ich möchte meine ganzen Assets anlegen. Ich möchte meine Prozesse aufbauen. Dann ist das ein Thema, was schon eine gewisse Zeit dauert.

Aber wir haben das gesehen in den Workshops. Wir haben Templates aufgebaut und haben die dann relativ schnell einfach ins xmera eingespielt. Und für Stauferwerk war das dann gar nicht mehr so eine große Herausforderung, weil man kann natürlich auch Assets zusammenfassen. Man kann dann auf dieser zusammengefassten Ebene eine Bewertung vornehmen und man braucht dann gar nicht jeden einzelnen Laptop oder sowas erfassen. Als ich ursprünglich mal angefangen habe, habe ich das auch gemacht. Da habe ich jedes einzelne Gerät erfasst und hab gesagt: Ja, das ist das Gerät und das hat den Stand und so weiter. Dafür gibt es bessere Tools, die sowas können. Also, die hat man einfach in der IT vielleicht, oder der IT-Dienstleister hat so was im Angebot. Da kann man sich mal drüber informieren.

Aber das Wichtige ist, mit Templates zu arbeiten, mit Vorlagen zu arbeiten, auch für sich selber so ein bisschen zu entwickeln: Wie möchte ich eigentlich strategisch mein Informationssicherheitsmanagement aufbauen? Was soll da alles drin sein? Was sind die einzelnen Komponenten? Und dann braucht man auch gar nicht so viel Zeit.

Man sollte sich dann vielleicht am Anfang mal 1 bis 2 Tage die Woche nehmen, wo man sich intensiv mit xmera beschäftigt, wenn man jetzt gerade damit anfängt. Und dann kriegt man das auch, glaube ich ganz gut hin.

Wir hatten jetzt den Vorteil, dass wir einen Werksstudenten noch mit dabei hatten, der bestimmte Migrationsarbeiten machen konnte, Texte kopieren, Texte anlegen. Ich glaube, das erste Mal Richtlinien schreiben ist eine Sache, die doch relativ aufwendig ist. Die muss man auch absegnen lassen von der Geschäftsführung. Also, das hat mehrere Iterationen. Und das ist ein Bestandteil des ISMS, der aufwendiger ist.

Was aber nachher gut läuft, ist das ganze Thema Aufgabenmanagement oder auch die ganze Anlage von entsprechend Assets auf Assetklassen-Basis und diese ganze Bewertung. Das geht dann doch in einem System relativ schnell.

Liane

OK. Also denkst du, wer jetzt im Rahmen der NIS-2 darüber nachdenkt, doch mal anzufangen, sollte dann wie viel Vorlaufzeit einfach mal einkalkulieren, wenn wir das jetzt mal so in Monaten oder reden wir von Jahren, wie kann man sich das vorstellen?

Johannes

Also, ich glaube, um so die ersten Sachen aufzubauen in einem Unternehmen. Da reicht es, wenn man sich erst mal ein halbes Jahr intensiv mit einem Kernteam zusammensetzt, die wichtigsten Leute zusammenbringt und dann anfängt, kollaborativ das gesamte ISMS aufzubauen und zu sagen: Okay, wir geben uns erstmal eine Sicherheitsrichtlinie. Wir gucken uns die Normen an oder überlegen uns, mit welchem Rahmenwerk wir arbeiten. Also es muss ja nicht jeder die ISO 27001 nehmen, sondern es gibt ja auch noch andere gute Rahmenwerke, die man da nehmen kann.

Und wenn ich mich dann noch für ein gutes System entschieden habe, dann kann ich das natürlich zusammen aufbauen und kann von jedem Einzelnen das einfordern und diesen Stand überwachen.

Das Wichtigste ist, irgendwann kommt das nach so einem halben Jahr, hätte ich jetzt, wie gesagt, aus dieser Projektphase raus ins Tagesgeschäft. Und dann habe ich natürlich Sachen, die ich immer wieder tun muss. Also als Informationssicherheitsbeauftragter habe ich im Jahr Dokumentenrevisionen. Ich habe Risikobewertungen. Ich habe neue Assets, die ich aufnehmen muss. Ich habe vielleicht neue Mitarbeiter, die ich aufnehmen muss. Ich muss mir die Prozesse immer wieder angucken, ob die so noch passen. Ich habe Audits.

Also, das sind sehr, sehr viele Themen, die einfach wiederkehrend sind. Und wenn ich mir das alles schon anlege im System und die einfach mich daran erinnern. Oh, es ist jetzt März. Wird mal wieder Zeit, sich bestimmte Dinge anzugucken, dann kann ich das natürlich ganz anders organisieren.

Dankesworte und Verabschiedung

Liane

OK. Ich danke dir, Johannes für deine Einblicke heute. Wertvolle Einblicke aus der Praxis, welche Herausforderungen man zu meistern hat, dass es auch ein langer Weg sein kann. Oder man beherzigt einfach das, woraus andere schon gelernt haben, nimmt es für sich mit und kann dann auch relativ schnell in kurzer Zeit schon, ja, sagen wir mal, NIS-2 kompatibel eigentlich unterwegs sein.

Es sind schöne Einblicke. Ich danke dir für deinen Erfahrungsbericht und freue mich auf ein Wiedersehen bei nächster Gelegenheit, im Support vielleicht.

Johannes

Ja, vielen Dank. Da freue ich mich auch. Also, es ist sehr lieb von euch, dass ihr mich auch eingeladen habt dazu.

Das war mein Wunsch, auch unbedingt nochmal ein bisschen was zum ISMS zu erzählen, weil das bei uns wirklich hervorragend funktioniert hat.

Und wenn wir da wirklich eine sehr gute Erfahrung gemacht haben, das habe ich aus der Praxis auch schon anders gehört von anderen Energieversorgern, die da eben ja, Tools eingeführt haben, mit denen sie nicht so zufrieden waren, die nicht so eine gute Flexibilität mitgebracht haben.

Und deswegen ja, vielen Dank, Liane.

Liane

Ich habe zu danken. Es war mir eine grosse Freude, hier mit dir heute.

Fazit

Liane

Mich hat besonders beeindruckt, wie stark sich die Zusammenarbeit im Unternehmen verändert hat, hin zu mehr Transparenz, Einbindung und gemeinsamen Erfolgen.

Wenn du regelmässig spannende Einblicke und praktische Tipps rund um das Informationssicherheitsmanagement erhalten möchtest, abonniere jetzt unsere Newsletter.