Wie baue ich ein ISMS im Unternehmen auf?

INHALTSVERZEICHNIS
ISMS aufbauen

Mittelständische Unternehmen stehen vor der Herausforderung, ihre sensiblen Daten vor immer komplexer werdenden Cyberbedrohungen zu schützen. Ein effektives Informationssicherheitsmanagementsystem (ISMS) ist dabei kein Luxus, sondern eine Notwendigkeit. Es bietet einen strukturierten Ansatz, um Risiken zu identifizieren, zu bewerten und zu minimieren, während gleichzeitig die Resilienz gegenüber Sicherheitsvorfällen gestärkt wird.

Die Gute Nachricht ist: „Es muss nicht gleich eine Zertifizierung nach ISO27001 sein“. Es kann auch eine interne Analyse nach einem weniger umfangreichen ISMS Standard sein. Man kann auch mit einem internen Assessment inklusive Unterstützung von externen Experten beginnen.

Die folgenden Ausführungen dienen als Leitfaden für mittelständische Unternehmen, um ein ISMS von Grund auf aufzubauen, indem strategische Überlegungen mit praktischen Schritten vereint werden, um eine sichere und vertrauenswürdige Informationsumgebung zu schaffen.

Auswahl des ISMS

Ein ISMS bildet das Herzstück der Bemühungen eines Unternehmens, seine Informationen systematisch zu schützen. Es geht nicht nur darum, IT-Systeme abzusichern, sondern umfassend die Vertraulichkeit, Integrität, und Verfügbarkeit (siehe auch CIA-Triade) aller Unternehmensdaten zu gewährleisten. Ein ISMS hilft, Sicherheitsrisiken zu identifizieren, zu bewerten und zu steuern, und stellt sicher, dass Sicherheitsmaßnahmen kontinuierlich an neue Bedrohungen angepasst werden.

Ein wichtiger erster Schritt ist die Auswahl des ISMS. Hast Du keine konkreten Marktanforderungen, ist es ratsam mit einem „einfacheren Framework“ einzusteigen. Unabhängig von deiner Wahl kannst du dir sicher sein, dass alle Anforderungen wirklich Sinn machen.

Wähle aus folgende Basis für dein ISMS aus. Die Auflistung geht nach dem Aufwand der Implementation.

IKT-Minimalstandard ist ein Rahmenwerk aus der Schweiz, das spezifisch für die Informationssicherheit in der Schweizer Bundesverwaltung entwickelt wurde.

  • Level: Einfach
  • Fokus: IKT Sicherheit im Mittelstand
  • Scope: konkrete Mindestanforderungen und Sicherheitsmaßnahmen
  • Info: Mehrsprachig

Cyber Risk Rating wurde in Österreich speziell für Zulieferer an NIS2 Unternehmen erstellt

  • Level: Einfach
  • Fokus: Cyber Risikobewertung für Zulieferer von NIS2 Unternehmen
  • Scope: konkrete Mindestanforderungen und Sicherheitsmaßnahmen
  • Info: Deutschsprachig

CIS Controls liefern praxisorientierte Leitlinien und Kontrollen zur direkten Verbesserung der Sicherheitsmaßnahmen

  • Level: Einfach (Implementation Group 1: „Essential Cyber Hygiene“). IG2 kann man als Mittel und IG3 als Aufwändig bezeichnen
  • Fokus: Cybersicherheit
  • Scope: Die 153 Safeguards sind in Implementation Groups eingeteilt. IG1 „Essential Cyber Hygiene“ beinhaltet die 56 wichtigsten Safeguards

NIST CSF bietet eine flexible und skalierbare Lösung für Unternehmen, die ihre Sicherheitspraktiken verbessern möchten, mit variablem Aufwand, der es ermöglicht, das Framework an spezifische Bedürfnisse anzupassen.

  • Level: Mittel
  • Fokus: Cybersicherheit
  • Scope: Bietet ein flexibles und anpassbares Framework zur Verbesserung der Cybersicherheit über alle Branchen hinweg, insbesondere für kritische Infrastrukturen.
  • Info: Starke Verbreitung in Amerika und für in Amerikanische Partnerunternehmen

COBIT ist ein Rahmenwerk für IT-Governance und Management. Es bietet Best Practices, um IT-Ressourcen effektiv zu verwalten und IT-Prozesse zu steuern.

  • Level: Mittel bis Aufwändig
  • Fokus: IT-Governance und Management.
  • Scope: Universell einsetzbar in verschiedenen Branchen und Organisationen jeder Größe.

BSI IT-Grundschutz ist speziell für den deutschsprachigen Raum konzipiert, mit detaillierten Maßnahmenkatalogen für verschiedene Sicherheitsaspekte

  • Level: Aufwändig. Dokumentation sehr Umfangreich
  • Fokus: Informationssicherheit
  • Scope: Speziell für den deutschsprachigen Raum konzipiert, mit detaillierten Maßnahmenkatalogen für verschiedene Sicherheitsaspekte.

Die kostenlosen BSI-Standards 200-X korrelieren mit den ISO27001:2013 Standards. Du solltest dir diese genauer ansehen weil sie:
– sehr umfangreich und in deutscher Sprache ausgearbeitet sind
kostenlos zum Download verfügbar sind

ISO/IEC 27001 ist ein global anerkannter Standard für Informationssicherheitsmanagementsysteme. Bietet einen umfassenden Rahmen für Sicherheitsprozesse und -kontrollen.

  • Level: Aufwändig
  • Fokus: Informationssicherheit
  • Scope: Bietet einen umfassenden Rahmen für Sicherheitsprozesse und -kontrollen.
  • Info: Ist aufwändig und kostenintensiv, bietet dafür eine umfassende Basis für Dein Unternehmen. Ein Zertifizierung nach ISO 27001 kann deinem Unternehmen Türen öffnen.

Projektplan für den Aufbau und Betrieb eines ISMS

Die wesentlichsten Schritte sind die Planung, der Aufbau des ISMS und das Pflegen (kontinuierliche Verbesserung).

Planungsphase

In der Planungsphase werden die Rahmenbedingungen festgelegt:

  • Welches Konzept soll verwendet werden
  • Rollen und Verantwortlichkeiten im Prozess des Aufbaus der ISMS
  • Projektmanagement Tools

Weiters wird während der Planung eine Leitlinie erstellt, welche in kurzen Worten die grundlegenden Ziele und Prinzipien der Informationssicherheit deiner Organisation definiert und intern ein gemeinsames Verständnis für das Thema herstellt. Sie gibt die allgemeine Richtung vor, in der die Sicherheitsmaßnahmen und -politiken entwickelt, implementiert und verwaltet werden sollen. Leitlinien sind auf die übergeordneten Geschäftsziele abgestimmt und spiegeln auch den Risk Appetite des Unternehmens wieder.

Nun wird ncoh das „CyberSecurity Team“ entsprechend der Rollen und Verantwortlichkeiten aufgebaut. Im Core Team hast Personen aus verschiedenen Abteilungen:

  • Marketing
  • HR
  • Datenschutzbeauftragter
  • IT

Weiters kannst du (oder musst du) noch folgende Personen / Abteilungen abholen:

  • Geschäftsleitung
  • Vertreter von Fachabteilungen
  • Vertreter von Standorten
  • Quality Management
  • Personalvertreter
  • Verantwortlicher nach Arbeitsschutzgesetz

Im Rahmen der Aufbauphase muss das Dokument Management System schon stehen und die Regeln müssen festgelegt sein, damit die Dokumente gelenkt, freigegeben und klassifiziert werden können. Rechtevergabe und Offlinefähigkeiten sind von entscheidender Bedeutung. (Was nutzt ein Notfallplan, das auf einem Server liegt, der angegriffen wurde)

Als letzten Punkt sollte noch ein Awareness-Assessment gemacht werden. Dies liefert die Antwort auf die Frage „Wie gut kennen unsere Mitarbeiter aktuell die Vorgaben und Prozesse in bezug auf CyberSecurity?“. So ein Assessment kann auch jährlich wiederholt werden um die positive Entwicklung auch als KPI nutzen zu können.

Aufbauphase

Die wichtigste und aufwändigste Phase ist die Aufbauphase. In dieser Phase werden die Themen aufgenommen und in das ISMS eingepflegt:

  • Compliance und Risikoanalyse
  • Hardware und Software Assets
  • IT-Service Management

Im wesentlichen besteht diese Phase aus dem CyberSecurity Risk Assessment nach dem ISMS, auf dass du dich in der Planungsphase festgelegt hast. (z.B. NIST CSF)

Kontinuierliche Verbesserung

Dazu gehört das regelmäßige

  • erheben der festgelegten KPIs (Managementinformation)
  • interne Auditieren um jährlich die Einhaltung des ISMS zu bewerten
  • Überwachen der Sicherheitslage und Aktualisieren des ISMS
  • Umsetzen von Verbesserungsmaßnahmen. (z.B. durch Gap Analyse)

Für den Fall dass es gesetzlich oder regulatorisch notwendig ist oder aus anderen Gründen von der Geschäftsführung gewünscht wird kann auch eine Zertifizierung vorbereitet werden. Durch ein externes Zertifizierungsaudit durch eine akkreditierte Zertifizierungsstelle kann dann die Zertifizierung des ISMS durchgeführt werden.

Wie lange dauert der Aufbau eines ISMS?

Die Dauer des Aufbaus eines ISMS kann stark variieren und hängt von verschiedenen Faktoren ab, einschließlich der Größe und Komplexität der Organisation, der vorhandenen Infrastruktur und Sicherheitspraktiken, der Ressourcen, die für das Projekt zugewiesen werden, und der Tiefe der erforderlichen Sicherheitsmaßnahmen. Generell kann der Aufbau eines ISMS für eine kleine bis mittelgroße Organisation irgendwo zwischen 6 Monaten und 2 Jahren dauern.

Einige Schlüsselfaktoren, die die Timeline beeinflussen, sind:

  • Größe der Organisation: Größere Organisationen mit vielen Abteilungen oder Standorten benötigen in der Regel mehr Zeit, um ein ISMS zu implementieren.
  • Ausgangslage: Organisationen, die bereits über einige Sicherheitsprozesse und -richtlinien verfügen, können möglicherweise schneller ein vollständiges ISMS implementieren als solche, die bei Null anfangen.
  • Verfügbarkeit von Ressourcen: Die Verfügbarkeit von personellen Ressourcen hat einen erheblichen Einfluss auf die Geschwindigkeit der Implementierung. Bei der Umsetzung verschiedener Maßnahmen spielen noch zusätzlich die finanziellen Möglichkeiten des Unternehmens eine Rolle.
  • Engagement der Führungsebene: Starkes Engagement und Unterstützung durch das Management können den Prozess beschleunigen, indem Entscheidungen schneller getroffen werden und die notwendigen Ressourcen leichter bereitgestellt werden.
  • Komplexität der IT-Infrastruktur: Eine komplexe IT-Infrastruktur kann die Risikobewertung und die Implementierung von Sicherheitskontrollen verlängern.
  • Regulatorische Anforderungen: Die Notwendigkeit, spezifische gesetzliche oder branchenspezifische Sicherheitsstandards zu erfüllen, kann zusätzliche Zeit erfordern.

Der Betrieb des ISMS nach dem Aufbau ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess der auch Verbesserung und Anpassung an neue Sicherheitsbedrohungen und geschäftliche Anforderungen beinhaltet. Selbst nach der anfänglichen Implementierung erfordert ein ISMS regelmäßige Überprüfungen, Updates und Audits, um seine Wirksamkeit aufrechtzuerhalten.

Was kostet der Aufbau und Betrieb eines ISMS?

Was kostet der Aufbau und Betrieb eines ISMS? Soll ich alles aus eigenen Ressourcen machen oder externe Unterstützung holen? Soll ich eine unterstützende Software kaufen oder Dateibasiert mit Word und Excel arbeiten? Fragen über Fragen.

Wer sich nicht tagtäglich mit dem Thema ISMS beschäftigt, wird sich schwer damit tun, einzuschätzen, welcher Preis gerechtfertigt ist. Letzten Endes sollte wie bei jeder Investition im Vordergrund stehen, was am Ende dabei herausspringt – Schutz kritischer Daten und Sicherstellung der Business Continuity im Ernstfall!

Kurzfassung: Was kostet der Aufbau eines ISMS?
Die Stundensätze bei der Beratung im CyberSecurity Umfeld fangen in der DACH-Region aus unserer Erfahrung bei 150 EUR an. Deswegen sollte man bei den externen Kosten ab 5.000 € monatlich rechnen. Je nach Unterstützung aus den eigenen Reihen (siehe auch Wie lange dauert der Aufbau eines ISMS?) kann dies noch variieren. Falls man unterstützende Software nutzen will schlägt diese mit mehreren Tausend EUR pro Jahr zu buche.

Welche Quick Wins gibt es?

Generell sollte man die Priorisierung der Maßnahmen erst nach der Risiko Analyse machen. Dabei wird die Wahrscheinlichkeit des Eintretens und der Schweregrad der Auswirkungen betrachtet. Gemeinsam mit dem geschätzten Aufwand für das Vermindern des Risikos hat man dann eine fundierte Basis für eine Kosten-Nutzen-Entscheidung.

Trotzdem sind einige Maßnahmen sehr einfach zu bewerkstelligen und offensichtlich im Nutzen.

Das einführen einer Passwortrichtlinie oder das Einführen einer Multi-Faktor-Authentifizierung (MFA) für E-Mail oder auch regelmäßige Sicherheitsupdates / Patch Management sind solche Quick Wins.

Relevante Artikel

Wie sicher ist dein Unternehmen? Ein einfaches Cybersecurity Risk Assessment für KMUs

Was sind CIS Controls und warum eigenen sie sich hervorragend für ein erstes Cybersecurity Risk Assessment?

Weiterführende Links

ISO/IEC 27001 Standards Seite bei der ISO. (Kostet ca. 130 EUR)

BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS): Dieser Standard bietet Richtlinien für die Einrichtung, Implementierung, Betrieb und Verbesserung eines ISMS.

BSI-Standard 200-2: IT-Grundschutz-Methodik: Er beschreibt die Methodik zur Umsetzung des IT-Grundschutzes, einschließlich der Risikoanalyse auf Basis von IT-Grundschutz und der Anwendung der IT-Grundschutz-Kataloge.

BSI-Standard 200-3: Risikoanalyse auf Basis von IT-Grundschutz: Dieser Standard legt die Vorgehensweise für die Durchführung von Risikoanalysen für diejenigen Bereiche fest, die über den Basis-Schutz hinausgehen oder bei denen der Basis-Schutz als nicht ausreichend erachtet wird.

BSI-Standard 200-4: Notfallmanagement: Hier werden die Anforderungen und Maßnahmen für die Planung, Einrichtung und Umsetzung eines Notfallmanagementsystems beschrieben.

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Herwart Wermescher

Managing Director

Herwart ist Gründer von kmusec.com und Cybersecurity-besessen seit 2011.

Artikel teilen!