+49 152 03083 103 monka@vialevo.de

Ein ISMS für die ISO 27001 professionell aufbauen

von | Apr. 11, 2025 | Allgemein, IT-Sicherheit

isms iso 27001

Ein ISMS nach der ISO 27001: Ein praxisorientierter Leitfaden

In einer zunehmend digitalisierten Geschäftswelt ist die Sicherheit von Informationen zu einem kritischen Erfolgsfaktor geworden. Ein Cyberangriff kann Ihr Unternehmen innerhalb weniger Stunden lahmlegen und erhebliche finanzielle sowie reputationsbezogene Schäden verursachen. Die ISO 27001 bietet einen international anerkannten Standard für den Aufbau eines Informationssicherheits-Managementsystems (ISMS), mit dem Sie Ihre Daten proaktiv schützen können. Dieser Leitfaden zeigt Ihnen, wie Sie die Anforderungen der Norm erfolgreich in Ihrem Unternehmen umsetzen können.

 

Dieser Beitrag ist Teil einer Reihe von aufeinander aufbauenden und vernetzten Beiträgen - ausgehend von einer generellen "ISO 27001-Checkliste".
iso 27001 mindmap

In dieser Checkliste sind zu allen Themen der ISO 27001 die Fragen und Hinweise aufgeführt, die zur Umsetzung der Norm wesentlich sind. Der folgende Beitrag gibt Antworten auf die spezifien Aspekte aus der Checkliste.

Um wieder zur Checkliste zurück zu kehren, klicken Sie einfach auf das ICON

 

Die Bedeutung eines ISMS – und warum es wichtig ist

Ein Informationssicherheits-Managementsystem (ISMS) nach der ISO 27001 ist ein systematischer Ansatz, um die Informationssicherheit in einer Organisation zu gewährleisten, zu steuern und kontinuierlich zu verbessern. Im Gegensatz zur reinen IT-Sicherheit oder Cybersicherheit, die sich hauptsächlich auf den Schutz elektronischer Daten und IT-Systeme vor Cyberangriffen konzentriert, umfasst ein ISMS den Schutz aller Informationen eines Unternehmens – unabhängig davon, ob sie digital oder physisch gespeichert sind.

Die drei Kernziele eines ISMS, oft als CIA-Triade (Confidentiality, Integrity, Availability) bezeichnet, sind:

  1. Vertraulichkeit: Sicherstellung, dass nur autorisierte Personen Zugriff auf Informationen haben
  2. Integrität: Gewährleistung der Genauigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden
  3. Verfügbarkeit: Sicherstellung, dass autorisierte Benutzer bei Bedarf Zugriff auf Informationen haben

 

Ein ISMS ist mehr als nur ein Ziel-Werkzeug – es ist ein strategisches Asset, das Unternehmenswachstum unterstützt und einen klaren Überblick über Prozesse und Informationswerte verschafft.

 

Ein Überblick über die Kapitel 4-10 der ISO 27001

Die ISO 27001 ist nach der High Level Structure (HLS) aufgebaut, die für alle modernen Managementsysteme einheitlich ist und die Integration verschiedener Managementsysteme erleichtert. Die Kapitel 4 bis 10 bilden den normativen Teil der ISO 27001 und definieren die verbindlichen Anforderungen an ein ISMS:

• Kapitel 4: Kontext der Organisation
• Kapitel 5: Führung
• Kapitel 6: Planung
• Kapitel 7: Unterstützung
• Kapitel 8: Betrieb
• Kapitel 9: Bewertung der Leistung
• Kapitel 10: Verbesserung

Der Aufbau und Betrieb eines ISMS folgt dem sogenannten  PDCA-Zyklus (Plan-Do-Check-Act), einer systematischen Methode zur kontinuierlichen Verbesserung. Hier die Erläuterung der einzelnen Teile des Zyklus:

Plan: Festlegung von Zielen und Prozessen (Kapitel 4, 5, 6)
Do: Umsetzung der Prozesse (Kapitel 7, 8)
Check: Überwachung und Messung der Prozesse (Kapitel 9)
Act: Ergreifen von Maßnahmen zur kontinuierlichen Verbesserung (Kapitel 10)

Im Folgenden ein tieferer Blick auf die einzelnen Kapitel.

 

Kapitel 4: Kontext der Organisation

 

Was sind die Anforderungen der Norm an das Unternehmen?

Kapitel 4 bildet die Grundlage für den Aufbau eines ISMS und umfasst vier Hauptbereiche:

 

4.1 Verstehen der Organisation und ihres Kontexts:

Hier geht es darum, die externen und internen Faktoren zu identifizieren, die für den Zweck Ihrer Organisation relevant sind und Einfluss auf die Wirksamkeit Ihres ISMS haben können. Zu den externen Faktoren zählen rechtliche, regulatorische, technologische, wirtschaftliche und wettbewerbsbezogene Aspekte. Interne Faktoren umfassen die Organisationsstruktur, verfügbare Ressourcen, Unternehmenskultur, Werte und etablierte Prozesse.

Es empfiehlt sich, diese Faktoren zu dokumentieren und regelmäßig zu überprüfen, da sie sich mit der Zeit ändern können. Hilfreich sind hier Analysemethoden wie PESTLE oder SWOT.

 

4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien:

In diesem Abschnitt sollten Sie alle für die Informationssicherheit relevanten interessierten Parteien identifizieren und deren Anforderungen erfassen. Dazu gehören zum Beispiel:

  • Kunden mit spezifischen Sicherheitsanforderungen
  • Gesetzgeber und Regulierungsbehörden
  • Eigentümer und Anteilseigner
  • Mitarbeiter und deren Vertreter
  • Lieferanten und Geschäftspartner
  • Aber auch die Gesellschaft und die Öffentlichkeit

Es gilt in diesem Kapitel festzulegen, welche dieser Anforderungen für Ihr Unternehmen verbindlich sind und in das ISMS integriert werden sollten.

 

4.3 Festlegen des Anwendungsbereichs des ISMS:

In diesem Kapitel definieren Sie die Grenzen und den Geltungsbereich Ihres ISMS. Der Anwendungsbereich – auch als Scope bezeichnet – sollte dabei folgende Punkte berücksichtigen:

  • Die in 4.1 identifizierten externen und internen Themen
  • Die in 4.2 bestimmten Anforderungen
  • Schnittstellen und Abhängigkeiten zwischen Aktivitäten Ihrer Organisation und anderen Organisationen

Der Anwendungsbereich sollte als dokumentierte Information verfügbar sein und die Begründung für etwaige Ausnahmen enthalten. Wichtig dabei: Ausschlüsse sollten den Anspruch Ihrer Organisation, die Informationssicherheit zu gewährleisten, nicht beeinträchtigen.

 

4.4 Informationssicherheits-Managementsystem:

In diesem Abschnitt geht es um die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS. Dazu gehört die Definition aller notwendigen Prozesse, deren Wechselwirkungen sowie der Methoden zu deren Steuerung und Verbesserung.

 

Ein Beispiel aus der Praxis
Ein mittelständischer Software-Entwickler mit 60 Mitarbeitern, begann die Implementierung ihres ISMS mit einer umfassenden Kontextanalyse. Als ISMS-Verantwortlicher führte der IT-Leiter zunächst eine PESTLE-Analyse (Political, Economic, Social, Technological, Legal, Environmental) für externe Faktoren durch. Dabei identifizierte er als kritische Punkte die neuen gesetzlichen Anforderungen der NIS2-Richtlinie, wachsenden Marktdruck zur Einhaltung von Sicherheitsstandards und die zunehmende Bedrohung durch Ransomware-Angriffe. Darüber wird in Ausschreibungen immer wieder der Nachweis einer Informationssicherheits-Norm gefordert.

Für die internen Faktoren nutzte das Unternehmen eine SWOT-Analyse, die Stärken (gut ausgebildetes Personal), Schwächen (historisch gewachsene IT-Infrastruktur), Chancen (neue Sicherheitstechnologien) und Risiken (knappe Ressourcen für Sicherheitsmaßnahmen) identifizierte.

Als interessierte Parteien wurden Kunden (mit spezifischen Vertraulichkeitsanforderungen), Mitarbeiter (mit Interesse an einem sicheren Arbeitsumfeld), Lieferanten (die Zugang zu Unternehmenssystemen benötigen) und Behörden (mit gesetzlichen Anforderungen) identifiziert und deren Anforderungen in einer Matrix dokumentiert.

Der Anwendungsbereich des ISMS wurde auf alle Kernprozesse der Softwareentwicklung und die dafür notwendigen Supportprozesse festgelegt, unter Ausschluss der physischen Sicherheit des Außengeländes, da dieses von einem externen Facility Management betreut wird. Diese Entscheidung wurde dokumentiert und begründet.

 

Kapitel 5: Führung

 

Was sind die Anforderungen der Norm an das Unternehmen?

Kapitel 5 betont die Bedeutung des Engagements der obersten Leitung für das ISMS und umfasst drei Hauptbereiche:

 

5.1 Führung und Verpflichtung:

Die oberste Leitung spielt eine entscheidende Rolle für den Erfolg des ISMS. Ihre Unterstützung zeigt sich durch:

  • Festlegung einer Informationssicherheitspolitik und entsprechender Ziele im Einklang mit der strategischen Ausrichtung des Unternehmens
  • Integration der ISMS-Anforderungen in die Geschäftsprozesse
  • Bereitstellung der erforderlichen Ressourcen
  • Kommunikation der Bedeutung eines wirksamen ISMS
  • Sicherstellung, dass das ISMS die gewünschten Ergebnisse liefert
  • Anleitung und Unterstützung von Mitarbeitern
  • Förderung der kontinuierlichen Verbesserung

Die aktive Unterstützung durch die Führungsebene ist nicht nur ein formales Erfordernis, sondern ein echter Erfolgsfaktor für die Wirksamkeit des ISMS.

 

5.2 Politik:

Die oberste Leitung sollte eine Informationssicherheitspolitik festlegen, die:

  • zum Zweck der Organisation passt
  • Informationssicherheitsziele enthält oder einen Rahmen für deren Festlegung bietet
  • die Verpflichtung zur Erfüllung anwendbarer Anforderungen umfasst
  • die Verpflichtung zur kontinuierlichen Verbesserung des ISMS enthält

Diese Politik sollte dokumentiert, innerhalb der Organisation kommuniziert und interessierten Parteien zugänglich gemacht werden. Sie dient als Leitlinie für alle Aktivitäten im Bereich der Informationssicherheit.

 

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation:

Klar definierte Verantwortlichkeiten und Befugnisse sind entscheidend für ein funktionierendes ISMS. Die Geschäftsführung sollte sicherstellen, dass:

  • Relevante Rollen mit entsprechenden Verantwortlichkeiten und Befugnissen ausgestattet sind
  • Diese Rollen innerhalb der Organisation klar kommuniziert werden
  • Eine Person oder Gruppe die Verantwortung trägt, dass das ISMS den Anforderungen der ISO 27001 entspricht
  • Eine regelmäßige Berichterstattung über die Leistung des ISMS an die oberste Leitung erfolgt

Häufig wird diese Rolle einem Informationssicherheitsbeauftragten (ISB) oder einem CISO (Chief Information Security Officer) übertragen, der direkt an die oberste Leitung berichtet.

 

Ein Beispiel aus der Praxis
Bei d einem mittelständischen Metallverarbeitungsbetrieb mit 120 Mitarbeitern, erkannte die Geschäftsführung die strategische Bedeutung der Informationssicherheit für die Zukunftsfähigkeit des Unternehmens. Der Geschäftsführer übernahm persönlich die Rolle des ISMS-Sponsors und demonstrierte sein Engagement durch regelmäßige Teilnahme an ISMS-Besprechungen.

Die Geschäftsführung ernannte den bisherigen stellvertretenden IT-Leiter zum Informationssicherheitsbeauftragten (ISB) mit direktem Berichtsweg zur Geschäftsführung und stellte ein dediziertes Budget von 50.000 Euro für die Implementierung des ISMS bereit. Der stv. IT-Leiter wurde übergangsweise von seiner Abteilungsfunktion entbunden, damit er nicht in einen Rollenkonflikt gerät. Zusätzlich wurde ein ISMS-Team gebildet, bestehend aus Vertretern aller Fachabteilungen, die 10% ihrer Arbeitszeit für ISMS-Aufgaben aufwenden können.
 Die Informationssicherheitspolitik wurde in einem Workshop mit allen Abteilungsleitern erarbeitet und enthält konkrete Verpflichtungen zum Schutz der Vertraulichkeit von Kundendaten, zur Einhaltung gesetzlicher Anforderungen und zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen. Die Politik wurde auf der Unternehmenswebsite veröffentlicht und in allen Besprechungsräumen ausgehängt. In den monatlichen Führungskräftebesprechungen ist die Informationssicherheit ein fester Tagesordnungspunkt, bei dem der ISB über den aktuellen Status berichtet.

 

Kapitel 6: Planung

 

Was sind die Anforderungen der Norm an das Unternehmen?

Kapitel 6 beschäftigt sich mit der Planung des ISMS und umfasst zwei Hauptbereiche:

 

6.1 Maßnahmen zum Umgang mit Risiken und Chancen:

Dieser Abschnitt bildet das Herzstück eines wirkungsvollen ISMS und gliedert sich in drei Unterpunkte:

6.1.1 Allgemeines: Bei der Planung Ihres ISMS sollten Sie den Kontext (4.1) und die Anforderungen interessierter Parteien (4.2) berücksichtigen, um relevante Risiken und Chancen zu identifizieren. Ziel ist es:

  1. sicherzustellen, dass Ihr ISMS die gewünschten Ergebnisse erreichen kann
  2. unerwünschte Auswirkungen zu verhindern oder zu reduzieren
  3. kontinuierliche Verbesserung zu ermöglichen

 

6.1.2 Risikobewertung im Bereich der Informationssicherheit: Hier entwickeln Sie einen strukturierten Prozess zur Risikobewertung, der folgende Elemente umfasst:

  • Festlegung von Kriterien für die Akzeptanz von Risiken
  • Definition einer Methodik für die Durchführung von Risikobewertungen
  • Identifikation von Informationssicherheitsrisiken (Bedrohungen, Schwachstellen, potenzielle Auswirkungen)
  • Zuordnung von Risikoeignern
  • Analyse der Risiken (Einschätzung der Konsequenzen und der Eintrittswahrscheinlichkeit)
  • Bewertung der Risiken im Vergleich zu den festgelegten Kriterien

Die Ergebnisse dieses Prozesses sollten Sie dokumentieren, um eine konsistente Bewertung über Zeit und verschiedene Unternehmensbereiche hinweg zu gewährleisten.

6.1.3 Risikobehandlung im Bereich der Informationssicherheit: Nach der Risikobewertung geht es um die Behandlung der identifizierten Risiken. Dabei stehen Ihnen folgende Optionen zur Verfügung:

  1. Risikoverminderung durch Implementierung geeigneter Maßnahmen
  2. Risikoakzeptanz, wenn das Risiko innerhalb der definierten Toleranzgrenzen liegt
  3. Risikovermeidung durch Aufgabe der risikobehafteten Aktivität
  4. Risikoübertragung, z.B. durch Versicherungen oder Verträge mit Dritten

Für jedes Risiko sollten Sie die passende Behandlungsoption auswählen und die notwendigen Maßnahmen in einem Risikobehandlungsplan festhalten. Die gewählten Maßnahmen können aus dem Anhang A der ISO 27001 stammen oder aus anderen Quellen, sofern sie angemessen sind. Der Risikobehandlungsplan und die verbleibenden Restrisiken sollten von den Risikoeignern genehmigt werden.

 

6.2 Informationssicherheitsziele und Planung zu deren Erreichung:

Um Ihre Informationssicherheit messbar und steuerbar zu machen, empfiehlt es sich, konkrete Ziele zu definieren. Diese Ziele sollten … :

  • mit der Informationssicherheitspolitik übereinstimmen
  • messbar sein (sofern praktikabel)
  • die Ergebnisse der Risikobewertung berücksichtigen
  • im Unternehmen kommuniziert werden
  • bei Bedarf aktualisiert werden

 

Für jedes Ziel sollten Sie einen Umsetzungsplan erstellen, der folgende Aspekte berücksichtigt:

  • konkrete Maßnahmen
  • erforderliche Ressourcen
  • Verantwortlichkeiten
  • Zeitplan
  • Methoden zur Erfolgsmessung

 

Ein Beispiel aus der Praxis
Ein mittelständisches Logistikunternehmen mit 85 Mitarbeitern, entwickelte eine strukturierte Risikobewertungsmethodik basierend auf der Norm ISO 27005. Als Risikokriterien wurden eine fünfstufige Skala für die Eintrittswahrscheinlichkeit und eine vierstufige Skala für die Auswirkungen festgelegt. Risiken mit einem Gesamtwert von über 15 wurden als „hoch“ eingestuft und erforderten sofortige Maßnahmen.

Das Unternehmen identifizierte seine kritischen Informationswerte in einem Asset-Register, darunter Kundendaten, Routenplanungssoftware und GPS-Tracking-Systeme. Für jeden Informationswert wurden potenzielle Bedrohungen und Schwachstellen in Workshops mit den jeweiligen Fachabteilungen ermittelt. Bei der Transportmanagementsoftware wurden beispielsweise Risiken wie unbefugter Zugriff, Datenverlust durch fehlende Backups und Systemausfälle durch DDoS-Angriffe identifiziert.

Für jedes identifizierte Risiko wurde ein Risikoeigner benannt, der für die Überwachung und Behandlung des Risikos verantwortlich ist. Die ermittelten Risiken wurden in einer Risikomatrix visualisiert, um Prioritäten für die Risikobehandlung zu setzen.

Basierend auf der Risikobewertung erstellte das Unternehmen einen Risikobehandlungsplan, der für jedes Risiko die gewählte Behandlungsoption und die spezifischen Maßnahmen aus dem Anhang A der ISO 27001 festlegte. Für das Risiko des unbefugten Zugriffs auf die Transportmanagementsoftware wurden beispielsweise die Maßnahmen A.8.2 (Verwaltung von privilegirten Zugriffsrechten), A.8.5 (Sichere Anmeldeverfahren) und A.5.17 (Passwort-Management-System) ausgewählt.

Als Informationssicherheitsziele legte das Unternehmen folgende fest:

 

• Reduzierung der Sicherheitsvorfälle um 50% im Vergleich zum Vorjahr
• Schulung von 100% der Mitarbeiter zu Informationssicherheitsthemen innerhalb von 12 Monaten
• Implementierung aller „hohen“ Risikobewürfung-Maßnahmen bis zum Ende des Geschäftsjahres

 

Für jedes Ziel wurde ein detaillierter Aktionsplan mit Verantwortlichkeiten, Fristen und erforderlichen Ressourcen erstellt.

 

Kapitel 7: Unterstützung

 

Was sind die Anforderungen der Norm an das Unternehmen?

Kapitel 7 widmet sich den Ressourcen und unterstützenden Elementen, die für ein erfolgreiches ISMS benötigt werden, und umfasst fünf Hauptbereiche:

 

7.1 Ressourcen:

Ein funktionierendes ISMS braucht die passenden Ressourcen. Diskutieren Sie frühzeitig, wieviel Ressourcen angemessen sind. Viele Unternehmen sparen hier und müssen später für eine gelingende Zertifizierung mit externer Hilfe nachlegen. Überlegen Sie daher genau, welche Ressourcen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung Ihres ISMS erforderlich sind. Dazu zählen:

  • Personelle Ressourcen mit den nötigen Fähigkeiten und Kenntnissen
  • Finanzielle Mittel für Investitionen in Sicherheitsmaßnahmen
  • Technische Ressourcen wie Hardware, Software und Infrastruktur
  • Zeit für die Durchführung von ISMS-Aktivitäten

 

Die Bereitstellung ausreichender Ressourcen ist eine Voraussetzung für den Erfolg Ihres ISMS.

 

7.2 Kompetenz:

Ein effektives ISMS braucht kompetente Mitarbeiter. Folgende Schritte helfen dabei:

• Identifizieren Sie, welche Kompetenzen für welche Rollen im Bereich der Informationssicherheit benötigt werden
• Stellen Sie sicher, dass die entsprechenden Personen über diese Kompetenzen verfügen
• Ergreifen Sie bei Bedarf Maßnahmen zum Kompetenzaufbau (Schulungen, Mentoring, Einstellung externer Experten)
• Bewerten Sie die Wirksamkeit dieser Maßnahmen
• Dokumentieren Sie die Kompetenzen und Schulungsmaßnahmen

Die Investition in Mitarbeiterkompetenzen zahlt sich durch ein höheres Sicherheitsniveau aus.

 

7.3 Bewusstsein:

Informationssicherheit ist zudem eine Aufgabe aller Mitarbeiter – und nicht nur ein Projekt für Einzelkämpfer. Sorgen Sie in Abstimmung mit der Geschäftsführung dafür, dass alle Mitarbeiter:

• die Informationssicherheitspolitik kennen und verstehen
• sich ihres Beitrags zur Wirksamkeit des ISMS bewusst sind
• die Vorteile einer verbesserten Informationssicherheit erkennen
• die möglichen Konsequenzen einer Nicht-Einhaltung der ISMS-Anforderungen verstehen

Die Förderung des Sicherheitsbewusstseins kann durch Schulungen, Sensibilisierungskampagnen, regelmäßige Kommunikation und andere Maßnahmen erfolgen.

 

7.4 Kommunikation:

Nicht zu unterschätzen ist eine klare Kommunikation im Unternehmen. Sie ist entscheidend für ein funktionierendes ISMS. Legen Sie fest:

• Über welche Themen kommuniziert werden soll
Wann die Kommunikation erfolgen soll
Mit wem kommuniziert werden soll
Wer für die Kommunikation verantwortlich ist
Welche Kommunikationskanäle genutzt werden sollen

Eine gute Kommunikation umfasst regelmäßige Updates zum Status des ISMS, Informationen über Sicherheitsvorfälle und Änderungen sowie die Förderung des Sicherheitsbewusstseins.

 

7.5 Dokumentierte Information:

Einer der wesentlichen Pfeiler ist eine angemessene Dokumentation. Sofern Sie noch kein übergreifendes Dokumenten-Management-System eingesetzt haben, sollten Sie folgende Aspekte beachten:

7.5.1 Allgemeines: Bei der Erstellung und Aktualisierung dokumentierter Information achten Sie insbesondere auf:

  • Eine klare Kennzeichnung und Beschreibung (Titel, Datum, Autor, Versionsnummer)
  • Ein angemessenes Format und Medium (Papier, elektronisch)
  • Eine Überprüfung und Genehmigung hinsichtlich Eignung und Angemessenheit

 

7.5.2 Lenkung dokumentierter Information: Die Dokumentation sollte zudem so verwaltet werden, dass sie:

  • Verfügbar ist, wenn sie benötigt wird (klingt profan, ist aber einer der häufigsten Probleme)
  • Angemessen geschützt ist (Vertraulichkeit, Integrität)
  • Ihre Prozesse optimal unterstütztDazu gehören Maßnahmen für:
  • Verteilung, Zugriff und Verwendung
  • Speicherung und Aufbewahrung
  • Änderungsverfolgung
  • Entsorgung

 

Eine gut strukturierte Dokumentation macht Ihr ISMS deutlich transparenter und leichter zu steuern.

 

Ein Beispiel aus der Praxis
Ein mittelständischer Anbieter von Medizintechnik mit 70 Mitarbeitern, erkannte die Bedeutung gut geschulter Mitarbeiter für die Informationssicherheit. Das Unternehmen investierte in ein umfangreiches Schulungsprogramm, das aus verschiedenen Modulen bestand:

  1. Eine Grundlagenschulung zur Informationssicherheit für alle Mitarbeiter, die als E-Learning-Kurs mit abschließendem Test angeboten wurde.
  2. Vertiefende Schulungen für IT-Administratoren zu Themen wie Netzwerksicherheit, Patch-Management und Incident Response
  3. Spezielle Schulungen für Entwickler zu sicherer Softwareentwicklung und DevSecOps-Praktiken
  4. Führungskräfteschulungen zu Risikomanagement und Compliance

 

Für die Position des ISMS-Beauftragten wurde ein erfahrener IT-Sicherheitsspezialist eingestellt, der direkt an die Geschäftsführung berichtet. Das Unternehmen stellte ein dediziertes Budget für externe Beratung, technische Sicherheitsmaßnahmen und Schulungen bereit.

 

Zur Förderung des Sicherheitsbewusstseins implementierte das Unternehmen folgende Maßnahmen:

 

  • monatliche Newsletter mit aktuellen Informationen zu Sicherheitsthemen
  • Poster mit Sicherheitshinweisen in den Büroräumen
  • Regelmäßige Phishing-Simulationen mit anschließender Auswertung
  • Sicherheits-Champion-Programm, bei dem Mitarbeiter als Ansprechpartner für Sicherheitsfragen in ihren Abteilungen fungieren

 

Für die Dokumentation des ISMS wurde ein digitales Managementsystem implementiert, das allen berechtigten Mitarbeitern den Zugriff auf aktuelle Versionen der Richtlinien, Verfahren und Arbeitsanweisungen ermöglicht. Das System unterstützt die Versionskontrolle, automatische Benachrichtigungen bei Änderungen und die regelmäßige Überprüfung der Dokumente. Für besonders vertrauliche Dokumente wurden zusätzliche Zugriffsbeschränkungen implementiert.

 

Die Kommunikation über Informationssicherheitsthemen wurde in einem Kommunikationsplan strukturiert, der festlegt, welche Informationen an welche Zielgruppen durch welche Kanäle kommuniziert werden. So werden beispielsweise Sicherheitsvorfälle sofort an das Incident-Response-Team und die Geschäftsführung gemeldet, während allgemeine Updates zum ISMS im monatlichen Newsletter an alle Mitarbeiter kommuniziert werden.

 

Kapitel 8: Betrieb

 

Was sind die Anforderungen der Norm an das Unternehmen?

Kapitel 8 konzentriert sich auf die operative Umsetzung und Steuerung der Prozesse, die für ein wirksames ISMS notwendig sind, und umfasst drei Hauptbereiche:

 

8.1 Betriebliche Planung und Steuerung:

In diesem Abschnitt geht es darum, die geplanten Prozesse in die Praxis umzusetzen. Folgende Aspekte sind dabei zu berücksichtigen:

• Definieren Sie klare Kriterien für Ihre Prozesse
• Setzen Sie Steuerungsmechanismen ein, um die Einhaltung dieser Kriterien zu gewährleisten
Dokumentieren Sie die Prozessdurchführung, um nachweisen zu können, dass alles wie geplant funktioniert

Besondere Aufmerksamkeit verdienen Änderungen an bestehenden Prozessen oder Systemen. Diese sollten kontrolliert erfolgen, um unbeabsichtigte negative Auswirkungen zu vermeiden. Auch ausgelagerte Prozesse sollten Sie nicht aus den Augen verlieren – sie bleiben in Ihrer Verantwortung und sollten entsprechend überwacht werden.

 

8.2 Risikobewertung im Bereich der Informationssicherheit:

Die Risikobewertung ist kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess. Es empfiehlt sich:

 

Regelmäßige Überprüfungen in festgelegten Intervallen durchzuführen
• Bei signifikanten Änderungen (neue Systeme, Prozesse, Bedrohungen) zusätzliche Bewertungen vorzunehmen
• Die Ergebnisse zu dokumentieren, um Trends erkennen und geeignete Maßnahmen ableiten zu können

 

Eine regelmäßige Neubewertung der Risiken hilft Ihnen, mit der sich ständig ändernden Bedrohungslandschaft Schritt zu halten.

 

8.3 Risikobehandlung im Bereich der Informationssicherheit:

Nach der Identifikation und Bewertung der Risiken folgt deren Behandlung. Dabei sollten Sie:

 

• Den in Kapitel 6.1.3 erstellten Risikobehandlungsplan umsetzen
• Die Wirksamkeit der implementierten Maßnahmen überwachen
• Die Ergebnisse dokumentieren, um Fortschritte nachvollziehen und bei Bedarf nachsteuern zu können

 

Die konsequente Umsetzung des Risikobehandlungsplans ist entscheidend für die Reduzierung der identifizierten Risiken auf ein akzeptables Niveau.

 

Ein Beispiel aus der Praxis
Ein mittelständisches Architekturbüro mit 40 Mitarbeitern integrierte Informationssicherheitsanforderungen in ihre etablierten Projektmanagementprozesse. Für jedes neue Kundenprojekt wird nun zu Beginn eine spezifische Risikobewertung durchgeführt, um potenzielle Sicherheitsrisiken zu identifizieren und zu behandeln.

Das Unternehmen implementierte einen formalisierten Change-Management-Prozess für alle Änderungen an IT-Systemen und Prozessen. Vor jeder Änderung wird eine Bewertung der potenziellen Auswirkungen auf die Informationssicherheit durchgeführt. Änderungen mit hohen Sicherheitsrisiken müssen vom ISMS-Beauftragten und der Geschäftsführung genehmigt werden.

Für den Fall eines Sicherheitsvorfalls wurde ein Incident-Response-Plan entwickelt, der die Rollen und Verantwortlichkeiten des Incident-Response-Teams, Eskalationswege und Kommunikationsverfahren festlegt. Der Plan wird jährlich durch Simulationsübungen getestet, bei denen verschiedene Szenarien wie Ransomware-Angriffe oder Datenverluste durchgespielt werden.

Das Unternehmen hat außerdem einen Prozess für die regelmäßige Überprüfung und Aktualisierung des Risikobehandlungsplans implementiert. Vierteljährlich wird der Status aller Risikobewertungsmaßnahmen überprüft und bei Bedarf angepasst. Bei signifikanten Änderungen, wie der Einführung neuer IT-Systeme oder Geschäftsprozesse, wird eine außerplanmäßige Risikobewertung durchgeführt.

Für ausgelagerte Prozesse, wie das Cloud-Hosting der CAD-Software, hat das Unternehmen spezifische Sicherheitsanforderungen in den Verträgen mit den Dienstleistern festgelegt und führt regelmäßige Überprüfungen der Einhaltung dieser Anforderungen durch.

 

Kapitel 9: Bewertung der Leistung

 

Was sind die Anforderungen der Norm an das Unternehmen?

Kapitel 9 befasst sich mit der Überwachung, Messung und Bewertung der Wirksamkeit des ISMS und umfasst drei Hauptbereiche:

 

9.1 Überwachung, Messung, Analyse und Bewertung:

Um sicherzustellen, dass Ihr ISMS wirksam ist, sollten Sie regelmäßig dessen Leistung überprüfen. Dabei gilt es folgendes festzulegen:

  • Was genau soll überwacht und gemessen werden (z.B. Sicherheitsvorfälle, Schulungsteilnahme, Patch-Status)?
  • Welche Methoden sollen dabei zur Überwachung und Messung eingesetzt werden?
  • Wann soll die Überwachung und Messung stattfinden?
  • Wer ist für die Durchführung verantwortlich?
  • Wann und durch wen sollen die Ergebnisse analysiert und bewertet werden?

 

Die Dokumentation der Ergebnisse ermöglicht es Ihnen, Trends zu erkennen und fundierte Entscheidungen zu treffen.

 

9.2 Internes Audit:

Interne Audits bieten eine strukturierte Möglichkeit, die Wirksamkeit Ihres ISMS zu überprüfen. Sie sind allerdings kein „nice-to-have“, sondern ein „Muss“. Demnach müssen Sie:

  • Ein Auditprogramm erstellen, das Häufigkeit, Methoden, Verantwortlichkeiten und Berichtswege festlegt
  • Auditkriterien und -umfang für jedes Audit definieren
  • Unabhängige und objektive Auditoren auswählen
  • Sicherstellen, dass die Auditergebnisse an die relevanten Führungskräfte kommuniziert werden
  • Die Ergebnisse dokumentieren, um Verbesserungspotenziale identifizieren zu können

 

Regelmäßige Audits helfen Ihnen, Abweichungen frühzeitig vor dem jährlichen Zertifizierungs-Audit zu erkennen und zu korrigieren.

 

9.3 Managementbewertung:

Die Geschäftsfürhung muss in regelmäßigen Abständen das ISMS bewerten, um dessen Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Diese Bewertung umfasst folgende Aspekte:

  • den Status von Maßnahmen aus früheren Bewertungen
  • Veränderungen bei externen und internen Faktoren
  • Informationen zur Leistung des ISMS (Nichtkonformitäten, Messergebnisse, Auditergebnisse, Zielerreichung)
  • Mögliche Rückmeldungen von interessierten Parteien
  • Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans
  • Kontinuierliche Verbesserungsmöglichkeiten

 

Die Ergebnisse der Managementbewertung sollten Entscheidungen zu Verbesserungsmöglichkeiten und eventuellen Änderungsbedarf am ISMS umfassen. Eine dokumentierte Managementbewertung unterstreicht das Engagement der obersten Leitung und gibt strategische Orientierung für die Weiterentwicklung des ISMS. Denken Sie daran, dass die Geschäftsführung die Ergebnisse nicht nur vorgetragen bekommt, sondern die Bewertung auch offiziell frei geben muss (z.B. in einem Protokoll)

 

Ein Beispiel aus der Praxis
Ein IT-Dienstleister mit 90 Mitarbeitern, entwickelte folgendes Set von Key Performance Indicators (KPIs) zur Messung der Wirksamkeit ihres ISMS:

 

• Anzahl der Sicherheitsvorfälle, kategorisiert nach Schweregrad
• Mittlere Zeit bis zur Erkennung (MTTD) und mittlere Zeit bis zur Behebung (MTTR) von Sicherheitsvorfällen
• Anzahl und Schweregrad der bei Schwachstellenscans identifizierten Schwachstellen
• Prozentsatz der Mitarbeiter, die Sicherheitsschulungen absolviert haben
• Einhaltungsgrad der technischen Sicherheitsrichtlinien (basierend auf automatisierten Compliance-Scans)

 

Diese KPIs werden nun monatlich erhoben und in einem Dashboard visualisiert, das dem ISMS-Team und der Geschäftsführung zur Verfügung steht. Vierteljährlich wird ein ausführlicher Bericht erstellt, der Trends analysiert und Verbesserungspotenziale aufzeigt.

Das Unternehmen hat ein internes Auditprogramm implementiert, bei dem jährlich alle Bereiche des ISMS auditiert werden. Die Audits werden von geschulten internen Auditoren durchgeführt, die nicht für die zu auditierenden Bereiche verantwortlich sind, um Objektivität zu gewährleisten. Für jeden identifizierten Verbesserungsbedarf wird ein Maßnahmenplan mit Verantwortlichkeiten und Fristen erstellt.

Die jährliche Managementbewertung wird in einem ganztägigen Workshop durchgeführt, an dem die Geschäftsführung, der ISMS-Beauftragte und die Abteilungsleiter teilnehmen. Basierend auf den Ergebnissen der Überwachungsaktivitäten, internen Audits und Risikobewertungen werden strategische Entscheidungen zur Weiterentwicklung des ISMS getroffen und Ressourcen für das kommende Jahr zugewiesen.

Bei der letzten Managementbewertung wurden beispielsweise folgende Entscheidungen getroffen:

 

  • Investition in ein Security Information and Event Management (SIEM) System zur Verbesserung der Erkennung von Sicherheitsvorfällen
  • Verstärkung des Security-Teams durch Einstellung eines zusätzlichen Spezialisten
  • Aktualisierung der Sicherheitsschulungen mit aktuellen Bedrohungsszenarien
  • Überarbeitung des Risikobewertungsprozesses zur besseren Integration in die Geschäftsprozesse

 

 

Kapitel 10: Verbesserung

 

Was sind die Anforderungen der Norm an das Unternehmen?

Kapitel 10 widmet sich abschließend der kontinuierlichen Verbesserung des ISMS und umfasst zwei Hauptbereiche:

 

10.1 Nichtkonformität und Korrekturmaßnahmen:

Wenn etwas nicht wie geplant läuft, ist ein strukturierter Umgang damit entscheidend. Die Norm schlägt hier eine Meta-Bewertung des ISMS als Ganzem vor. Bewerten Sie alle „Nichtkonformitäten“ und die daraus abgeleiteten „Maßnahmen“ übergreifend. Beachten Sie dabei folgende Aspekte und leiten Sie daraus Erkenntnisse für die Zukunft ab:

  • Reagieren Sie angemessen auf Nichtkonformitäten
  • Erörtenr Sie stets Maßnahmen zur Kontrolle und Korrektur
  • Befassen Sie sich mit den Konsequenzen
  • Analysieren Sie die Ursachen, um eine Wiederholung zu vermeiden
  • Prüfen Sie, ob ähnliche Probleme existieren oder auftreten könnten
  • Setzen Sie die erforderlichen Maßnahmen nachvollziehbar um
  • Überprüfen Sie die Wirksamkeit der ergriffenen Maßnahmen
  • Passen Sie bei Bedarf das ISMS an

 

Die Dokumentation der Nichtkonformitäten, der ergriffenen Maßnahmen und deren Ergebnisse hilft Ihnen, aus Fehlern zu lernen und Ihr ISMS gezielt zu verbessern.

 

10.2 Kontinuierliche Verbesserung:

Last but not least: Ein wirksames ISMS entwickelt sich ständig weiter. Die kontinuierliche Verbesserung umfasst:

Regelmäßige Überprüfung der Eignung, Angemessenheit und Wirksamkeit des ISMS
Proaktive Suche nach Verbesserungsmöglichkeiten
• Anpassung an neue Bedrohungen, Technologien und Geschäftsanforderungen
• Integration von Erkenntnissen aus internen und externen Quellen

Die kontinuierliche Verbesserung ist ein zentrales Element der ISO 27001 und stellt sicher, dass Ihr ISMS auch langfristig wirksam bleibt.

 

Ein Beispiel aus der Praxis
Ein mittelständischer Lebensmittelhersteller mit 110 Mitarbeitern, implementierte ein Verbesserungsmanagementsystem, in dem alle identifizierten Nichtkonformitäten und Verbesserungsvorschläge zentral erfasst und verfolgt werden.
Nach einem Sicherheitsvorfall, bei dem durch eine Phishing-E-Mail Zugangsdaten kompromittiert wurden, führte das Unternehmen eine strukturierte Ursachenanalyse durch. Es wurde festgestellt, dass die E-Mail-Filterung unzureichend war und Mitarbeiter nicht ausreichend für Phishing-Versuche sensibilisiert waren. Darüber hinaus ermöglichte das fehlende Zwei-Faktor-Authentifizierungssystem, dass der Angreifer trotz gestohlener Zugangsdaten Zugriff auf kritische Systeme erhielt.

Basierend auf dieser Analyse wurden folgende Korrekturmaßnahmen implementiert:

 

• Aktualisierung der E-Mail-Sicherheitslösung mit verbesserter Phishing-Erkennung
• Durchführung gezielter Schulungen für alle Mitarbeiter zum Thema Phishing
• Einführung regelmäßiger Phishing-Simulationen zur Sensibilisierung
• Implementierung einer Zwei-Faktor-Authentifizierung für alle kritischen Systeme
• Überprüfung aller Administratorkonten und Implementierung des Prinzips der geringsten Privilegien

 

Die Wirksamkeit dieser Maßnahmen wurde durch die Messung der Erfolgsrate bei nachfolgenden Phishing-Simulationen und die Anzahl der erkannten und blockierten Phishing-E-Mails überprüft. Nach sechs Monaten zeigte sich eine signifikante Verbesserung, mit einer Reduzierung der erfolgreichen Phishing-Angriffe um 85%.

 

Für die kontinuierliche Verbesserung etablierte das Unternehmen das folgende systematische Programm:

 

  • Eine quartalsmäßige Überprüfung der Sicherheitslage und -trends durch das ISMS-Team
  • Eine jährliche Bewertung der Angemessenheit und Wirksamkeit des ISMS durch unabhängige externe Experten im Rahmen des internen Audits
  • Die regelmäßige Teilnahme an Branchenspezifischen Sicherheitsgruppen zum Austausch von Best Practices
  • Ein aktives  Feedback von Kunden und Geschäftspartnern zu Sicherheitsthemen
  • Eine kontinuierliche Schulung des Sicherheitsteams zu neuen Technologien und Bedrohungen

 

Basierend auf den Ergebnissen dieser Aktivitäten werden regelmäßig Verbesserungsinitiativen gestartet, die in einen Roadmap für die kontinuierliche Weiterentwicklung des ISMS einfließen.

 

 

Best Practices für die erfolgreiche Implementierung eines ISMS

Der Aufbau einen ISMS ist sicherlich eine komplexe Aufgabe. Man wird auch nicht auf Anhieb alles richtig machen. Viele Diskussionen sind erfahrungsgemäß notwendig. Und auch Fehlentscheidungen werden vorkommen. Das soll Sie aber nicht daran hindern, diesen Weg zu gehen. Denn wenn das ISMS einmal stabil läuft, werden die Vorteile sichtbar. Auf diesem Weg hier einige „Best Practices“:

  1. Management-Engagement als Schlüsselfaktor: Der Erfolg eines ISMS steht und fällt mit dem Engagement und der Unterstützung der obersten Leitung. Sorgen Sie für ein klares Mandat, ausreichende Ressourcen und regelmäßige Berichterstattung an die Geschäftsführung.
  2. Risikoorientierter Ansatz statt Checklisten-Mentalität: Ein ISMS sollte auf einer gründlichen Risikobewertung basieren, nicht auf dem blinden Abhaken von Checklisten. Konzentrieren Sie sich auf die für Ihr Unternehmen relevanten Risiken und priorisieren Sie Ihre Maßnahmen entsprechend.
  3. Integration in bestehende Prozesse statt isolierter Lösungen: Ein ISMS funktioniert am besten, wenn es kein Fremdkörper ist, sondern Teil der bestehenden Geschäftsprozesse. Nutzen Sie existierende Strukturen und Prozesse als Ausgangspunkt für Ihr ISMS.
  4. Sicherheitskultur entwickeln: Informationssicherheit ist keine rein technische Angelegenheit, sondern eine Aufgabe aller Mitarbeiter. Etablieren Sie eine Sicherheitskultur durch regelmäßige Schulungen, Sensibilisierungsmaßnahmen und klare Kommunikation der Bedeutung der Informationssicherheit.
  5. Angemessenheit der Maßnahmen beachten: Die gewählten Sicherheitsmaßnahmen sollten zum Risikoprofil und zur Größe Ihres Unternehmens passen. Nicht jede Maßnahme ist für jedes Unternehmen sinnvoll oder kosteneffizient.
  6. Kontinuierliche Verbesserung als Prozess etablieren: Ein ISMS ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Nutzen Sie den PDCA-Zyklus, um Ihr ISMS stetig zu verbessern und an neue Bedrohungen und Geschäftsanforderungen anzupassen.
  7. Dokumentation als Werkzeug, nicht als Selbstzweck: Eine angemessene Dokumentation ist wichtig, sollte aber nicht zum Selbstzweck werden. Konzentrieren Sie sich auf praktisch nutzbare Dokumente, die tatsächlich Mehrwert für die Organisation bieten.
  8. Technologie als Unterstützung, nicht als Lösung: Sicherheitstechnologien sind wichtige Werkzeuge, aber keine Allheilmittel. Ein ausgewogener Ansatz, der technische, organisatorische und personelle Maßnahmen kombiniert, ist am wirksamsten.
  9. Lieferkette und Drittparteien einbeziehen: Die Sicherheit Ihrer Informationen hängt auch von der Sicherheit Ihrer Geschäftspartner ab. Definieren Sie Sicherheitsanforderungen für Lieferanten und überwachen Sie deren Einhaltung.
  10. Erfolgsmessung implementieren: Definieren Sie KPIs zur Messung der Wirksamkeit Ihres ISMS und kommunizieren Sie Erfolge und Verbesserungspotenziale transparent an alle Beteiligten.

 

Die Implementierung eines ISMS nach ISO 27001 ist für Unternehmen aller Größen und Branchen eine strategische Investition, die weit über die reine Compliance hinausgeht. Ein systematischer Ansatz zur Informationssicherheit schützt nicht nur vor Cyberangriffen und Datenverlust, sondern eröffnet auch neue Geschäftsmöglichkeiten, stärkt das Vertrauen von Kunden und Geschäftspartnern und verschafft Wettbewerbsvorteile. Die Beispiele aus verschiedenen mittelständischen Unternehmen zeigen, dass die Umsetzung der Norm mit einem angemessenen Ressourceneinsatz auch für kleinere Organisationen machbar ist und sich durch vermiedene Sicherheitsvorfälle und neue Geschäftschancen auszahlt.

Die kontinuierliche Verbesserung ist dabei ein zentrales Element: Ein ISMS ist niemals „fertig“, sondern entwickelt sich mit den sich ändernden Bedrohungen, Technologien und Geschäftsanforderungen stetig weiter. Mit einem strategischen, risikorientierten Ansatz und dem Engagement aller Beteiligten können Sie die Herausforderung der ISO 27001-Implementierung erfolgreich meistern und die Informationssicherheit in Ihrem Unternehmen nachhaltig verbessern

 

Schauen Sie sich gerne unsere Musterlösungen zur ISO 27001 im Detail an,

mit der Sie die Norm vollständig implementieren können.

 

ISO 27001 Verfahrensanweisungen
ISO 27001-Haus Prozesse_Verfahren
Dr. Michael Monka ist externer Lead Auditor des TÜV Rheinland für die ISO 27001 und KRITIS.

Für weitere Informationen ...

7 + 8 =