NIK | NETZWERK DER DIGITALWIRTSCHAFT

BLOG

15.03.2021

ISO 27001: Informationssicherheit am Arbeitsplatz meistern

Kernfragen zur Einführung eines ISMS kurz beantwortet

Die Brisanz des Themas Informationssicherheit am Arbeitsplatz wird aktuell durch die starke Nutzung von Home-Offices noch deutlicher: Wie kann man Informationssicherheit gewährleisten und Risiken erkennen?

Die Antwort ist einfach: Schützen können sich Unternehmen mit der Einführung eines ISMS (Informationssicherheits-Managementsystem) und einer entsprechenden Zertifizierung. Die typischen Fragen, die Unternehmen vor der Einführung eines ISMS umtreibt, wollen wir hier klären.

Dafür steht uns Phillip Kuhrt, Berater und Experte für IT- und Informationssicherheit, zur Verfügung. Im Rahmen unserer Veranstaltungsreihe IT Security Friday #ITSF hat er bereits zusammen mit – und am Beispiel der codemanufaktur GmbH die Abläufe eines Zertifizierungsprozesses aufgezeigt.


Herr Kuhrt, können Sie uns kurz erklären, was ein ISMS überhaupt ist?

Ein ISMS ist ein Managementsystem für Informationssicherheit. Vereinfacht kann man sagen, dass es ein Zusammenspiel aus Abläufen und Regeln ist, welche den sicheren Umgang mit Informationen dokumentieren und vorgeben. Die Überprüfung dieser Prozesse und Sicherheitsmaßnahmen findet durch Normen statt. Eine davon ist die international anerkannte Norm ISO/IEC 27001:2015 bzw. das deutsche Pendant DIN EN ISO/IEC 27001:2017. Sie hat einen Katalog von 114 Maßnahmen, die beim Umgang mit Risiken zu berücksichtigen sind.

Gibt es gesetzliche Anforderungen zur Einführung eines ISMS?

Die DSGVO ist hier ein Paradebeispiel. Bei der Verarbeitung von personenbezogenen Daten müssen Maßnahmen zum Schutz der Daten ergriffen werden und nachweisbar sein. Durch ein ISMS kann die Steuerung und Nachweisbarkeit gesichert werden. Aktiengesellschaften müssen nach § 91 AktG ein Überwachungssystem betreiben, um existenzbedrohende Risiken frühzeitig zu erkennen. Darunter fallen selbstverständlich auch Informationssicherheitsrisiken. Diese werden in einem ISMS durch die Durchführung einer Risikobewertung berücksichtigt. Auch für Geschäftsführer einer GmbH kann das ein relevanter Teilaspekt der nach § 43 GmbhG anzuwendenden Sorgfalt sein.

Anders gesagt: Ein ISMS lässt CEOs ruhiger schlafen?

Das kann man wohl so sagen. Im Ergebnis ist sowohl eine Vermeidung von Bußgeldern und Strafen als auch der Schutz gegen existenzbedrohende oder schwerwiegende Vorfälle mit einem ISMS möglich. Außerdem ermöglicht ein ISMS auch die Erschließung neuer Geschäftsfelder oder schlichtweg im Spiel zu bleiben.

Sie sagen also, ein ISMS steigert die Wettbewerbsfähigkeit?

Ja. Allgemein kann man beobachten, dass gewerbliche Kunden oder Auftraggeber zunehmend Geschäftsbeziehungen mit zertifizierten Unternehmen bevorzugen oder sogar vorschreiben. Beispielsweise gibt es ein eigenes Label für Informationssicherheit im Bereich Automotive, TISAX. Dieser Standard basiert auf der ISO 27001 und ist mittlerweile fast durchgängig Voraussetzung für eine Zusammenarbeit innerhalb der Branche. In diesem Fall kann man sagen, dass ein ISMS notwendig ist, um Wettbewerbsteilnehmer zu bleiben. Unternehmen sind zunehmend sensibilisiert, wenn es um die Sicherheit von Informationen und den Datenschutz geht. Eine Zertifizierung und unabhängige Audits nach standardisiertem System wie der ISO 27001 schaffen eine unersetzbare Vertrauensbasis. Die aktuell starke Nutzung von Home-Offices und die Frage, wie dort mit Datenschutz und Informationssicherheit umgegangen wird, wird den Trend noch verstärken.

Was wäre der erste Schritt, wenn man ein ISMS einführen möchte?

Im ersten Schritt sollte man den Geltungsbereich des ISMS und den Kontext des Unternehmens klären. Typische Fragen in diesem Zusammenhang sind: Welche Geschäftsbereiche und Standorte sollen zertifiziert werden? Alle oder nur bestimmte? Kann ein ISMS in meine genutzten Tools und Systeme integriert werden? Der Ausgangspunkt jedes Unternehmens ist individuell. Gerade hier ist eine initiale Beratung sinnvoll. Mit einem fachkundigen Blick auf das Unternehmen kann schnell geklärt werden, was es braucht, um ein ISMS zu implementieren. Beispielsweise ist manchen Unternehmen gar nicht bewusst, dass von der Norm geforderte Sicherheitsmaßnahmen in Bereichen oftmals schon umgesetzt sind. Ebenso haben viele Unternehmen bereits Tools wie Atlassian Confluence, das man als Basis für ein ISMS nutzen kann. Nicht zuletzt sollte man immer vorab klären, welche staatlichen Fördermöglichkeiten infrage kommen und ob man eventuell gleichzeitig weitere Normen, z. B. die ISO 9001 für Qualitätsmanagement einführen möchte. Das kann mögliche Kosten und den Aufwand erheblich reduzieren.

Wieviel Zeit und Geld muss man einplanen? Gerade sagten Sie schon, es gäbe Fördergelder…

Ja, es gibt verschiedene Fördermaßnahmen. Welche für ein Unternehmen in Betracht kommen, sollte unbedingt im Vorfeld geklärt werden. Grundsätzlich gibt es auf diese Frage aber leider keine pauschale Antwort. Der Kosten- und Zeitfaktor ist immer abhängig von der Komplexität und Größe des Unternehmens sowie den notwendigen und bereits bestehenden Maßnahmen.

Danke für das Gespräch!


Phillip Kuhrt
Berater für Unternehmens-
zertifizierung und Experte auf dem Gebiet der IT- und Informationssicherheit
3einhalb GmbH

Kommentar schreiben

* Diese Felder sind erforderlich

Kommentare

Keine Kommentare

Kontakt

info@nik-nbg.de