Wenn es darum geht, sensible Informationen zu schützen, denkt heute jeder sofort an IT. Doch der Schutz von Informationen betrifft nicht die IT allein: Ob allgemeine Standards wie ISO 27001 oder branchenspezifische Vorgaben – das Thema umfasst alle Bereiche eines Unternehmens. Ein Informationssicherheitsmanagementsystem (ISMS) hilft dabei, alles im Blick zu behalten. Mit einem klug durchdachten ISMS können Sie auch die Vorgaben von NIS 2 – demnächst für viele Unternehmen verbindlich – gut umsetzen. Hier kommt unser „ISMS-101“:
Was ist ein ISMS?
Ein Informationssicherheitsmanagementsystem ist kein IT-Programm, sondern ein umfassendes Konzept, das nicht nur die IT-Infrastruktur betrifft. Es betrachtet den Umgang mit sensiblen Informationen innerhalb der Prozesse eines Unternehmens und stellt über KPIs die Einhaltung wichtiger Standards sicher. Ein gutes ISMS unterstützt auch bei der Planung sinnvoller Schritte zu mehr Informationssicherheit, etwa über Vorgaben bei der Anschaffung neuer Devices.
Welche Bereiche umfasst ein gutes ISMS?
Ein gutes ISMS umfasst die Bereiche IT, physische Sicherheit und personenbezogene Sicherheit. In der IT werden beispielsweise die Themen Kryptografie, der sichere Umgang mit Admin-Konten oder die Datenübertragung betrachtet. Bei der physischen Sicherheit geht es um Punkte wie Zugangsberechtigungen zu und innerhalb von Gebäuden, Besuchermanagement und Einsichtnahme von außen. Personenbezogene Sicherheit befasst sich mit Zugangs- und Zugriffsberechtigungen einzelner Angestellter – und zwar nicht nur bei deren Einstellung, sondern bei jedem Rollenwechsel und beim Ausscheiden aus dem Unternehmen.
Wer ist dafür zuständig?
In letzter Konsequenz ist der CISO (Chief Information Security Officer) verantwortlich. Er oder sie kümmert sich um die geltenden Richtlinien samt Beschreibung und dazugehöriger KPIs sowie der kontinuierlichen Weiterentwicklung des ISMS. Das bedeutet, dass der CISO jedes Jahr überprüft, ob die Dokumente noch dem aktuellen Stand entsprechen und ob die Ergebnisse der KPIs noch im festgelegten Bereich liegen. Alle Mitarbeitenden eines Unternehmens sind verpflichtet, sich an die vorgegebenen Richtlinien zu halten und sie in ihren Bereichen umzusetzen.
Welche Unternehmen sollten ein ISMS haben?
Durch die immer stärkere Verzahnung über die Lieferketten sind alle Unternehmen an der einen oder anderen Stelle von Standards und Vorgaben zur Informationssicherheit betroffen. Es gilt: Als Unternehmen bin ich nicht nur verantwortlich für die Informationen, die ich erzeuge, sondern auch für die Informationen, die ich an meine Lieferanten weitergebe bzw. die ich von meinen Kunden erhalte und in meinem Unternehmen in irgendeiner Form verarbeite. Allein das Speichern von Informationen ist bereits eine Verarbeitung. Ein ISMS ist also für jedes Unternehmen sinnvoll.
Zwei Beispiele:
Ein Designbüro mit zehn Angestellten erledigt Aufträge für einen großen Autohersteller und arbeitet mit hochrelevanten Informationen. Es muss dieselben Standards erfüllen wie sein Kunde.
Eine Reinigungsfirma kümmert sich um die Pflege von Büros und hat Zugang zu Bereichen, in denen sich sensible Informationen befinden können, z. B. auf Schreibtischen oder in Mülleimern. Folglich muss auch sie bestimmte Standards einhalten, um die Informationssicherheit zu gewährleisten.
ISMS – wo fängt man am besten an?
Zunächst muss man sich mit den Standards und Vorgaben, die für das eigene Unternehmen gelten, auseinandersetzen. Und man muss wissen, wo man in puncto Informationssicherheit steht. Ein unvoreingenommener Blick ist dabei unerlässlich, weshalb es sich immer empfiehlt, mit externen Fachleuten zusammenzuarbeiten. Die Skaylink-Expert*innen führen mit Ihnen eine Gap-Analyse durch, die folgende Fragen beantwortet:
- Wo befinden sich sensible Daten in den Unternehmensprozessen?
- Was wurde an diesen Stellen schon für die Informationssicherheit getan?
Aus der Analyse des Ist-Zustands werden Maßnahmen abgeleitet, um ein für Ihr Unternehmen passendes ISMS aufzubauen.
Im zweiten Schritt unterstützen unsere Expert*innen Sie bei der Umsetzung der Maßnahmen. Wir erarbeiten allgemeine Richtlinien und stimmen sie mit den einzelnen Fachbereichen ab, sodass die Vorgaben bestmöglich umgesetzt werden können. Dazu gehört auch die Festlegung klarer KPIs. Nur so lässt sich überprüfen, ob die Richtlinien korrekt und dauerhaft umgesetzt werden.
Wichtig: Als offiziell gilt nur, was in den Richtlinien geschrieben steht. Viele Unternehmen haben zwar an zahlreichen Stellen interne, oft aus Gewohnheit gewachsene Workarounds, z. B. wofür bestimmte Informationen verwendet werden dürfen, um den Anforderungen der Informationssicherheit zu genügen. Doch diese Workarounds wurden nie in einer für alle verbindlichen Richtlinie festgehalten und können nicht auf ihre Tauglichkeit überprüft werden.
Wie aufwändig und teuer ist ein ISMS?
Ein ISMS umfasst alle Unternehmensbereiche. Doch es müssen nicht immer die Maximalforderungen erfüllt werden, damit ein ISMS gut funktioniert. Oft sind es die kleinen Stellschrauben, an denen es liegt. Zu analysieren, welche Informationen wirklich geschützt werden müssen, hilft in der Regel schon weiter. Führen beispielsweise zu strenge Vorgaben für E-Mail-Anhänge dazu, dass sich im Alltag ein unsicherer Weg für den Datenaustausch etabliert hat, etwa über Messenger-Apps? Dann können bessere Definitionen in den Richtlinien für mehr Sicherheit und gleichzeitig weniger Frustration bei den Mitarbeitenden sorgen.
Auch eine Asset-Analyse hilft beim Aufbau eines sinnvollen ISMS. Gibt es noch alte Systeme, die kaum oder gar nicht mehr genutzt werden? Diese sicher zu halten, ist oft mit großem Aufwand verbunden, da sie z. B. nicht mehr gepatcht werden können. Schafft man sie ab, werden Ressourcen freigesetzt, die an anderer Stelle eingesetzt werden können.
Ein geeignetes ISMS soll wirtschaftlich vertretbar sein und Schwachstellen aufzeigen. Sie können Risiken besser einschätzen und vorausschauend planen. Schritt für Schritt erreichen Sie mehr Informationssicherheit und können diese nachhaltig gewährleisten.
Für ein gutes ISMS gilt also nicht „Viel hilft viel“, sondern „Smart zum Ziel“!
ISMS – ein Plus, wer für NIS 2 schon eines hat!
Mit NIS 2 gelten für bestimmte Unternehmen, sogenannte Kritis-Unternehmen, neue Vorgaben und Meldepflichten. Wie bei der Einführung der DSGVO müssen sie sich bei NIS registrieren und die für sie entscheidenden Kommunikationswege klären. Sprich: Was muss wann an wen gemeldet werden? Darüber hinaus ist es wichtig, dass die Unternehmen klären, ob sie von besonderen Maßnahmen betroffen sind.
Wer schon ein ISMS hat, kann sich freuen. Denn damit wird bei der Einführung von NIS 2 alles einfacher: Alle Prozesse und Abläufe, die die Informationssicherheit betreffen, liegen bereits klar auf dem Tisch, verknüpft mit Richtlinien und KPIs.
Wer erst jetzt ein ISMS aufbaut, kommt für NIS 2 allerdings schon zu spät, da die grundlegende Einführung in der Regel mehr als ein Jahr dauert. Dennoch lohnt es sich, sich jetzt auf den Weg zu machen: Ein ISMS hilft langfristig, neue Standards zur Informationssicherheit einfach und schnell zu integrieren.
Wagen Sie sich also an das Thema heran – es lohnt sich! Sie möchten eine Grundeinführung starten, benötigen Hilfe bei der Justierung für NIS 2 oder möchten Ihr ISMS für ein Audit vorbereiten? Das Skaylink-Expertenteam unterstützt Sie gern. Melden Sie sich einfach bei uns!
Vielleicht auch von Interesse für Sie
Azure SQL Edge EOL
Cybersecurity ist Teamsport
Neue visionäre Datenplattform für PFA
MFA-Pflicht für Tenants
Microsoft 365 Copilot Wave 2
Skaylink im Gartner® Market Guide 2024
Warum Chatbots für Unternehmen immer wichtiger werden
Gesteigertes Sicherheitsniveau für Ensinger
PV-Anlagen auf den Dächern von Rechenzentren – gut für die Umwelt und eine lohnende Investition
Keine Panik wegen NIS 2
M365-Datensicherung und -wiederherstellung mit AvePoint Cloud Backup
Microsofts neue Sicherheitsprodukte für Ihre Security Service Edge
Contact
Sie haben noch Fragen zum Thema ISMS?
Unsere Experten freuen sich auf Ihre Anfrage