Fachartikel

Ein ISMS-Tool für alle Fälle

Darf es noch ein bisschen mehr sein?

|IT-Security

Sie wollen (oder müssen) ein Informations­sicherheits­managementsystem (ISMS) einführen und hoffen, dies mit minimalem Aufwand nebenbei erledigen zu können? Vielleicht haben Sie auch bereits die erste Version eines ISMS in Ihrem Unternehmen etabliert und hinterfragen die damit verbundenen Aufwände. IT-Security ist ein gesellschaftliches Thema geworden und seit vielen Jahren als Megatrend etabliert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die ISO haben bereits mehrere Versionen ihrer Best Practices veröffentlicht. Daher können Sie zu Recht erwarten, dass der Anbietermarkt ausgereifte und günstige Standardlösungen für die Etablierung oder Aufrechterhaltung eines ISMS bietet. Es fällt jedoch schnell auf, dass die Lösungen in Umfang und Preis voneinander abweichen.

Wie bestimmen Sie also die passende Shortlist in der Anwendungsevaluierung, ohne Äpfel mit Birnen zu vergleichen? Wie ermitteln Sie, welcher Lösungsansatz für Ihre unternehmerischen Ziele der passende ist? Dieser Artikel hilft weiter.

Darauf sollten Sie bei Ihren Anforderungen achten


Der folgende Artikel gibt Ihnen eine Hilfestellung, welche grundsätzlichen Ansätze man unterscheiden kann, um die passenden Tools miteinander zu vergleichen. Diese Hilfestellung basiert auf unseren Kundenprojekten und -gesprächen – nicht nur mit Konzernen, sondern auch mit preissensiblen Klein- und Mittelstandsunternehmen (KMU). Gerade die letzte Gruppe sieht sich mit den NIS-2-Anforderungen konfrontiert und sollte aus jedem ausgegebenen Euro auch maximalen Mehrwert erlangen.

Ganz gleich, ob Sie ein ISMS nach ISO27001, BSI, TISAX oder einem anderem Managementansatz aufbauen, die vier großen Aufwandstreiber sind:

  • Implementierte technische und/oder organisatorische Maßnahmen (TOM) zur Steigerung der IT-Sicherheit
  • Schulung der Mitarbeitenden
  • Dokumentenmanagement, um Anforderungen und Umsetzung nachzuhalten bzw. einem externen Auditor zu belegen
  • Risikomanagement, um Schutzbedürftigkeit der Unternehmensprozesse/-assets und TOMs einem Kosten-Nutzen-Optimum zuzuführen und zu halten

Wie kann ein ISMS-Tool nun bei diesen vier Aufwandstreibern helfen?

Zu den technischen und/oder organisatorischen Maßnahmen gehören z.B. eine Passwortrichtlinie sowie das 4-Augen-Prinzip, aber auch Netzwerkzonen, Firewalls und Berechtigungseinschränkungen gemäß eines Rollenkonzepts. Diese Maßnahmen schützen Sie ganz konkret und können durch ein ISMS-Tool nicht vereinfacht werden. Dafür sind diese Maßnahmen in Ihrem Unternehmen in der Regel bereits umgesetzt.

Die regelmäßige Schulung der Mitarbeitenden zum Thema Informationssicherheit ist in den meisten Unternehmen neu. Sie können entscheiden, ob die Unterweisungen in Präsenztrainings oder Onlineschulungen stattfinden, wie häufig und mit welchen Schwerpunkten. Optimal ist es, die Unterweisung zum Datenschutz mit der Informationssicherheit zusammenzulegen. Die Themen gehören in Deutschland zusammen wie Pech und Schwefel und verwenden die gleichen Begriffe. So wird aus zwei Schulungen eine.

Dokumentenmanagement – von der Pflicht zur Kür

Zu behaupten, dass alles mit sicheren Dingen zugeht, ist das Eine. Das Andere ist es, dies auch Interessierten zu belegen. Dabei haben wir sicherlich vordergründig unsere Kunden im Blick, die uns vertrauen möchten. Stellvertretend für Auditoren der Kunden können wir einen externen Auditor von unserer Informationssicherheit überzeugen und z.B. die ISO27001-Zertifizierung anstreben. Bei näherer Betrachtung zeigt sich jedoch auch, dass die Geschäftsführung eines Unternehmens gerne darauf vertrauen möchte, dass im Unternehmen alles sicher zugeht. Nicht weniger interessiert sind auch die Mitarbeitenden des eigenen Unternehmens, die wissen möchten, wie sie sich korrekt zu verhalten haben, um in ihren Prozessen zur Gesamtsicherheit beizutragen.

Wenn Unternehmen wachsen, dann ergibt es sich von selbst, dass mittels Richtlinien und Anweisungen von oben festgelegt wird, wie die verschiedenen Rollen im Unternehmen miteinander die Produkte und Dienstleistungen zum Kunden bringen. Festgeschrieben steht dies in „Dokumenten“. Die Einhaltung der Richtlinien und Anweisungen belegen die Mitarbeiter vielfach mit ihren Arbeitsergebnissen, aber auch mit Protokollen und Aufzeichnungen.

Die Verwendung einer Textverarbeitung erleichtert den Zugriff auf Dokumente und die Verteilung der digitalen Kopien. Sehr schnell ergibt sich hieraus jedoch die Herausforderung, die zuletzt gültige Version einer Richtlinie oder ein nicht mehr verändertes Protokoll vorzuhalten.

Der nächste Schritt der Aufwandsminimierung ist also ein Dokumentenmanagementtool, welches:

  • an einer zentralen Stelle immer die letzte gültige Version einer Richtlinie veröffentlicht,
  • revisionssicher Änderungen an Richtlinien und Protokollen festschreibt,
  • die Freigabe von Richtlinien und Anweisungen Workflow-gestützt umsetzt,
  • die ersetzten Versionen einer Richtlinie und ihre Gültigkeitszeiträume historisiert.

Ein ISMS-Tool setzt diese Anforderungen also um.

Risikomanagement – das Bauchgefühl vergleichbar machen

Den Aufwand für unsere TOMs rechtfertigen wir damit, dass sie uns vor Gefahren schützen sollen. Doch wie viele Schlösser braucht eine Haustür, um angemessen zu schützen und nicht albern zu werden? Jeder Mensch bewertet dies anders von Tür zu Tür und auch über die Zeit hinweg. Erneut wollen wir unseren Kunden zeigen können, dass angemessene Maßnahmen ergriffen wurden, um Produkte und Dienstleistung sicher auszuliefern. Dabei wollen wir naturgemäß nachweisen, dass keine wichtige Maßnahme fehlte. Behalten Sie jedoch auch die Chance im Blick, auf überflüssige Maßnahmen verzichten zu können und so Kosten zu sparen. Das folgende bekannte Bild enthält alles gerade Geschriebene:

Risikobewertungen sind schnell mit einer Tabellenkalkulation einmalig durchgeführt. Bei wiederholter Anwendung und gesammelter Darstellung zeigt sich, was es bedeutet, Risikobewertungen von zwei Berichtszeiträumen zu vergleichen und verschiedene Risikobewertungen zusammenzufassen.

Ein Tool zum Risikomanagement soll also:

  • eine einheitliche Risikobewertungsmethode für alle Unternehmensbereiche ermöglichen,
  • Risikobewertungen nachvollziehbar darstellen/dokumentieren,
  • Risikobewertungen von verschiedenen Zeitpunkten vergleichen,
  • die Maßnahmenumsetzung und Maßnahmenwirksamkeit verfolgen.

Ein ISMS-Tool setzt diese Anforderung also um.

Die Erfordernisse eines ISMS in drei Toolansätzen


Aus den oben genannten Anforderungen an ein ISMS haben sich am Markt Lösungen entwickelt, die Dokumentenmanagement, Risikomanagement oder beides unterstützen. Tools, die entweder Dokumentenmanagement oder Risikomanagement gut abdecken, haben häufig ihre Kernfunktionalität in einer anderen Notwendigkeit und wurden dann geschickt um die Erfordernisse für ein ISMS ergänzt. Tools, die beides unterstützen, wurden meist mit dem Anspruch als Kernfunktion, ein Managementsystem abzubilden, entwickelt und eignen sich deshalb auch für andere Managementsysteme wie Qualitätsmanagement nach ISO9001, interne Kontrollsysteme oder als Datenschutz-Managementsystem. Sie werden daher bevorzugt als "Integriertes Managementsystem", kurz IMS, oder als "Governance, Risk and Compliance"-Tool, kurz GRC, bezeichnet.

Diese drei Toolansätze lassen sich einfach unterscheiden und gut miteinander vergleichen.

Die SHD empfiehlt also bei der Auswahl eines ISMS-Tools, sich bewusst zu machen, welche Säule eines ISMS den Unternehmenszielen besonders wichtig ist und wo mit organisatorischem Aufwand zu rechnen ist. Bevor wir Ihnen eine Hilfestellung zur Auswahl des geeigneten Ansatzes geben, sollen die drei Ansätze noch anhand von konkreten Toolbeispielen verdeutlicht werden.

Dokumentenbasiertes ISMS

Beispiel Confluence mit ISMS-Vorlagen

Im Confluence werden alle Richtlinien und Anweisungen für ein normgerechtes ISMS aufgebaut und weiterentwickelt. Textverarbeitungsbasierte Funktionen sind damit abgelöst. Risiko- und Aufgabenmanagement erfolgen weiterhin in einer Tabellenkalkulation.

Der Fachbereich kann durch die leichte Zugänglichkeit von Confluence eingebunden werden.

Die Normerfüllung nach ISO27001 wird mit minimalen technischen Kosten erfüllt.

Der wiederholte Pflegeaufwand ist durch fehlende Automatismen erhöht. Die Einbindung von anderen Tools für einzelne Normenbestandteile ist sinnvoll. Die Anwender haben große methodische Freiheiten.

Risikoorientiertes ISMS

Beispiel i-doit mit ISMS

Im i-doit werden Assets und deren Abhängigkeiten untereinander dokumentiert. Die Assets werden einer Schutzbedarfs- und Risikoanalyse unterzogen. Die Risikoanalyse ist gemäß BSI strukturiert. Es ergibt sich eine vereinheitlichte Darstellung der Bedrohungslage und Tabellenkalkulationen sind überflüssig.

Die IT-Mitarbeiter pflegen die CMDB und befüllen viele Inhalte automatisch durch Konnektoren. Der Fachbereich wird wahrscheinlich nicht mit i-doit arbeiten.

Die IT-Abteilung kann die Kosten für IT-Sicherheit rechtfertigen und dem ISB für eventuelle Normerfüllungen eine Risikoanalyse zuarbeiten.

Dokumente in Form von Richtlinien und Anweisungen für die Fachorganisation entstehen nicht. Eine Ableitung der IT-Strategie aus der Unternehmensstrategie wird nicht festgehalten.

Integriertes Managementsystem

Beispiel Aeneis mit ISMS

Die nachhaltige Erfüllung der ISO27001 inkl. Zertifizierung wird angestrebt. Dabei soll die Belegschaft in die Informationssicherheit eingebunden und über die Bedrohungslage aufgeklärt werden. Alle Normenbestandteile sind in einem Tool enthalten. Das ISMS soll Teil eines integrierten Managementsystems sein und z.B. vom Qualitätsmanagement oder dem Datenschutz profitieren.

Die Assetverwaltung ist rudimentär und für ein standardisiertes Risikomanagement ausreichend bzw. erweiterbar.

Viele Automatismen entlasten die Aufwände der Mitarbeiter:

  • Dokumentenfreigabe-Workflow
  • Aufgabenzuweisung und -Workflow
  • Ableitung der Risikoverantwortung und automatische Reviewerinnerung

Management und Fachbereiche konsumieren Bestandteile des ISMS im Tool. Eine verteilte Organisation, wie z.B. in einem Konzern, arbeitet einheitlich in einem Tool.

Erhöhte Kosten des Tools sind durch verringerten Pflegeaufwand und die höhere Qualität der durchgängigen Methodik gerechtfertigt.

Die Aufwandsargumentation


Die Kosten der drei Toolansätze variieren und müssen gerechtfertigt sein. Oben wurde mit einer kleinen Auflistung von Anforderungen bereits dargelegt, welche organisatorischen Aufwände durch eine Digitalisierung eingespart werden können. In Zeiten des Fachkräftemangels sollte genau geprüft werden, wie viele Stunden im Monat Mitarbeitende von ihrer eigentlichen Tätigkeit abgehalten werden dürfen. Vielmehr fällt sogar noch ins Gewicht, ob Sie genügend Personen finden, um die Mehrarbeit zu übernehmen.

Die folgende Grafik veranschaulicht die organisatorischen Aufwände der drei Toolansätze im Vergleich zu keinem Tool und dem Einsatz von Textverarbeitung und Tabellenkalkulation. Das Ganze kann jetzt nicht für jedes Unternehmen mit konkreten Zahlen in EUR hinterlegt werden, aber es stellt die Verhältnisse idealtypisch dar. Wichtig ist die Differenz zwischen den organisatorischen Kosten von keinem Tool und dem Einsatz eines Tools. Diese Differenz vergleichen Sie mit den Lizenz- und Betriebskosten der Tools.

An zwei Zeitpunkten kommen die Automatisierungen und vorgefertigten Strukturen der Tools zum Tragen: Nach einem Jahr zeigt sich, wie aufwendig es ist, die Richtlinien aktuell zu halten, der Maßnahmenumsetzung hinterherzutelefonieren und Risikolisten einzusammeln. Nach drei Jahren gibt es einen weiteren Knick. Dann steht die Rezertifizierung an und Auditoren erwarten in der Regel, dass Sie die Basis eines ISMS vollständig aufgebaut haben. Darunter fallen eben Richtlinien, Dokumentation der TOMs und Nachvollziehbarkeit zur Minimierung von Risiken sowie ein komplettes Statement of Applicability bezüglich der 96 Controls des Annex A der ISO27001. Nun wird es jedoch Zeit auch darzustellen, welche Auswirkungen Risiken auf Ihre Prozesse haben und dass die Prozessverantwortlichen diese auch verantworten – ähnlich wie die Risiken aus dem Arbeitsschutz. Es ist keineswegs üblich, dass ein KMU zu seiner Organisationsstruktur auch eine Prozessstruktur pflegt. Hat das Unternehmen von Anfang an auf ein integriertes Managementsystem wie Aeneis gesetzt, wird dies keine weiteren Auswirkungen haben.

Welchen Weg sollen Sie gehen?


Ihre Wahl des richtigen Toolansatzes, hängt maßgeblich davon ab, wie die Unternehmensführung das Thema ISMS aufstellt. Mit allen drei Ansätzen sind KMUs erfolgreich und bestehen am Markt. Eine Entscheidung heute kann auch durch Entscheidungen in der Zukunft ergänzt werden, denn beim Thema ISMS ist erneut der Weg das eigentliche Ziel.

Mit folgenden Fragen und den dazugehörigen Antworten der Unternehmensführung sollten Sie die richtigen Vergleiche anstellen können und den geeigneten Ansatz verfolgen.

Wir beobachten in der Praxis von KMUs häufig, dass ein IT-naher Mitarbeiter, wenn nicht gleich der IT-Leiter, das Thema ISMS zugeordnet bekommt. Für diesen ist es naheliegend, dass er die IT-Dokumentation aktuell hält und an dieser mittels Risikobetrachtungen der Unternehmensleitung den Mehrwert von Sicherheitsmaßnahmen quantifiziert. Daher lohnt es sich, ein Risikomanagement an der Assetverwaltung/IT-Dokumentation anzudocken. Wird dann noch der Überbau des ISMS mit Richtlinien und Anweisungen gefordert, kann entweder ein geeignetes Dokumentenmanagement um ISMS erweitert oder gleich ein integriertes Managementsystem evaluiert werden. Die Überführung von bestehenden Risikobewertungen sollte Sie nicht davon abbringen, in ein integriertes Managementsystem zu wechseln. Dass sich die Risikomethode weiterentwickelt, sollte in der Methode selbst bereits angelegt sein. Vielmehr müssen Sie darauf achten, dass Sie per Schnittstelle die Assets aus der IT-Dokumentation ins integrierte Managementsystem synchronisieren können, so wie dies bereits zwischen i-doit und Aeneis mit dem SM-VIEW Connect möglich ist.

Vergleich der drei Toolansätze


Um die theoretischen Überlegungen in den obigen Abschnitten auf den Punkt zu bringen, soll die folgende Tabelle nochmal die drei Toolansätze anhand der Beispiele und Kriterien vergleichen.

Fazit


Damit Sie sich selbst ein Bild machen können, haben wir Ihnen typische Aufwandstreiber und passende Tools vorgestellt. Wenn nun der gelernte Vertriebler vor Ihnen steht und fragt: "Darf es noch ein bisschen mehr sein?" und sich der sparsame Unternehmer in Ihnen meldet, dann nehmen Sie sich einen Moment Zeit und lauschen Sie in sich hinein. Was lässt Sie zögern, die "große" Lösung des integrierten Managementsystems zu wählen? Sind es die fehlenden Interessenten in Form von Kunden mit Zertifizierungsanforderungen? Befürchten Sie, dass entweder die Fachbereiche von der technischen Seite der IT-Sicherheit überfordert sind oder sich die IT-Verantwortlichen nicht mit dem "Papierkram" auseinandersetzen wollen? Vielleicht fällt Ihnen auch niemand im Unternehmen ein, der das Thema vorantreiben könnte, und eine Vollzeitstelle ist nicht gerechtfertigt. In diesem Fall sollten Sie statt über ein Tool auch über einen externen Informationssicherheits­beauftragten nachdenken.

Wir empfehlen Ihnen, gerade als KMU, auch kleine Schritte in Betracht zu ziehen – ganz wie es zu Ihrer Organisation passt. Solange nichts passiert, erscheint Vorsorge immer als überflüssig. Aber zusammen mit dem Thema IT-Sicherheit wächst in Ihrem Unternehmen auch die Kompetenz zur Digitalisierung und Risikobewertung. Letzteres ist gleichzeitig auch Chancenmanagement.

Und Chancen darf es gerne ein bisschen mehr geben.

 

Autor: Philipp Klanert

Bildquellen: SHD, Freepik, bilder.net

Kontaktieren Sie uns