Interview: Wie viel ISMS braucht ein Unternehmen?

Die Digitale Transformation, der Wandel zum örtlich und zeitlich flexiblen Arbeiten sowie die zunehmenden gesetzlichen und regulatorischen Anforderungen, z.B. durch den Datenschutz, führten bei größeren Unternehmen und Organisationen bereits früh zu der Notwendigkeit, Informationssicherheit strukturiert im Rahmen eines Informationssicherheitsmanagementsystem (ISMS) zu betreiben. Mittlerweile ist diese Entwicklung auch bei kleinen und mittelständischen Unternehmen (KMU) angekommen.
Wir haben ein Interview mit Ulf Lorenzen, Prokurist und Bereichsleiter für Informationssicherheit und Datenschutz der Vater Solution GmbH, geführt und nachgefragt, warum ein ISMS für Unternehmen jeder Größenordnung Relevanz hat und welche Möglichkeit es gibt, mit unserem Quick Check den Ist-Status des eigenen ISMS zu ermitteln.

Warum lohnt sich die Einführung eines ISMS auch für KMU?
Ulf Lorenzen: Angriffe auf technische Systeme können heute existenzielle Schäden in Unternehmen oder Organisationen verursachen. Zudem drohen im Schadensfall auch persönliche Haftungsrisiken der Geschäftsleitung aufgrund von Fahrlässigkeit und/oder Verletzung der Sorgfaltspflicht in Bezug auf die Informationssicherheit. Große Unternehmen, welche oft bereits aufgrund des langjährigen Betriebs eines ISMS ein hohes Schutzniveau erreicht haben, verpflichten zunehmend ihre Zulieferunternehmen, ebenfalls ein Schutzniveau nach den weltweiten Standards zu erreichen oder sich sogar zertifizieren zu lassen.
Cyberkriminelle sehen gerade bei kleineren Zuliefererbetrieben mit niedrigerem Schutzniveau die Chance, mit wenig Aufwand einen Einstiegspunkt zu den großen Unternehmen zu finden. Insofern gilt es auch für kleinere Unternehmen, sich mit der Einführung eines ISMS auseinanderzusetzen.

Welche ISMS Standards sind empfehlenswert?
Ulf Lorenzen: Bekannt und weit verbreitet ist der Standard ISO/IEC 27001. Er beschreibt ein sehr umfassendes Informationssicherheitsmanagementsystem, welches aber auch Zeit und Ressourcen benötigt und daher viele KMU zunächst abschreckt. Auch der IT-Grundschutz des BSI beschreibt ein sehr umfangreiches Kompendium an Maßnahmen zur Erhöhung des Schutzniveaus.

Muss es immer ISO27001 oder BSI Grundschutz sein?
Ulf Lorenzen: Nein, es gibt auch weniger aufwändige Alternativen: Gerade für KMU wurde der Standard VdS10000 entwickelt, der bereits eine breite Palette an Grundanforderungen abdeckt und somit einen guten Grundschutz bietet.

Kann das Schutzniveau auch ohne die Zertifizierung erhöht werden?
Ulf Lorenzen: Selbstverständlich. Das kann sogar sehr sinnvoll sein. Manche Unternehmen entscheiden sich ein ISMS Schritt-für-Schritt zu etablieren. Das ISMS ist dann vielleicht (anfangs noch) nicht zertifizierbar, managt jedoch zunehmend alle für das Unternehmen kritischen Informationssicherheitsthemen. Die Informationssicherheit erhöht sich durch jede eingeführte Maßnahme und kann kontinuierlich angepasst und bis hin zur Zertifizierung verbessert werden.

Wie kann ich feststellen, wo ich stehe und was es kostet?
Ulf Lorenzen: Diese Frage stellen sich viele Unternehmen. Wir haben hierfür einen ISMS Quick Check zu den Standards ISO27001 und VdS10000 entwickelt, der dem Unternehmen in vielerlei Hinsicht Klarheit verschafft. Der Quick Check umfasst Folgendes:

• die Bestandsaufnahme des Umsetzungsgrades im Vergleich zur Zertifizierungsreife
• den erforderlichen Aufwand / die Ressourcen bis zum Erreichen der Zertifizierung
• den erforderlichen Aufwand / die Ressourcen für den Regelbetrieb nach der Zertifizierung
• einen realistischen Zeitplan für die Planung und Implementierung des ISMS?  
• Alternativen zum angestrebten Standard und ihr Aufwand im Vergleich

Die Ergebnisse dieses Quick Checks geben dem Unternehmen einen Überblick über den Stand der Informationssicherheit im Unternehmen, die erforderlichen Maßnahmen und den Weg hin zur Erfüllung eines der Standards inkl. der hierfür notwendigen Aufwände. Jeder Kunde erhält somit eine hervorragende Grundlage für weitere Entscheidungen im Bereich der Informationssicherheit.

Einen ersten Ausblick…
auf unsere Vorgehensweise am Beispiel unseres Quick Check ISO27001