Je größer und verteilter Ihr Datenpool ist, desto mehr werden Sie ein Information Security Management System (ISMS) zu schätzen wissen. Ein solches System gibt Ihnen Klarheit über die wichtigen Assets in Ihrem Unternehmen und dient Ihnen als Notfallfahrplan für den Ernstfall.

Einsatz eines ISMS im Unternehmen, um die Informationssicherheit zu erhöhen.
ISMS © leowolfert/Adobe Stock

Definition: Was ist ein ISMS?

Ein Information Security Management System (kurz ISMS) umfasst Regeln, Verfahren, Methoden und Tools, die die Informationssicherheit erhöhen. Es unterstützt Unternehmen dabei, wichtige Daten und Informationen systematisch zu schützen, Vorschriften einzuhalten und IT-Risiken zu vermeiden. Das ISMS arbeitet prozessorientiert und greift bestenfalls über alle Abteilungen hinweg. Außerdem folgt es dem Top-Down-Ansatz. Für das Aufstellen der Sicherheitsziele und Richtlinien der Informationssicherheit ist also die Unternehmensführung verantwortlich.

Apropos Informationssicherheit: Dazu zählt (weit über die IT-Sicherheit hinaus) alles, was schützenswerte Daten und Informationen gegen Gefahren absichert. Egal ob Spionage, Überschwemmung oder Ransomware.

Die Grundlagen des ISMS: Standards, Ziele und Controls

Welche Standards definieren das ISMS?

Die weltweit bekanntesten und wichtigsten Normen für das ISMS sind die internationale Standardreihe ISO/IEC 2700x. Sie definieren den Umfang des Informationssicherheitssystems und konkrete Maßnahmen, um Unternehmensdaten und -informationen zu schützen. Von Bedeutung sind insbesondere:

  • ISO/IEC 27001: Dieser Standard definiert das ISMS, genauer die Zertifizierungsanforderungen, Komponenten und die Nutzung. Erst in diesem Jahr wurde die Norm aktualisiert.
  • ISO/IEC 27002: Mit den ISMS Controls ist hier konkret geregelt, wie man das ISMS entwickelt, implementiert und die Leistung überprüft.
  • … außerdem DIN ISO/IEC 27001 und 27002: Diese Normen betreuen den deutschen Anteil der Normungsarbeit, wobei DIN ISO/IEC 27002 einen Umsetzungsleitfaden inklusive Best Practices für die Maßnahmen aus der DIN ISO/IEC 27001 bereitstellt.

Was sind die Ziele des ISMS?

Um das Hauptziel der Informationssicherheit zu erreichen, müssen die wichtigsten Schutzziele erfüllt sein. Zu den drei primären Schutzzielen für Informationen gehören:

  • Vertraulichkeit: Vertrauliche Informationen dürfen nur autorisierten Personen zugänglich sein, was ein striktes Berechtigungsmanagement erfordert.
  • Integrität: Um die Richtigkeit und Vollständigkeit von Informationen sicherzustellen, müssen die Assets vor Manipulation geschützt und alle Veränderungen genehmigt und nachvollziehbar sein.
  • Verfügbarkeit: Berechtigte Nutzer*Innen müssen jederzeit auf die benötigten Informationen und Dienste zugreifen können.

Weitere von der ISO 27001 normierte Schutzziele sind Authentizität, Zurechenbarkeit, Verbindlichkeit und Verlässlichkeit der Informationen. Der Grad, zu dem die Schutzziele erfüllt sind, gibt Aufschluss über den Status der Informationssicherheit.
In der Praxis ist eine strikte Security Policy erforderlich. Diese dokumentiert die Verantwortung für das ISMS und beinhaltet verbindliche Ziele und Richtlinien. Auch sicherheitsrelevante Fortbildung, flexible Anpassungen des Sicherheitsniveaus und die Vorbereitung auf Störungen und Sicherheitsvorfälle sind praktische Ziele des ISMS.

Wer braucht eine Zertifizierung?

Je nach Land und Branche ist ein ISMS nach ISO-Zertifizierung für Organisationen Pflicht. Viele öffentliche Organisationen, aber auch privatwirtschaftliche Unternehmen diktieren bei Ausschreibungen bestimmte Compliance-Richtlinien und setzen die ISO 27001-Konformität voraus. Doch selbst wenn Ihr Unternehmen nicht zertifizierungspflichtig ist, lohnt sich der Prozess. Bei Konkurrenzdruck zum Beispiel kann die Zertifizierung nach ISO 27001 ein Wettbewerbsvorteil sein – schließlich schafft sie gegenüber Kunden und Partnern Vertrauen und kann als Marketinginstrument genutzt werden.

Was sind ISMS Controls?

Bei ISMS Controls handelt es sich um Maßnahmen zum Schutz der Informationssicherheit, wie zum Beispiel

  • die Nutzung von Antivirusprogrammen,
  • eine Richtlinie, die die Verbindung über einen VPN erfordert oder
  • Sicherheitszugangskarten, um ein Gebäude zu betreten

In ISO/IEC 27001 sind aktuell 93 Controls definiert (Stand November 2022) – geordnet nach den vier Kategorien Organisational/People/Physical und Technological Controls. Jede der Maßnahmen trägt auf organisatorischer, sozialer, physischer oder technischer Ebene dazu bei, die Risiken für Geschäftsdaten zu reduzieren.

Exkurs: Der IT-Grundschutz-Katalog des BSI

Neben den internationalen und den deutschen DIN-Standards spielt auch der IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle. Der Katalog ist an die Norm ISO/IEC 27001 angepasst. Zusammen mit den BSI-Standards dient er deutschen Unternehmen als Leitfaden und Standard für eine höhere Informationssicherheit. Aufgeteilt ist das Kompendium in die IT-Grundschutz-Bausteine, die von Anwendungen über Detektion und Reaktion bis hin zu ISMS reichen.

Im ISMS-Baustein sind unter anderem zu vermeidende Bedrohungen und Schwachstellen sowie Anforderungen für unterschiedliche Sicherheitsniveaus dokumentiert.

Der IT-Sicherheitsbeauftragte und das ISMS

Zu den definierten Aufgaben zählt auch das Ernennen eines IT-Sicherheitsbeauftragten durch das oberste Management. Während die Unternehmensleitung den Anstoß gibt und die Route für das ISMS bestimmt, arbeiten Mitarbeitende diese aus und setzen sie um.

Der Beauftragte koordiniert die ISMS-Prozesse und sollte deshalb eng mit den IT-Verantwortlichen zusammenarbeiten, ob bei der Auswahl neuer Komponenten oder der Konfiguration von Cloud-Anwendungen. Innerhalb des Unternehmens ist der IT-Sicherheitsbeauftragte die erste Adresse für sämtliche Fragen rund um die IT-Sicherheit. Als Bindeglied zwischen Mitarbeiter- und Führungsebene berichtet er direkt dem Management und ist diesem unterstellt.

Wie steht es um den Datenschutz?

Neben dem IT-Sicherheitsbeauftragten braucht es zusätzlich einen Datenschutzbeauftragten, denn wie so oft steckt der Teufel im Detail: Ein ISMS schützt zwar die Unternehmensinformationen, behandelt allerdings alle Daten gleich. Es entspricht daher nicht zwangsläufig den gültigen Datenschutzbestimmungen. Zusätzlich zum ISMS empfiehlt sich daher ein Datenschutzmanagementsystem (DSMS), dass das Informationssicherheitssystem rechtlich und technisch erweitert. Je nach Standort und Branche sollte das DSMS die Einhaltung von beispielsweise DSGVO, TISAX oder HIPPA sicherstellen.

Bestenfalls übernimmt dies eine zusätzliche Fachperson für den Datenschutz. Und auch hier gilt: Je enger Datenschutz- und IT-Sicherheitsbeauftragte zusammenarbeiten, umso besser sind personenbezogene Daten geschützt und umso effektiver arbeitet auch das ISMS.

Eine Roadmap zur Implementierung eines ISMS

Bei der Ausgestaltung des ISMS in Ihrer Organisation können Sie sich an folgendem Fahrplan entlanghangeln:

  1. Richtlinien für die Informationssicherheit erstellen: Was umfassen Ihre Security Policy, Ihr Statement of Applicability und Ihr Risk Treatment Plan?
  2. Geltungsbereich des ISMS definieren: Wo wird das ISMS angewendet und wo nicht? Welche Werte und Informationen sind zu schützen?
  3. Methode zur Risiko-Identifikation wählen: Wie werden Risiken innerhalb des Anwendungsbereichs identifiziert?
  4. Risiken ermitteln und bewerten: Welche Risiken gefährden die Informationssicherheit bzw. sind relevant für das Unternehmen? Welche Konsequenzen drohen?
  5. ISMS Controls definieren und bewerten: Welche Controls eignen sich als Maßnahmen, um diese Risiken zu vermeiden?
  6. Maßnahme zur Risikominderung dokumentieren und nachverfolgen: Wie lassen sich die Maßnahmen durchgängig überwachen?
  7. ISMS kontinuierlich überprüfen und bewerten: Sind die beschlossenen Maßnahmen noch angemessen? Gibt es Mängel oder neue Risiken?

Welche ISMS-Tools gibt es?

Eines für alles, alles in Einem? Die Suche nach einer magischen All-in-One-Lösung für das ISMS ist leider vergeblich. Wie oben beschrieben, besteht ein ISMS aus einer Sammlung von Verfahren und Richtlinien für Informationssicherheit, mit denen sich Mitarbeitende aktiv auseinandersetzen sollten.

Allerdings gibt es durchaus Tools, die Ihrem Team die Implementierung, Umsetzung und den Betrieb eines ISMS vereinfachen. Achten Sie bei der Toolauswahl darauf, dass diese zumindest die BSI-Standards umsetzen erfüllen. Die Anbieter sollten mit dem BSI einen Lizenzvertrag zur Verarbeitung von Daten der IT-Grundschutz-Kataloge oder dem IT-Grundschutz-Kompendium abgeschlossen haben. Einzelne Sicherheitsmaßnahmen wie das kontinuierliche Monitoring und Absichern der Prozesse erfordern spezialisierte Lösungen wie Splunk, Kentik oder ExtraHop. Die Plattformen [A1] schaffen Transparenz und unterstützen Sie beim Erkennen und Vermeiden von Sicherheitsrisiken im Netzwerk.

Fazit: Mit einem ISMS wird Informationssicherheit nachweisbar

Sei es, um sensible Informationen besser zu schützen, wichtige Geschäftsprozesse aufrechtzuerhalten oder Compliance-Anforderungen zu erfüllen: Mit einem Information Security Management System gehen Sie diese Herausforderungen systematisch an. Durch die strukturierte Koordination und risikoorientierte ISMS Controls wird es Ihnen außerdem leichter fallen, Ressourcen zu sparen und Prioritäten zu setzen. Durch die Möglichkeit der Zertifizierung des ISMS wird die Informationssicherheit schließlich nachweisbar – und das kann Ihrem Unternehmen so manche neue Tür öffnen.