Was ist ein Informationssicherheitsmanagementsystem (ISMS)?

Autor Dr. Ewan Fleischmann 29.05.2022

Das Wichtigste in Kürze

Ein Information Security Management System (ISMS) beschreibt Richtlinien, Verfahren und Verantwortlichkeiten mit dem Ziel die Informationssicherheit in einem Unternehmen zu gewährleisten.
Die zunehmende Wichtigkeit von Daten und ebenso zunehmender Regulierungsdruck in Unternehmen nicht zuletzt aufgrund datengetriebener Geschäftsmodelle macht einen ganzheitlichen Schutz von Daten unumgänglich
Treiber zur Einführung sind Kundenanforderungen (TISAX®) oder regulatorische Erfordernisse beim Datenschutz.
Verantwortlich für den Schutz der Daten ist die Unternehmensleitung. Häufig wird die Verantwortung an einen (IT-)Sicherheitsbeauftragten delegiert.
Ein ISMS ersetzt kein DSM, stellt aber eine sehr gute Basis dafür dar.
Wenn man ein Information Security Management System einführt, ist es empfehlenswert sich an internationalen Standards wie ISO/IEC 27001 zu orientieren.

Serie Informationssicherheit

Schutzziele der Informationssicherheit
Informationssicherheitsmanagementsystem (ISMS)

Was ist ein Informationssicherheitsmanagementsystem?

Ein Informationssicherheitsmanagementsystem (ISMS, engl. Information Security Management System) beschreibt Richtlinien, Verfahren und Verantwortlichkeiten mit dem Ziel die Informationssicherheit in einem Unternehmen dauerhaft zu gewährleisten, zu steuern und fortlaufend zu optimieren.

Ein ISMS befasst sich in der Regel mit dem Verhalten und den Verfahren der Mitarbeiter sowie mit Daten und Technologien. Es kann auf eine bestimmte Art von Daten ausgerichtet sein, z. B. auf Kundendaten.

Ein ISMS lässt sich zum Beispiel nach der Norm ISO 27001 einrichten. Diese schreibt keine konkreten Maßnahmen vor, sondern enthält Ziele sowie auch Vorschläge für die Dokumentation, zu internen Audits, zur kontinuierlichen Verbesserung und anderen Themen. Zugegebenermaßen enthalten die unterstüzende Norm ISO/IEC 27002 oder auch der VDA/ISA Fragenkatalog für TISAX sehr wohl konkrete Maßnahmen zur Umsetzung der Ziele.

Wie funktioniert ein ISMS?

Ein funktionierendes Informationssicherheitsmanagementsystem muss den sich ständig ändernden Anforderungen Rechnung tragen. Das folgt aus der einfachen Feststellung, dass es nicht ausreicht, einmalig die schützenswerten Unternehmenswerte zu bestimmen und Leitlinien, Prozesse und Verfahren zu deren Schutz festzulegen. Eine bekannte Methode zur kontinuierlichen Verbesserung ist der aus dem Qualitätsmanagement nach ISO 9001 bekannte PDCA-Zyklus (auch Deming-Kreislauf genannt.)

Auf die Informationssicherheit übertragen, ergibt sich ein „Rad“, dass sich in ständiger Vorwärtsbewegung befindet und durch die kontinuierlich stattfindenden Verbesserungen mit der Zeit eine immer höhere Reifestufe erreicht.

Planung (PLAN)

Planung eines neuen ISMS oder Planung von Anpassungen eines bestehenden ISMS
Abstimmung zu den Zielen, Ressourcen und dem Zeitfenster
Definition & Aktualisierung von
- Informationssicherheitsleitlinie (engl. Security Policy)
- Risikoidentifikation & Risikoanalyse (wie bewerte ich z.B. den Schaden für das Unternehmen falls nach einem Ransomware-Vorfall die Kundendaten öffentlich verfügbar werden)
- Maßnahmenauswahl (wie will ich mit den als problematisch erkannten Risiken umgehen)
- Welche Restrisiken verbleiben nach der Auswahl der Maßnahmen

Umsetzung (DO) – laufender ISMS Betrieb

Umsetzen der während der PLAN-Phase entworfenen Maßnahmen
Awareness-Maßnahmen für die Mitarbeiter
Erkennen und Behandeln von sicherheitsrelevanten Ereignissen (Incident Detection & Incident Response)

Überprüfung (CHECK)

Auswerten des ISMS durch Berichte, Audits, etc.
Durch maßvolles prüfen lassen sich Qualitätsaussagen über den wirtschaftlichen Mehrwert, den Stärken und Schwächen des ISMS erfassen.

Instandhalten und Verbessern (ACT)

Mit dem Umsetzen von „lessons learned“ wird das Informationssicherheitsmanagementsystem kontinuierlich verbessert.
Prüfen ob die festgelegten Maßnahmen auch die beabsichtigten Ziele erreicht haben

Bestandteile eines ISMS

Minimalbestandteile eines grundlegend wirkenden ISMS sollten definierte Verantwortlichkeiten für die Informationssicherheit, eine durch das Management freigegebene Sicherheitsleitlinie mit einem Umsetzungs- und Verbesserungsprozess sein. In der Sicherheitsleitlinie (auch Security Policy genannt) werden grundsätzliche Anforderungen an die Informationssicherheit aus Sicht des Unternehmens bzw. der Organisation festgelegt.

Je nach gewünschter Ausgestaltung kann sich das ISMS auch an bekannten Standards wie der Normenreihe ISO/IEC 27001, VDA/ISA (TISAX®) oder ISIS12 orientieren. In solchen Fällen ist ein ISMS dann aber auch häufig umfangreicher.

Benötigen Sie ein ISMS?

Lassen Sie uns noch heute darüber sprechen!

Kontakt

Wer ist für die Informationssicherheit verantwortlich?

Das Management der Informationssicherheit fällt in den Verantwortungsbereich der Unternehmensleitung. Nach dem Genehmigen einer Informationssicherheitsleitlinie (engl. Security Policy) wird die konkrete Umsetzung üblicherweise an Mitarbeiter wie IT-Sicherheitsbeauftragte und Datenschutzbeauftragte delegiert.

Ein wichtiger Erfolgsfaktor beim Einführen eines ISMS ist die Unterstützung der Unternehmensleitung.

Offensichtlich kann "Informationssicherheit" auch nicht von der IT-Abteilung im Alleingang eingeführt werden. die Auswahl und Umsetzung angemessener Maßnahmen zur Informationssicherheit ist immer Teamarbeit. Diese kann nur durch eine Zusammenarbeit zwischen Fachabteilungen, IT und den IT-Sicherheitsverantwortlichen gelingen.

Warum ist ein Information Security Management System wichtig?

Unternehmen speichern und verarbeiten heutzutage nicht nur Informationen über Produkte und Entwicklungen, sondern häufig auch noch eine große Menge an Daten über die eigenen Kunden. Darunter finden sich auch Verhaltensanalysen, persönliche Informationen, Kreditkarten- und Zahlungsdaten, Informationen über die Gesundheit und vieles mehr.

Die zunehmende Sammlung von Unternehmensdaten in den letzten Jahren sowie die wachsende Bedrohung durch Cyberangriffe und Datenschutzverletzungen haben zu deutlichen Weiterentwicklungen im Bereich des Informationssicherheitsmanagements in Unternehmen geführt. Nicht ganz unbeteiligt sind auch die aktuellen Anforderungen an den Datenschutz (DSGVO, EU-GDPR) mit einem beträchtlichen Strafrahmen.

Was sind die Vorteile eines Informationssicherheitsmanagementsystems?

Ein ganzheitlicher, präventiver Ansatz zur Sicherstellung der Informationssicherheit bietet für Unternehmen und Organisationen einige Vorteile:

Unternehmensweiter Schutz sensibler Informationen

Ein ISMS stellt sicher, dass eigene Informationswerte sowie Daten von Kunden oder Dritten, angemessen gegen alle Bedrohungen geschützt sind.

Höhere Stabilität der Geschäftsprozesse

Indem die Informationssicherheit mit Hilfe eines ISMS zu einem integralen Bestandteil der Geschäftsprozesse gemacht wird, können Unternehmen ihre Risiken für die Informationssicherheit minimieren. Dadurch wird verhindert, dass Sicherheitsvorfälle zu Unterbrechungen führen.

Erfüllung von Compliance-Anforderungen der Kunden

In vielen Bereichen gelten mittlerweile recht umfangreiche Compliance-Anforderungen, sei es im Finanzwesen, kritischen Infrastrukturen (KRITIS) oder auch der Automobilindustrie mit TISAX® / VDA-ISA. Die Nichteinhaltung gesetzlicher und vertraglicher Vorschriften kann Strafen oder auch den Ausschluss auslaufenden Auftragsvergabe nach sich ziehen. Mit einem ISMS stellen Unternehmen sicher, dass sie alle regulatorischen und vertraglichen Anforderungen einhalten, was ihnen gleichzeitig mehr betriebliche und rechtliche Sicherheit gibt.

Verbesserte Wirtschaftlichkeit und Kostenreduzierung

Mit einer zentralen Koordinierung und einem risikobasierter Maßnahmenplan kann ein ISMS beim Setzten von Prioritäten für die knappen personellen und finanziellen Ressourcen. Nach einer anfänglichen Kostenüberschreitung können die Kosten auf lange Sicht gesenkt werden.

Was ist eine ISMS Zertifizierung (BSI IT-Grundschutz, ISO 27001, TISAX, KRITIS)?

Durch eine Zertifizierung ihres ISMS können Unternehmen einen sicheren Umgang mit sensiblen Informationen gegenüber Dritten nachweisen. Das trägt zu einer besseren Außenwirkung und zur Vertrauensbildung bei, was wiederum einen Wettbewerbsvorteil bedeutet.

Auch wird die Etablierung eines ISMS durch regulatorische Anforderungen, wie § 91 Abs. 2 AktG, IT-Sicherheitsgesetz, Basel II, MaRisk oder die Datenschutzgrundverordnung gefordert. Bei kritischen Infrastrukturen (KRITIS) wird durch das IT-Sicherheitsgesetz eine Zertifizierung von Einrichtungen gefordert, die eine hohe Bedeutung haben.

Dazu gibt es sowohl branchenunabhängige Zertifizierungen wie ISO/IEC 27001, ISO/IEC 27001 auf Basis von IT-Grundschutz oder KRITIS. Als Beispiel für eine branchenabhängiges Label sei TISAX® für die Automobilindustrie erwähnt.

Eine Zertifizierung des ISMS nach ISO/IEC 27001, aber auch bei einem Assessment für ein TISAX®-Label wird immer das ISMS geprüft. Dabei wird im Rahmen eines externen Audits geprüft, ob das Informationssicherheitsmanagementsystem alle für die jeweilige Zertifizierung notwendigen Voraussetzungen erfüllt.

Beispiel eines ISMS

Das BSI hat anhand eines mittelständischen, aber fiktiven, Beispielunternehmens, der RECPLAST GmbH, Referenzdokumente zur Einführung und den Betrieb eines ISMS auf Basis des BSI Standards IT-Grundschutz erstellt.

Brauche ich mit einem ISMS noch ein Datenschutzmanagementsystem?

Ein ISMS hilft zwar grundsätzlich Informationen zu schützen, erfüllt jedoch nicht zwingend auch regulatorische Datenschutzanforderungen hinsichtlich der Verarbeitung personenbezogener Daten. Informationssicherheit und Datenschutz versuchen zwar ähnliche Schutzziele zu erreichen, dennoch ersetzt ein ISMS ersetzt kein Datenschutzmanagementsystem (DSMS).

Idealerweise setzt aber ein DSMS auf einem ISMS auf und erweitert es technisch sowie organisatorisch gemäß den datenschutzrechtlichen Vorgaben (Art. 25 und 32 DSGVO). Vorteilhaft ist hierzu eine enge Zusammenarbeit zwischen Informationssicherheitsbeauftragten und Datenschutzbeauftragten.

Was sind die wichtigsten Schritte zur Umsetzung eines Informationssicherheitsmanagementsystems?

Für eine effiziente und wirksame Einführung eines ISMS sollten die folgenden Schritte beachtet werden:

Festlegen des Umfangs

In einem der ersten Schritte ist zu klären, was das ISMS leisten soll. Dazu muss die Unternehmensleitung den Rahmen, die Anwendungsbereiche, Ziele und Grenzen des ISMS in einer Sicherheitsleitlinie festlegen.

Identifizieren der schützenswerten Unternehmenswerte

Welche Werte sollen durch das ISMS geschützt werden? Dabei kann es sich um Kundendaten, Unternehmensdaten, Quellcode, materielle Werte wie Computer, aber auch um immaterielle Werte wie Qualifikationen, Fähigkeiten und Erfahrungen der Mitarbeiter handeln. Der Fokus liegt auf wichtigen und geschäftskritischen Werten, die für den Erfolg des Unternehmens entscheidend sind.

Identifizierung und Bewertung von Risiken

Für jeden schützenswerten Wert müssen mögliche Risiken identifiziert werden. Unternehmen sollten sich beispielsweise fragen, welche Auswirkungen das Risiko hätte, falls Vertraulichkeit, Integrität und Verfügbarkeit verletzt würden. Zum Abschluss ergibt sich eine Einschätzung, welche Risiken aufgrund des zu erwartenden Schadensausmaßes für das Unternehmen noch akzeptabel sind und welche unbedingt reduziert oder beseitigt werden müssen.

Festlegen von Maßnahmen

Auf der Grundlage der vorangegangenen Risikobewertung müssen geeignete und realistische technische und organisatorische Maßnahmen zur Risikominderung oder Risikovermeidung ausgewählt und umgesetzt werden.

Umsetzung der Maßnahmen

Die festgelegten Maßnahmen sollten nun in die betriebliche Realität überführt werden. Falls möglich sollte die Maßnahmen messbar sein, beispielsweise durch die Festlegung von KPIs (Key Performance Indicators).

Mit den bis jetzt aufgezeigten Aktionen ist sind Vorbereitungen für den ISMS-Betrieb bereits sehr weit fortgeschritten und können nun in den ISMS-Regelkreislauf überführt werden.

Wirksamkeit überprüfen

Die beschlossenen und umgesetzten Maßnahmen müssen kontinuierlich überwacht und regelmäßig auf ihre Wirksamkeit überprüft werden.

Verbesserung

Wenn bei den eingeführten Maßnahmen Mängel festgestellt werden, oder gar neue Risiken erkannt - werden, muss der ISMS-Prozess noch einmal durchlaufen werden.

Auf diese Weise kann das ISMS laufend an veränderte Bedingungen oder Anforderungen angepasst und die Informationssicherheit im Unternehmen kontinuierlich verbessert werden.

Woran können sich Unternehmen bei der Umsetzung eines ISMS orientieren?

Grüne Wiese oder Best-Practice Ansatz? Bei der Einführung der notwendigen Sicherheitsmaßnahmen können etablierte Standards wie die ISO 27000-Familie hilfreich sein.

Ein nach diesen Standards entwickeltes ISMS ermöglicht es, Risiken frühzeitig zu erkennen und mittels passgenauer Gegenmaßnahmen zu minimieren. Damit können Unternehmen die primären Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität der verwalteten Informationen sicherstellen. Im Nachgang ist sogar eine Zertifizierung nach ISO 27001 oder ein TISAX®-Label damit relativ einfach möglich ist.

KMUs und kleine Kommunen, können sich beim Aufbau eines ISMS auch an dem vereinfachten Standard ISIS12 orientieren. Dieser besteht aus einen pragmatischen Zwölf-Schritte-Plan.

Warum ist ein ISMS kein Softwareprodukt?

Ein Informationssicherheitsmanagementsystem setzt sich aus Verantwortlichkeiten innerhalb des Unternehmens bzw. der Organisation sowie Richtlinien, Standards und Prozessen zusammen.

Selbstredend gibt es IT-gestützte ISMS-Tools, welche die tägliche Arbeit mit dem ISMS vereinfachen. Jede Suchmaschine fördert eine Unmenge Lösungen und Tools zutage. Beispielsweise Tools für die softwaregestützte Durchführung von Risikomanagement-Prozessen oder der Verwaltung unternehmensinterner Sicherheitsrichtlinien.

Erfahrungsgemäß ist ein Satz guter und erprobter Templates für ein neues ISMS sehr wertvoll und kann die Einführung eines ISMS sehr beschleunigen. Ebenfalls ist eine softwareunterstützte Herangehensweise für das Risikomanagement jedem ans Herz zu legen. Ob es weiterer Helferlein bedarf, lässt sich gar nicht mehr so einfach allgemein sagen.

Auf jeden Fall ist es empfehlenswert einen kurzen Blick auf die aktuell verfügbaren Werkzeuge zu werfen.

Dennoch ist ein ISMS ein Managementsystem für die Informationssicherheit – und dies ist naturgemäß keine Software.