Warum ein Informationsmanagementsystem nach ISO?

Cyberangriffe auf Unternehmen und Organisationen sind heute an der Tagesordnung. Längstens sind auch kleinere und kleine Unternehmen in den Fokus geraten. Dabei stellen Angriffe von außen nach wie vor nur einen Teil der lauernden Risiken dar, wenn es um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen geht. Auch die Cloud ist nur dann ein sicherer Hafen, wenn ein gutes Konzept für Backups und Notfälle umgesetzt und funktionsfähig ist, das hat ein kürzlicher Großbrand im größten Rechenzentrum Europas einigen Unternehmen mit teilweise existenzbedrohenden Datenverlusten vor Augen geführt.

Doch wie sich selbst schützen und wie kann ich als Kunde beurteilen, ob mein Lieferant ausreichend Maßnahmen ergriffen hat und vor allem - deren Wirksamkeit regelmäßig überprüft? 

Eine Möglichkeit der Überprüfung sind regelmäßige Audits bei Lieferanten. Das ist aufwändig und man benötigt eine entsprechende Expertise. Insbesondere bei Lieferanten, die deutlich größer sind als die eigene Organisation, ist die Durchführung nahezu unmöglich. 

Großunternehmen und Behörden sichern sich ab, indem sie Ihre Lieferanten in die Pflicht nehmen. In der Vergangenheit waren das oft Fragebögen mit hunderten von Fragen oder eben Lieferantenaudits. Beides hat auf der Lieferantenseite zu erheblichen Aufwänden geführt. 

Ene mene Muh und raus bist du?

Mittlerweile sichert man sich immer öfter bereits vor der Auftragsvergabe ab. Wer als Lieferant keine ISO-27001-Zertifizierung, ein TISAX-Label (eine Entwicklung des Verbandes der Automobilindustrie auf Basis ISO 27001) oder gar eine Zertifizierung nach IT-Grundschutz vorweisen kann, braucht gar nicht erst ein Angebot abgeben und landet auf der Liste der gesperrten Lieferanten. 

Was ist die Lösung?

Ein zertifiziertes Informationsmanagementsystem (ISMS) nach ISO 27001 kann damit mehr und mehr zum Wettbewerbsvorteil oder sogar zur Voraussetzung werden, um mit dem einen oder anderen Kunden Geschäfte zu tätigen. Wird ein TISAX-Label gefordert, ist mit einem bestehenden ISO 27001-Zertifikat der Weg zum Label längst nicht so weit, als wenn man nichts vorweisen kann. Und manch ein Automobilunternehmen ist damit auch bis auf Weiteres zufrieden zu stellen. 

Aber was ist ein ISMS?

Ein zertifiziertes Informationsmanagementsystem (ISMS) nach ISO 27001 kann damit mehr und mehr zum Wettbewerbsvorteil oder sogar zur Voraussetzung werden, um mit dem einen oder anderen Kunden Geschäfte zu tätigen. Wird ein TISAX-Label gefordert, ist mit einem bestehenden ISO 27001-Zertifikat der Weg zum Label längst nicht so weit, als wenn man nichts vorweisen kann. Und manch ein Automobilunternehmen ist damit auch bis auf Weiteres zufrieden zu stellen. 

Was beinhaltet ein ISMS?

Ein ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, Risiken zu ermitteln, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern und vor allem – an die Entwicklung der Organisation und deren Einflüsse von außen regelmäßig anzupassen. Es handelt sich dabei um einen risikobasierten und prozessorientierten Ansatz mit kontinuierlicher Verbesserung. 

Richtig angewandt stellt er sicher, dass Informationssicherheit nach dem Motto „so viel wie nötig, so wenig wie möglich“ implementiert und auf dem aktuellen Stand gehalten wird. 

Oberste Ziele von Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, insbesondere auch im Not- oder Katastrophenfall. 

Wie schnell der Notfall eintreten kann, haben kürzlich einige KMUs im Großraum Stuttgart erfahren. Sie wurden allesamt vom gleichen IT-Dienstleister betreut. Nach der Verschlüsselung aller Daten durch einen Trojaner stand leider auch keine funktionsfähige Datensicherung mehr zur Verfügung. Ein ISMS hätte zumindest die Entdeckungswahrscheinlichkeit für das vorhandene Risiko deutlich erhöht. 

Welche Vorteile bringt ein ISMS

Ein zertifiziertes Informationsmanagementsystem nach ISO 27001 macht Sie zum bevorzugten Partner und bietet somit einen Wettbewerbsvorteil gegenüber Mitstreitern. 

Durch standardisierte und geregelte Prozesse können Compliance Anforderungen nachweislich eingehalten werden. 

Ein weiterer Vorteil ist die Verbesserung der Informationssicherheit, die durch klare Vorgaben und regelmäßige Überprüfung sowie bewussten Umgang gegeben ist. 

Durch ein aktives Risikomanagement werden u.a. Haftungsrisiken reduziert, der risikobasierte Ansatz macht es möglich, erforderliche Maßnahmen zu bewerten und bewusste Entscheidungen zu treffen. 

Nicht mal eben so zwischendurch

Mit der Einführung eines ISMS ist es wie mit einem guten Wein – es braucht eine strukturierte und sorgsame Vorgehensweise und vor allem Zeit zum Reifen. 

Für die Einführung sollte man sich Zeit nehmen und vor allem – rechtzeitig anfangen, wenn ein Zertifikat zu einem bestimmten Zeitpunkt vorliegen muss. Je nach Anforderungen dauert die Einführung und Zertifizierung mindestens 12, besser 18 oder 24 Monate. Und auch das nur, wenn von der obersten Leitung der Organisation Mitarbeit und ausreichend Unterstützung in Form von Ressourcen und Budget bereitgestellt wird

Ein erfahrener Berater, ein gutes, in der Praxis erprobtes Framework mit Dokumenten und Hilfsmitteln kann die Arbeit vereinfachen und die Anzahl der Stolpersteine bei der Zertifizierung reduzieren.