Informationssicherheitsmanagement-system - Aber bitte mit Zertifikat

Der Aufwand für ein zertifiziertes ISMS scheint beträchtlich. Doch er lohnt sich: Risiken und Kosten sinken, die Wettbewerbsfähigkeit steigt.

Mit dem Vernetzen und Digitalisieren von Geschäftsprozessen wächst das Risiko, zum Ziel eines Cyberangriffs oder durch technische Störungen lahmgelegt zu werden. Beispielsweise können IT-Ausfälle enorme Kosten verursachen und erhebliche Imageverluste mit sich bringt. Umso wichtiger ist es für Unternehmen, wertvolle Informationen systematisch zu schützen.

"Gut beraten ist, wer ein von unabhängiger Stelle geprüftes, mit einem Zertifikat ausgezeichnetes Informationssicherheitsmanagementsystem (ISMS) betreibt. Es deckt mögliche Gefahren zuverlässig auf und sorgt für dauerhaften Schutz. Sicher: Das Einführen eines solchen Managementsystems kostet Zeit und Geld. Und auch die fortlaufende Pflege beansprucht Ressourcen. Doch die Vorteile sind vielfältig und überwiegen in aller Regel." Erklärt Michael Will, Unternehmensberater und Referent der TÜV NORD Akademie.

Am anerkanntesten ist ein ISMS-Zertifikat nach der internationalen Norm ISO 27001, das in Deutschland unter anderem die TÜV-Mitglieder vergeben. Im Gegensatz zu anderen Standards gilt es weltweit und branchenunabhängig als Gütesiegel. Es zeigt Kunden, Geschäftspartnern und Aufsichtsbehörden, dass ein Unternehmen die gesetzlichen oder behördlichen Vorgaben (Compliance) an die IT-Security erfüllt. Zudem ist es ein handfester Wettbewerbsvorteil, insbesondere in Branchen, in denen ein zertifiziertes ISMS noch nicht verbreitet ist.

Nicht selten ist ein nach ISO 27001 zertifiziertes ISMS gefordert, beispielsweise kann es für öffentliche Ausschreibungen erforderlich sein. Auch Einrichtungen in kritischen Infrastrukturen, die eine hohe Bedeutung für das Gemeinwesen haben, sind per IT-Sicherheitsgesetz zu einem zertifizierten ISMS verpflichtet. Immer mehr Branchen fallen unter dieses Gesetz – und geben die Sicherheitsanforderungen an ihre Dienstleister weiter. 

So wichtig das Zertifikat nach außen ist, nicht weniger bedeutsam ist es intern: Der Prozess nach ISO 27001 führt den Unternehmen die Risiken und möglichen Schäden im Umgang mit Informationen vor Augen. Sie selbst können entscheiden, welche Maßnahmen sie umsetzen wollen, um sie zu minimieren – individuell abgestimmt auf die eigene Organisation.

Dafür müssen Unternehmen klare Verantwortlichkeiten und Prozesse etablieren. Das erleichtert nicht nur die tägliche Arbeit, sondern erhöht auch das Bewusstsein für den Datenschutz – im Topmanagement und bei den Mitarbeitern. Beides ist eine wichtige Voraussetzung für mehr Informationssicherheit.

Weniger Datenpannen, IT-Ausfälle und menschliches Fehlverhalten bedeuten auch weniger Kosten. Nicht zuletzt im Falle einer drohenden Haftung: Eine Zertifizierung dient in Gerichtsverhandlungen als Nachweis, dass der Stand der Technik berücksichtigt und verkehrsübliche Sorgfaltspflichten eingehalten wurden. Das verringert mögliche Bußgelder.

Hinzu kommt, dass der Aufwand für die Zertifizierung im Vorfeld oft geringer ist als angenommen. Denn im Grunde entstehen über die vorhandenen oder ohnehin erforderlichen Maßnahmen hinaus keine neuen Anforderungen. Die Zertifizierung selbst muss zwar durch externe Audits erteilt und nach drei Jahren wiederholt werden. Doch eine solche unabhängige Kontrolle der Sicherheitsmaßnahmen empfiehlt sich für ein Unternehmen ohnehin.

Von Unternehmen, die in der Automobilindustrie tätig sind, wird meist das TISAX®-Siegel (Trusted Information Security Assessment Exchange) erwartet. Dieser Branchenstandard des Verbandes der Automobilindustrie (VDA) ist an die ISO 27001 angelehnt, berücksichtigt aber nur diejenigen Anforderungen, die für die Automobilindustrie relevant sind. Dazu kommen branchenspezifische Anforderungen wie der Prototypen-Schutz oder die datentechnische Anbindung Dritter, etwa im Büro eines Erstausrüsters.

„Ein ISO-27001-Zertifikat ist aufwändiger, aber deutlich hochwertiger“, weiß Michael Will. „Wenn TISAX® in meinem Unternehmen funktioniert, habe ich schon ein kleines ISMS aufgebaut.“ Der Experte für Informationssicherheit schult an der TÜV NORD Akademie IT- und Qualitätsbeauftragte, die in ihren Unternehmen ein ISMS einführen wollen. Denn ob mit Zertifikat oder Siegel: Gefragt sind dabei qualifizierte Mitarbeitende. Die TÜV NORD Akademie bietet zahlreiche Seminare zur Informationssicherheit an, unter anderem speziell für die Automobilindustrie.