Was ist ein Informationssicherheits-Managementsystem (ISMS)?

Immer öfter werden deutsche Unternehmen Opfer von Cyberattacken und immer häufiger trifft es kleine und mittlere. Laut einer Studie des Branchenverbands Bitkom entstand 2024 durch digitale Angriffe ein Rekordschaden von rund 267 Milliarden Euro. Zwei Drittel aller im Rahmen der Studie befragten Unternehmen fühlen sich von Cyberattacken sogar in ihrer Existenz bedroht. 

Glücklicherweise sind sie nicht machtlos. 

Ein effektives Instrument, um das Risiko existenzgefährdender Datenverluste und Sabotage zu reduzieren, ist ein Informationssicherheits-Managementsystem. 

Ein Informationssicherheits-Managementsystem beziehungsweise Information Security Management System (ISMS) legt Regeln, Methoden und Abläufe fest, um die Informationssicherheit in einer Organisation zu gewährleisten. Durch den Aufbau eines ISMS entsteht eine Art Handbuch. Es ermöglicht jedem Mitarbeitenden, sämtliche Informationen an seinem Arbeitsplatz sicher zu behandeln. 

Gut zu wissen: Informationssicherheit ist nicht gleich IT-Sicherheit. Während sich erstere auf digitale Daten und Systeme beschränkt, bezieht sich Informationssicherheit auf alle Arten von Daten – auch solche, die zum Beispiel auf Papier in einem Archiv gelagert werden. Allerdings werden Daten heute überwiegend digital gespeichert. 

Hauptmerkmale eines ISMS sind die folgenden: 

• Risikobewertung und Risikomanagement: Verantwortliche ermitteln Risiken für die Informationssicherheit, bewerten sie und definieren Maßnahmen, um sie zu minimieren.  

• Sicherheitsrichtlinien und -prozesse: Um Sicherheitsanforderungen konsistent zu erfüllen, werden klare Richtlinien und Verfahren für den Umgang mit Informationen festgelegt. 

•  Schulungen und Sensibilisierung: Ein wichtiger Teil eines IMS besteht darin, Mitarbeitende über Bedrohungen und den richtigen Umgang damit zu informieren. 

• Überwachung und Verbesserung: Informationssicherheits-Managementsysteme sind nie abgeschlossen. Nur durch die kontinuierliche Überprüfung und Verbesserung von Sicherheitsmaßnahmen halten Unternehmen mit neuen Bedrohungen Schritt. 

Durch eine Zertifizierung weisen Unternehmen nach, dass sie in der Informationssicherheit hohe Standards erfüllen 

Gut zu wissen: Ein ISMS folgt in der Regel dem PDCA-Zyklus (Plan – Do – Check – Act), wie er zum Beispiel aus dem Qualitätsmanagement bekannt ist. 

Ein mittelständisches Unternehmen, das Bauteile für die Automobilindustrie herstellt, arbeitet mit vertraulichen Konstruktionsplänen und Produktionsdaten. 

Im Rahmen eines ISMS analysiert die oder der Sicherheitsbeauftragte mögliche Risiken. Dazu gehört die Gefahr eines Cyberangriffs, durch den sensible Konstruktionspläne gestohlen werden. Im Anschluss legt die verantwortliche Person fest, dass Konstruktionspläne nur auf zugangsbeschränkten Servern gespeichert werden. Mitarbeitende benötigen spezielle Zugriffsrechte, und externe Partner greifen nur auf ausgewählte Daten zu. Zusätzlich überwachen IT-Experten das Netzwerk kontinuierlich auf unautorisierte Zugriffe und verdächtige Aktivitäten, prüfen Sicherheitslücken und schließen sie. 

Schließlich erhalten alle Mitarbeitende des Unternehmens, von der IT bis zur Produktion, regelmäßige Schulungen in Informationssicherheit. 

Im Vordergrund eines ISMS stehen die drei wichtigsten Ziele von Informationssicherheit: 

• Vertraulichkeit: Nur befugte Personen haben Zugriff auf Informationen. 

• Integrität: Informationen können nicht manipuliert werden. 

• Verfügbarkeit: Informationen stehen bereit, wenn man sie benötigt. 

Der Gesetzgeber verpflichtet nur einen kleinen Kreis von Unternehmen dazu, ein ISMS zu betreiben. Allerdings ist dieser Kreis durch die Verabschiedung der NIS 2 im Januar 2023 gewachsen. Als Konsequenz müssen 25.000 bis 40.000 Unternehmen in Deutschland umfassende Schutzmaßnahmen für die Informationssicherheit ergreifen. Weil diese die eigene Lieferkette einschließen, sind auch Zulieferer betroffen. 

Mit einem funktionierenden Informationssicherheitsmanagementsystem profitieren Unternehmen jeder Größe auf verschiedenen Ebenen: 

Eine gute Nachricht für viele Unternehmen, die sich bisher nicht zum Aufbau eines ISMS durchringen konnten, lautet: Oft ist der damit verbundene Aufwand geringer als anfangs befürchtet. Wer sich an der ISO 27001 orientiert, kann die Anforderungen der Norm sehr gut an die eigenen Ressourcen anpassen.

Die meisten Unternehmen, die ein ISMS einführen und zertifizieren lassen wollen, orientieren sich an einer von zwei Normen: 

Sie sind sich unsicher, welcher Standard der richtige für Ihr Unternehmen ist? Erfahren Sie jetzt mehr über die Unterschiede zwischen ISO 27001 und BSI IT-Grundschutz. 

Ein ISMS verfolgt einen Top-Down-Ansatz. Das heißt, die Verantwortung liegt bei der Geschäftsführung. Allerdings delegiert diese Aufbau und Umsetzung in der Regel. Entscheidend für das Funktionieren ist deshalb qualifiziertes Personal.  

Der sogenannte Information Security Officer (ISO) oder Informationssicherheitsbeauftragter spielt dabei eine Schlüsselrolle. Er ist verantwortlich dafür, ein ISMS aufzubauen sowie zu betreiben. Zu seinen Aufgaben gehört es, Sicherheitslücken zu erkennen, Maßnahmen zu ergreifen sowie Mitarbeitende in Sachen Informationssicherheit zu schulen. 

 Je nach Unternehmen kann es zusätzlich zu einem oder mehreren ISOs einen Chief Information Security Officer (CISO) geben, der für die Informations- und Datensicherheit im gesamten Unternehmen verantwortlich ist.  

Bei TÜV NORD können sich Verantwortliche in aufeinander aufbauenden Seminaren zum Information Security Officer, Chief Information Security Officer und Auditor ausbilden lassen. Dasselbe gilt für die Ausbildung zum IT-Grundschutz-Praktiker und der Aufbauschulung zum IT-Grundschutz-Berater.

Cyberattacken stellen bereits heute eine ernsthafte Bedrohung für Unternehmen unterschiedlicher Größe dar. Experten gehen davon aus, dass sich dieser Trend in Zukunft verschärfen wird. Vor allem der Einsatz von künstlicher Intelligenz eröffnet Angreifern neue Möglichkeiten, mit geringem Aufwand hochwertige Phishing-Attacken und Malware zu erstellen. 

Mit dieser Entwicklung steigt die Bedeutung von Informationssicherheitsmanagementsystemen: ein funktionierendes ISMS versetzt Unternehmen und Behörden in die Lage, ihre Sicherheitsmaßnahmen auf einem hohen Level zu halten und konsequent an neue Bedrohungen anzupassen. Durch eine Zertifizierung weisen sie ihr hohes Sicherheitsniveau nach außen hin nach und steigern ihre Wettbewerbsfähigkeit. Dass ein ISMS auch noch dazu beiträgt, Prozesse effizienter zu gestalten, Compliance-Anforderungen zu erfüllen und Geld zu sparen, ist ein weiteres Argument, sich besser heute als morgen mit dem Thema auseinanderzusetzen.