Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

Informationssicherheit im KMU: dringend und wichtig

Der wirkungsvolle Schutz von Informationen und deren permanente Verfügbarkeit ist eine existentielle Notwendigkeit für moderne Unternehmen.

Die Erfahrung seit seiner Publikation im Jahre 2005 zeigt, dass der Management Standard ISO 27001 eine praxistaugliche Grundlage ist, um einen wirkungsvollen Informationsschutz aufzubauen.

  • Haben Sie sich auch schon gefragt, wie lange Ihr Unternehmen ohne Informationen und die zugehörige IT überleben kann?
  • Wissen Sie, welches die grössten Sicherheitslücken in Ihrem Unternehmen sind?
  • Haben Sie sich auch schon gefragt, ob Sie die verfügbaren Mittel optimal einsetzen?


Der Managementstandard ISO 27001...
...hilft Ihnen, diese Fragen zu beantworten, denn ISO 27001 beschreibt die Anforderungen, welche ein Informationssicherheits-Managementsystem (ISMS) erfüllen muss. Informationssicherheit umfasst den Schutz aller relevanter Informationen, Informationsquellen, Informationsträger und zugehöriger Infrastruktur. Das Ziel ist die Gewährleistung von

  • Vertraulichkeit: Beschränkung des Informationszugangs auf berechtigte Nutzer,
  • Integrität: Sicherung der Richtigkeit und Vollständigkeit der Information,
  • Verfügbarkeit: Sicherung des bedarfsorientierten Zugangs zu Informationen.


Es geht dabei nicht nur um Hard-, Software und elektronische Daten, sondern auch um Papierdokumente, Gebäude, Kommunikationsmittel und vertrauliche Informationen in den Köpfen von Mitarbeitern und Lieferanten.

Alle zur Gewährleistung der Informationssicherheit notwendigen Massnahmen werden durch die wiederkehrende Analyse und Bewertung der Geschäftsrisiken im Zusammenhang mit Informationen gesteuert. Durch das Risikomanagement wird die Wirksamkeit der Massnahmen daurernd überwacht; bei Bedarf werden die Massnahmen angepasst.

Damit ist klar: Das Management der Informationssicherheit ist kein IT-Thema, sondern Aufgabe und Verantwortlichkeit der Unternehmensleitung.

Die Stärken von ISO 27001 sind:

  • Der Standard beschränkt sich nicht auf technologische Massnahmen, sondern legt den Schwerpunkt auf eine ganzheitliche Informationssicherheit, also auf Technik, Organisation und Mensch.
  • Sicherheit wird als Prozess verstanden. Dies ist eine wirkungsvolle Unterstützung des Managements, da Prozesse gezielt geplant, betrieben, überwacht, gemessen und optimiert werden können.
  • Der Standard ist mit anderen wichtigen internationalen Standards (ISO 9001 / ISO 14001) harmonisiert. Anwenderfreundliche, integrierte Managementsysteme lassen sich ohne Überschneidungen realisieren.


ISO 27001 beschreibt auf wenigen Seiten in kompakter und abstrakter Weise die Anforderungen an ein Informationssicherheits-Managementsystem. Informationssicherheit wird als geplanter, gelebter, überwachter und sich kontinuierlich verbessernder Prozess entlang dem PDCA-Zyklus (Demingkreis) verstanden. Dabei werden Unternehmensziele, externe Einflüsse (Gesetze, Bedrohungen) und interne Rahmenbedingungen (Risikofähigkeit, Geschäftsprozesse etc.) berücksichtigt. Durch die regelmässige Überprüfung der Wirksamkeit wird das Managementsystem „lernfähig“ und passt sich wechselnden Bedingungen an.

Die Praxis
Der Standard lässt bei der Implementierung grosse Flexibilität zu. Es wird festgelegt, was unter bestimmten Rahmenbedingungen getan werden muss, jedoch nicht wie es getan werden muss. Der Nachteil ist, dass es keine Anleitung für Aufbau und Betrieb eines ISMS gibt.

Nur durch die Erfahrung mit dem Aufbau mehrerer ISMS lässt sich ein Vorteil generieren, denn der Standard ermöglicht schlanke, pragmatische und kostengünstige Managementsysteme, welche zertifiziert werden können. Gerade für KMU ist dies ein wichtiges Kriterium.

Risikomanagement als zentrales Element
Systematisch werden die wichtigen Informationswerte des Unternehmens und die damit verbundenen Risiken identifiziert und der notwendige Schutz festgelegt. Die Risikoanalyse und -Bewertung ist die Basis für angemessene Massnahmen.

Die Erfahrung zeigt, dass qualitative Methoden der Risikoeinschätzung ohne mathematischen Ballast sehr schnell zu guten, nachvollziehbaren Ergebnissen führen. Reale "Katastrophenszenarien" werden mit dem Management und verantwortlichen Mitarbeitern systematisch hinterfragt und analysiert. Anstelle von abstrakten Begriffen und Gewichtungsmethoden wird die betriebstypische Terminologie angewandt. Der Bezug zum vertrauten Tagesgeschäft ist sehr hoch.

Die Vorteile sind:

  • Der Gestaltungsprozess wird transparent und verständlich.
  • Das Risikobewusstsein wird an den eigenen Geschäftsrisiken geschärft.
  • Management und verantwortliche Mitarbeiter können sich wirkungsvoll einbringen und Verantwortung für getroffene Entscheidungen übernehmen.
  • Eine hohe Identifikation des Managements mit dem ISMS.


Gibt es im Unternehmen noch kein umfassendes Risikomanagement, so kann dieses im gleichen Zug aufgebaut werden.

Die Sicherheitsmassnahmen
ISO 27001 schreibt 133 Massnahmenbereiche mit 39 Sicherheitszielen vor, welche durch das Risikomanagement oder die Informationssicherheitspolitik adressiert werden müssen. Dies stellt sicher, dass nichts vergessen wird. Zu jedem Massnahmenbereich sind im Leitfaden ISO 27002 konkrete Massnahmen vorgeschlagen, wie dort die Sicherheit erhöht werden kann. Dies hilft bei der Umsetzung.

Integriertes Managementsystem
Viele Unternehmen haben ein Qualitätsmanagementsystem, vielleicht besteht bereits ein Integriertes Managementsystem, welches die Anforderungen aus ISO 9001, ISO 14001 (Umweltmanagement) und ISO 18001 (Arbeitssicherheitsmanagement) abdeckt.

Dann empfiehlt es sich, dieses Managementsystem als Basis zu nehmen, also die bestehenden Leitlinien und Geschäftprozesse zu erweitern. So passt alles zusammen; Doppelspurigkeiten werden vermieden. Die Implementation des ISMS kann sogar im bestehenden Veränderungsmanagement umgesetzt werden.

Informationssicherheit ins bestehende Managementsystem integrieren: Die Erfahrung zeigt, dass der Aufwand überraschend klein ist.

Hat Ihr Unternehmen noch gar kein dokumentiertes Managementsystem, so lohnt es sich, in einem Projekt ein Managementsystem zu bauen, das sowohl nach ISO 9001 als auch nach ISO 27001 zertifizierbar ist.

Nutzen eines ISMS
Ein ISMS bringt dem Unternehmen folgenden Nutzen:

  • Hohe Risikotransparenz
  • Bewusster Umgang mit Risiken, Reduktion des Risikopotentials
  • Gesteigertes Risikobewusstsein von Management und Mitarbeitern
  • Koordinierte Sicherheitsmassnahmen: weniger Überschneidungen, weniger Lücken.
  • Finanzielle Vorteile, kleinere Fehlerkosten, weniger Ertragsausfälle
  • Sicherstellung der Leistungserbringung dank Business Continuity Management
  • Erhöhung des Vertrauens von Kunden, Geschäftspartnern und Lieferanten dank gelebter Sicherheit
  • Zertifizierung: kommunizierbare und belegbare Informationssicherheit mit internationaler Anerkennung

Autor: Christian Katz

Weiteres über den Autor Christian Katz
Mehr über wissen.org


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Kalender Security Schweiz

Security-Finder Schweiz: Newsletter