Wichtige Firmendaten mit System schützen
ISMS ist Chefsache
von Jürgen Mauerer - 09.05.2019
Zentral für den Erfolg des ISMS ist die Unterstützung durch die Geschäftsführung. Das oberste Management legt nicht nur die Leitlinie für Informationssicherheit fest oder gibt das ISMS letztendlich frei, sondern stellt auch die notwendigen Ressourcen und finanziellen Mittel für den Aufbau und den Betrieb des Information Security Management Systems bereit.
„Es ist aber nicht immer einfach, den CEO von der Notwendigkeit eines ISMS zu überzeugen“, weiß Michael Will, Abteilungsleiter Projekt- und Qualitätsmanagement der DOS Software-Systeme GmbH in Wolfsburg. „Manche Geschäftsführer setzen den Fokus bei der Risikoanalyse falsch. Für sie stellt dann der Ausfall der Mails den Super-GAU dar, während sie nicht daran denken, dass der Verlust der Konstruktionsdaten oder Kundendaten zu hohen finanziellen Schäden führen oder die Existenz bedrohen kann. Im direkten Vergleich dazu sind die Kosten für die Einführung sowie den Betrieb eines ISMS geringer. Ist den CEOs das bewusst, folgt dann schnell das Go für den Aufbau eines ISMS.“
Hierfür müssen Firmen mit einer Dauer zwischen neun Monaten und zwei Jahren rechnen - abhängig von der Größe des Unternehmens, dem Anwendungsbereich (Scope) des ISMS, den verfügbaren Ressourcen und der Zeit, die sich die Verantwortlichen abseits des Tagesgeschäfts nehmen können.
Der richtige Scope
Die Definition des Anwendungsbereichs ist ein zentraler Punkt beim Aufbau eines ISMS. „Viele Firmen machen den Fehler, dass sie den Scope zu groß bemessen und alles auf einmal erledigen wollen“, erklärt Gerry Wallner, Head of Department IT Business Applications beim Chemie-Marketing-Unternehmen Helm. Er ist zertifizierter ISO-27001-Auditor und Consultant.
Beim Festlegen des Scopes hilft ein Blick auf die Geschäftsrisiken, da die ISO 27001 einen risikoorientierten Ansatz verfolgt. Die oberste Ebene der Risikoanalyse bildet laut Gerry Wallner die Business Continuity: Welche Themen bergen das größte Risiko für die Werte (Assets wie Informationen, Hardware, Software, Mitarbeiter, Reputation), die Geschäftsprozesse und den Betrieb? Was kann dem Unternehmen und seinen Kunden am meisten Schaden bereiten?
„Die Risikobewertung bildet dann den Startpunkt für das Scoping und die Baseline der Maßnahmen: Welche Maßnahmen sind unbedingt notwendig oder müssen wir unbedingt umsetzen? Der Anwendungsbereich des ISMS kann ein Standort sein, die Leitstelle bei Stromversorgern oder eine Software wie das ERP-System. Letzteres birgt hohe Risiken in sich, da dort die Kundendaten gespeichert sind“, so Wallner.
Wie unterschiedlich der Scope sein kann, zeigen zwei Beispiele: Während EDAG Engineering, ein Entwicklungs-Dienstleister für die Automobilindustrie, den Scope weit fasst und nichts ausgeschlossen hat, beschränkten sich die Stadtwerke Fürstenfeldbruck auf die IT-gesteuerte Leitstelle.
„Der Scope war von Anfang an klar: So wenig wie möglich, so viel wie nötig. Wir haben den Anwendungsbereich auf die IT-gesteuerte Leitstelle beschränkt und damit den vorgeschriebenen Mindestumfang gewählt. Möglicherweise weiten wir den Scope später noch auf unser geografisches Informationssystem GIS und die Kundendatenbank aus. Das ist aber dann eine Management-Entscheidung“, erklärt Michael Manhardt, Leiter Stromnetze bei den Stadtwerken Fürstenfeldbruck.