ISMS: Aufbau eines sicheren Informationssicherheitsmanagementsystems

Was ist ein ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) beschreibt einen systematischen Ansatz, um Informationen innerhalb eines Unternehmens zu verwalten und deren Sicherheit zu gewährleisten. Schutzziele der Informationssicherheit sind vor allem die Vertraulichkeit, Integrität und Verfügbarkeit dieser Informationen.

Ein ISMS stellt Richtlinien, Verfahren und Maßnahmen bereit, um Risiken identifizieren, bewerten und kontrollieren zu können. Die Implementierung eines ISMS ist deshalb ein integraler Bestandteil im Management von Informationssicherheitsrisiken und geht häufig Hand in Hand mit der Datenschutz-Compliance eines Unternehmens.

Gängiger internationaler Standard für die Zertifizierung eines ISMS ist die ISO-Norm ISO/IEC 27001. Diese legt die Anforderungen an ein ISMS fest und dient als Nachweis für die Einhaltung von Best Practices im Bereich der Informationssicherheit.

Vor welchen Risiken soll ein ISMS schützen?

In puncto Informationssicherheit ist kein Unternehmen vor Risiken gefeit. Dies gilt unabhängig von der technischen Ausstattung, dem Umfang automatisierter Prozesse und branchenübergreifend.

Gerade bei Phishing-Angriffen haben wir in der Beratung häufig Fälle, in denen "falsche" Mails derart authentisch gestaltet sind, dass sie kaum noch von "echten" zu unterscheiden sind. Aber auch offline gibt es zahlreiche Sicherheitsrisiken, vornehmlich durch unbeabsichtigte Fehler und Nachlässigkeiten.

Ein Klassiker ist der verlorene USB-Stick, auf dem sensible Informationen enthalten sind. Diese Risiken lassen sich unterscheiden nach:

Verlust der Vertraulichkeit (Confidentiality)

Dies betrifft den Schutz vor unbefugten Zugriffen auf sensible Informationen (z.B. durch Hacking, Phishing, unbefugte Mitarbeiter) und Datendiebstahl (u.a. Ransomware).

Verlust der Integrität (Integrity)

Hierunter fällt die unbefugte Veränderung von Daten, die deren Richtigkeit und Vollständigkeit untergräbt. Dies kann gleichermaßen beabsichtigt (durch gezielte Angriffe) als auch unbeabsichtigt (etwa durch unzureichende Data-Governance) geschehen. Auch fehlerhafte Systeme können zu einer unabsichtlichen Veränderung oder Beschädigung von Daten führen.  

Verlust der Verfügbarkeit (Availability)

Ein häufiges Risiko für die Datenverfügbarkeit ist die gezielte Überlastung von IT-Systemen oder Netzwerken durch Denial-of-Service-Angriffe (DoS). Aber auch Systemausfälle aufgrund technischer Fehler und Naturkatastrophen können dazu führen, dass wichtige Informationen oder Dienste nicht verfügbar sind.

Diese aufgezählten Risiken können durch verschiedene Faktoren hervorgerufen oder begünstigt werden:

Risiken durch interne Faktoren:

Durch ein ISMS sollen unbeabsichtigte Fehler oder Nachlässigkeiten von Mitarbeitern, die zu Sicherheitsvorfällen führen könnten, aufgefangen werden. Darunter fällt der Umgang mit Phishing-Angriffen, die Handhabung von Geräten mit sensiblen Informationen (z.B. USB-Sticks), aber auch die Prävention vor internem Datendiebstahl.

Risiken durch externe Bedrohungen:

Ein ISMS nimmt sämtliche externen Bedrohungen in den Blick. Besonders häufig sind gezielte Cyber-Angriffe, u.a. auch den Gebrauch von Schadsoftware.

Technologische Risiken:

Diese beruhen häufig auf veralteten Systemen, da veraltete oder unsichere Technologie häufig Sicherheitslücken aufweist und dadurch besonders anfällig für Angriffe ist. Aber auch Schwachstellen in der Software können zu erfolgreichen Angriffen führen. Während zero-day-exploits kaum vermeidbar sind, sollten bekannte Sicherheitslücken regelmäßig überprüft und geschlossen werden.

Welche Vorteile hat ein ISMS für Unternehmen?

Ein ISMS sorgt für Schutz sensibler Informationen, Risikominderung, IT-Compliance und Vertrauen.

Schutz sensibler Informationen

Ein ISMS schützt Daten vor unbefugtem Zugriff und Missbrauch. Insbesondere vertrauliche Daten verlangen in der Regel ein erhöhtes Sicherheitsniveau. Durch ein ISMS kann insofern ein angemessener und dem Stand der Technik entsprechender Schutz erreicht werden.

Risikominderung

Durch die systematische Identifizierung und Bewertung von Risiken können diese besser kontrolliert und minimiert werden.

Compliance

Ein ISMS hilft dem Unternehmen, dessen regulatorische Anforderungen zu erfüllen und vertragliche Verpflichtungen einzuhalten. Es bietet somit Schutz vor rechtlichen Konsequenzen (u.a. Schadensersatz, Bußgelder) die durch die Nichteinhaltung von Datenschutzgesetzen, branchenspezifischen Vorschriften oder vertraglichen Verpflichtungen entstehen können.

Vertrauen

Sicherheitsvorfälle gehen häufig mit einem Reputationsverlust einher, der das Vertrauen von Kunden, Partnern und der Öffentlichkeit beeinträchtigt. Ein zertifiziertes ISMS stärkt das Vertrauen von Kunden, Partnern und anderen Stakeholdern in die Sicherheitsmaßnahmen des Unternehmens.

Wie sieht der Aufbau eines effektiven ISMS aus?

Ein ISMS setzt sich aus mehreren korrespondierenden Elementen zusammen. Diese sind so strukturiert, dass Informationssicherheitsrisiken systematisch identifiziert, bewertet und gemanagt werden können.

Richtlinien und Verfahren

Unternehmensspezifische Richtlinien und Verfahren bilden das Herzstück eines jeden ISMS. Durch diese werden Sicherheitsstandards den individuellen Bedürfnissen angepasst und in konkrete Handlungsempfehlungen übersetzt. Unternehmensführung und Mitarbeiter bekommen dadurch eine genaue Anleitung, wie sie ein angemessenes Sicherheitsniveau aufrechterhalten können.

• Informationssicherheitsrichtlinie: Diese dient als grundlegende Richtlinie, mittels der die Informationssicherheitsziele und deren Bedeutung für das Unternehmen festgelegt werden. Die Informationssicherheitsrichtlinie dient somit als unternehmensinterne Orientierung.
• Sicherheitsverfahren: Diese enthalten detaillierte Anweisungen, die die Implementierung und Aufrechterhaltung der Informationssicherheitsmaßnahmen regeln.
• Spezifische Sicherheitsrichtlinien: Diese legen konkrete Maßnahmen für verschiedene Sicherheitsbedürfnisse fest. Dazu gehören beispielsweise Richtlinien für den Zugriff auf Informationen, die Nutzung von IT-Systemen, Passwortmanagement, Mobile-Device-Management etc.

Risikomanagement

Risikomanagement ist ein strukturierter Prozess, durch den sämtliche Risiken einer einheitlichen Bewertung unterzogen werden. Risiken können so standardmäßig erfasst und möglichst aussagekräftig eingeordnet werden. Ein Risiko wird somit nicht bloß erkannt, sondern mit Blick auf Wahrscheinlichkeit und Relevanz für das Unternehmen bewertet.

• Risikoidentifikation: An erster Stelle steht ein Verfahren zur Identifizierung von informationssicherheitsrelevanten Bedrohungen und Schwachstellen.
• Risikobewertung: Die erkannten Risiken werden anhand festgelegter Methoden bezüglich ihrer Wahrscheinlichkeit und ihren potenziellen Auswirkungen bewertet.
• Risikobehandlung: Diese erfolgt durch Strategien zur Handhabung der Risiken, einschließlich Risikovermeidung, -minderung, -übertragung und -akzeptanz.
• Risikoregister: Alle identifizierten Risiken und ergriffenen Maßnahmen zur Risikobehandlung werden dokumentiert.

Sicherheitskontrollen

Sicherheitskontrollen sind der praktische Abwehrmechanismus eines ISMS und dienen der tatsächlichen Handhabung sämtlicher Sicherheitsrisiken.

• Technische Kontrollen: Dies umfasst Maßnahmen wie Firewalls, Verschlüsselung, Intrusion-Detection-Systeme und Zugriffskontrollen.
• Organisatorische Kontrollen: Hierunter fallen Verwaltungs- und Prozesskontrollen wie Schulungen, Benutzerberechtigungen, und Sicherheitsrichtlinien.
• Physische Kontrollen: Dabei handelt es sich um Maßnahmen zum Schutz der physischen Umgebung, wie z.B. Zutrittskontrollen, Sicherheitskameras und Sicherungen von Serverräumen.

Dokumentation

Die Dokumentation dient dem Nachweis eines ISMS und als Grundlage für dessen Evaluation.

• ISMS-Handbuch: Ein umfassendes Dokument, das die Struktur, Prozesse, Richtlinien und Verfahren des ISMS beschreibt.
• Protokolle und Aufzeichnungen: Regelmäßige Aufzeichnungen über durchgeführte Sicherheitsüberprüfungen, Schulungen, Vorfälle und Audits.
• Prozessdokumentation: Detaillierte Beschreibungen der Abläufe und Verantwortlichkeiten im Zusammenhang mit der Informationssicherheit.

Vorfallmanagement

Um Zwischenfälle effektiv zu handhaben, bedarf es eines incident-response-managements.

• Vorfallreaktionsplan: Dieser beschreibt, wie auf Informationssicherheitsvorfälle reagiert werden soll.Einschließlich der Identifikation, Eindämmung, Analyse und Behebung von Sicherheitsvorfällen.
• Vorfallprotokollierung: Systeme und Prozesse zur Erfassung und Analyse von Sicherheitsvorfällen, um Wiederholungen zu verhindern und aus Vorfällen zu lernen.

Schulung und Kommunikation

Ein ISMS kann nur erfolgreich und effektiv eingesetzt werden, wenn alle Beteiligten an einem Strang ziehen. Die Sensibilisierung und Schulung von Mitarbeitern stellen deshalb eigene und besonders wesentliche Element eines ISMS dar.

• Mitarbeiterschulungen: Regelmäßige Schulungsprogramme, durch die alle Mitarbeiter über die Informationssicherheitsrichtlinien informiert werden und lernen, wie sie sicher mit Informationen umgehen.
• Sensibilisierungsmaßnahmen: Kampagnen und Workshops, die das Bewusstsein für Informationssicherheitsrisiken und Best Practices fördern.
• Interne Kommunikation: Sicherstellen, dass alle Mitarbeiter über die neuesten ISMS-Strategien, Richtlinien und ihre individuellen Verantwortlichkeiten informiert sind.
• Externe Kommunikation: Informieren von Kunden, Partnern und anderen Stakeholdern über die Sicherheitsmaßnahmen und Compliance-Verpflichtungen der Organisation.

Überwachung und Bewertung

Ein ISMS ist auf kontinuierliche Überwachung und Evaluation angewiesen. Dies kann anhand folgender Maßnahmen umgesetzt werden:

• Kontinuierliche Überwachung: Implementierung von Überwachungstools und Prozessen zur ständigen Überwachung der Informationssicherheit.
• Interne Audits: Regelmäßige Prüfungen durch interne oder externe Auditoren, um die Wirksamkeit und Einhaltung des ISMS zu bewerten.
• Managementbewertung: Periodische Überprüfung des ISMS durch das Management, um sicherzustellen, dass es den Unternehmenszielen entspricht und Verbesserungsbedarf ermittelt wird.

Kontinuierliche Verbesserung

Die Bewertung eines ISMS geht Hand in Hand mit dessen kontinuierlicher Verbesserung.

• Korrektur- und Vorbeugemaßnahmen: Prozesse zur Identifizierung von Schwachstellen und deren Behebung, um die Informationssicherheit kontinuierlich zu verbessern.
• Feedback-Mechanismen: Verfahren zur Sammlung und Analyse von Feedback, um das ISMS weiterzuentwickeln und an sich ändernde Bedrohungen anzupassen.

Gibt es eine gesetzliche Pflicht oder Voraussetzungen für ein ISMS?

Grundsätzlich sollte jedes Unternehmen, dass eine Vielzahl von Informationen vorhält sich in Bezug auf seine Informationssicherheit absichern. Ob ein ISMS notwendig ist und wie es konkret ausgestaltet sein sollte, hängt jedoch von der Branche, Region und Art der verarbeiteten Daten ab.

Es gibt verschiedene regulatorische Anforderungen, die die Einführung eines ISMS vorschreiben oder zumindest nahelegen. Für Unternehmen, die unter diese Regulierungen fallen, kann ein ISMS somit zumindest faktisch unentbehrlich sein.

DSGVO

Die DSGVO verpflichtet Unternehmen bei der Verarbeitung personenbezogener Daten, zu deren Schutz geeignete technische und organisatorische Maßnahmen (TOM) zu implementieren. Ein ISMS wird dadurch zwar nicht explizit vorgeschrieben, ist jedoch eine bewährte Methode, um die Einhaltung der DSGVO zu gewährleisten.

NIS2-Richtlinie

Die NIS2-Richtlinie verlangt von Unternehmen ab einer bestimmten Größe und in festgelegten Sektoren, ihre Netz- und Informationssysteme durch geeignete Sicherheitsvorkehrungen zu schützen. Ein ISMS kann dabei helfen, diese Anforderungen zu erfüllen

Finanzdienstleistungsbranche (z.B. Basel II/III, MaRisk)

Finanzinstitute sind verpflichtet, IT- und Informationssicherheitsrisiken angemessen zu managen. Ein ISMS hilft dabei, die regulatorischen Anforderungen zur Risikosteuerung und -kontrolle zu erfüllen.

BSI-Gesetz

In Deutschland müssen Betreiber kritischer Infrastrukturen (KRITIS) gemäß dem IT-Sicherheitsgesetz (Teil des BSI-Gesetzes) ein ISMS einführen und betreiben, um die Sicherheit ihrer IT-Systeme zu gewährleisten. Die Einführung eines ISMS nach ISO/IEC 27001 oder einem vergleichbaren Standard ist eine übliche Praxis zur Erfüllung dieser Anforderungen.

Telekommunikationsgesetz (TKG)

Das TKG verlangt von Telekommunikationsanbietern, angemessene Sicherheitsmaßnahmen zum Schutz von Kundendaten und Netzwerken zu treffen. Ein ISMS kann dazu beitragen, diese Sicherheitsmaßnahmen systematisch umzusetzen.

Gibt es offizielle Standards für ISMS?

Als Maßstab einer guten Informationssicherheitspraxis gilt ISO/IEC 27001. Eine Zertifizierung ist zwar gesetzlich nicht vorgeschrieben, kann jedoch als Nachweis dafür dienen, dass eine Organisation die Anforderungen an Informationssicherheit systematisch erfüllt. Daneben existieren branchenspezifische Standards, im Bereich der Automobilindustrie etwa TISAX.

Wie implementiert man ein ISMS im Unternehmen?

Die Implementierung eines ISMS erfordert einen strukturierten und methodischen Ansatz. Dies beinhaltet in der Regel folgende Schritte:

#1 Initialisierung und Vorbereitung

Am Anfang jeder ISMS-Implementierung steht die Unterstützung des Projekts durch die Unternehmensleitung - diese muss Ressourcen bereitstellen und seine Ziele festlegen. Zudem muss der Anwendungsbereich des ISMS definiert werden - für welche Geschäftsbereiche, Standorte, Informationen und IT-Systeme soll das ISMS gelten? Im Anschluss daran kann eine Informationssicherheitsrichtlinie entwickelt werden (s.o.).

#2 Risikomanagement etablieren

Im zweiten Schritt sollte ein Risikomanagement entwickelt werden. Dieses legt fest, welche Informationswerte (z.B. Kundendaten, Geschäftsgeheimnisse) wie geschützt werden sollen (für Details s.o.).

#3 Sicherheitsmaßnahmen und Kontrollen implementieren

Anknüpfend kann mit der Implementierung von Sicherheitsmaßnahmen begonnen werden.

#4 Integration in die Unternehmensprozesse

Das ISMS muss aktiver Teil der Geschäftsprozesse werden. Je nach Geltungsbereich müssen andere Managementsysteme und Unternehmensabläufe mit dem ISMS verknüpft werden.

#5 Schulung und Sensibilisierung der Mitarbeiter

Sobald der Fahrplan für ein ISMS steht, müssen seine Anwender - im Regelfall die Mitarbeiter - gezielt im Hinblick auf die neuen Verfahren und ihre individuellen Verantwortlichkeiten geschult werden.

#6 Dokumentation und Verfahren

Das ISMS selbst - Richtlinien, Verfahren und Kontrollen - sowie alle identifizierten Risiken - Risikoregister - müssen kontinuierlich dokumentiert werden.

#7 Überwachung und Auditierung

Um die Wirksamkeit sicherzustellen, sollten Verfahren zur kontinuierlichen Überwachung implementiert und diese regelmäßig durch interne Audits überprüft werden.

#8 Zertifizierung (optional)

Wenn gewünscht, kann das ISMS nach ISO/IEC 27001 oder einem anderen branchenspezifischen Standard zertifiziert werden. Dies erfordert die Vorbereitung auf ein externes Audit durch eine Zertifizierungsstelle.

#9 Kontinuierliche Verbesserung

Anhand des Feedbacks aus Überwachung, Audits und Vorfällen können Schwachstellen behoben und künftigen Sicherheitsvorfällen vorgebeugt werden.

#10 On top: Kommunikation und Berichtswesen

Die Relevanz des ISMS sollte kontinuierlich kommuniziert werden. Dies schließt ein, dass Mitarbeiter regelmäßig über Aktivitäten rund um das ISMS informiert werden. Auch externe Stakeholder sollten über die Sicherheitsmaßnahmen im Bilde sein.

Wer ist im Unternehmen für das ISMS verantwortlich?

In einem Unternehmen ist in der Regel der Informationssicherheitsbeauftragte (ISB) oder der Chief Information Security Officer (CISO) für das ISMS verantwortlich. Der CISO ist die ranghöchste Person mit Verantwortung über das ISMS und agiert eher strategisch. Demgegenüber ist die Rolle des ISB eher spezialisiert und betrifft die Umsetzung der Maßnahmen.

In der Praxis werden die Begriffe regelmäßig synonym gebraucht und weisen in der alltäglichen Aufgabenzuteilung kaum Unterschiede auf. Je nach Unternehmensgröße und -struktur kann die Verantwortung über das ISMS aber durchaus auch auf mehrere Schultern verteilt sein. Diese Aufgaben müssen nicht zwangsläufig unternehmensintern betreut werden, sondern können auch durch einen externen ISB wahrgenommen werden.

Dies bietet den Vorteil, dass heikle Fragen der IT-Sicherheit mit der notwendigen Expertise beurteilt werden können. Gleichzeitig vermeiden Unternehmen dadurch personelle Ausfälle infolge der Schulung und Aufgabenwahrnehmung durch Mitarbeiter.

Gibt es Strafen, wenn man kein ordentliches ISMS hat?

Ob Strafen drohen, wenn ein Unternehmen kein ordentliches ISMS implementiert hat, hängt im Wesentlichen von der Branche ab und davon, welche regulatorischen Anforderungen bestehen. Generell kann ein nicht ordnungsgemäßes ISMS Verletzungen des Schutzes personenbezogener Daten begünstigen und so zu Bußgeldern und Schadensersatzforderungen führen.

In stark regulierten Branchen, wie im Bereich von Finanzdienstleistungen, kann ein Verstoß gegen die spezifischen Informationssicherheitsanforderungen u.a. zu Geldstrafen und Lizenzentzug führen.

Gibt es ISMS-Software, die man nutzen kann?

Am Markt ist eine Vielzahl von Software-Lösungen mit verschiedenen Funktionalitäten verfügbar, die bei der Umsetzung eines ISMS unterstützen können. Gerade mit Blick auf den Leistungsumfang bestehen zum Teil erhebliche Unterschiede. So bieten einige Tools einen full service hinsichtlich Anpassbarkeit und Umfang der angebotenen Standards. Neben der Implementierung eines ISMS beinhaltet dies regelmäßig die Umsetzung umfassender Compliancepakete, beispielsweise auch im Bereich DSMS.

Daneben existieren schlankere Lösungen, die eine gezielte Unterstützung bei einzelnen ISMS-Bedürfnissen, etwa durch Bereitstellung der Dokumentation, ermöglichen. Welche ISMS-Software zu einem Unternehmen passt, hängt im Regelfall von der Komplexität und dem Umfang der unternehmensinternen Datenbestände ab. Für kleinere Unternehmen mit überschaubaren Datenflüssen kann eine Dokumentationssoftware ausreichend sein. Mit wachsender Betriebsgröße und branchenspezifischen Informationssicherheitsanforderungen sind häufig umfänglichere Lösungen nützlich.

Mit der Data-Responsibility-Software unseres Schwester-Unternehmens caralegal! können Sie Effektivität Ihres ISMS analysieren und Verbesserungen aufdecken.

Muss das ISMS regelmäßig überprüft werden?

Ein ISMS sollte regelmäßig überprüft werden, um dessen Effektivität und Einklang mit aktuellen Sicherheitsstandards zu gewährleisten. Ein ISMS ist kein statisches System, sondern muss regelmäßig aktualisiert und an neue Bedrohungen, technologische Entwicklungen sowie organisatorische Änderungen angepasst werden.

Die Umsetzung und Wirksamkeit werden in der Regel durch interne Audits von geschulten Mitarbeitern durchgeführt. Unternehmen die eine Zertifizierung nach ISO/IEC 27001 anstreben oder bereits zertifiziert sind, ist ein externes Audit durch eine zertifizierte Akkreditierungsstelle sogar notwendiger Teil des Zertifizierungsprozesses.

Was ist der Unterschied zwischen einem ISMS und DSMS?

Sowohl ISMS als auch Datenschutzmanagementsysteme (DSMS) zielen im Wesentlichen auf den Schutz von Unternehmensinformationen und -daten. Ein ISMS nimmt dabei die Informationssicherheit eines Unternehmens in den Blick und dient dem Schutz sämtlicher Informationen innerhalb einer Organisation.

Fokus eines DSMS ist dagegen der Schutz personenbezogener Daten vor Missbrauch, Verlust und unbefugtem Zugriff. Ein ISMS basiert zudem in der Regel auf anerkannten Standards, etwa ISO/IEC 27001, während sich ein DSMS an datenschutzrechtlichen Vorschriften, etwa der DSGVO und dem BDSG, orientiert.

Mit ISB und Datenschutzbeauftragtem (DSB) bestehen zudem getrennte Rollen für die Verantwortung beider Systeme, die nicht in Personalunion wahrgenommen werden sollten.

Wie läuft die Implementierung oder Optimierung des ISMS mit ISiCO ab?

1. Die ISMS-Implementierung startet bei ISiCO immer mit der Frage, nach welchem Standard bzw. Konzept das ISMS aufgebaut werden soll.
2. Auf Basis des gewählten Standards führen wir anschließend eine Gapanalyse durch. Die jeweiligen Kontroll- und Anforderungskataloge dienen dabei als Soll, an dem der Ist-Zustand des Unternehmens gemessen wird.
3. Die in diesem Zusammenhang identifizierten Lücken und Abweichungen müssen sodann durch geeignete Maßnahmen gefüllt werden. Zu diesem Zweck wird ein Maßnahmenplan erstellt, der idealerweise den zeitlichen Rahmen, die konkrete Ausgestaltung der Maßnahme sowie die Modalitäten von deren Umsetzung festlegt.
4. Im nächsten Schritt werden Maßnahmen, Prozesse und Richtlinien schließlich implementiert und für verbindlich erklärt.

Wie schnell die ISMS-Implementierung umgesetzt werden kann, hängt in der Regel davon ab, wie viele Ressourcen das Unternehmen bereitstellen kann. Insofern bieten wir unseren Mandanten auf Wunsch eine schrittweise Umsetzung an. So kann der Fokus beispielsweise zunächst auf Kernprozesse oder besonders kritische Themen gelegt werden. Abhängig von der Ausgangslage kann die Implementierung bereits nach einem halben Jahr abgeschlossen sein oder über mehrere Jahre gestreckt werden.