Thought Leadership
In unserem Interview spricht Ulrich Parthier, Publisher it security, mit Jens Bothe, Vice President Information Security der OTRS Group. Thematisch geht es um das ISMS, warum es mehr als nur ein Tool ist und wie der Weg hin zu einer lebendigen Prozesslandschaft aussieht.
Herr Bothe, warum benötigen Unternehmen ein ISMS?
Jens Bothe: Ein Information Security Management System (ISMS) ist für Firmen essenziell, um geschäftskritische Daten zu schützen, das Vertrauen von Kunden und Partnern zu stärken und gesetzliche Vorgaben wie die DSGVO zu erfüllen. In Zeiten zunehmender Cyberbedrohungen und regulatorischer Anforderungen, wie etwa die neuen NIS2- oder DORA-Richtlinien, bietet es den Rahmen, um Risiken zu identifizieren, zu bewerten und geeignete Schutzmaßnahmen zu ergreifen. Ohne ein solches System sind Organisationen anfällig für Sicherheitsvorfälle, die finanzielle und reputative Verluste nach sich ziehen können.
Wie würden Sie die Ziele eines ISMS und seine Bestandteile definieren?
Jens Bothe: Das übergeordnete Ziel eines ISMS ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Organisationen sicherzustellen. Es soll gewährleisten, dass Informationen nur von befugten Personen, Systemen oder Prozessen eingesehen oder verwendet werden; dass sie korrekt bleiben und nicht unautorisiert geändert oder manipuliert werden; und dass sie jederzeit verfügbar sind. Um dies zu erreichen, ist als erster Baustein ein Risikomanagement erforderlich.
Das heißt es reicht nicht aus, einfach ein ISMS-Tool zu installieren oder eine ISO/IEC 27001 Zertifizierung zu erlangen. Es braucht eine systematische Kombination von Richtlinien, Prozessen und Technologien, um festzulegen und zu steuern, wie Informationen geschützt werden sollen. Ein weiterer wichtiger Bestandteil sind Trainings, um Mitarbeitende für die Bedeutung von Informationssicherheit zu sensibilisieren und im Umgang mit Informationen unterschiedlicher Art zu schulen. Zu guter Letzt gehört auch die kontinuierliche Verbesserung zu jedem guten ISMS, um den sich schnell verändernden Bedrohungen gerecht zu werden.
| Was ist ein ISMS? |
| Ein ISMS (Information Security Management System) ist ein systematischer Ansatz, um Informationen in einer Organisation zu schützen. Es umfasst Richtlinien, Prozesse und Technologien, die entwickelt wurden, um Risiken in Bezug auf Informationssicherheit zu identifizieren, zu bewerten und zu steuern. Ziel eines ISMS ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. |
Die IT ist ja keine grüne Wiese. Welche vorhandenen Applikationen erleichtern die Einführung eines ISMS?
Jens Bothe: Dass die IT keine grüne Wiese ist, ist in diesem Fall tatsächlich vorteilhaft. Viele Unternehmen haben zum Beispiel bereits ein etabliertes IT Service Management (ITSM) mitsamt zugehörigen Tools und Anwendungen wie einer Service Management Software. Eine bestehende ITSM-Landschaft mit Prozessen wie Incident-, Change- und Problem-Management sowie eine Configuration Management Database (CMDB) bieten eine solide Basis, um ein ISMS aufzubauen und damit Informationssicherheitsrisiken zu bewältigen.
Der IST-Zustand, also eine Analyse des bestehenden Zustandes ist die Ausgangslage für jedes Projekt. Wie sehen die folgenden Schritte aus?
Jens Bothe: Nach der IST-Analyse folgt die Risikobewertung. Dafür müssen Unternehmen wissen, welche Assets und Informationen mit welcher Priorität geschützt werden müssen. Denn nicht alle Informationen haben den gleichen Schutzbedarf und nicht alle Assets sind gleich wichtig. Kundendatenbankserver oder sensible Geschäftsgeheimnisse sind beispielsweise kritischer als allgemeine Bürodokumente.
Unternehmen müssen also für alle Assets und Informationen den Schutzbedarf ermitteln, in normalen, erhöhten und hohen Schutzbedarf einstufen und entsprechend priorisieren.
Eine CMDB unterstützt bei der Risikobewertung. Die zentrale Sicht auf IT Assets und deren Beziehungen hilft, Bedrohungen, Schwachstellen und damit verbundene Risiken zu identifizieren und zu bewerten. Zudem kann der Schutzbedarf dokumentiert und Maßnahmen zur Risikominderung definiert werden.
Sind die Schwachstellen erkannt und priorisiert, geht es um die Zuordnung von Verantwortlichkeiten. Also sowohl eine organisatorische als auch eine technische Umsetzung. Wie gestalte ich eine solche Maßnahme und wie kontrolliere ich deren Umsetzung?
Jens Bothe: Wenn ein Risiko erkannt wird, muss klar sein, wer für den Schutz und die Verwaltung zuständig ist, um im Ernstfall schnell reagieren und Schäden verhindern oder zumindest mindern zu können. Für jedes identifizierte Risiko oder jede Schwachstelle sollte es einen Applikationsverantwortlichen, einen technischen Ansprechpartner und genehmigende Instanzen geben. Diese sollten ebenfalls in der CMDB am jeweiligen Asset dokumentiert sein, damit Zuständigkeiten und Prozesse zu jeder Zeit für alle transparent und klar sind.
Aufbauend darauf ist ein konkreter Maßnahmenplan unerlässlich, der spezifische Ziele, einen Zeitrahmen und messbare Erfolgsindikatoren beinhaltet. In der technischen Umsetzung kommen geeignete Sicherheitslösungen wie Verschlüsselung oder Zugriffssteuerungen zum Einsatz.
Sämtliche Kommunikation und Aktionen, die im Zusammenhang mit einer Maßnahme stattfinden, sollten in einem integrierten Projektmanagement- und/oder ISMS-Tool abgebildet werden, um den Status kontinuierlich zu verfolgen und zu dokumentieren. Regelmäßige Berichte, KPIs und interne Audits unterstützen zusätzlich dabei, die Umsetzung zu kontrollieren.
Bei ISMS-Tools gibt es ja eine Vielzahl von Lösungen mit den unterschiedlichsten Leistungsspektren. Was sollte sie in puncto User Experience, kontinuierliche Risikoanalyse, Compliance und Standards bieten?
Jens Bothe: Ein ISMS-Tool muss benutzerfreundlich sein, sodass es auch Personen ohne technische Vorkenntnisse leicht bedienen können. Darüber hinaus spielt Automatisierung eine zentrale Rolle: Risikoanalysen und Compliance-Überprüfungen sollten regelmäßig automatisch durchgeführt werden, um den manuellen Aufwand zu minimieren. Zudem muss das Tool mit gängigen Standards und Frameworks wie ISO 27001 oder NIST kompatibel sein, um die Einhaltung rechtlicher und organisatorischer Vorgaben zu unterstützen. Schließlich sollte eine nahtlose Integration in bestehende Systeme wie ITSM, CMDB und Monitoring-Tools gewährleistet sein, um Datenflüsse und Effizienz zu optimieren.
Kommen wir noch einmal zurück zu dem Herzstück eines ISMS, der CMDB. Diese ist ja eine Datei, die die Beziehungen zwischen der Hardware, der Software und den Netzwerken verdeutlicht, die eine IT-Organisation verwendet. Beim Aufbau einer CMDB stellt sich die Frage, wie im jeweiligen Unternehmen das Asset Management in die ISMS-Prozesslandschaft integriert ist oder werden soll. Wie sind hier ihre Erfahrungen?
Jens Bothe: Richtig, das Asset Management bildet die Grundlage für ein ISMS. Für die Integration in die ISMS-Prozesslandschaft sollte daher zunächst sichergestellt sein, dass die Daten in der CMDB vollständig und aktuell sind. Nur so lassen sich die richtigen technischen und organisatorischen Maßnahmen für bestimmte Informationswerte festlegen.
In der Praxis sehen sich Security-Teams bei der Integration allerdings oft mit Herausforderungen konfrontiert. In unserer Umfrage „OTRS Spotlight: Corporate Security 2024“ beklagen 61 Prozent der Befragten die Komplexität der Integration als größtes Hindernis. Existiert bereits eine bestehende Lösung, kann für den Aufbau einer CMDB ein einfacher CSV-Import genutzt werden. Das birgt jedoch die Gefahr, veraltete, fehlerhafte oder doppelte Daten aus Legacy-Lösungen zu übernehmen und erfordert einen hohen manuellen Aufwand. Dateninkonsistenz und verzögerte Datensynchronisation geben mit 42 und 40 Prozent auch viele Befragte als größte Hindernisse bei der Integration an.
Um sicherzustellen, dass die Daten aktuell, korrekt und vollständig sind und um den Aufwand so gering wie möglich zu halten, sollten Lösungen genutzt werden, die den Prozess vereinfachen.
Das können zum Beispiel dedizierte Asset Management Softwarelösungen, spezielle Integrationstools oder Schnittstellen zu Inventory-Lösungen sein, die einen Datenaustausch in beide Richtungen sowie Datenmapping erlauben.
Ein ISMS steigert durch klare Prozesse und Automatisierung die Effizienz und stärkt den Ruf des Unternehmens.
Jens Bothe, OTRS Group
Oftmals werden Applikationen aus einem Silodenken heraus projektiert. Wie erreiche ich einen ganzheitlichen Blick auf das ISMS und wie können Sicherheitsverantwortliche ein solches etablieren und seine kontinuierliche Durchführung gewährleisten?
Jens Bothe: Ein ganzheitlicher Ansatz erfordert die Einbindung aller relevanten Abteilungen, einschließlich IT, Compliance und HR, um eine unternehmensweite Zusammenarbeit zu fördern. Prozessübergreifendes Denken und der Abbau von Silos sind essenziell, um effektive Sicherheitsprozesse zu etablieren.
Kontinuierliche Schulungen stärken zudem das Sicherheitsbewusstsein aller Mitarbeitenden. Zentralisierte Plattformen, die eine umfassende 360°-Sicht bieten, unterstützen die Steuerung der Prozesse. Regelmäßige Audits sorgen dafür, dass Maßnahmen fortlaufend überprüft und gegebenenfalls angepasst werden können.
Wie kann ich Stakeholdern wie Usern den Nutzen und Mehrwerte aufzeigen, mögliche Stolpersteine überwinden und die generellen Vorteile für das Unternehmen aufzeigen?
Jens Bothe: Typische Stolpersteine sind die hohe Komplexität der Anforderungen, fehlende Akzeptanz der Mitarbeitenden und mangelnde Ressourcen. Der Schlüssel, um diese zu überwinden, ist vor allem Kommunikation. Dabei sollte immer darauf geachtet werden, welche Interessen die jeweiligen Stakeholder haben und die entsprechenden Mehrwerte eines ISMS herausgestellt werden.
Das Management mag bei der Einführung eines ISMS beispielsweise Bedenken hinsichtlich des Kosten-Nutzen-Verhältnisses haben. Hier sollte verdeutlicht werden, dass ein ISMS nicht nur vor Sicherheitsvorfällen, sondern damit auch vor wirtschaftlichen Schäden und rechtlichen Konsequenzen bei Nichteinhaltung von Compliance-Anforderungen schützt. ISMS-Tools mit klar strukturierten Berichtsfunktionen, übersichtlichen Dashboards und Reports helfen dabei, Sicherheitsstatus und Fortschritte verständlich zu kommunizieren.
Welcher Vorteil in der Regel außerdem allen Stakeholdern zusagt: Ein ISMS steigert durch klare Prozesse und Automatisierung die Effizienz. Zuletzt stärkt es zudem den Ruf des Unternehmens und baut Vertrauen bei Kunden und Partnern auf.
Gibt es ein generisches Vorgehensmodell zur Einführung eines ISMS und können Sie anhand ihrer langjährigen Erfahrungen eine Empfehlung geben?
Jens Bothe: Nein, ein Standardmodell, das für alle Unternehmen gleichermaßen passt, gibt es nicht. Die Einführung eines ISMS muss stets auf die spezifischen Gegebenheiten, Anforderungen und die bestehende Tool- und Prozesslandschaft des Unternehmens abgestimmt werden.
Aus meiner Erfahrung empfehle ich jedoch allen, der Projektinitiierung und der kontinuierlichen Verbesserung besondere Aufmerksamkeit zu widmen. Zu Beginn müssen Ziele, Verantwortlichkeiten und Ressourcen klar definiert werden, um die folgenden Bestandteile effektiv und effizient aufzubauen. Und ein ISMS sollte nie als abgeschlossenes Projekt betrachtet, sondern aktiv gelebt, regelmäßig überprüft und an neue Anforderungen angepasst werden. Nur so erfüllt es seinen Zweck, Informationen im Unternehmen fortlaufend und nachhaltig zu schützen.
Herr Bothe, wir danken für das Gespräch!
