Ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren, ist aufwendig. Zu erreichen ist das Ziel auf unterschiedlichen Wegen. Sebastian Dännart und Dennis Füller, Experten für Cybersecurity und Bernd Morgenstern, Experte für ISMS-Lösungen bei der Infodas GmbH, erläutern, wie Unternehmen bei der Einführung eines ISMS, Zeit, Kosten und Nerven sparen.
Die Dokumentationpflichten eines Informationssicherheitsmanagementsystems stellen bei seiner Einführung eine große Herausforderung dar. Wie lässt sich diese Aufgabe bewältigen?
Sebastian Dännart: Prinzipiell lässt sich das mit jedem Office-Programm realisieren, doch die Komplexität der Zusammenhänge kann die beauftragten Mitarbeiter schnell an ihre Grenzen treiben. Systematischer, gründlicher sowie letztlich sicherer und schneller gelingt die Einführung eines ISMS mit einer speziellen Informationssicherheitsmanagementsystem-Lösung (ISMS-Lösung).
Was sind die Vorteile?
Sebastian Dännart: Eine solche Software fördert die systematische und redundanzarme Implementierung und führt damit zuverlässiger zum Zertifizierungserfolg. Allein der proaktive Einsatz dieser Software zeigt, dass ein Verständnis für anforderungsorientierte und systematische Steuerung von Informationssicherheit in der Organisation vorhanden ist. Als nützlich erwiesen hat sich der Einsatz einer ISMS-Lösung auch mit Blick auf Branchen-Audits. Über eine ISMS-Lösung kann das Unternehmen Auftraggebern einen gezielten Einblick in relevante Abschnitte seines Informationssicherheitsmanagementsystems gewähren. So kann es nachweisen, wie es Informationssicherheit im eigenen Hause sowie im Verbund mit Partnern und Lieferanten steuert und welche Prozesse etwa in den Bereichen Incident Response oder Business Continuity Management greifen.
Muss ein Unternehmen vor der Auswahl der ISMS-Lösung wissen, welchen Standard es anstrebt?
Bernd Morgenstern: Für Organisationen, die etwa zunächst ein ISMS gemäß IT-Grundschutz nachzuweisen haben, später aber auch den ISO 27001-Standard belegen müssen, empfiehlt es sich, eine Lösung auszusuchen, die in der Lage ist, beide Standards abzubilden. Vergleichbare Anforderungen, etwa an die Formulierung von Sicherheitsrichtlinien oder die Dokumentation von Prozessen, sollten sich zusammenfassen und redundanzarm bearbeiten lassen.
Sind die am Markt erhältlichen Lösungen vergleichbar? Worauf sollte man besonders achten?
Bernd Morgenstern: Leider nein, die angebotenen Lösungen könnten unterschiedlicher nicht sein. Unternehmen sollten sich vor Beginn der Beschaffung klarmachen, was ihnen wichtig ist, ein Lastenheft erstellen und sich eine Lösung aussuchen, die dem Anforderungskatalog in Struktur, Funktionen, Leistungsumfang, Sicherheit, Mandantenfähigkeit und vor allem der Nutzerfreundlichkeit am ehesten entspricht. Hierbei kann qualifizierte Beratung sehr hilfreich sein.
Welche Programmmerkmale sind denn grundsätzlich wichtig?
Dennis Füller: Grundsätzlich sollte die Lösung der Wahl den Informationssicherheitsbeauftragten (ISB) sicher durch die einzelnen Prozessschritte wie Strukturanalyse, Schutzbedarfsfeststellung, Modellierung der IT-Infrastruktur, Soll/Ist-Vergleich der Anforderungen und Risikoanalyse sowie die erforderliche Dokumentation führen. Das beinhaltet zum Beispiel, dass sich der Soll/Ist-Vergleich so durchführen lässt, dass sich einzelne Anforderungen flexibel und zielgerichtet ohne unnötige Mehrarbeit bearbeiten lassen.
Was können denn die leistungsstärksten Anwendungen?
Dennis Füller: Idealerweise verfügt die Lösung über ein benutzerdefiniertes Dashboard, das an nicht bearbeitete bzw. umgesetzte Maßnahmen erinnert und ausgeführte Arbeiten auf der To-Do-Liste als erledigt dokumentiert. Die kontinuierlich zu pflegende Risikoanalyse weist den ISB auf noch bestehende Risiken hin. Zu jedem der wesentlichen ISMS-Prozessschritte sollte es jederzeit Auswertungen geben.
Auf der Anforderungsliste für das optimale Tool sollte auch stehen, ob die ISMS-Lösung eine standortübergreifende, rechte-basierte Kollaboration ermöglicht. Dies schafft einen erheblichen Produktivitätsgewinn sowohl in Unternehmen mit mehreren Standorten, als auch in der Zusammenarbeit mit externen ISMS-Beratern und Auditoren. Die Bedienung über mehrere Fenster und das parallele Arbeiten an verschiedenen Bausteinen, auch durch unterschiedliche Nutzer, birgt einen weiteren Effizienzgewinn. Bestimmte Lösungen bieten darüber hinaus ausgereifte Filterfunktionen, die in jeder Phase eines ISMS-Projektes flexibles und zielgerichtetes Arbeiten und eine nutzergerechte Auswertung unterstützen.
Wem würden Sie den Einsatz einer ISMS-Lösung empfehlen?
Dennis Füller: Behörden wie Unternehmen aller Größenordnungen profitieren vom Einsatz einer geeigneten ISMS-Lösung. Sie können die relevanten Informationen ihrer IT-Landschaft schneller erfassen, ersparen sich viele manuelle Tätigkeiten bei der Analyse ihrer Systeme und erhalten sichere und reproduzierbare Ergebnisse. Außerdem fördern ISMS-Lösungen durch ihren kollaborativem Ansatz den Informationsaustausch und die übergreifende Zusammenarbeit in der gesamten ISMS-Organisation mit externen Experten, Auditoren und Partnern. Das sind Vorteile, die normale Office-Programme einfach nicht leisten können.
Vielen Dank für das Gespräch.
Bernd Morgenstern ist erfahrener Produktexperte im Bereich IT-Systems für die Infodas GmbH.
Sebastian Dännart, IT Security Consultant der Infodas GmbH
Dennis Füller berät Unternehmen, BOS und Streitkräfte in Konzeption und Umsetzung von Informationssicherheit.