ISMS – Definition, Aufbau und Bedeutung

Was ist ein ISMS?
Worin unterscheiden sich IT-Sicherheit und Informationssicherheit?
Was ist ein ISMS nach ISO 27001?
Was ist ein ISMS nach BSI IT-Grundschutz?
Was muss ich beim Aufbau eines ISMS beachten?
Schutzziele in der Informationssicherheit
Welche Faktoren sind für eine erfolgreiche Einführung und den Betrieb entscheidend?
Warum benötigen Organisationen ein ISMS?
Welche Organisationen benötigen es?
Ist ein Informationssicherheitsmanagementsystem in Unternehmen Pflicht?
Welche Folgen hat ein fehlendes oder unzureichendes ISMS für mein Unternehmen?
Gibt es Bußgelder für eine fehlerhaftes oder fehlendes ISMS?
Unterstützung durch ein ISMS-Tool

Bei einem Informationssicherheitsmanagementsystem (ISMS) handelt es sich um ein systematisches und strukturiertes Framework zur Verwaltung von Informationen und Werten. Ein ISMS ist ein wesentliches Instrument zur Sicherstellung der Informationssicherheit in einer Organisation. Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

IT-Sicherheit bezieht sich hauptsächlich auf den Schutz von Computersystemen, Netzwerken und Daten vor unbefugtem Zugriff, Missbrauch oder Schäden. Es konzentriert sich auf die Sicherheit von Hardware, Software und Infrastruktur.

Informationssicherheit hingegen umfasst einen breiteren Ansatz und betrifft den Schutz aller Formen von Informationen und Werten, unabhängig davon, ob sie in digitaler oder physischer Form vorliegen. Das schließt nicht nur IT-Systeme ein, sondern auch physische Infrastruktur-Assets, Mitarbeiter, Prozesse und Dokumente, die zur Sicherheit und zum Schutz von Informationen beitragen.

IT-Sicherheit ist also ein Teilbereich der Informationssicherheit.

Die ISO 27001 ist eine internationale Norm, die Anforderungen an ein Informationssicherheitsmanagementsystem festlegt und Unternehmen dabei unterstützt, ihre Informationssicherheit zu verbessern und besser zu schützen. Ein ISMS nach ISO 27001 gibt die Festlegung von Richtlinien, Prozessen, Verfahren und Maßnahmen zur Risikobewertung, Risikobehandlung und stetigen Verbesserung der Informationssicherheit in einer Organisation vor. 

Ein ISMS nach BSI IT-Grundschutz wird nach dem Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgebaut und betrieben. Ähnlich wie bei einer ISO 27001, umfasst das Informationssicherheitsmanagementsystem nach IT-Grundschutz nach BSI-Maßnahmen zur Identifizierung, Bewertung und Behandlung von Sicherheitsrisiken sowie zur stetigen Verbesserung der Informationssicherheit.

Die Einführung eines ISMS erfordert eine umfassende Planung und ein kontinuierliches Engagement aller Mitarbeitenden, um die Informationssicherheit im Organisationen zu gewährleisten. Sollte das Wissen für den Aufbau eines ISMS intern noch nicht vollständig verfügbar sein, ist es ratsam, Experten hinzuzuziehen. Zudem sollten sich Unternehmen an international anerkannten Standards wie der ISO/IEC 27001 orientieren.

Es gibt mehrere wichtige Überlegungen und Schritte, die berücksichtigt werden sollten. Hier sind einige wesentliche Punkte:

Scope festlegen
Bestimmen Sie zunächst, welche Informationen, Systeme, Technologien, Standorte und Prozesse das ISMS in Ihrer Organisation abdecken soll. Es muss festgelegt werden, was mit dem ISMS erreicht werden soll, einschließlich der Einhaltung gesetzlicher, vertraglicher und geschäftlicher Anforderungen.

Risikobewertung und -management
Führen Sie eine umfassende und sorgfältige Risikobewertung durch. Diese dient dazu, relevante Bedrohungen und Schwachstellen zu identifizieren.

Entwickeln Sie im Anschluss Strategien für das Risikomanagement. Hier legen Sie fest, wie mit Risiken umgegangen wird.

Rechtliche Anforderungen und Compliance
Stellen Sie sicher, dass das ISMS in Ihrem Unternehmen den für Ihre Branche geltenden rechtlichen Anforderungen entspricht. Hier sollte ein Rechtskataster aufgebaut werden.

Berücksichtigen Sie dabei die Gesetze und Vorschriften im Bereich der Informationssicherheit.

Organisationskultur und Sensibilisierung
Informationssicherheit muss in Ihrer Organisation gelebt werden. Sensibilisieren Sie Ihre Mitarbeiter für dieses Thema. Schaffen Sie eine Kultur in der Sicherheit in den täglichen Aktivitäten und Entscheidungen der Mitarbeiter integriert ist.

Dokumentation und Prozesse
Definieren Sie klare Richtlinien, Verfahren und Prozesse im Rahmen des ISMS für Ihren Scope. Dokumentieren Sie Rollen und Verantwortlichkeiten sowie alle relevanten Verfahren.

Ressourcenmanagement
Für den Aufbau und die Aufrechterhaltung des ISMS müssen ausreichend Ressourcen zur Verfügung stehen. Das muss vor dem Projektstart von der Geschäftsführung sichergestellt werden.

Wählen Sie geschulte beziehungsweise qualifizierte Mitarbeiter für die Einführung und erste Umsetzung sowie die Überwachung der Anwendung und Wirksamkeit des ISMS.

Technologische und physische Sicherheit
Falls nicht bereits vorhanden, implementieren Sie geeignete technologische Sicherheitsmaßnahmen, wie Firewalls, Verschlüsselung und Zugriffskontrollen.

Die regelmäßige Wartung und Aktualisierung jeglicher Software und Systeme ist unabdingbar, um Schwachstellen zu vermeiden – oder falls vorhanden, zu beheben.

Überwachung und Verbesserung
Sie benötigen Überwachungsmechanismen, um die Wirksamkeit des ISMS zu überprüfen. Diese müssen mit dem Aufbau des ISMS implementiert werden.

Führen Sie regelmäßige interne Audits mit unabhängigen Auditoren durch. Nutzen Sie die Ergebnisse dieser Audits, um stetige Verbesserungen an Ihrem ISMS vorzunehmen.

BCM, Notfallplanung und Wiederherstellung
Sie müssen für den Ernstfall vorbereitet sein. Entwickeln Sie einen Notfallplan für das eventuelle Eintreten von Sicherheitsvorfällen.

Testen Sie regelmäßig die Maßnahmen Ihres Business Continuity Managements beziehungswiese Ihres Notfallplans, um sicherzustellen, dass das Unternehmen optimal für diese Szenarien gewappnet ist und schnell auf Zwischenfälle reagieren kann.

Lieferantenmanagement
Überprüfen Sie das Risikobewusstsein und die Sicherheitspraktiken Ihrer Lieferanten und Dienstleister. Idealerweise folgen diese den gleichen Standards wie Ihre Organisation.

Umfassende Planung und ein kontinuierliches Engagement aller Beteiligten sind unabdingbar für den Aufbau und Betrieb eines ISMS – und die Gewährleistung der Informationssicherheit in Ihrem Unternehmen. Ziehen Sie, abhängig von Ihrer Branche, Experten hinzu. Orientieren Sie sich an international anerkannten Standards wie zum Beispiel der ISO/IEC 27001.

Ein Informationssicherheitsmanagementsystem (ISMS) hat das Ziel, die Informationssicherheit in einer Organisation systematisch zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. Die Schutzziele eines ISMS beziehen sich auf die grundlegenden Prinzipien der Informationssicherheit, die als Eckpfeiler dienen. Diese Schutzziele sind:

Vertraulichkeit (Confidentiality):

• Definition: Sicherstellung, dass Informationen nur den Personen zugänglich sind, die dazu berechtigt sind.
• Beispiele: Implementierung von Zugriffskontrollen, Verschlüsselung von Daten, Nutzung von sicheren Kommunikationskanälen.

Integrität (Integrity):

• Definition: Gewährleistung, dass Informationen unverändert und korrekt sind und nicht unbefugt manipuliert werden können.
• Beispiele: Einsatz von Prüfsummen, digitale Signaturen, Versionskontrolle, Datenvalidierung.

Verfügbarkeit (Availability):

• Definition: Sicherstellung, dass Informationen und Systeme bei Bedarf zugänglich und funktionsfähig sind.
• Beispiele: Redundante Systeme, Datensicherungen, Notfallpläne, Schutz vor Denial-of-Service-Angriffen.

Unterstützung durch oberste Leitung: Die Unternehmensführung muss sich beim Thema Informationssicherheit aktiv einbringen und diese als strategisches Ziel betrachten. Zudem muss sie die erforderlichen Ressourcen für den Aufbau und Betrieb bereitstellen.
Die Geschäftsleitung trägt die Gesamtverantwortung – diese ist nicht delegierbar.

Klarer Scope und Verantwortlichkeiten: Es ist wichtig, klare Ziele für das ISMS festzulegen. Verantwortlichkeiten für die Umsetzung und Überwachung müssen im Vorfeld definiert werden.

Einbindung der Stakeholder: Die Kenntnis und Einbindung aller relevanten Stakeholder, wie Mitarbeiter, Kunden, Lieferanten und Dienstleister, ist entscheidend, um ein effektives ISMS zu etablieren.

Kontinuierliche Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig und fördern Sie das Bewusstsein, die Verantwortung und die Einhaltung von Sicherheitspraktiken auf allen Ebenen der Organisation.

Regelmäßige Überprüfung und Anpassung: Ein ISMS muss regelmäßig überprüft und im Bedarfsfall angepasst werden, und auf veränderte Bedrohungen und Anforderungen entsprechend eingehen.

Schutz sensibler Informationen: Unternehmen verarbeiten häufig sensible Informationen, zum Beispiel personenbezogene Daten, geistiges Eigentum oder Finanzdaten. Ein ISMS unterstützt dabei, den Zugriff auf diese Informationen zu kontrollieren und sie vor unbefugtem Zugriff, Diebstahl oder Missbrauch zu schützen.

Einhaltung gesetzlicher Vorschriften: In vielen Ländern gibt es gesetzliche Bestimmungen, die den Schutz von persönlichen Daten und anderen sensiblen Informationen regeln. Generell hilft ein ISMS Organisationen dabei, alle Gesetze, Vorschriften und individuellen Verträge einzuhalten und die rechtlichen Anforderungen zu erfüllen. 

Risikomanagement: Ein ISMS unterstützt Unternehmen bei der Identifizierung, Bewertung und Festlegen von Behandlungsstrategien von Risiken im Kontext der Informationssicherheit. Durch die systematische Analyse von Ausmaß und Wahrscheinlichkeit von Bedrohungen sowie das Erkennen von Schwachstellen können Organisationen entsprechende Maßnahmen ergreifen, um Sicherheitsrisiken zu minimieren.

Kundenvertrauen: Kunden sind zunehmend besorgt über die Sicherheit ihrer Daten. Je nachdem, wie gut die eigenen Daten bei einer Organisation geschützt sind, kann das positive oder negative Auswirkungen auf das Vertrauen der Kunden und die Reputation des Unternehmens haben. 

Vermeidung von Betriebsunterbrechungen: Sicherheitsverletzungen, Datenverlust oder andere Sicherheitsvorfälle können zu signifikanten Unterbrechungen oder gar Ausfällen im Betriebsablauf führen. Ein ISMS hilft Unternehmen dabei, sich gegen derartige Vorkommnisse zu schützen und die betriebliche Kontinuität zu gewährleisten.

Steigerung der Effizienz: Ein ISMS ist ein systematischer und strukturierter Ansatz zur Darstellung der Vorgaben und Maßnahmen zur Informationssicherheit. Auch mit dem Ziel einer effizienteren Ressourcennutzung und einer besseren Koordination der allgemeinen Sicherheitsmaßnahmen.

Im Idealfall ist der Aufbau und Betrieb eines ISMS keine reaktive Maßnahme, sondern ein proaktiver Ansatz Schritt in einem zunehmend vernetzten und digitalen Geschäftsumfeld.

Ein Informationssicherheitsmanagementsystem ist grundsätzlich für Organisationen jeder Größe und in verschiedenen Branchen relevant. Es gibt jedoch wichtige Branchenstandards, die den Aufbau und Betrieb eines ISMS nahelegen.

ISO/IEC 27001: Diese internationale Norm definiert die Anforderungen für ein ISMS und ist in vielen Branchen anerkannt. Organisationen, die ISO 27001 zertifiziert sind oder eine Zertifizierung anstreben, müssen ein ISMS implementieren und betreiben.

BAIT/VAIT: Diese Richtlinien, erlassen von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), definieren Standards für die Informationssicherheit in Unternehmen des Finanzsektors in Deutschland. Die Umsetzung legt den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems nahe.

B3S Krankenhaus: Branchenspezifische Sicherheitsstandards wie das „B3S Krankenhaus“ definieren spezifische Anforderungen zur Informationssicherheit für Unternehmen und Einrichtungen im Gesundheitswesen, die mittels eines ISMS umgesetzt werden sollten. 

TISAX®: Das branchenspezifische Prüf- und Austauschverfahren der Automobilbranche basiert auf den Anforderungen der internationalen Norm ISO 27001 und setzt den Einsatz eines ISMS im Grunde voraus.

NIS-2-Richtlinie: Die EU-weite Gesetzgebung beinhaltet Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Ein Informationssicherheitsmanagementsystem nach ISO 27001 ist für betroffene Unternehmen naheliegend. 

In vielen Branchen und Ländern ist die Einführung gesetzlich vorgeschrieben – oder wird zumindest durch Industriestandards und -regulierungen erforderlich. Es gibt jedoch keine generelle gesetzliche Pflicht, ein ISMS zu implementieren.

Gründe, die ein Informationssicherheitsmanagementsystem für Organisationen verpflichtend machen können:

Gesetzliche Anforderungen: In einigen Ländern und Branchen gibt es gesetzliche Vorschriften, die den Schutz sensibler Informationen und der Privatsphäre der Bürger vorschreiben. Die Organisationspflicht gemäß §§ 823 und 831 BGB verpflichtet zum Beispiel Organisationen dazu, Maßnahmen zu ergreifen, um Schäden Dritter zu verhindern. Dazu gehört auch der Schutz personenbezogener Daten.

Branchenstandards: Bestimmte Branchen haben eigene Standards und Best Practices für die Informationssicherheit. TISAX® ist beispielsweise das Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie.

Vertragsbedingungen: Kunden oder Geschäftspartner können von Unternehmen verlangen, dass sie bestimmte Sicherheitsstandards einhalten, einschließlich der Implementierung eines ISMS. 

Auch ohne rechtliche Verpflichtung ist der Aufbau und Betrieb eines Managementsystems ratsam, um die Informationssicherheit in Ihrer Organisation systematisch zu verwalten und zu überwachen.

Ein fehlendes oder unzureichendes Informationssicherheitsmanagementsystem kann für Organisationen gravierende Folgen haben – von finanziellen Verlusten bis hin zu einem erheblichen Schaden der Reputation. Hier ein paar Beispiele für mögliche Folgen:

Datenverlust: Ein unzureichendes oder fehlendes Bewusstsein und die gelebte Umsetzung von Informationssicherheit in einer Organisation erhöht das Risiko von Datenverlusten durch Sicherheitsverletzungen, menschliche Fehler oder technische Ausfälle. Der Verlust sensibler Informationen kann erhebliche finanzielle und rechtliche Konsequenzen haben.

Rechtsverstöße: Ohne ein entsprechendes Managementsystem besteht die Gefahr, gegen gesetzliche Vorschriften zum Datenschutz und zur Informationssicherheit zu verstoßen. Dies kann zu rechtlichen Konsequenzen, rechtlichen Schritten der Betroffenen oder behördlichen Sanktionen führen.

Finanzielle Verluste: Sicherheitsvorfälle können erhebliche finanzielle Auswirkungen haben, etwa die Kosten für die Untersuchung von Vorfällen, die Wiederherstellung von Daten, Kosten für rechtlichen Beistand, Geldstrafen und möglicherweise auch Schadensersatzzahlungen.

Mangelnde Geschäftskontinuität: Bei einem schwerwiegenden Sicherheitsvorfall besteht ohne ISMS das Risiko, dass die Geschäftsaktivitäten nicht unmittelbar wieder aufgenommen werden können. Das kann signifikante betriebswirtschaftliche Folgen nach sich ziehen.

Vertrauensverlust: Kunden, Geschäftspartner und andere Stakeholder vertrauen darauf, dass Ihr Unternehmen deren Daten sicher handhabt. Ein Sicherheitsvorfall kann das Vertrauen nachhaltig beeinträchtigen und zu einem Verlust von Kunden und Geschäftsbeziehungen sowie Reputationsschäden führen.

Wettbewerbsnachteile: Das Fehlen eines ISMS nach ISO 27001 im Vergleich zu Wettbewerbern kann sich nachteilig auf Geschäftsbeziehungen auswirken, da zuverlässige Informationssicherheit ein wichtiges Kriterium für Kunden und Partner ist.

Es gibt Bußgelder für ein fehlerhaftes oder fehlendes Informationssicherheitsmanagementsystem (ISMS), insbesondere wenn dadurch gesetzliche Vorschriften oder branchenspezifische Standards verletzt werden. Aber auch indirekt kann ein fehlendes ISMS in Unternehmen zu Bußgeldern führen – etwa durch daraus entstehende Verstöße gegen geltende Gesetze.

In folgenden Fällen kann ein fehlerhaftes oder fehlendes ISMS zu Bußgeldern oder finanziellen Einbußen führen:

1. Datenschutz-Grundverordnung (DSGVO): In der Europäischen Union kann die Nichteinhaltung der DSGVO zu erheblichen Geldbußen führen. Die Verordnung schreibt vor, dass Organisationen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen müssen. Ein ISMS ist oft ein wesentlicher Bestandteil dieser Maßnahmen. Bei Verstößen können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist.
2. Kritisierende Infrastrukturen (KRITIS): In Deutschland sind Betreiber kritischer Infrastrukturen gesetzlich verpflichtet, ein ISMS gemäß dem IT-Sicherheitsgesetz und den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu implementieren. Verstöße gegen diese Vorschriften können ebenfalls zu empfindlichen Geldbußen von bis zu 100.000 Euro führen.
3. Branchenspezifische Standards: In verschiedenen Branchen gibt es spezifische Anforderungen an die Informationssicherheit, wie beispielsweise ISO/IEC 27001. Zwar sind die Strafen für die Nichteinhaltung dieser Standards in der Regel nicht gesetzlich festgelegt, doch kann das Fehlen eines ISMS zu rechtlichen Konsequenzen und erheblichen finanziellen Verlusten führen, etwa durch Vertragsstrafen oder den Verlust von Geschäftsmöglichkeiten.

Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) mit einer spezialisierten ISMS-Software bietet Unternehmen eine strukturierte und effiziente Methode zur Verwaltung ihrer Informationssicherheitsprozesse. Eine ISMS-Software unterstützt bei der Umsetzung. Mithilfe der Software identifizieren, bewerten und managen Unternehmen Sicherheitsrisiken. Sie ermöglicht eine zentrale Verwaltung von Richtlinien, Verfahren und Dokumentationen. 

Die Funktionen einer Software führen Anwender durch den Aufbau eines ISMS. 

Anforderungsmanagement: Anforderungen und Maßnahmen aus der ISO/IEC 27001 (oder andere) sind hier aufgelistet

Assetmanagement: Anlegen von Assets (Unternehmenswerte) wie Prozesse, Personal und Infrastruktur

Schutzbedarfsfeststellung: Feststellung des Schutzbedarfs von Prozessen über eine anpassbare BIA

Risikobeurteilung: Bewertung von Risiken nach Eintrittswahrscheinlichkeit

Risikobehandlung: Erstellen von Aufgaben und Maßnahmen, wenn Akzeptanzlevel eines Risikos überschritten ist

Auditmanagement: Verwaltung von Audits mit Dokumentenprüfung, Auditplanung und Umsetzungsprüfung

Incident-Management: Dokumentation und Management von Sicherheitsvorfällen im Unternehmen

Dokumentenmanagement: Verwaltung von Dokumenten, idealerweise Zugriff auf Standardvorlagen

Berichte: Erstellen diverser Berichte, unter anderem SoA und Maßnahmenübersicht

Dieser Funktionsumfang stellt den Standard einer professionellen ISMS-Software dar, mit dem Unternehmen ein effizientes ISMS aufbauen können.

Mehr zum Thema ISMS-Tool finden Sie in diesem Blogbeitrag.

INDITOR® ISO und die CONTECHNET Suite+ unterstützen Sie optimal bei der Einführung diverser Branchenstandards, wie zum Beispiel eines ISMS gemäß DIN EN ISO/IEC 27001.

Wir bieten eine individuelle und maßgeschneiderte Lösung für jede Organisationsgröße, mit der Sie einfach und effizient die Informationssicherheit in Ihrem Unternehmen umsetzen.

Die Vorteile von INDITOR® auf einen Blick:

• Integration der DIN EN ISO/IEC 27001
• Weitere Kataloge wie VDA-ISA, VA-IT, DIN EN ISO 9001, B3S Krankenhaus,
• Umsetzungsempfehlungen der Norm-Texte als Hilfestellung
• Zentrales Dokumentenmanagement inkl. Dokumentenlenkung
• Zentrales und integriertes Risikomanagement zur einfachen Risikoanalyse, -bewertung und -behandlung
• Erleichterte Risikoanalyse durch Gruppierung der Unternehmenswerte
• Integriertes Maßnahmen- und Aufgabenmanagement
• Umfangreiches Auditmanagement und Incidentmanagement (INDITOR)