1. Einleitung
In einer zunehmend digitalisierten Geschäftswelt gewinnt IT-Sicherheit stark an Bedeutung. Sowohl für Behörden als auch für B2B-Kunden ist eine stabile Informationssicherheit unerlässlich. Ohne technische Vorkehrungen können Risiken und Herausforderungen im Bereich der IT-Sicherheit nicht effektiv bewältigt werden. Ein IT-Sicherheits-Management-System (ISMS) unterstützt Unternehmen dabei, Verantwortung im Bereich Informationssicherheit zu übernehmen und Risiken fundiert zu bewerten. Dieser Artikel beschreibt den Einführungsprozess eines ISMS nach dem Standard CISIS12 in unserem Unternehmen und hebt die wesentlichen Vorteile dieses Systems hervor.
2. Grundlagen und Vorteile des ISMS nach CISIS12®
Ein IT-Sicherheits-Management-System (ISMS) definiert Richtlinien und Prozesse, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Durch die fortlaufende Überwachung, Neubewertung und Anpassung der Sicherheitsmaßnahmen unterstützt das ISMS Unternehmen, ihren Schutz kontinuierlich zu verbessern. Relevante Standards wie ISO/IEC 27001 oder der BSI-Grundschutz bieten vergleichbare Ansätze, jedoch wurde CISIS12 speziell für kleine und mittelgroße Unternehmen sowie Behörden entwickelt, sodass die Einführung eines ganzheitlichen, professionellen ISMS auch bei begrenzten IT-Ressourcen ermöglicht wird.
Für unser Unternehmen bietet CISIS12 folgende Vorteile:
- Absicherung der Verantwortlichen und Mitarbeitenden,
- Integration aller Mitarbeitenden in den Informationssicherheitsprozess,
- nachhaltiger Betrieb und Weiterentwicklung des ISMS und der Infrastruktur,
- Schaffung eines hohen Vertrauensniveaus für Kunden, Partner und Lieferanten.
3. Ausgangslage und Bedarfsermittlung im Unternehmen
Vor der Einführung des ISMS war die Dokumentation unserer IT-Sicherheitsmaßnahmen nur unzureichend und überwiegend auf technische Bereiche beschränkt. Fehlende Transparenz erschwerte die umfassende Bewertung von Sicherheitsrisiken und Schwachstellen. Externe Anforderungen, wie gesetzliche Vorgaben (NIS-2, DSGVO) und Kundenanforderungen, insb. bei öffentlichen Ausschreibungen, machten ein strukturiertes ISMS ebenfalls erforderlich.
Ziel des ISMS ist eine vollständige Bewertung und Absicherung aller sicherheitsrelevanten Bereiche im Unternehmen (Geltungsbereich, siehe Grafik). Frühzeitig erkannten wir bereits im Rahmen unserer DSGVO-Maßnahmen Handlungsbedarf für Anpassungen und Sofortmaßamen. Die Auswahl einer staatliche Förderung für die Umsetzung eines ISMS wurde im Projekt ebenfalls berücksichtigt bzw. geprüft.
Grafik: Organigramm IS-Team und CISIS12 Geltungsbereich, Quelle: Confluence, 31.10.2024
4. Projektplanung und Vorgehensweise bei der Einführung von CISIS12®
Das Projektteam setzte sich aus IT-Administratoren, dem Datenschutzmanager, der Geschäftsleitung, dem Projektleiter und dem Informationssicherheitsbeauftragten (ISB) zusammen. Die technische Umsetzung lag hauptsächlich bei den IT-Admins, während der ISB v.a. den organisatorischen Aufbau und die Dokumentation betreute. Zur Förderung für die Anschaffung von IT-Tools, die Qualifizierung des IS-Teams und zur Beauftragung externer Dienstleitungen wurde der DigitalBonus des Landes Bayern ausgewählt und beantragt.
Die Einführung begann im März 2023 mit einer Kick-off-Veranstaltung für alle Mitarbeitenden und dem Ziel die Zertifizierung bis Jahresende zu erreichen. Die Projektplanung orientierte sich an den 12 Schritten des CISIS12-Standards, ergänzt durch eine Zertifizierungsphase (externes Audit). In der Bestandsaufnahme analysierten wir vorhandene Hardware, Software, Geschäftsprozesse und dokumentierten diese im weiteren Projektverlauf fort.
Als besondere Risiken wurden begrenzte Ressourcen sowie fehlende Fachexpertise bei speziellen Anforderungen identifiziert, denen wir präventiv mit Zeitpuffern in der Projektplanung (insb. für Urlaub und Zertifizierung) und der Beauftragung einer Beratungsfirma entgegenwirkten.
Es wurde außerdem eine offene, direkte und transparente Kommunikation und Aufgabenverteilung (inkl. externe Berater) etabliert sowie die regelmäßige Überwachung des Projektverlaufs und der Zielerreichung durch Regeltermine sichergestellt.
5. Implementierung von CISIS12®
Die Implementierung des ISMS erfolgt in zwölf strukturierten Schritten, wobei jede Phase aufeinander aufbaut. Mit Hilfe des SOLL/IST-Vergleichs (Schritt 9) wird die Erfassung zahlreicher Maßnahmenpunkte über die gesamte Bandbreite des CISIS12 Katalogs ermöglicht. Wir orientierten uns dabei zudem an einer Ziel-Abdeckung des Sicherheitsstandards zu 80% (d.h. 4 von 5 Punkten) je relevanter Maßnahme. Erste Maßnahmen zur Erhöhung der IT-Sicherheit wurden parallel bereits mit der CISIS12 Einführung umgesetzt, andere flossen und fließen auch weiterhin in einen Maßnahmenplan zur gezielten Verbesserung in der Zukunft ein. Dabei unterstützen Schulungen zur IT-Sicherheit sowie Sensibilisierungsmaßnahmen, die von Beginn an für alle Mitarbeitenden etabliert wurden, wie z.B. ein regelmäßiger Newsletter, gezielte Informationsveranstaltungen etc.
Durch regelmäßige Audits und interne Überprüfungen gewährleisten wir die Einhaltung und Weiterentwicklung der definierten Sicherheitsrichtlinien. Ein externer Re-Audit-Termin sowie kontinuierliche interne Kontrollen fördern die nachhaltige Etablierung des ISMS und den kontinuierlichen Verbesserungsprozess (KVP) im Unternehmen.
Mit CISIS12 legen wir als Unternehmen die Grundlage für eine starke IT-Sicherheitskultur und eine verlässliche Sicherheitsinfrastruktur, die uns und unsere Kunden und Partner schützt.
6. Herausforderungen bei der Einführung von CISIS12®
Die Einführung eines ISMS stellte uns sowohl vor technische als auch organisatorische Herausforderungen:
- Technische Herausforderungen: Nicht alle bestehenden Systeme erfüllen die Anforderungen vollständig. So musste Know-how teilweise neu aufgebaut werden, und einige Systeme bedürfen einer Rekonfiguration oder sogar einer Migration. Dabei entstanden oft komplexe Fragestellungen, insbesondere beim Soll-Ist-Vergleich.
- Werkzeugauswahl: Die Wahl des richtigen CISIS12 Tools erwies sich als herausfordernd, da sich die vorhandenen Softwareoptionen entweder als zu teuer oder unzureichend integrierbar erwiesen. Nach einer Testphase mit einem Cloudanbieter entschieden wir uns für eine vollständige Umsetzung ohne ein separates Tool in Confluence.
- Organisatorische Hürden: Ein internes Projekt wie die Einführung eines ISMS belastet zusätzliche Ressourcen. Besonders die Definition neuer Prozesse wie das Lieferantenmanagement erforderte viel Abstimmung und den Aufbau zusätzlicher Expertise.
- Widerstände und Akzeptanz: Um Akzeptanz zu fördern, war eine frühzeitige und kontinuierliche Kommunikation entscheidend. Ein Großteil unserer Belegschaft besteht aus technischem Personal, was die Kommunikation erleichterte, jedoch muss die Akzeptanz und das Bewusstsein für das Thema ISMS konsequent gefördert werden.
- Kosten und Ressourcenplanung: Unsere Empfehlung lautet, bei der Einführung eines ISMS ein eigenes Projektteam einzusetzen und auf Beratungsexpertise zurückzugreifen. Externe Beratungsdienste, die sowohl technisch als auch organisatorisch mit Erfahrung unterstützen können, bieten teils äußerst wertvolle Hilfe, sind jedoch auch kostspielig.
7. Erfolgsfaktoren für ein funktionierendes ISMS
Die Einführung unseres ISMS wurde durch ‚Best Practices‘ unseres Beratungsdienstleisters unterstützt, die wir mit unserer hohen Bereitschaft zur kontinuierlichen Verbesserung an unsere Bedürfnisse angepasst haben und auch künftig weiterentwickeln werden. Regelmäßige Schulungen und Sicherheitsaufklärung für Mitarbeiter bilden die Basis, um das Sicherheitsbewusstsein im Unternehmen zu stärken und das ISMS erfolgreich in den Geschäftsalltag zu integrieren.
8. Ergebnisse und Nutzen von CISIS12®
Die erfolgreiche Implementierung von CISIS12 erhöht unsere Resilienz gegen Cyberbedrohungen und gewährleistet die Einhaltung von Compliance-Anforderungen. Einen besonderen Mehrwert bildet dabei die Integration und Verknüpfung mit bestehenden Anforderungen und Prozessen wie DSGVO und dem GRC-Management auf Unternehmensebene.
Neben einem Wettbewerbsvorteil daraus stärkt das IS-Management System auch das Kundenvertrauen und schafft ein nachhaltiges IT- und Sicherheitsbewusstsein im Unternehmen.
9. Fazit und Ausblick
Die Einführung des ISMS war ein notwendiger und lohnenswerter Schritt. Es brachte uns wertvolle Erkenntnisse über die Transparenz und Struktur unserer IT-Infrastruktur und führte zu einem gemeinsamen Sicherheitsbewusstsein. Auch in Zukunft werden wir uns kontinuierlich mit neuen Trends und Bedrohungen auseinandersetzen, um unser ISMS weiterzuentwickeln. Ein Wechsel zu höheren Standards wie ISO 27001 oder auch die Einführung von ISO 9001 ist eine weitere Perspektive.
10. Call-to-Action
Wir freuen uns über Ihr Feedback und Ihre Anregungen zu unserer IS-Richtlinie und diesem Artikel. Zögern Sie nicht, uns bei Fragen oder zur Diskussion über IT-Sicherheitskonzepte zu kontaktieren. Gerne empfehlen wir Ihnen auch weiterführende Beratungsangebote, speziell für die Einführung eines ISMS im Behördenumfeld.