Pressemitteilung von Herr Wilfried Heinrich

Typische Stolpersteine in ISMS-Projekten

---

---

In immer mehr Unternehmen steht der Aufbau eines Informationssicherheits-Managementsystems nach der internationalen Norm ISO 27001 ganz vorne auf der strategischen Agenda. Das IT-Sicherheitsgesetz und neue regulative Anforderungen in verschiedenen Branchen unterstützen diese Entwicklung zusätzlich. Allerdings gestalten sich viele ISMS-Projekte schwieriger als erwartet, was nach den Erkenntnissen der TÜV TRUST IT häufig ähnliche Ursachen hat. Deshalb hat die TÜV TRUST IT typische Stolpersteine zusammengestellt.


1. Kein Management Commitment: Nur wenn sich das Top-Management als Befürworter eines ISMS bekennt, kann ein ISMS intern die notwendige und nachhaltige Bedeutung erlangen. Deshalb muss die Geschäftsleitung nicht nur von Beginn an in die Planung einbezogen werden, sondern das Projekt in seinen verschiedenen Etappen auch aktiv begleiten.


2.Unternehmens- und Sicherheitsziele nicht aufeinander abgestimmt: Die Einführung eines ISMS erfolgt nicht in einem freien Raum, sondern muss die spezifischen Sicherheitsanforderungen des Unternehmens abbilden. Demzufolge gilt es zu Beginn die Frage zu klären, welche Unternehmensziele verfolgt werden. Denn daraus leiten sich die konkreten Sicherheitsziele ab, die dann den maßgeblichen Rahmen für den Aufbau des ISMS bilden. Dieser Zusammenhang klingt fast zu logisch, als dass er unbedingt betont werden müsste. Tatsächlich jedoch sieht die Praxis anders aus und viele Projektprobleme haben ihren Ursprung in einer unzureichenden Zielbestimmung.


3. Der ISMS-Scope ist unklar definiert: Der Umfang des Managementsystems leitet sich daraus ab, welche Informationen und Werte eines Unternehmens geschützt werden müssen. Dabei sind nicht nur die an dem oder den Firmenstandorten gespeicherten Daten relevant, sondern ebenso solche, die sich beispielsweise in der Cloud befinden.


Oft werden die Geltungsbereiche von ISMS nach den Erfahrungen der TÜV TRUST IT auch im Vorhinein zu groß gewählt. Die daraus resultierenden Probleme sind vor allem unnötig lange Projektzeiten mit entsprechend höheren Kosten und ein schleichender Motivationsverlust durch fehlende Teilerfolge.


4. Bestandsaufnahme und GAP-Analyse sind nicht präzise genug: Auch Unternehmen ohne ISMS haben typischerweise bereits eine Reihe von Sicherheitsmaßnahmen umgesetzt. In einer differenzierten IST-Aufnahme in Bezug auf das ISMS werden diejenigen Bereiche identifiziert, die für eine Zertifizierung gemäß ISO/IEC 27001 unzureichend aufgestellt sind. Somit wird das Unternehmen darüber in die Lage versetzt, sowohl die notwendigen Aufwände und Kosten abzuschätzen, als auch den benötigten Zeitraum für die erforderlichen Optimierungen ermitteln zu können. Erfolgen diese Bestandsaufnahmen nicht angemessen genug, kann dies dazu führen, dass der Projektstart auf falschen Annahmen basiert und somit zu verfälschten Ergebnissen führt.


5. Keine passende Methodik für das Management von Informationssicherheitsrisiken: Das Management von Informationssicherheitsrisiken ist ein elementarer Bestandteil des ISMS. Es gilt hierfür eine angemessene Methodik zu entwickeln und diese umzusetzen. Ist diese nicht korrekt formuliert, werden potentielle Risiken ggf. nicht erkannt und Maßnahmen nicht angemessen genug umgesetzt, um die Informationssicherheit der zu schützenden Werte des Unternehmens sicherzustellen.


6. Es fehlt an fachlich passenden Ressourcen: Oft werden Mitarbeitern im Rahmen der ISMS-Einführung Aufgaben zugeordnet, ohne die Mehrbelastung und auch fachliche Qualifikation für diese Personen zu berücksichtigen. Doch wer keine Zeit hat, wird diese Rollen nicht in der erforderlichen Weise ausfüllen können. Dies bedeutet, dass nicht nur die personellen Verantwortlichkeiten innerhalb der ISMS-Prozesse definiert werden müssen, sondern dass sie durch eine realistische Ressourcenplanung und auch Ausbildung ergänzt werden müssen.


7. Zu granulare Maßnahmenumsetzung: Für die Umsetzung vom Sicherheitsmaßnahmen dient der Anhang A der Norm. Dieser bietet insgesamt 114 Referenzmaßnahmen aus verschiedenen Bereichen. Unternehmen sollten diese innerhalb des Risikomanagements auswählen und angemessen umsetzen. Wer einen Anspruch hat, sämtliche Maßnahmen zu 100 % umzusetzen, wird sich sehr schnell im Detail verlieren. Es gilt, alle Maßnahmen immer im Rahmen einer angemessenen Umsetzungstiefe zu definieren.


8. Zu aufwändige Dokumentation: Ein zu aufwändiges Dokumentenmanagement belastet die administrativen Ressourcen unnötig stark. Besser ist es, auf bestehende Vorlagen zurückzugreifen, wie sie etwa das ISMS-Framework der TÜV TRUST IT bietet. Es enthält sämtliche für den Aufbau und Betrieb eines ISMS notwendigen Dokumentenvorlagen sowie darüberhinausgehende Formulare und Tools, die als Nachweis der Wirksamkeit eingesetzt werden können. Außerdem sind inhaltliche Strukturvorgaben für Nachweisdokumente des Annex A sowie ein Benutzerleitfaden zum Aufbau von Dokumenteninhalten enthalten.


9. Es wird auf Awareness-Programme verzichtet: Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert und gelebt wird. Insofern sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören. Zu den Adressaten gehören aber nicht nur die Mitarbeiter, sondern auch die Führungskräfte in den Fachabteilungen als Multiplikatoren.


10. Unzureichende Kennzahlen: Die Wirksamkeit des ISMS muss mit geeigneten Kennzahlen gemessen werden. Wer dieses Thema jedoch als nebensächlich bewertet, wird erfahrungsgemäß unzureichende oder gar falsche Kennzahlen nutzen. Und dies führt zu der Konsequenz, dass falsche Sicherheitsmaßnahmen beschlossen werden, was wiederum einen kontinuierlichen Verbesserungsprozess verhindert, der zu den Grundgedanken der ISO/IEC 27001:2013 gehört. Der notwendige kontinuierliche Verbesserungsprozess ist gleichzeitig auch ein Hinweis darauf, dass der Aufbau eines ISMS kein Projekt mit definiertem Ende ist, sondern einen Prozess mit kontinuierlichem Optimierungsbedarf darstellt.

Firmen- & Pressekontakt