Halenza Consulting GmbH
.
Halenza Consulting GmbH
.
Kontakt
Praktikabilität vor Papiertiger – Start with the “Why”
IsmsInformationssicherheitsGovernance

Praktikabilität vor Papiertiger – Start with the “Why”

Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 kann ein mächtiges Werkzeug sein – oder ein teurer Papiertiger.

Arne Halenza
Arne Halenza

ISMS im Paralleluniversum oder sauber Implementiert - der Unterschied liegt nicht in der Norm selbst, sondern darin, wie wir das Projekt angehen. Aus meiner Erfahrung scheitern die meisten ISMS-Projekte nicht an technischen Hürden, sondern an grundlegenden strategischen Fehlern, die bereits in der Planungsphase gemacht werden.

Start with the Why – aber ehrlich

Die erste und wichtigste Frage ist simpel: Warum wollen wir ein ISMS und weshalb wollen wir es nach ISO 27001 zertifizieren lassen? Doch Vorsicht vor Schnellschüssen. “Weil der Kunde es verlangt” oder “Hauptsache, wir haben das Zertifikat” sind ehrliche Aussagen, nur kommt auf Dauer meist kein tragfähiges ISMS dabei raus.

Hinterfragen Sie ehrlich Ihre Motivation:

Ist es reine Compliance? Dann seien Sie wenigstens ehrlich zu sich selbst. Wollen Sie mit minimalem Aufwand durch die Zertifizierung kommen, oder haben Sie den Anspruch, die Anforderungen vollumfänglich zu erfüllen? Beides ist legitim – aber die Herangehensweise unterscheidet sich fundamental.

Gibt es einen echten eigenen Antrieb? Dann wird es interessant. Welche konkreten Risiken beschäftigen Sie? Sind Vertraulichkeit, Integrität und Verfügbarkeit für Sie gleich wichtig, oder gibt es Prioritäten? Wie risikoavers sind Sie wirklich? Manche Unternehmen reden von Innovation, handeln aber extrem risikoavers – das passt nicht zusammen.

Strategische Überlegungen: Passt ein ISMS zu Ihrer Unternehmensstrategie? Können Sie damit neue Märkte erschließen oder Wettbewerbsbarrieren errichten? Oder ist es schlicht notwendig, um im bestehenden Markt zu bleiben?

Der größte Fehler: “Das macht die IT”

Hier kommt der Klassiker, den wir immer wieder erleben: “Wir delegieren das ISMS-Projekt an die IT-Abteilung.” Dieser Ansatz zeigt, dass das Thema ISMS nicht verstanden wurde. Es handelt sich nicht um eine rein technische Zertifizierung.

Ein ISMS berührt sämtliche Geschäftsprozesse. Die Anforderungen kommen aus den Fachabteilungen, von den Anwendern, aus der Geschäftsführung. Die IT kann technische Lösungen implementieren, aber sie kann nicht alleine definieren, welche Informationen wie schützenswert sind oder wie Geschäftsprozesse ablaufen sollen.

Daher - Stakeholder von Anfang an einbeziehen:

  • Geschäftsführung (strategische Ausrichtung)
  • IT-Abteilung (technische Umsetzung)
  • Fachabteilungen (Prozessanforderungen)
  • Anwender (Praxistauglichkeit)

Ohne diese Beteiligung gibt es am Ende Schrödingers ISMS - es existiert und es existiert nicht zu gleich. Es ist zwar irgendwie “da”, aber eigentlich wird um die beschriebenen Prozesse herumgearbeitet. Oftmals aus guten Grund, das ISMS ist häufig dysfunktional und behindert bei der Arbeit. Ein Managementbeauftragter versucht pünktlich zu den Audits das Flickwerk irgendwie zusammen zu kitten und noch ein paar potemkinsche Belege und Nachweise hinzustellen, damit das Zertifikat nicht flöten geht.

Was wollen wir wirklich erreichen?

Compliance-Kataloge bieten einen Leitfaden, aber sie sind nur der Rahmen. Bei der Umsetzung haben Sie oft erheblichen Spielraum. Die entscheidende Frage ist: Was ist Ihr “Fixpunkt” – der Maßstab, an dem sich alle Maßnahmen orientieren müssen?

Ohne diesen Fixpunkt treffen Sie willkürliche Entscheidungen, die möglicherweise dem Geschäft schaden, während Sie glauben, es zu schützen. Oder Sie übersehen wesentliche Punkte. Am Ende ist die Eingangstür hochsicher, während das Fenster zur Seite offen steht.

Risiken ganzheitlich betrachten – das Beispiel KI

Ein aktuelles Beispiel verdeutlicht das Problem: der Umgang mit Künstlicher Intelligenz. Die risikominimierende Strategie wäre einfach: keine KI einsetzen, abwarten, schauen was passiert.

Was ist mit dem komplementären Risiko? Wenn Sie jetzt keine KI-Systeme einsetzen, gehen Sie ebenfalls erhebliche Risiken ein. Sie riskieren, den Anschluss zu verlieren, weniger effizient zu werden, von Konkurrenten überholt zu werden.

Weitere Beispiele für komplementäre Risiken:

Zugangsberechtigungen: Das “Need-to-Know-Prinzip” gilt als Selbstverständlichkeit. Aber was passiert, wenn Sie Berechtigungen zu strikt handhaben? Sie schaffen Informationsinseln, Wissenssilos entstehen. Sie tauschen das Risiko des Informationsabflusses gegen das Risiko von Innovationshemmung und Doppelarbeit.

Endgeräte-Sicherheit: Wir versiegeln die Laptops unserer Angestellten – keine Software-Installationen, Webfilter überall. Gleichzeitig arbeiten externe Freelancer mit ihren eigenen Geräten und müssen nur einen Vertrag unterschreiben, in dem sie versichern, selbst für Sicherheit zu sorgen. Wo ist da die Logik?

Fazit: Denken vor Handeln

Ein erfolgreiches ISMS beginnt nicht mit der Auswahl von Tools oder der Implementierung von Maßnahmen. Es beginnt mit strategischen Fragen:

  • Warum wollen wir das wirklich?
  • Wen betrifft es und wer muss beteiligt werden?
  • Was wollen wir konkret erreichen?
  • Welche Risiken sind wir bereit einzugehen, welche nicht?

Nur wenn Sie diese Fragen ehrlich beantworten, wird Ihr ISMS zu einem praktikablen Werkzeug, das allen Beteiligten echten Nutzen bringt. Alles andere ist teurer Papiertiger.

Die Norm ISO 27001 ist ein Werkzeug – wie Sie es einsetzen, entscheidet über Erfolg oder Misserfolg. Fangen Sie mit dem “Warum” an, nicht mit dem “Wie”.

Diesen Beitrag teilen:
Zur Artikelübersicht