War­um nicht ein ISMS Lite?

Mit der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem (ISMS) nach ISO 27001 ver­pflich­ten sich Unter­neh­men sehr umfas­sen­de Pro­zes­se ein­zu­füh­ren und eine Viel­zahl an tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu berück­sich­ti­gen. Gleich­zei­tig sind die Kos­ten für die lau­fen­de Pfle­ge der Doku­men­ta­tio­nen und vor allem die Audit­kos­ten spe­zi­ell für klei­ne­re Unter­neh­men eine gro­ße finan­zi­el­le Belas­tung. Die Fra­ge stellt sich, ob man unbe­dingt ein voll­stän­di­ges ISMS pla­nen muss, oder ein abge­speck­tes ISMS — ein ISMS Lite — nicht sinn­vol­ler wäre?

Die Über­le­gung ist abso­lut rich­tig, denn auch NIS2, DORA, die KSV Cyber Trust Label und die TISAX® Anfor­de­run­gen beschrei­ben nicht, dass Unter­neh­men die voll­stän­di­ge Kom­ple­xi­tät eines ISMS nach ISO 27001:2022 auf­bau­en müs­sen. Unter­neh­men müs­sen sich aber klar wer­den, wel­ches Ziel sie mit einem ISMS Lite errei­chen möch­ten und das soll­te nach aktu­el­ler Bedro­hungs­la­ge pri­mär der Schutz vor Cyber­ge­fah­ren sein.

Spe­zi­ell zum Cyber­schutz sind fol­gen­de Kern­ele­men­te unverzichtbar:

• Die Ernen­nung eines Ver­ant­wort­li­chen für die Infor­ma­ti­ons­si­cher­heit, einen soge­nann­ten CISO

• Durch­füh­rung eines Risi­ko-Assess­ments zur Erhe­bung feh­len­der Info­Sec Maßnahmen

• Ver­pflich­ten­de BenutzerInnen-Richtlinie

• Secu­ri­ty Awa­re­ness Schulungen

• Min­dest­si­cher­heits­maß­nah­men für den IT-Betrieb

• “Cyber­hy­gie­ne” pri­mär bedeu­tet das End­ge­rä­te­ver­wal­tung, End­ge­rä­te­schutz, zen­tra­le Update­steue­rung für End­ge­rä­te und Infra­struk­tur, siche­re Authen­ti­fi­zie­rung, Email-Sicher­heit sowie Ein­satz siche­rer Netzwerkprotokolle

• Back­up-Kon­zept

• IT-Not­fall­pla­nung und Restore-Tests

• Kon­ti­nu­ier­li­che Ver­bes­se­rung des ISMS durch den CISO

Das größ­te Pro­blem des ‘Lite’ Ansat­zes ist, dass man per­sön­lich kei­nen gol­de­nen Info­Sec Lor­beer­kranz damit gewin­nen kann, denn es wird kein umfas­sen­der Schutz vor allen erdenk­li­chen (jedoch groß­teils unwahr­schein­li­chen) Infor­ma­ti­ons­si­cher­heits­ris­ken auf­baut. Des Wei­te­ren kann man nur mit einem voll­stän­di­gen ISMS die­ses auch mit einem Prüf­dienst­leis­ter nach ISO 27001 zer­ti­fi­zie­ren lassen.

Mei­ne Empfehlung:

Anstatt wahl­los IT-Secu­ri­ty Lösun­gen anzu­schaf­fen, soll­ten Unter­neh­men bes­ser ein ISMS Lite nut­zen, um wesent­li­che Info­Sec Maß­nah­men zu erken­nen und die­se dann lau­fend verbessern!