Viele Unternehmen sprechen über Informationssicherheit, aber kaum jemand über die Realität dahinter oder traut sich so richtig ran. Gregor, unser interner Informationssicherheitsbeauftragter (ISB), ist da anders. Er erzählt uns, wie es wirklich ist: Was funktioniert, was nervt, was unterschätzt wird und warum ein ISMS nicht nur ein Pflichtprogramm ist, sondern gelebt werden sollte. In diesem Interview haben wir ihm fünf Fragen gestellt. Seine Antworten gibt es hier.

Wer ist Gregor und warum ist er unser ISB?

Gregor ist keiner, der nur von Informationssicherheit redet, er lebt sie. Mit über 15 Jahren Erfahrung in IT-Infrastruktur, Projektmanagement und internationaler Transformationsarbeit bringt er Fachwissen und die nötige Ruhe mit, die es in diesem sensiblen Bereich braucht. Als zertifizierter CISSP, ISO27001 Practitioner und ITILv4-Profi kennt er die Normen nicht nur aus dem Lehrbuch, sondern aus der Praxis, und zwar von der Einführung bis zur Audit-Begleitung.

Gregor ist unser interner Informationssicherheitsbeauftragter, weil er das große Ganze sieht und trotzdem die Details nicht aus den Augen verliert.

Und wie man sieht, er immer seine ZIELE im Blick behält 😎.

Fünf Fragen & Antworten an den Mann, der’s wissen muss

1. Viele Unternehmen streben eine Zertifizierung an, um gesetzlichen Pflichten (z. B. KRITIS, DORA etc.) oder Anforderungen ihrer Kunden (z. B. bei Ausschreibungen) gerecht zu werden. Ist das der eigentliche Sinn?

Antwort:

„Das ist der gesetzliche oder kaufmännische Sinn und sicherlich ein valider Auslöser. Aber nicht der eigentliche Sinn der dahintersteckt. Wird ein ISMS nur zur Pflichterfüllung eingeführt, bleibt es auch auf dieser Ebene: Es entsteht kaum echter Mehrwert, weil viele Prozesse nur auf dem Papier existieren, aber nicht wirksam gelebt werden. Das führt zu hohen Kosten ohne nennenswerte Verbesserung der Sicherheit. Unternehmen sollten sich stattdessen fragen: „Will ich sicher arbeiten und auf Vorfälle durch interne Prozesse und Reaktionsmechanismen vorbereitet sein?“ Und anschließend: „Möchte ich das Rad neu erfinden oder auf bewährte Regelwerke setzen, mit dem Nebeneffekt, mich durch eine Zertifizierung auch am Markt zu positionieren?“ Soweit meine Einschätzung.“

2. Ja, aber was macht dabei den Unterschied? Schlussendlich ist es doch dasselbe, oder?

 Antwort:

„Nein. und das sage ich nicht aus Pflichtgefühl als ISB 😉, sondern aus meiner Beobachtung und gelebter Erfahrung. Richtig bewusst wurde es mir aber erst, als mich bei einem Audit der Auditor nicht nur nach Risiken, sondern auch nach den Chancen fragte, die sich durch ein ISMS ergeben. Also die Chancen die für das Unternehmen im Zusammenhang mit der Einführung des ISMS entstehen. Hier ein paar Beispiele:

• • Bessere Definition der Verantwortlichkeiten im Unternehmen, durch die geforderten Rollenbeschreibungen
  • Erhöhung der Qualität in den Arbeitserzeugnissen, durch die geforderte Vermeidung von Interessenskonflikten (z.B. Anforderer, Tester, Freigeber)
  • Struktur in der Dokumentenablage für eine gesteuerte Zugriffsberechtigung… endlich findet man die Dokumente wieder!
  • Definierte Prozesse… endlich weiß jeder was wann und wie zu tun ist!

Allein an diesen Beispielen lässt sich der Mehrwert erkennen. Wird ein ISMS lediglich zur Pflicht erfüllt, entsteht Aufwand ohne echten Nutzen. Und es gibt noch viele mehr. In der ersten Frage habe ich erwähnt, dass eine Pflicht erfüllende (gesetzliche oder kaufmännische) ISMS-Einführung zu Kosten ohne Mehrwert führt, weil die Anforderungen rein als zusätzliche Auflagen erfüllt werden.

Hier ist der Unterschied:

Wenn der Sinn der Anforderungen verstanden und zielführend in die Unternehmensprozesse integriert wird, dann ist nicht nur das Bestehen der Audits ein Kinderspiel, sondern bringt auch tatsächlich einen starken Mehrwert an anderen Stellen. Beispielsweise durch Kosteneinsparungen, mehr Effizienz und höherem Gewinn.“

3. Viele sprechen über die ISMS-Einführung, aber wie lebt man es eigentlich danach?

Antwort:

„Guter Punkt, und schön eine Frage in diese Richtung zu bekommen! Ich sag es mal ehrlich: Es fühlt sich sehr gut an, ein Audit bestanden zu haben und die Zertifizierung halten zu dürfen, als Lohn für die damit verbundenen Mühen. Und ja, es benötigt wirklich viel Mühe, das ISMS so einzuführen, dass die Anforderungen wie oben beschrieben in die Unternehmensabläufe eingegliedert werden können und es für das Unternehmen Sinn ergibt.

Einmal eingeführt, ist das Ziel jedoch noch nicht erreicht, sondern lediglich der Grundstein gesetzt. Die Prozesse müssen dann weiter ausgereift und runder werden. Der Aufwand der ISMS-Prozesse soll so reduziert werden, dass sie nachhaltig und langfristig neben dem Tagesgeschäft gelebt werden können.

• • Auf der einen Seite: Kontinuierliche Verbesserung.
  • Auf der anderen Seite: Praktische Erfahrung einbringen und machbar machen.

Auch hier ist es spannend zu sehen, wenn es einem gelingt, die Normen umzusetzen und dennoch das Tagesgeschäft bewältigen zu können.“

4. Hast du für die Einführung des ISMS ein Tool verwendet? Geht es auch ohne?

Antwort:

„Wir haben ohne Tool begonnen und das reichte auch für das erste Jahr. Danach haben wir gemerkt, dass die Prozesse sehr personalabhängig, auf manuelle Initiative und individuelles Wissen angewiesen waren. Bei hoher Projektauslastung oder Abwesenheiten ist das hinderlich.

Die Arbeit mittels Excel Listen ist möglich, aber wenn man sich nicht die Zeit nimmt die Excel zu bearbeiten, sieht man nicht was zu tun ist. Dazu kommt, dass aus verschiedenen Exceldokumenten Aufgaben entstanden sind und man jeweils mehrere Excellisten auf Aufgaben prüfen muss.

In einem ISMS gibt es viele wiederkehrende Überprüfungsaufgaben. Diese kann man sehr gut in einem Tool abbilden und Benachrichtigungen oder Erinnerungen an die zugewiesene Person senden > So wird das ISMS weiter betreut, auch wenn der ISB gerade keine Zuständigkeit übernehmen kann.

Ich konnte mich während meiner Abwesenheiten auf die automatisierten Benachrichtigungen zu wiederkehrenden Aufgaben verlassen, und darauf, dass die beteiligten Kollegen über die ihnen zugewiesenen Aufgaben informiert werden. Ich konnte mich auf andere Aufgaben konzertieren und kam auch erholter aus Urlauben zurück 😊.

Der einmalige Aufwand, das bestehende ISMS in ein Tool zu überführen, hat sich in unserem Fall wirklich gelohnt.“

5. Was war der schwierigste Moment im gesamten ISMS-Prozess?

Antwort:

„Ganz klar, das erste Zertifizierungsaudit! Ich fühlte mich zwar sehr gut vorbereitet, aber der Auditor schaffte es schnell durch gezielte Fragenstellung mögliche oder tatsächliche Abweichungen festzustellen.

Trotz sorgfältiger Arbeit über Wochen hinweg, kam plötzlich Verunsicherung auf: Schaffen wir es wirklich? Was ist noch alles „nicht gut genug“? Hält unser ISMS dem Audit stand?

All das wird einem erst am Ende des Audits beantwortet. Es ist der erste tatsächliche Berührungspunkt mit der realen Welt der Zertifizierung. Jede gut passierte Frage schürt die Hoffnung, jede verzwickte Frage die Ungewissheit. In dieser Zeit versuche ich meinen Gegenüber besser kennenzulernen: Wie tickt der Auditor? Was ist ihm wichtig? Wie kann ich zielführender antworten? Wie kann ich mich noch besser auf das nächste Audit vorbereiten?

Dann endlich das Endgespräch mit allen Ergebnissen, UND positiven Ergebnis. Geschafft! Ziel erreicht. Maßnahmen festgelegt und abgearbeitet. Die Zertifizierung ist endlich erreicht.“

Fazit