Informationssicherheit steht in vielen mittelständischen Unternehmen im Zuge der ISO 27001 oder der NIS2 auf der Agenda. Und der Druck von außen wächst: Kundinnen und Kunden wollen wissen, ob ihre Daten geschützt sind, Versicherungen verlangen Nachweise und die Geschäftsführung spürt, dass das Thema nicht mehr delegiert werden kann. Doch obwohl die Bedeutung von Informationssicherheit heute kaum noch infrage gestellt wird, bleibt oft unklar, welche Rolle sie im Unternehmen eigentlich spielen soll.
Wer sich ehrlich fragt: „Wie steht es um die Informationssicherheit im eigenen Unternehmen?“, stößt oft auf dieselbe Herausforderung. Das Thema liegt in der IT-Abteilung und bleibt dort auch. Sobald das nächste Audit ansteht, wird es wieder für alle hervorgekramt.
Der Knackpunkt besteht also nicht darin, ob ein Unternehmen über ein ISMS (Informationssicherheitsmanagementsystem) verfügt, sondern darin, wie Informationssicherheit verstanden, organisiert und gelebt wird. Denn das entscheidet letztlich darüber, welche Wirkung ein ISMS wirklich entfalten kann.
Welche Rolle spielt das ISMS im Unternehmen?
In der Praxis gibt es viele Ausprägungen: Kleine Unternehmen organisieren Informationssicherheit anders als große, Produktionsunternehmen setzen andere Schwerpunkte als Dienstleister. Auch die Rolle der Informationssicherheitsbeauftragten hängt stark vom Reifegrad, der Geschichte und der eigenen Unternehmenskultur ab. Dennoch lassen sich viele Ausprägungen auf drei Grundbilder herunterbrechen:
Hier wird Informationssicherheit vor allem als notwendige Pflicht verstanden. Das ISMS ist dafür da, Zertifikate an die Wand zu bringen, Audits vorzubereiten und Richtlinien für die nächste Prüfung zu pflegen. Das System existiert, aber es lebt nicht.
Typisch dafür ist, dass Informationssicherheit losgelöst vom Arbeitsalltag existiert. Richtlinien werden gepflegt, weil ein Audit ansteht, Risikoanalysen nur deshalb erstellt, weil eine Norm es verlangt. Mitarbeitende, vor allem aber die Führungskräfte, sehen Informationssicherheit oft als lästige Zusatzaufgabe und nicht als Notwendigkeit oder Schutz für ihre tägliche Arbeit.
Die Folge: Das Potenzial eines ISMS bleibt ungenutzt. Denn wenn Informationssicherheit nur kurz vor dem Audit sichtbar wird, endet ihre Wirkung auch mit dem Auditgespräch.
Hier haben die Beteiligten verstanden, dass ein ISMS Vorteile für das Unternehmen bietet, die über die reine Pflichterfüllung hinausgehen. Die Erkenntnis, dass Informationssicherheit nicht nur zur Dokumentation, sondern zum Schutz dient, ist ein echter Fortschritt!
Probleme entstehen jedoch, wenn Informationssicherheit direkt für die Sicherheit der gesamten Organisation verantwortlich gemacht wird – und diese Verantwortung allein bei der IT-Abteilung landet. Denn IT-Verantwortliche führen die meisten Geschäftsprozesse nicht selbst aus. Trotzdem wird erwartet, dass sie Risiken beurteilen, die in Fachbereichen entstehen, in die sie keinen direkten Einblick haben.
Das führt zu unrealistischen Erwartungen: Die IT-Abteilung wird überfordert, die Fachbereiche fühlen sich kontrolliert und die gewünschte Wirkung bleibt aus. Statt gemeinsam an sicheren Abläufen zu arbeiten, entsteht ein Nebeneinander zwischen IT-Verantwortlichen und den übrigen Mitarbeitenden. Dabei legt sogar die ISO 27001 als zentrale Anforderung fest, dass die alleinige Verantwortung zur Umsetzung eines ISMS nicht vollständig an die IT übertragen werden darf.
Bei diesem Grundbild wird Informationssicherheitsmanagement als das verstanden, was es ist: ein Managementsystem, das die Organisation befähigt, mit Informationsrisiken bewusst umzugehen. Das ISMS allein erzeugt zwar noch keine Sicherheit, fungiert aber als wichtigstes Werkzeug, das die Sicherheit im Unternehmen erst ermöglicht. Bei diesem Grundbild verbleibt die Verantwortung für sichere Prozesse dort, wo sie auch ausgeführt werden: in den Fachbereichen. Die Rolle des ISMS besteht darin, Orientierung zu schaffen, Methoden bereitzustellen, Transparenz herzustellen und Verbesserungen möglich zu machen. Die wichtigste Kennzahl lautet dann nicht „Audit bestanden“, sondern: „Sicherheitslage verbessert“.
Wenn ein Unternehmen Informationssicherheit als treibende Kraft für mehr Sicherheit versteht, stellt sich sofort die nächste Frage: Welches Managementsystem unterstützt diese Rolle am besten?
Denn auch Managementsysteme können sehr unterschiedlich verstanden werden. Bei einigen handelt es sich um reine Dokumentensammlungen, bei anderen um ambitionierte Integrationsprojekte. Idealerweise sollte das Managementsystem die Summe aller Spielregeln umfassen, die ein Unternehmen beim Umgang mit Informationen befolgt. Auch hier unterscheiden wir drei typische Ausprägungen:
Der erste Impuls in vielen Unternehmen, Informationssicherheit in einem eigenen System anzusiedeln, ist nachvollziehbar. Immerhin haben Qualitätsmanagement, Datenschutz, Risikomanagement oder Compliance ja auch ihre eigenen Strukturen, Dokumente und Verantwortlichkeiten.
Was auf den ersten Blick ordentlich und sauber abgegrenzt wirkt, führt in der Praxis jedoch zur Entstehung von Informationssilos. Dieselben Prozesse werden aus unterschiedlichen Blickwinkeln betrachtet, ohne dass die Erkenntnisse zusammenfließen. Das schwächt nicht nur die Wirkung des ISMS, sondern auch die Wirkung aller anderen Managementsysteme. Wer Zusammenhänge wirklich verstehen will, braucht ein Gesamtbild, keine Ausschnitte.
Wer verstreute Datensilos vermeiden möchte, braucht ein integriertes System. Qualitätsmanagement und Informationssicherheitsmanagement betrachten häufig dieselben Abläufe aus unterschiedlichen Perspektiven. Die ISO 9001 fragt: Wie gut funktioniert dieser Prozess? Während die ISO 27001 wissen will: Wie sicher sind die Informationen in diesem Prozess?
Viele integrierte Systeme bleiben jedoch auf halber Strecke stehen. Sie führen Fachthemen zwar in einem System zusammen, bilden aber dennoch eine Parallelwelt zur Organisation. Die Struktur folgt nicht der gelebten Realität, sondern einer künstlich erschaffenen Ordnung. Dies führt dazu, dass die Dokumentation zwar integriert, aber unwirksam ist. Mitarbeitende finden sich darin nicht wieder und Führungskräfte nutzen das System nicht zur Steuerung.
Ein wirksames Managementsystem beginnt nicht bei Normen – es beginnt bei der Realität des Unternehmens. Die Basis dafür bilden Prozesse als zentrale Knotenpunkte, an denen Informationen entstehen, verarbeitet, weitergegeben und gespeichert werden. Deshalb eignen sich Prozesse optimal als Anker für ein ISMS.
Wenn Prozesse im Zentrum stehen, lassen sich unterschiedliche Perspektiven sinnvoll miteinander verbinden. Eine Prozessbeschreibung zeigt dann nämlich:
So ergibt sich aus vielen einzelnen Facetten ein ganzheitliches Bild. Und genau hier entsteht Wirkung: Mitarbeitende nutzen das Managementsystem, weil es ihnen im Alltag hilft, Führungskräfte, weil es ihnen Orientierung bietet. So erfüllt Informationssicherheit ihr vorgesehenes Ziel als zentraler Beitrag zur Stabilität des Unternehmens.
Unternehmen müssen Informationssicherheit nicht neu erfinden. Aber sie müssen entscheiden, welche Wirkung sie sich davon erhoffen. Diese entsteht erst dann, wenn das ISMS das Unternehmen dazu befähigt, mit Informationsrisiken systematisch umzugehen – entlang der tatsächlichen Prozesse, anhand derer die Menschen ihre Arbeit erledigen.
Echte Wirkung zeigt sich im Alltag – nicht im Audit. Wenn Mitarbeitende wissen, welche Informationen in ihrem Prozess schützenswert sind und wenn Führungskräfte Risiken erkennen, bevor sie zu Vorfällen werden. Ist eine Organisation gut auf den Ernstfall vorbereitet, muss selbst ein Cyberangriff nicht zum totalen Ausfall führen.
Was es dafür braucht, ist eine neue Auffassung von Informationssicherheitsmanagement: Befähigung statt Parallelwelt-Dokumentation und IT-Kontrolle. Nur mit diesem Verständnis erfüllt das ISMS seine Bestimmung als die lebendige Summe aller Spielregeln, nach denen ein Unternehmen mit seinen Informationen umgeht.
Der erste Schritt ist ein ehrlicher Blick darauf, wo dein Unternehmen aktuell steht. Stell dir dafür folgende Fragen:
Ebenso wichtig ist der Blick in die Zukunft. Mache dir dafür Gedanken, welche Aufgabe Informationssicherheit für dich künftig erfüllen soll. Betrachtest du sie ...
Hast du die Antworten auf diese Fragen gefunden, bist du bereit für den nächsten Schritt.
Melde dich, um direkt Kontakt mit Carsten aufzunehmen.