Informationssicherheit steht in vielen mittelständischen Unternehmen bereits auf der Agenda. Denn allen ist klar, dass man sich mit NIS2 und ISO 27001 beschäftigen muss. Unklar ist oft allerdings, wie das in der Unternehmenspraxis aussehen soll. Die Begriffe in den Normen wirken fremd, das Thema mutet technisch an und die Methodik erscheint abstrakt. Was ist eigentlich ein Asset, was der Unterschied zwischen Schutzbedarf und Risiko und wofür gibt es nun eigentlich Vertraulichkeit, Integrität und Verfügbarkeit? Genau diese Unsicherheit bremst viele Unternehmen aus.
Diese Unsicherheit ist nachvollziehbar. Die Sprache ist neu, die Denkmuster sind neu und schnell entsteht der Eindruck, man müsse erst ein kleines Wörterbuch der Norm lernen, bevor man überhaupt inhaltlich anfangen kann.
Besonders häufig zeigen sich beim Einstieg in die ISO 27001 drei typische Hürden:
Unternehmen hören Begriffe wie Business Impact Analyse, RTO oder Asset-Struktur, können diese aber noch nicht sauber mit ihrem Alltag verbinden.
Dann beginnt die Diskussion bei Firewalls, Backups oder Zugriffsrechten, obwohl die eigentliche Frage zunächst eine geschäftliche ist.
Viele wissen nicht, ob sie bei Informationen, Risiken, Systemen oder Maßnahmen beginnen sollen.
Der typische Reflex ist dann, über die Technik einzusteigen. Man beginnt bei Systemen, bei Schwachstellen, bei Firewalls, Backups oder Berechtigungen. Das ist nicht falsch, aber für den Einstieg oft unglücklich. Denn damit wird Informationssicherheit sehr früh zu einem IT-Thema und mit der Anzahl der IT-Systeme schnell zu komplex.
Zudem ist die eigentliche Frage eine andere: Was muss das Unternehmen schützen, damit das Geschäft stabil läuft? Oder anders formuliert: Welche IT-Sicherheitsrisiken bestehen bei meinem alltäglichen Handeln, sprich bei der Umsetzung meiner Geschäftsprozesse.
Informationssicherheit ist kein Selbstzweck der IT und auch keine rein technische Disziplin. Sie soll nicht primär Systeme absichern, sondern die Fähigkeit eines Unternehmens erhalten, zuverlässig Leistungen zu erbringen, Informationen korrekt zu verarbeiten und geschäftskritische Abläufe auch unter Störungen aufrechtzuerhalten.
Genau deshalb liegt der einfachste Einstieg in den Geschäftsprozessen. Zum einen sind Geschäftsprozesse in aller Regel bekannt, denn
Zum anderen bieten sie eine perfekte Integration der beiden Fachbereiche Qualitätsmanagement (ISO 9001) und Informationssicherheitsmanagement (ISO 27001). Statt also mit einer abstrakten Asset-Welt zu beginnen, lässt sich die Informationssicherheit mit etwas verknüpfen, das es im Unternehmen schon gibt.
Und genau hier wird die Methodik plötzlich deutlich einfacher: Informationen werden nicht isoliert verarbeitet, sondern immer in einem Geschäftsprozess. Ein Vertriebsprozess verarbeitet andere Informationen als die Entwicklung, die Entwicklung andere als der Einkauf und jeder dieser Prozesse ist auf bestimmte Ressourcen – Assets – angewiesen.
Systeme, Laptops, Mitarbeitende, Räume oder externe Dienstleister werden dadurch nicht mehr als lose Objekte betrachtet, sondern als Mittel zur Verarbeitung von Informationen im Geschäftsprozess.
Mit dieser Sichtweise werden auch die Begriffe greifbarer:
Der große methodische Vorteil liegt darin, dass sich nun auch die Schutzziele sauber herleiten lassen.
Vertraulichkeit und Integrität ergeben sich aus den Informationen. Wenn im Unternehmen Kundendaten, Vertragsdaten, Kalkulationen oder personenbezogene Daten verarbeitet werden, stellen sich unmittelbar die Fragen:
Die Verfügbarkeit dagegen ergibt sich nicht primär aus der Information, sondern aus dem Geschäftsprozess. Entscheidend ist hier die Frage, wie lange ein Prozess ausfallen kann, bevor daraus ein geschäftskritischer Schaden entsteht.
Für viele Unternehmen ist genau diese Unterscheidung ein entscheidender Aha-Moment. Denn sie macht die Methodik verständlicher:
Dadurch wird aus einem abstrakten Sicherheitsmodell eine nachvollziehbare, geschäftsorientierte Ordnung.
Das alles lässt sich auf ein einfaches methodisches Prinzip herunterbrechen:
Und diese Ordnung hat noch einen weiteren Vorteil: Sie verhindert Aktionismus. Gerade wenn Cyberrisiken präsent sind, ist der Wunsch groß, sofort Maßnahmen umzusetzen. Multifaktor-Authentifizierung, Backup-Härtung, Awareness-Schulungen, Netzwerksegmentierung – alles sinnvoll, keine Frage.
Aber ohne eine saubere Herleitung bleibt oft unklar:
Der Einstieg über Geschäftsprozesse schafft hier genau die Struktur, die vielen Unternehmen fehlt:
Informationssicherheit wird damit viel konkreter und schließlich zu dem, was sie im Kern sein sollte: ein Beitrag zur Stabilität und Sicherheit des Unternehmens.
Vielleicht ist das sogar die wichtigste Erkenntnis für den Anfang: Ihr müsst beim Einstieg in die ISO 27001 nicht direkt jedes Detail der Norm beherrschen, ihr braucht zunächst einen verständlichen Zugang. Und der liegt direkt vor eurer Nasse: bei den Geschäftsprozessen, die euer Unternehmen ohnehin jeden Tag steuert.
Im zweiten Teil wird genau diese Logik konkret. Dann gebe ich zu der Methodik ein praktisches Beispiel – die Bewertung der Informationssicherheit des Vertriebsprozesses eines mittelständischen Maschinenbauunternehmens.
Melde dich, um direkt Kontakt mit Carsten aufzunehmen.
Wir freuen uns, dich mit inspirierenden Inhalten, aktuellen Veranstaltungen und Neuigkeiten zu versorgen.
.jpg)
.avif)
.png)
