ISMS-Einführung

Systematisches Vorgehen beim IT-Sicherheitsgesetz

Ralph Schröder ist Director GSA Advisory und IT-Sicherheitsgesetz-Experte bei EY.

GAP-Analyse

Im nächsten Schritt werden die wesentlichen Prozesse in den relevanten Bereichen analysiert und mittels GAP-Analyse wird ermittelt, wo das System den Kriterien des IT-SiG noch nicht entspricht und welche ganz konkreten Aufwände zu erwarten sind. Schließlich geht es an die Umsetzung der geforderten Standards, die oftmals auch geänderte Prozesse und Verhaltensweisen der Mitarbeiter einschließen.

Chancen der ISMS-Einführung nutzen

Angesichts dieser beachtlichen Herausforderungen sollten die Unternehmen das ISMS möglichst frühzeitig in Angriff nehmen und dabei bedenken: Die Einführung ist nicht nur lästige Pflicht, sie erhöht die IT-Sicherheit deutlich und macht die Firmen damit auch fit für die Digitalisierung, die neue Risiken und Angriffspunkte mit sich bringt.

Bei Energieversorgen erhöhen Smart Meters, Smart Grids, aber auch Smart Homes die Bedeutung der IT-Sicherheit. So wurden etwa in Finnland mit einem Hackereingriff die Heizungen in mehreren Wohnblöcken ausgeschaltet.

Beispiele in der Lebensmittelbranche sind etwa Wifi-Zugänge oder Navigationsapps bei den großen Retailern oder das verstärkte Sammeln personenbezogener Kundendaten. Konkret bedeutet das: Wenn ein Unternehmen ein ISMS-System einführt, sollte es seine gesamte IT auch gleich auf die Digitalisierung vorbereiten.

EU-Datenschutz-Grundverordnung und EU-Direktive berücksichtigen

Und umgekehrt: Erneuert ein Unternehmen im Zuge der Digitalisierung seine IT und beseitigt die typischen Schwachstellen, sollte es das ISMS-System gleich miteinführen. Zudem sollten auch die neue EU-Datenschutz-Grundverordnung sowie die EU-Direktive zum Know-how-Schutz gleich mitberücksichtigt werden. Beide müssen ohnehin umgesetzt werden.

Wichtig ist es, dass der CIO, CISO oder der ISMS-Verantwortliche die Unterstützung des Vorstandes hat und die IT-Sicherheit im Unternehmen zur Chefsache erklärt wird. Denn nur dann wird eine ganzheitliche und systematische Umsetzung gelingen. Überhaupt keine gute Idee hingegen ist es, vor dem ISMS die Augen zu verschließen. Denn dann drohen den Unternehmen Bußgelder von bis zu 100.000 Euro. Deutlich schwerer aber kann ein Imageschaden wiegen, sollte das Versäumnis öffentlich bekannt werden oder es tatsächlich zu einem gravierenden Sicherheitsvorfall kommen.

Zur Startseite