ISMS fertig kaufen: Kann ein Anbieter Ihnen die ganze Arbeit abnehmen?
ISO 27001 ISMS fertig kaufen: Kann ein Anbieter Ihnen die ganze Arbeit abnehmen?
„Wir haben uns für einen Anbieter entschieden, der uns bereits ein für uns fertig implementiertes ISMS zur Verfügung stellt, sodass wir nichts mehr machen müssen.“
Diese Begründung erhielten wir vor einiger Zeit von einem Unternehmen, das sich gegen eine Zusammenarbeit mit uns entschieden hatte.
Und ganz ehrlich: Das Angebot klingt hervorragend.
Ein Anbieter hat das Informationssicherheitsmanagementsystem bereits vollständig fertig entwickelt, liefert es einfach aus und das eigene Unternehmen muss nichts mehr tun. Keine langwierigen Workshops, keine Diskussionen über Verantwortlichkeiten, keine Risikobewertung und keine zusätzlichen Aufgaben für die eigenen Mitarbeiter.
Man kauft einfach ein fertiges ISMS und geht anschließend ins Zertifizierungsaudit.
Das Problem ist nur: So funktioniert ein ISMS nicht.
Stellen Sie sich vor, Sie gehen zu einem neuen Friseur und hören dort: „Sie müssen mir gar nichts erklären – ich habe die sinnvolle Standardfrisur schon komplett im Kopf.“
Das klingt zunächst bequem. Kein Smalltalk, keine Abstimmung, keine Entscheidungen.
Aber würden Sie sich wirklich einfach hinsetzen und darauf vertrauen, dass das Ergebnis genau zu Ihnen passt?
Wahrscheinlich nicht.
Denn selbst wenn der Friseur sehr erfahren ist, kennt er Ihre Vorstellungen, Ihren Alltag, Ihren Stil und Ihre Erwartungen nicht. Ohne Ihre Rückmeldung entsteht am Ende vielleicht eine technisch saubere Frisur – aber sicherlich nicht die, die Sie haben möchten.
Genau so verhält es sich mit einem ISMS.
Die kurze Antwort
Sie können sich beim Aufbau eines ISMS sehr viel Arbeit abnehmen lassen.
Ein guter Anbieter kann beispielsweise:
- das ISO 27001-Projekt planen und steuern;
- Workshops vorbereiten und moderieren;
- Richtlinien und Prozessbeschreibungen erstellen;
- die Risikobewertung methodisch begleiten;
- das Statement of Applicability vorbereiten;
- erforderliche Nachweise strukturieren;
- das interne Audit durchführen;
- das Management Review vorbereiten;
- und Sie auf das Zertifizierungsaudit vorbereiten.
Was ein Anbieter nicht kann:
- Ihre unternehmerischen Entscheidungen treffen;
- Ihre Risiken ohne Ihre Mitwirkung realistisch bewerten;
- Verantwortlichkeiten in Ihrem Unternehmen tatsächlich übernehmen;
- technische und organisatorische Maßnahmen in Ihrer Organisation umsetzen;
- Ihren Mitarbeitern neue Arbeitsweisen verordnen;
- oder Ihr ISMS nach Projektende dauerhaft für Sie leben.
Ein ISMS fertig kaufen, ohne selbst etwas dafür tun zu müssen, können Sie deshalb nicht.
Wirklich nicht.
Es geht nicht.
Sie können aber einen Anbieter beauftragen, der den Großteil der Projektarbeit übernimmt und Ihren eigenen Aufwand auf die wirklich notwendigen Beiträge reduziert.
Das ist ein erheblicher Unterschied.
Was bedeutet „fertig implementiert“ überhaupt?
Zunächst müsste man klären, was mit einem „fertig implementierten ISMS“ gemeint ist.
Ein Anbieter kann Ihnen ein vorbereitetes System zur Verfügung stellen. Darin können bereits Richtlinien, Prozesse, Rollenbeschreibungen, Register, Checklisten und Vorlagen enthalten sein.
Vielleicht erhalten Sie sogar eine Software, in der alle typischen Bestandteile eines ISMS bereits angelegt sind.
Das ist hilfreich. Es spart Zeit und verhindert, dass Sie auf einem leeren Blatt anfangen müssen.
Aber ist das ISMS damit in Ihrem Unternehmen implementiert?
Nein.
Implementiert ist es erst, wenn die darin beschriebenen Regeln zu Ihrem Unternehmen passen und tatsächlich angewendet werden.
Eine Zugriffsrichtlinie ist nicht implementiert, weil sie in einem Portal hinterlegt wurde. Sie ist implementiert, wenn unter anderem:
- Zugriffsrechte nach nachvollziehbaren Regeln vergeben werden;
- Verantwortliche die Rechte regelmäßig überprüfen;
- ausgeschiedene Mitarbeiter ihre Zugänge rechtzeitig verlieren;
- privilegierte Rechte besonders geschützt werden;
- und das Unternehmen die Durchführung nachweisen kann.
Eine Lieferantenbewertung ist nicht implementiert, weil eine Excel-Vorlage vorhanden ist. Sie ist implementiert, wenn relevante Lieferanten identifiziert, bewertet und bei Bedarf nachverfolgt werden.
Ein Notfallmanagement ist nicht implementiert, weil es einen Notfallplan gibt. Es ist implementiert, wenn Zuständigkeiten geklärt, Kontaktdaten aktuell, Wiederanlaufmaßnahmen realistisch und die Pläne getestet sind.
Die Dateien können Ihnen geliefert werden.
Die betriebliche Realität nicht.
Das ISMS muss Ihr Unternehmen beschreiben
Jedes Unternehmen ist anders.
Ein Softwareunternehmen hat andere Risiken als ein Managed Service Provider. Ein Unternehmen mit eigenem Rechenzentrum benötigt andere Maßnahmen als ein Unternehmen, das seine gesamte Infrastruktur bei einem Cloudanbieter betreibt.
Selbst zwei nahezu gleich große Softwareunternehmen können sich deutlich unterscheiden:
- Das eine entwickelt ausschließlich eine eigene Standardsoftware;
- das andere programmiert Individualsoftware für Kunden;
- das eine verarbeitet Gesundheitsdaten;
- das andere ausschließlich öffentlich verfügbare Informationen;
- das eine betreibt seine Plattform selbst;
- das andere nutzt vollständig verwaltete Cloud-Dienste;
- das eine arbeitet ausschließlich aus einem Büro;
- das andere fast vollständig remote.
Ein vorgefertigtes ISMS kennt diese Unterschiede nicht. Woher auch.
Es kennt auch nicht Ihre tatsächlichen Abläufe, Ihre Kundenverträge, Ihre technischen Systeme, Ihre Abhängigkeiten, Ihre Schwachstellen und Ihre Unternehmenskultur.
Diese Informationen müssen aus Ihrem Unternehmen kommen.
Ein Anbieter kann die richtigen Fragen stellen, die Antworten strukturieren und daraus ein passendes ISMS bauen. Beantworten kann er die Fragen jedoch nicht für Sie.
Ihre Risiken kann niemand von außen für Sie bewerten
Ein zentraler Bestandteil eines ISMS ist die Risikobewertung.
Dafür muss das Unternehmen unter anderem verstehen:
- Welche Informationen und Prozesse sind besonders wichtig?
- Was könnte diesen Werten passieren?
- Welche Schutzmaßnahmen bestehen bereits?
- Wie wahrscheinlich ist ein Schaden?
- Welche Auswirkungen hätte er?
- Welche Risiken akzeptiert das Unternehmen?
- Welche zusätzlichen Maßnahmen sollen umgesetzt werden?
Ein Berater kann diese Bewertung vorbereiten, moderieren und kritisch hinterfragen.
Er kann typische Bedrohungen nennen. Er kann auf fehlende Maßnahmen hinweisen. Er kann dabei helfen, Risiken nachvollziehbar zu formulieren.
Die endgültige Bewertung muss aber zum Unternehmen passen.
Nur das Unternehmen selbst kann beispielsweise entscheiden, ob ein Systemausfall von vier Stunden verkraftbar ist. Nur das Unternehmen kennt seine tatsächlichen Kundenverpflichtungen. Und nur die Geschäftsführung kann festlegen, welches Restrisiko sie akzeptiert.
Ein "fertiges ISMS", das all diese Entscheidungen ohne Ihre Beteiligung bereits getroffen hat, nimmt Ihnen deshalb keine Arbeit ab: Es erfindet ein Unternehmen, das es gar nicht gibt.
Verantwortlichkeiten lassen sich nicht outsourcen
Ein ISMS braucht Verantwortliche.
Jemand muss Risiken bewerten. Jemand muss Maßnahmen umsetzen. Jemand muss Berechtigungen freigeben. Jemand muss Sicherheitsvorfälle bearbeiten. Jemand muss Lieferanten überprüfen. Und die Geschäftsführung muss die grundsätzliche Richtung vorgeben und Ressourcen bereitstellen.
Natürlich können einzelne Aufgaben extern unterstützt oder sogar vollständig ausgelagert werden.
Sie können beispielsweise einen externen Informationssicherheitsbeauftragten einsetzen. Sie können Penetrationstests einkaufen, interne Audits extern durchführen lassen oder einen IT-Dienstleister mit technischen Sicherheitsmaßnahmen beauftragen.
Die Verantwortung des Unternehmens verschwindet dadurch aber nicht.
Auch ein extern betriebener Prozess muss intern beauftragt, gesteuert und überwacht werden.
Spätestens im Zertifizierungsaudit wird deshalb nicht nur gefragt, ob ein Dokument vorhanden ist. Der Auditor möchte wissen, wer verantwortlich ist, wie der Prozess funktioniert und welche Nachweise aus der tatsächlichen Durchführung vorliegen.
Die Antwort „Das stand in unserem ISMS schon so drin“ reicht dabei nicht.
Spätestens im Audit fällt der Unterschied auf
Ein oberflächlich vorbereitetes ISMS kann auf den ersten Blick beeindruckend aussehen.
Es gibt eine Informationssicherheitsleitlinie, zahlreiche Richtlinien, eine umfangreiche Risikobewertung, ein Statement of Applicability und sauber formatierte Prozessbeschreibungen.
Dann beginnt das Audit.
Der Auditor spricht mit den Mitarbeitern und fragt beispielsweise:
- Wie melden Sie einen Informationssicherheitsvorfall?
- Wer genehmigt neue Zugriffsrechte?
- Wie werden neue Mitarbeiter eingewiesen?
- Was passiert beim Ausscheiden eines Mitarbeiters?
- Wann wurde der Notfallplan zuletzt getestet?
- Wie bewerten Sie Ihre wichtigsten Lieferanten?
- Welche Risiken wurden zuletzt behandelt?
- Welche Verbesserungen ergaben sich aus dem internen Audit?
- Wer hat denn bei Ihnen das letzte Mal Zugriffsrechte auf Ressourcen beantragt und wie lief das ab?
Dann zeigt sich schnell, ob das ISMS tatsächlich im Unternehmen angekommen ist.
Ein Dokument kann schöne Phrasen enthalten. Wenn die zuständigen Mitarbeiter den beschriebenen Ablauf nicht kennen oder erkennbar anders arbeiten, hilft diese Antwort jedoch nicht.
Der Auditor prüft nicht nur, ob ein ISMS beschrieben wurde.
Er prüft, ob es wirksam betrieben wird.
„Sie müssen nichts mehr machen“ ist das falsche Versprechen
Ein Anbieter darf Ihnen versprechen, dass er Ihnen sehr viel Arbeit abnimmt. Absolut ok.
Er darf Dokumente erstellen, Projekttermine organisieren, Anforderungen erklären, Entscheidungen vorbereiten und das gesamte Projekt bis zum Zertifizierungsaudit steuern.
Er darf Ihnen auch einen Festpreis, einen konkreten Zeitplan und eine umfassende Unterstützung anbieten.
Das Versprechen „Sie müssen selbst nichts mehr machen, das ISMS ist bereits für Sie fertig“ sollte Sie dagegen misstrauisch machen.
Ein fertiges ISMS ist nie das Ziel
Das Wort „fertig“ ist bei einem Managementsystem ohnehin problematisch.
Ein ISMS wird nicht einmal aufgebaut und anschließend unverändert abgeheftet.
Es muss betrieben, überprüft und weiterentwickelt werden.
Neue Mitarbeiter kommen hinzu. Systeme werden ersetzt. Kundenanforderungen ändern sich. Neue Lieferanten werden eingesetzt. Sicherheitsvorfälle treten auf. Risiken verändern sich. Maßnahmen erweisen sich als unwirksam oder nicht mehr angemessen. Vorgehensweisen werden weiterentwickelt und optimiert.
Deshalb benötigt das ISMS auch nach der Zertifizierung regelmäßige Pflege.
Dazu gehören beispielsweise:
- die Aktualisierung der Risikobewertung;
- die Überprüfung von Maßnahmen;
- interne Audits;
- Management Reviews;
- die Bearbeitung von Abweichungen;
- die Bewertung von Lieferanten;
- die Überprüfung von Berechtigungen;
- und die fortlaufende Verbesserung des Systems.
Ein Anbieter kann Sie auch dabei unterstützen.
Aber ein ISMS, das Ihnen einmal „fertig implementiert“ übergeben wird und danach keine Aufmerksamkeit mehr benötigt, gibt es nicht.
Fazit: Sie können sich Arbeit kaufen – aber kein fertiges ISMS
Sie können Vorlagen kaufen.
Sie können Software kaufen.
Sie können Beratung kaufen.
Sie können sich Dokumente erstellen lassen.
Sie können die Projektleitung auslagern.
Und Sie können einen Anbieter beauftragen, der Sie mit möglichst geringem eigenen Aufwand bis zur ISO-27001-Zertifizierung führt.
Was Sie aber nicht kaufen können, ist ein vollständig fertiges ISMS, das ohne Ihre Mitwirkung in Ihrem Unternehmen implementiert wird und anschließend von allein funktioniert.
Denn Ihr ISMS besteht nicht aus den Dokumenten, die ein Anbieter Ihnen übergibt.
Es besteht aus den Entscheidungen, Verantwortlichkeiten, Maßnahmen und Abläufen, die in Ihrem Unternehmen tatsächlich gelten.
Ein guter Anbieter nimmt Ihnen deshalb nicht jede Arbeit ab.
Er sorgt dafür, dass Ihre knappe Zeit nur für die Dinge benötigt wird, die wirklich niemand anderes für Sie erledigen kann.