Zum Inhalt springen
einfachISO
Tools & Software

ISO-27001-Software kaufen und im Audit zeigen: Fertig?

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
ISMS Software? Werkzeug oder Auditkulisse?
„Sie kaufen unsere Software, beantworten ein paar Fragen und präsentieren das Ergebnis anschließend im Audit.“

So klingt das Versprechen vieler Anbieter von ISO 27001-ISMS-Software.

Das klingt bequem.

Die Plattform stellt Fragen, sammelt Nachweise, zeigt Fortschrittsbalken und färbt erledigte Punkte grün. Am Ende steht dort vielleicht: 100 Prozent umgesetzt.

Das Problem ist nur:

Ein vollständig ausgefülltes Softwareportal ist noch kein funktionierendes ISMS.

Die kurze Antwort

Eine gute ISMS-Software kann hilfreich sein.

Sie kann:

Was sie nicht kann:

  • Ihr Unternehmen verstehen;
  • Risiken für Sie bewerten;
  • Entscheidungen treffen;
  • Verantwortlichkeiten tatsächlich verankern;
  • Maßnahmen umsetzen;
  • oder dafür sorgen, dass Mitarbeiter die beschriebenen Abläufe anwenden.

Die Software kann Ihr ISMS unterstützen.

Sie ist aber nicht das ISMS.

Ein grüner Haken ist noch keine Umsetzung

Nehmen wir an, die Software fragt:

„Werden Zugriffsrechte regelmäßig überprüft?“

Sie klicken auf „Ja“, laden eine Richtlinie hoch und erhalten einen grünen Haken.

Aber:

  • Stimmt das auch?
  • Wer prüft die Rechte?
  • Wie oft?
  • Für welche Systeme?
  • Werden unnötige Rechte entfernt?
  • Gibt es einen Nachweis?
  • Weiß der Verantwortliche überhaupt, dass er verantwortlich ist?

Die Software kann Antworten erfassen.

Sie weiß nicht automatisch, ob diese Antworten stimmen.

Eine hochgeladene Datei ist kein gelebter Prozess.

Der Auditor prüft nicht nur die Software

Eine ISMS-Plattform kann im Audit für Übersicht sorgen.

Der Auditor wird sich aber nicht nur durch das Portal klicken.

Er wird Mitarbeiter fragen:

  • Wie melden Sie einen Sicherheitsvorfall?
  • Wer genehmigt neue Berechtigungen?
  • Was passiert beim Ausscheiden eines Mitarbeiters?
  • Wann wurde der Notfallplan zuletzt getestet?
  • Wie bewerten Sie Ihre wichtigsten Lieferanten?

Wenn die Antwort lautet „Das müsste in der Software stehen“, haben Sie ein Problem.

Ein ISMS funktioniert nicht, weil die Software die Antwort kennt.

Es funktioniert, wenn die zuständigen Mitarbeiter sie kennen.

Das ISMS steht plötzlich neben der eigentlichen Arbeit

Die Mitarbeiter arbeiten längst mit ihren vorhandenen Werkzeugen:

  • Tickets im Ticketsystem;
  • Aufgaben in der Projektsoftware;
  • Berechtigungen in den Administrationssystemen;
  • Personalprozesse in der Personalverwaltung;
  • Lieferanteninformationen im Einkauf;
  • technische Nachweise in den jeweiligen Systemen.

Dann kommt die ISMS-Software dazu.

Plötzlich sollen Vorgänge zusätzlich dort dokumentiert, bestätigt oder nachgehalten werden.

Damit entsteht oft kein integriertes Managementsystem.

Es entsteht eine zweite Welt neben der eigentlichen Arbeit.

Und genau deshalb fragen Mitarbeiter: „Wozu brauchen wir das jetzt? Das ist so sinnvoll wie eine Bedienungsanleitung für meine Kaffeetasse!“

Die Frage ist berechtigt. Der Sinn erschließt sich nicht.

Ein ISMS sollte die vorhandene Arbeit ordnen. Es sollte sie nicht noch einmal nachbauen oder sinnlos daneben stehen.

Der Lock-in entsteht schleichend

Viele Plattformen starten als praktisches Werkzeug. Nach einigen Jahren befinden sich dort:

  • die Risikobewertung;
  • das Statement of Applicability;
  • Richtlinien;
  • Maßnahmen;
  • Lieferantenbewertungen;
  • Auditfeststellungen;
  • Nachweise;
  • Verantwortlichkeiten;
  • ...und viele, viele historische Entscheidungen.

Dann ist die Software nicht mehr nur ein Werkzeug. Sie ist der Aufbewahrungsort des gesamten ISMS.

Ein Wechsel wird schwierig. Deshalb sollten Sie vor dem Kauf klären:

  • Können alle Daten vollständig exportiert werden?
  • In welchem Format?
  • Bleiben Beziehungen zwischen Risiken, Maßnahmen und Nachweisen erhalten?
  • Lassen sich Historien und Freigaben übernehmen?
  • Können Sie das ISMS außerhalb der Plattform weiterbetreiben?

Ein Stapel PDF-Dateien ist kein brauchbarer Systemexport.

Die Software bestimmt plötzlich die Methode

Jede Plattform hat ihre eigene Logik.

Sie bestimmt:

  • wie Risiken beschrieben werden;
  • wie Maßnahmen zugeordnet werden;
  • wie Kontrollen dokumentiert werden;
  • und wie Fortschritt gemessen wird.

Dann wird irgendwann nicht mehr gefragt: „Welche Vorgehensweise passt zu unserem Unternehmen?“

Sondern: „Was müssen wir eintragen, damit die Anzeige grün wird?“

Das ist die falsche Richtung.

Die Software muss zur Organisation passen.

Nicht die Organisation zur Software.

„Aber wir haben doch Beratung dazugekauft“

Unternehmen, die ISO 27001-Software anbieten, haben auch irgendwo im Kleingedruckten etwas über die mitgekaufte „Beratung“ stehen.

In der Praxis bedeutet das meistens etwas anderes, als viele erwarten.

Wenn bei einer ISMS-Software „Beratung“ dabei ist, heißt das in der Regel:

Es gibt jemanden, der Ihnen erklärt, wie Sie die Software bedienen.

  • Wo klicken Sie?
  • Wie legen Sie ein Risiko an?
  • Wie laden Sie Nachweise hoch?
  • Wie funktioniert das Reporting?

Was es in der Regel nicht bedeutet:

  • Jemand analysiert Ihr Unternehmen;
  • hilft Ihnen dabei, Ihre tatsächlichen Risiken sauber zu bewerten;
  • entwickelt mit Ihnen passende Prozesse;
  • oder baut mit Ihnen ein funktionierendes ISMS auf.

Sie bekommen Unterstützung für das Werkzeug.

Nicht für den Aufbau des Systems.

Das ist ein entscheidender Unterschied. Wenn Sie wissen, wie die Werkzeuge in Ihrer Werkzeugkiste funktionieren, können Sie damit noch nicht automatisch ein Auto reparieren.

Prüfen Sie zuerst das Problem

Fragen Sie vor dem Kauf:

  • Welches konkrete Problem löst die Software?
  • Welche vorhandenen Systeme ersetzt sie?
  • Was muss doppelt gepflegt werden?
  • Wie kommen wir wieder heraus?
  • Was kostet die Lösung über mehrere Jahre?

Kaufen Sie keine ISMS-Software, nur weil sie Ihnen ein fertiges ISMS verspricht.

Fazit: Werkzeug oder Auditkulisse?

Eine gute ISMS-Software kann Arbeit erleichtern.

Sie kann Ordnung schaffen, Aufgaben nachhalten, Nachweise bündeln und Audits vorbereiten.

Sie kann aber kein ISMS ersetzen.

Problematisch wird es, wenn das Versprechen lautet:

Software kaufen. Fragen beantworten. Audit bestehen. Fertig.

Dann drohen vier Probleme:

  • Eingabemasken werden mit Umsetzung verwechselt;
  • das ISMS entsteht als Parallelwelt neben der Arbeit;
  • das Unternehmen gerät in einen Lock-in;
  • und aus dem einfachen Einstieg wird ein teures Dauerabonnement.

Die entscheidende Frage lautet nicht:

„Welche Software bringt uns am schnellsten auf 100 Prozent?“

Sondern:

„Welches konkrete Problem löst diese Software in unserer täglichen Arbeit?“

Kann der Anbieter darauf keine klare Antwort geben, kaufen Sie wahrscheinlich kein ISMS-Werkzeug.

Sie kaufen dann eine teure Auditkulisse.

Häufig gestellte Fragen

Kann man mit einer ISMS-Software die ISO-27001-Zertifizierung erhalten?
Eine ISMS-Software kann den Aufbau und die Vorbereitung auf das Audit erleichtern. Die Zertifizierung erhalten Sie aber nicht für die Nutzung einer bestimmten Software. Der Auditor prüft, ob Ihr Unternehmen ein wirksames ISMS betreibt. Dazu gehören passende Prozesse, umgesetzte Maßnahmen, klare Verantwortlichkeiten und belastbare Nachweise.
Ersetzt eine ISMS-Software einen ISO-27001-Berater?
Nein. Die Software stellt Eingabemasken, Vorlagen, Aufgaben und Auswertungen bereit. Ein guter Berater analysiert dagegen Ihr Unternehmen, erkennt Lücken, bewertet die Angemessenheit von Maßnahmen und entwickelt mit Ihnen praktikable Lösungen. Produktsupport erklärt meist die Plattform – nicht, wie ein passendes ISMS aufgebaut werden muss.
Für welche Unternehmen lohnt sich eine ISMS-Software?
Sie kann sich lohnen, wenn viele Verantwortliche, Standorte, Gesellschaften, Standards oder regelmäßig zu prüfende Nachweise koordiniert werden müssen. Bei kleinen Unternehmen mit wenigen Beteiligten reichen vorhandene Dokumenten-, Ticket- und Aufgabenverwaltungssysteme häufig aus.
Was kostet eine ISMS-Software?
Die Preise hängen häufig von der Mitarbeiterzahl, den benötigten Standards, Modulen, Integrationen und Gesellschaften ab. Entscheidend ist deshalb nicht nur der Einstiegspreis. Prüfen Sie die Gesamtkosten über mehrere Jahre und berücksichtigen Sie dabei Wachstum, Zusatzmodule und interne Pflegeaufwände.
Was bedeutet Lock-in bei einer ISMS-Software?
Ein Lock-in entsteht, wenn Risiken, Maßnahmen, Nachweise, Freigaben und historische Entscheidungen so stark in der Plattform verankert sind, dass ein Wechsel nur mit erheblichem Aufwand möglich ist. Prüfen Sie deshalb vor dem Kauf, ob sich alle Inhalte vollständig und in weiterverwendbaren Formaten exportieren lassen.
Kann eine ISMS-Software automatisch Nachweise sammeln?
Viele Plattformen können technische Informationen aus Cloud-, Identitäts- oder Gerätemanagementsystemen abrufen. Das spart Arbeit. Die automatisch gesammelten Daten müssen aber weiterhin bewertet werden. Eine technische Einstellung kann vorhanden sein, ohne vollständig, wirksam oder für das konkrete Risiko angemessen zu sein.Ich hoffe