scrabble tiles spelling the word security
Photo by Markus Winkler on Pexels.com
Posted inDatenschutz IT Audit / Compliance / Security

ISMS-Implementierung: Warum ein ISMS kein IT-Projekt, sondern ein Marathon ist

Die Entscheidung für ein Information Security Management System (ISMS) – sei es wegen NIS-2, TISAX® oder ISO 27001 – ist für viele Unternehmen der Startschuss zu einer großen Veränderung. Doch oft wird dieser Weg unterschätzt. Man kann es mit dem Training für einen Marathon vergleichen: Teure Laufschuhe und eine App allein bringen einen nicht ins Ziel, wenn der Trainingsplan und die feste Zeit im Kalender fehlen.

Damit dein Projekt nicht auf halber Strecke verstaubt, räumen wir mit den gängigen Mythen auf und schauen uns die Realität für KMU an.

Die größte Falle: „Das macht die IT nebenbei“

Einer der gefährlichsten Sätze bei der ISMS-Einführung lautet: „Das macht die IT einfach mit“. Ein ISMS ist kein Software-Update, das man mal eben am Freitagnachmittag ausrollt. Es ist eine strategische Managementaufgabe, die das gesamte Unternehmen betrifft – vom Einkauf über HR bis zur Geschäftsführung.

Ein ISMS ist im Grunde ein Regelwerk, das sicherstellt, dass die „Kronjuwelen“ deines Unternehmens systematisch geschützt werden. Es geht nicht darum, einen Bunker zu bauen, sondern die richtigen Schlösser an den richtigen Türen anzubringen.

Zeit und Kosten: Was kommt wirklich auf KMU zu?

Für ein mittelständisches Unternehmen mit 100 bis 200 Mitarbeitern ist eine Dauer von 9 bis 18 Monaten realistisch, bis das System zertifizierungsreif ist. Wer „Zertifizierungsreife in 2 Monaten“ verspricht, vernachlässigt oft den Faktor Mensch: Dokumente sind schnell angepasst, aber bis Prozesse wirklich gelebt werden, braucht es Zeit.

Bei den Kosten unterschätzen viele die internen Ressourcen:

  • Externe Kosten: Beraterhonorare und optionale Software-Tools.
  • Interne Kosten (der größte Block): Die Zeit, die Geschäftsführung und Fachbereichsleiter in Workshops und Dokumentation investieren, fehlt im Tagesgeschäft.

Die 5 häufigsten Stolpersteine

Warum ufern ISMS-Projekte oft aus? Meist liegt es an diesen Faktoren:

  1. Fehlende Struktur: Start ohne klaren Projektplan.
  2. Unklare Verantwortlichkeiten: Wenn sich niemand zuständig fühlt.
  3. Zu viel Eigenbau: Jede Richtlinie mühsam von Grund auf neu zu schreiben.
  4. Fehlendes Know-how: Falsche Interpretation von Normvorgaben führt zu unnötig komplexen Prozessen.
  5. Zettelwirtschaft: Den Überblick in unzähligen Excel-Listen verlieren.

Welcher Weg ist der richtige?

Es gibt im Wesentlichen drei Ansätze, um ans Ziel zu kommen:

  • Der klassische Weg: Ein externes Beratungshaus baut das System „schlüsselfertig“ auf. Das ist teuer und schafft oft Abhängigkeiten.
  • Der reine DIY-Ansatz: Man versucht alles intern zu lösen. Das ist hochgradig fehleranfällig und frisst massiv interne Ressourcen.
  • Der Hybrid-Ansatz: Die effizienteste Lösung für KMU. Hier nutzt man strukturierte Selbstlernprozesse und Vorlagen, wird aber an kritischen Stellen von Experten begleitet. So baut man internes Wissen auf, ohne das Rad neu erfinden zu müssen.

Der Hybrid-Ansatz stellt für kleine und mittlere Unternehmen (KMU) einen Mittelweg zwischen der rein internen Umsetzung (DIY) und der Beauftragung einer kompletten externen Beratung dar. Er zielt darauf ab, die Effizienz zu maximieren, während die Kosten und die Abhängigkeit von Externen minimiert werden.

Hier sind die Details dazu, wie dieser Ansatz funktioniert und warum er für KMU empfohlen wird:

Kernmerkmale des Hybrid-Ansatzes

  • Strukturierter Selbstlernprozess: Das Unternehmen nutzt geführte Prozesse und Anleitungen, um das System eigenständig aufzubauen.
  • Einsatz von Vorlagen: Statt jede Richtlinie mühsam neu zu schreiben, wird auf praxiserprobte Vorlagen zurückgegriffen, was den Zeitaufwand erheblich reduziert.
  • Punktuelle Expertenunterstützung: Fachberater werden nicht für das gesamte Projekt gebucht, sondern nur dann hinzugezogen, wenn es hakt oder spezifisches Know-how bei der Interpretation von Normen erforderlich ist.
  • Software-Unterstützung: Tools wie ein „Cybersecurity Hub“ bieten oft KI-gestützte Checks und eine zentrale Plattform, um den Überblick über Dokumente und Prozesse zu behalten.

Die Vorteile gegenüber anderen Methoden

Im Vergleich zum klassischen Beratungsmodell oder dem reinen Eigenbau bietet die hybride Lösung entscheidende Vorzüge:

  1. Wissensaufbau im Haus: Im Gegensatz zum „schlüsselfertigen“ Aufbau durch Berater bleibt das gesamte Know-how im Unternehmen. Das ist wichtig, damit das ISMS nach der Implementierung auch ohne externe Hilfe weitergeführt und „gelebt“ werden kann.
  2. Kostenkontrolle: Die Kosten sind deutlich besser skalierbar als bei einer klassischen Beratung, die schnell im hohen fünfstelligen Bereich liegen kann.
  3. Vermeidung von Fehlern: Rein interne Projekte scheitern oft an der falschen Interpretation von Normvorgaben (z. B. ISO 27001). Der hybride Ansatz bietet hier durch die Expertenbegleitung ein Sicherheitsnetz.
  4. Geschwindigkeit: Durch die Kombination aus fertigen Strukturen und professioneller Begleitung lässt sich die Projektdauer im Vergleich zu einem unkoordinierten Vorgehen oft halbieren.

 

Der Hybrid-Ansatz für ein ISMS basiert auf einer klaren Roadmap, die einen strukturierten Selbstlernprozess mit gezielter Expertenunterstützung kombiniert, um das Projekt innerhalb von 9 bis 18 Monaten zur Zertifizierungsreife zu führen. Ein konkreter Projektplan nach diesem Modell umfasst folgende Phasen und Meilensteine:

1. Vorbereitung und Management-Commitment

  • Ressourcenplanung: Die Geschäftsführung muss das Projekt aktiv unterstützen und die nötigen internen Ressourcen (Personal und Zeit) freigeben, da fehlendes Commitment oft zum Projektabbruch führt.
  • Rollenverteilung: Es wird ein Informationssicherheitsbeauftragter (ISB) benannt, der die operative Steuerung übernimmt, idealerweise in enger Abstimmung mit der IT, aber mit klarer eigener Verantwortlichkeit.

2. Strukturierter Aufbau mit Vorlagen (Selbstlernphase)

  • Vermeidung von „Eigenbau“: Statt jede Richtlinie mühsam neu zu schreiben, nutzt das Unternehmen praxiserprobte Vorlagen, was den Aufwand signifikant reduziert.
  • Plattformnutzung: Der Einsatz einer Software (wie dem Cybersecurity Hub) hilft dabei, Medienbrüche und Zettelwirtschaft zu vermeiden und den Überblick über alle Dokumente zu behalten.

3. Bearbeitung der ISMS-Kernsäulen

Der Plan arbeitet sich iterativ durch die wesentlichen Säulen des Managementsystems:

  • Risikomanagement: Identifikation der „Kronjuwelen“ (wertvollste Daten) sowie Analyse von Schwachstellen und potenziellen Bedrohungen.
  • Maßnahmen (Controls): Umsetzung technischer und organisatorischer Riegel, um die identifizierten Risiken zu minimieren.
  • Prozesse und Verfahren: Dokumentation und Integration der Sicherheit in tägliche Abläufe, wie z. B. im Einkauf oder bei HR.

4. Punktuelle Expertenunterstützung

  • Gezielte Checkpoints: Externe Experten werden genau dann hinzugezogen, wenn es hakt oder die Interpretation von Normvorgaben (z. B. für ISO 27001 oder TISAX®) schwierig ist. Dies verhindert den Aufbau zu komplexer und praxisferner Prozesse.

5. Awareness und „Lebendes System“

  • Mitarbeiterschulung: Integration der Belegschaft, um Informationssicherheit als festen Bestandteil der Unternehmenskultur zu verankern.
  • Praxis-Check: Sicherstellung, dass Prozesse nicht nur auf dem Papier existieren, sondern im Alltag gelebt werden – ein Schritt, der oft unterschätzt wird und Zeit benötigt.

6. Audit und kontinuierliche Verbesserung

  • Überprüfung: Durchführung von Audits, um sicherzustellen, dass die Maßnahmen greifen.
  • PDCA-Zyklus: Etablierung eines Kreislaufs aus Planen, Umsetzen, Überprüfen und Verbessern, um das System dauerhaft aktuell zu halten.

Durch diesen strukturierten Ansatz mit klaren Meilensteinen lässt sich die Projektdauer im Vergleich zu einem unkoordinierten Vorgehen oft halbieren.

 

Die KI-gestützten Checks im Cybersecurity Hub sind ein zentraler Bestandteil des hybriden Ansatzes zur ISMS-Implementierung und dienen primär dazu, schnelle Ergebnisse zu liefern.

Hier sind die Details aus den Quellen:

  • Effizienzsteigerung: Die Checks unterstützen Unternehmen dabei, den Aufwand für die Implementierung signifikant zu reduzieren.
  • Wissensaufbau: Sie sind in einen Prozess eingebettet, der es KMU ermöglicht, internes Know-how eigenständig aufzubauen, anstatt sich vollständig auf externe Berater zu verlassen.
  • Struktur: Die KI-Funktionen sind Teil einer Softwarelösung, die darauf ausgelegt ist, die Verwaltung des ISMS zu erleichtern und den Überblick zu behalten, ohne dass das „Rad neu erfunden“ werden muss.

Bitte beachte, dass die Quellen keine detaillierte technische Beschreibung der genauen Funktionsweise dieser Checks enthalten (also zum Beispiel, ob sie Dokumente auf Normkonformität prüfen oder Risiken automatisch bewerten). Diese spezifischen Details gehen über den Inhalt der bereitgestellten Texte hinaus.

Im Vergleich zu menschlichen Beratern fungieren KI-gestützte Checks im ISMS-Kontext (wie etwa im Cybersecurity Hub oder in 360vue) primär als hocheffiziente Beschleuniger und Werkzeuge zur Mustererkennung, während Berater für die qualitative Bewertung und strategische Einordnung unverzichtbar bleiben.

Hier ist eine detaillierte Gegenüberstellung basierend auf den Quellen:

Was KI-gestützte Checks leisten

  • Geschwindigkeit bei der Dokumentation: Eine KI kann Dokumentationsprozesse massiv beschleunigen, indem sie Richtlinienentwürfe, Prozessbeschreibungen und Auditberichte basierend auf vorhandenen Daten erstellt. Ein Praxisbeispiel zeigt, dass die Erstellung eines Statement of Applicability (SoA) von vier Wochen auf fünf Tage verkürzt werden kann.
  • Mustererkennung in großen Datenmengen: KI erkennt statistische Muster und Anomalien in Logdaten oder historischen Sicherheitsvorfällen, die ein menschlicher Berater kaum manuell erfassen könnte.
  • Automatisierte Compliance-Prüfung: KI-Systeme können kontinuierlich Abgleiche mit Normen wie der ISO 27001 durchführen, Lücken (Gaps) in Echtzeit identifizieren und korrespondierende Maßnahmen priorisieren.
  • Vermeidung von Abhängigkeiten: Durch KI-Checks in einem Hybrid-Ansatz bauen Unternehmen internes Know-how auf, anstatt ein „schlüsselfertiges“ System von Beratern zu kaufen, das sie später ohne externe Hilfe nicht mehr pflegen können.

Wo Berater (menschliche Experten) überlegen sind

  • Kausalität statt Statistik: Während eine KI nur statistische Muster erkennt, versteht ein menschlicher Experte echte kausale Zusammenhänge und kann beurteilen, warum ein Risiko in einem spezifischen Unternehmenskontext relevant ist.
  • Qualitative Einordnung: Die sogenannte „Expert Evaluation“ legt den Fokus auf qualitative Einschätzungen und domänenspezifische Interpretationen, die über rein datengetriebene Metriken hinausgehen.
  • Umgang mit Ausnahmen: KI ist für gut definierte Standardfälle geeignet, stößt aber bei komplexen Ausnahmen und unvorhersehbaren Situationen an technische Grenzen.
  • Letztverantwortung und Validierung: KI-generierte Vorschläge sind oft „plausibel, aber potenziell fehlerhaft“ (Halluzinationen). Kritische Entscheidungen in der Risikoanalyse bleiben daher immer in menschlicher Verantwortung.

Zusammenfassung des Vergleichs

Funktion KI-gestützte Checks Menschliche Berater
Primärer Fokus Effizienz, Geschwindigkeit, Datenanalyse Strategie, Kontext, Qualitätssicherung
Arbeitsweise Erkennt statistische Muster Nutzt logisches Schließen und Erfahrung
Dokumentation Erstellt Entwürfe in Tagen/Stunden Prüft und validiert auf Normkonformität
Kosten & Zeit Niedriger, führt zu schnellen Ergebnissen Höher, sorgt für tiefgreifende Absicherung

Im Hybrid-Ansatz werden diese Stärken kombiniert: Die KI liefert die schnellen Ergebnisse und die Struktur, während Berater punktuell genau dort unterstützen, wo es hakt oder die Interpretation der Norm ein „Glücksspiel“ für Laien wäre.

Bei der Nutzung von KI-gestützten Compliance-Checks ergeben sich erhebliche Datenschutzrisiken, da diese Systeme oft große Mengen potenziell personenbezogener Daten verarbeiten. Ein zentrales Risiko besteht in der Übermittlung sensibler Unternehmens- oder Personendaten an öffentliche KI-Systeme (wie ChatGPT oder Gemini), die für Compliance-Aufgaben im ISMS-Kontext ausdrücklich als ungeeignet eingestuft werden. Mitarbeiter könnten beispielsweise bei der Bearbeitung von Korrespondenz oder der Dokumentenerstellung versehentlich Daten Dritter in die Prompts eingeben und so deren Privatsphäre gefährden.

Ein weiteres Problem ist der Mangel an Transparenz, da viele KI-Dienste als „Blackbox“ agieren, was den Nachweis einer datenschutzkonformen Verarbeitung gemäß DSGVO erschwert. Zudem bestehen spezifische technische Gefährdungen wie Modelllecks (Training Data Leakage), bei denen sensible Informationen aus den Ausgaben der KI rekonstruiert werden könnten, oder Data Poisoning, also die Manipulation von Trainingsdaten. Die unkontrollierte Nutzung von Schatten-KI, bei der private Tools für berufliche Zwecke verwendet werden, führt dazu, dass Daten in ungesicherte Umgebungen abfließen können.

Rechtlich gesehen ist jede Verarbeitung personenbezogener Daten durch eine KI rechtfertigungsbedürftig und erfordert eine klare Rechtsgrundlage sowie oft eine Datenschutz-Folgenabschätzung (DSFA) bei risikoreichen Anwendungen. Die Umsetzung von Betroffenenrechten, wie das Recht auf Auskunft oder Löschung, gestaltet sich in den undurchsichtigen Strukturen großer Sprachmodelle als technisch und rechtlich schwierig. Besonders kritisch ist das Verbot automatisierter Entscheidungen im Einzelfall (Art. 22 DSGVO), welches eine menschliche Endprüfung vorschreibt, wenn die Entscheidung erhebliche Auswirkungen auf Personen hat. Schließlich müssen bei der Nutzung von Cloud-KI-Providern oft Datentransfers in Drittländer (insbesondere die USA) geprüft und durch Standardvertragsklauseln oder das Data Privacy Framework abgesichert werden.

Fazit: Planbarkeit statt Panik

Eine ISMS-Implementierung ist kein Spaziergang, aber sie ist absolut planbar. Mit einer klaren Roadmap, praxiserprobten Vorlagen und dem Fokus auf gelebte Prozesse statt theoretischer Perfektion wird aus dem Mammutprojekt ein strukturierter Prozess, der dein Unternehmen am Ende sicherer und effizienter macht.