ISMS-Einführung

Systematisches Vorgehen beim IT-Sicherheitsgesetz

09.12.2016 von Ralph Schröder

Quer durch alle Branchen unterschätzen gerade große Unternehmen die Tragweite des neuen IT-Sicherheitsgesetzes. Denn oftmals sie sind gleich an mehreren Stellen im Unternehmen betroffen.

Ab einem Schwellenwert von 500.000 zu versorgenden Personen unterliegen Unternehmen dem IT-Sicherheitsgesetz. Die Zahl wird schnell erreicht.
Die Einführung eines ISMS dauert ein Jahr bis 18 Monate.
Erleichtert wird die ISMS-Einführung, wenn es eine durchgängige IT- oder Sicherheitsverantwortung gibt – einen CIO oder CISO.

Deutschlandweit sind etwa 2000 Unternehmen direkt von dem neuen IT-Sicherheitsgesetz (IT-SiG) betroffen. Dazu zählen Energieversorger und Telekommunikationsunternehmen, aber auch Lebensmittelhersteller und Transport- und Logistikunternehmen, bei denen ein Ausfall der IT-Systeme zu nachhaltig wirkenden Versorgungsengpässen oder Störungen der öffentlichen Sicherheit führen kann.

Nachweis nach zwei Jahren ist Pflicht

Betroffene Unternehmen müssen unter anderem innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung für ihre Branche angemessene organisatorische und technische Sicherheitsmaßnahmen, zum Beispiel durch ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 vorweisen. Die Funktionsfunktionsfähigkeit des ISMS muss etwa durch eine Zertifizierung bestätigt sein.

In der Rechtsverordnung sind Schwellenwerte festgelegt, ab denen ein Unternehmen von dem neuen Gesetz betroffen ist. Für die Branchen Ernährung, Energie, Wasser, IT und Telekommunikation wurde die Rechtsverordnung im Mai 2016 veröffentlicht. Für Transport & Verkehr, Gesundheit, Finanzen und Versicherungen wird sie im Frühjahr 2017 erwartet. Auch in diesen Branchen wird der Schwellenwert von 500.000 zu versorgenden Personen gelten.

Die meisten Unternehmen sind im Verzug

Aus zahlreichen Gesprächen mit IT-Managern geht hervor: Viele Unternehmen sind bei der Einführung des ISMS in Verzug und dafür gibt es mehrere Gründe. So unterschätzen einige Branchen, zum Beispiel Lebensmittelhändler, die Bedeutung ihrer IT-Sicherheit, weil sie ja "nur Nahrungsmittel verteilen oder verkaufen". Automobilhersteller und -zulieferer haben oftmals nicht im Fokus, dass moderne Fahrzeuge über ihre Software direkt manipuliert werden können, wodurch wiederum schnell 500.000 Personen betroffen sein können gravierende.

Auch im Gesundheitsbereich haben sich zahlreiche Firmen noch nicht mit den Auswirkungen des Gesetzes befasst. Wieder andere Unternehmen sind überzeugt davon, dass sie die Schwellenwerte nicht erfüllen, weil sie in der Vergangenheit weniger produziert oder geliefert haben.

So binden Sie Ihre IT-Sicherheitsexperten

Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.

Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.

Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.

Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.

Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.

Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.

Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.

Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.

Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.

Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.

Es gilt jedoch die Menge, die für das Jahr 2017 beziehungsweise 2018 zu erwarten ist. Auch bei Akquisitionen sollte daher geprüft werden, ob durch den geplanten Merger die Schwellenwerte überschritten werden. Das kann dazu führen, dass die Akquisition sich evtl. nicht mehr rechnet, da die Kosten für ein ISMS schnell in Millionenhöhe steigen können.

ISMS-Projekt dauert 12 bis 18 Monate

Ein weiterer Grund für die verzögerte Reaktion vieler Unternehmen: Oftmals scheinen sie die Veröffentlichung der angekündigten Branchenstandards abzuwarten, aus denen noch einmal konkrete Schutzanforderungen hervorgehen werden. Damit jedoch werden sie die Einführung des ISMS sicher nicht rechtzeitig abschließen können. Denn das gesamte Projekt dauert mindestens ein Jahr bis 18 Monate - nicht zuletzt weil das System vor der Zertifizierung bereits einige Monate in Betrieb sein muss. Sinnvoll ist es daher, frühzeitig zu beginnen und die Branchenstandards - dort, wo sie nicht vorhersehbar waren - einzuarbeiten.

Komplexität des Projekts wird unterschätzt

Nicht zuletzt unterschätzen gerade viele große Unternehmen die Komplexität der ISMS-Einführung. Denn für sie hat das Thema oftmals mehrfach Relevanz: Bei Mischkonzernen können mehrere Sparten wie zum Beispiel Energie, Wasser und IT-Services die festgelegten Schwellenwerte erreichen. Bei einem Lebensmittelkonzern sind häufig unterschiedliche Bereiche betroffen: die Nahrungsmittelproduktion ebenso wie das Bestellwesen, die Lagerhaltung, die Logistik und das Abrechnungssystem.

Wird das Unternehmen an einem dieser Punkte angegriffen, können die Verbraucher keine Nahrungsmittel mehr kaufen. Zudem können in Konzernen mehrere Tochtergesellschaften involviert sein. Und auch bei Verträgen mit externen Dienstleistern ist das Unternehmen für das Einhalten des IT-SiG verantwortlich.

Basisfragen vor der ISMS-Einführung

Um in diesem Geflecht die Übersicht zu behalten, ist es wichtig, dass es im Konzern eine zentrale Stelle gibt, die die ISMS-Einführung koordiniert. Erleichtert wird dies, wenn es im Unternehmen eine durchgängige IT- oder Sicherheitsverantwortung gibt - einen CIO oder einen CISO. In jedem Fall aber sollte ein Verantwortlicher benannt werden, der zunächst die Frage nach der Betroffenheit stellen muss:

Welche Standorte des Unternehmens und welche Bereiche genau sind von dem neuen Gesetz betroffen?
Geklärt werden muss jedoch auch: Wie gehen wir bei der Einführung des ISMS vor?
Wie lassen sich Synergieeffekte nutzen und Kosten einsparen?
Verfügt der Konzern über eine durchgängige IT?
Sollte die Zertifizierung von einer zentralen Stelle aus gesteuert und durchgeführt werden? Schließlich sind Insellösungen nicht nur teuer, sie gefährden auch das reibungslose Zusammenspiel unterschiedlicher Bereiche.

Nach der Betroffenheitsanalyse gilt es, die identifizierten Standorte und Unternehmensbereiche genauer zu untersuchen. Mit einem intelligenten Scoping werden diejenigen Bereiche herausgefiltert, die nicht den Kern der kritischen Dienstleistung darstellen. Dabei können oftmals ganze organisatorische Bereiche - wie zum Beispiel das HR- oder das Infrastrukturmanagement - ausgeklammert werden. In der Folge ist der zu zertifizierende Bereich kleiner und es müssen insgesamt weniger Mitarbeiter geschult werden - auch das kann eine enorme Kostenreduzierung bedeuten.

GAP-Analyse

Im nächsten Schritt werden die wesentlichen Prozesse in den relevanten Bereichen analysiert und mittels GAP-Analyse wird ermittelt, wo das System den Kriterien des IT-SiG noch nicht entspricht und welche ganz konkreten Aufwände zu erwarten sind. Schließlich geht es an die Umsetzung der geforderten Standards, die oftmals auch geänderte Prozesse und Verhaltensweisen der Mitarbeiter einschließen.

Chancen der ISMS-Einführung nutzen

Angesichts dieser beachtlichen Herausforderungen sollten die Unternehmen das ISMS möglichst frühzeitig in Angriff nehmen und dabei bedenken: Die Einführung ist nicht nur lästige Pflicht, sie erhöht die IT-Sicherheit deutlich und macht die Firmen damit auch fit für die Digitalisierung, die neue Risiken und Angriffspunkte mit sich bringt.

Mehr IT-Sicherheit durch Gamification

Belohnung erwünscht
Belohnen Sie Mitarbeiter, die sich an die Unternehmensvorgaben beziehungsweise Sicherheitsrichtlinien halten. Das wird diese wiederum anspornen, ihr Verhalten beizubehalten. Ein Beispiel für Gamification wäre in diesem Zusammenhang, dass Mitarbeiter digitale (oder physische) Plaketten, Pokale oder Auszeichnungen erhalten - etwa wenn Sie es schaffen, 100 E-Mails ohne Compliance-Verstoß zu verschicken.

Anreize schaffen
Wenn ein Angestellter in ihrem Unternehmen bereits eine beeindruckende Sammlung an digitalen Auszeichnungen erlangt hat, bieten Sie ihm die Möglichkeit, diese gegen "echte" Vorteile einzutauschen - zum Beispiel Geschenkgutscheine oder Sonderzulagen.

Offener Dialog
Durch den Einsatz von Gamification können Unternehmen einen neuen Umgang mit dem Thema Datenschutz fördern. Statt externe Spezialisten gähnend langweilige Vorträge über Compliance und Datenschutz halten zu lassen, könnte ein offener Dialog zwischen den Mitarbeitern entstehen, in dem diese sich - auf Basis ihrer Erfolge, Herausforderungen und Erfahrungen im Gamification-System - aus freien Stücken über Best Practices austauschen.

Bewusstseinsbildung
Cybersecurity-Trainings sind am effektivsten, wenn sie einmal pro Jahr abgehalten werden. Allerdings hält sich ein großer Teil der Unternehmen nicht an diesen Zyklus, in der Regel aus Zeit- und/oder Kostengründen. Durch den Einsatz von Gamification sind Mitarbeiter eher in der Lage, eigenes Fehlverhalten anzuerkennen, die Folgen ihres Handelns zu erkennen und ihr Verhalten auf lange Sicht zu ändern.

Engagement fördern
Sie sollten Ihre Angestellten dazu ermutigen, ihre Auszeichnungen am Arbeitsplatz zur Schau zu stellen. Außerdem sollten Sie ihren Führungskräften auftragen, gutes Verhalten dadurch zu belohnen, dass eine monatliche Bestenliste veröffentlicht wird (Mitbestimmung beachten!). Ranglisten und Auszeichnungen sorgen dafür, dass die Spielteilnehmer sofort ins Game hineingezogen werden. Davon abgesehen fördert ein solches Vorgehen die interne Kommunikation, wodurch wiederum das Engagement aller Mitarbeiter gestärkt wird.

Fachkräfte finden
Immer noch ringt die IT-Branche mit einem ausgeprägten Fachkräftemangel - insbesondere wenn es um das Thema IT-Sicherheit geht. Einige Organisationen - etwa die britische Cyber Security Challenge - haben es sich zur Aufgabe gemacht, dieses Problem mit jährlichen Wettbewerben zu lösen. Bei diesen Veranstaltungen werden die Teilnehmer mit simulierten Bedrohungssituationen konfrontiert, die sie dann auf Grundlage ihrer Fähigkeiten meistern müssen. Die Gewinner bekommen in der Regel lukrative Job-Angebote von großen IT-Unternehmen oder Regierungsinstitutionen, die die Challenge mit Sponsorgeldern unterstützen.

Kontrolle ist besser
Natürlich kann der Einsatz von Gamification nur dann Früchte tragen, wenn die Mitarbeiter das Gelernte auch auf Szenarien in der echten Welt anwenden. Um das sicherzustellen, sollten Unternehmen unbedingt die Effektivität ihrer Gamification-Bemühungen an der Entwicklung des realen Risikopotentials messen. Zu diesem Zweck sollten Sie regelmäßige, interne Prüfungen durchführen, um herauszufinden welche Mitarbeiter trotz aller Bemühungen immer noch ein Sicherheitsrisiko darstellen.

Bei Energieversorgen erhöhen Smart Meters, Smart Grids, aber auch Smart Homes die Bedeutung der IT-Sicherheit. So wurden etwa in Finnland mit einem Hackereingriff die Heizungen in mehreren Wohnblöcken ausgeschaltet.

Beispiele in der Lebensmittelbranche sind etwa Wifi-Zugänge oder Navigationsapps bei den großen Retailern oder das verstärkte Sammeln personenbezogener Kundendaten. Konkret bedeutet das: Wenn ein Unternehmen ein ISMS-System einführt, sollte es seine gesamte IT auch gleich auf die Digitalisierung vorbereiten.

EU-Datenschutz-Grundverordnung und EU-Direktive berücksichtigen

Und umgekehrt: Erneuert ein Unternehmen im Zuge der Digitalisierung seine IT und beseitigt die typischen Schwachstellen, sollte es das ISMS-System gleich miteinführen. Zudem sollten auch die neue EU-Datenschutz-Grundverordnung sowie die EU-Direktive zum Know-how-Schutz gleich mitberücksichtigt werden. Beide müssen ohnehin umgesetzt werden.

Wichtig ist es, dass der CIO, CISO oder der ISMS-Verantwortliche die Unterstützung des Vorstandes hat und die IT-Sicherheit im Unternehmen zur Chefsache erklärt wird. Denn nur dann wird eine ganzheitliche und systematische Umsetzung gelingen. Überhaupt keine gute Idee hingegen ist es, vor dem ISMS die Augen zu verschließen. Denn dann drohen den Unternehmen Bußgelder von bis zu 100.000 Euro. Deutlich schwerer aber kann ein Imageschaden wiegen, sollte das Versäumnis öffentlich bekannt werden oder es tatsächlich zu einem gravierenden Sicherheitsvorfall kommen.