Ein ISMS — das Informationssicherheits-Managementsystem — ist der strukturierte Rahmen, mit dem Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen systematisch schützen. Es ist keine Software, keine einmalige Zertifizierung und kein IT-Projekt. Es ist ein kontinuierlicher Prozess, der von der Geschäftsführung getragen werden muss.
Mit NIS2, DORA und dem zunehmenden Fokus der Aufsichtsbehörden auf Cybersicherheit rückt das ISMS ins Zentrum der Compliance-Pflichten. Wer kein strukturiertes ISMS vorweisen kann, hat im Falle eines Sicherheitsvorfalls wenig Entlastungspotenzial — und riskiert persönliche Haftung der Geschäftsführung.
Was ein ISMS konkret ist
Der internationale Standard ISO/IEC 27001 definiert, was ein ISMS umfassen muss: einen dokumentierten Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken — ergänzt um Richtlinien, Kontrollen und einen kontinuierlichen Verbesserungszyklus (Plan-Do-Check-Act).
Im Kern beantwortet ein ISMS drei Fragen: Welche Informationswerte hat das Unternehmen? Welchen Risiken sind sie ausgesetzt? Welche Maßnahmen reduzieren diese Risiken auf ein akzeptables Niveau?
ISMS, DSGVO und NIS2 zusammen denken: Ein nach ISO 27001 aufgebautes ISMS deckt rund 80 % der NIS2-Anforderungen (Art. 21) und bildet gleichzeitig die organisatorische Grundlage für DSGVO-Compliance. Wer alle drei separat aufbaut, produziert dreifache Dokumentation — wer sie integriert, spart erheblich.
Schritt 01 · Scoping
Geltungsbereich des ISMS festlegen
Der Geltungsbereich (Scope) definiert, welche Teile des Unternehmens, welche Prozesse und welche Standorte vom ISMS erfasst werden. Ein zu eng gewählter Scope schützt nicht ausreichend; ein zu breiter überfordert kleinere Organisationen.
Für KMU empfiehlt sich ein Scope, der alle geschäftskritischen Prozesse umfasst — typischerweise Kundenmanagement, Buchhaltung, IT-Infrastruktur und die wichtigsten Produktions- oder Dienstleistungsprozesse.
Schritt 02 · Risikoanalyse
Informationswerte erfassen und Risiken bewerten
Das Asset-Inventar ist die Grundlage jeder Risikoanalyse. Es erfasst alle Informationswerte — Server, Endgeräte, Cloud-Dienste, Softwarelizenzen, Datenbanken, aber auch Papierarchive und das Know-how von Schlüsselpersonen.
Für jeden Asset wird dann bewertet: Wie hoch ist der Schaden, wenn die Vertraulichkeit (unbefugter Zugriff), die Integrität (unerlaubte Veränderung) oder die Verfügbarkeit (Ausfall) beeinträchtigt wird? Das Ergebnis ist ein Risikokatalog mit priorisierten Handlungsfeldern.
Schritt 03 · Controls
Maßnahmen aus ISO 27001 Annex A auswählen
ISO 27001 Annex A listet 93 Sicherheitsmaßnahmen (Controls) in vier Kategorien: organisatorische, personenbezogene, physische und technologische Maßnahmen. Nicht jede Maßnahme ist für jedes Unternehmen relevant — die Auswahl erfolgt auf Basis der Risikoanalyse.
Typische Maßnahmen für KMU: Zugangskontrollrichtlinie, Passwort-Policy, Datensicherungskonzept, Patch-Management, Schulungsprogramm für Mitarbeiter, Incident-Response-Plan und physische Zutrittskontrolle für Serverräume.
Wichtig: Das Statement of Applicability (SoA) dokumentiert, welche Controls angewendet werden und — wenn Controls ausgeschlossen wurden — warum. Das SoA ist das zentrale Nachweisdokument bei einer Zertifizierung oder einem Audit.
Schritt 04 · Audit & Review
Wirksamkeit prüfen und kontinuierlich verbessern
Ein ISMS ohne regelmäßige Überprüfung ist ein Papiertiger. ISO 27001 fordert mindestens einmal jährlich ein internes Audit und ein Management-Review, bei dem die Geschäftsführung die Wirksamkeit des ISMS bewertet und über Ressourcen entscheidet.
Im Management-Review werden besprochen: Ergebnisse der internen Audits, aufgetretene Sicherheitsvorfälle, Feedback von Stakeholdern, Status der Risiken und Maßnahmen, Änderungen im Umfeld. Das Protokoll des Reviews ist ein wichtiges Nachweisdokument.
Muss ein KMU eine ISO 27001-Zertifizierung anstreben?
Nein — zumindest nicht zwingend. NIS2 verlangt ein ISMS, aber keine Zertifizierung nach ISO 27001. Die Norm ist jedoch der international anerkannte Goldstandard, der auch ohne formale Zertifizierung als Referenzrahmen genutzt werden kann.
Für viele KMU ist ein ISMS-konformer Aufbau ohne Zertifizierung der pragmatische Einstieg: Die Dokumentation wird nach ISO 27001-Anforderungen strukturiert, ein internes Audit wird durchgeführt — aber auf die externe Zertifizierungsauditierung (die mehrere Tausend Euro kostet) wird zunächst verzichtet. Eine Zertifizierung lohnt sich dann, wenn Kunden oder Behörden sie explizit fordern.
NIS2-Pflicht ab 50 Mitarbeiter oder 10 Mio. € Umsatz: Betroffene Unternehmen müssen gemäß Art. 21 NIS2 ein dokumentiertes Risikomanagement für Netz- und Informationssysteme vorhalten — das ist de facto ein ISMS-Kern. Wer NIS2-betroffen ist und kein ISMS hat, riskiert Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes.
Ein ISMS ist keine IT-Aufgabe. Es ist eine Managemententscheidung — mit der Geschäftsführung als Auftraggeber und Verantwortlichem. Aus der Beratungspraxis
Was konkret zu tun ist
Der pragmatische Einstieg für KMU: Mit einer Gap-Analyse beginnen — also dem Vergleich des aktuellen Ist-Zustands mit den Mindestanforderungen aus ISO 27001 und NIS2. Das zeigt, welche Dokumentation bereits vorhanden ist und wo die größten Lücken liegen.
Typischer Aufwand für ein KMU mit 20–100 Mitarbeitern: 3–6 Monate für den Erstaufbau, danach ca. 2 Tage im Monat für die laufende Pflege. Im kostenlosen Erstgespräch klären wir, wo Ihr Unternehmen aktuell steht und welche ISMS-Struktur zu Ihrer Betriebsgröße passt.
