ISMS Definition: Interview mit dem Geschäftsführer der keepbit Adnan Bastürk

Geschäftsführer der keepbit am Bildschirm

Was genau verbirgt sich hinter der Abkürzung ISMS? Um das Thema näher zu beleuchten, haben wir ein Interview mit Adnan Bastürk, dem Geschäftsführer der keepbit IT-SOLUTIONS GmbH, geführt.

Frage 1: Was bedeutet ISMS?

Adnan Bastürk: „Ein Information Security Management System (ISMS) ist ein systematischer Ansatz, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Unternehmen sicherzustellen. Dabei geht es nicht nur um technische Maßnahmen, sondern auch um organisatorische Prozesse, die den Betrieb eines ISMS steuern und kontinuierlich verbessern.

Herr Bastürk erklärt: „Ein ISMS hilft Unternehmen, sich strukturiert gegen potenzielle Bedrohungen abzusichern. Risiken werden frühzeitig erkannt und durch klare Sicherheitsmaßnahmen minimiert. Dabei basiert das ISMS auf bewährten Standards, die für eine zuverlässige Informationssicherheit sorgen.“

Gerade in Zeiten zunehmender Cyberangriffe wird ein professionelles ISMS immer wichtiger. Unternehmen jeder Größe profitieren von einem ganzheitlichen Sicherheitsansatz, der nicht nur auf Technik setzt, sondern auch Mitarbeiter sensibilisiert und Prozesse absichert.

Frage 2: Wie ist der Aufbau eines ISMS?

Adnan Bastürk: „Ein ISMS umfasst alle notwendigen Maßnahmen, um die Informationssicherheit in einer Organisation systematisch zu gewährleisten. Es basiert auf klar definierten Normen und Standards, die sicherstellen, dass Unternehmen den Anforderungen an eine effektive IT-Sicherheit entsprechen.

Die Umsetzung eines ISMS beginnt mit einer umfassenden Analyse der bestehenden Sicherheitsmaßnahmen und der Identifikation möglicher Schwachstellen. Ein ISMS erfordert zudem eine kontinuierliche Bewertung und Anpassung, um auf neue Bedrohungen reagieren zu können.

Kernbestandteile eines ISMS sind organisatorische und technische Maßnahmen, die auf den Schutz sensibler Daten abzielen. Dazu gehören unter anderem Zugriffskontrollen, Verschlüsselungstechniken und Schulungen für Mitarbeiter. Entscheidend ist, dass das ISMS nicht nur eingeführt, sondern auch regelmäßig überprüft und weiterentwickelt wird, um langfristig effektiv zu bleiben.“

Frage 3: Was macht ein ISMS konkret?

Adnan Bastürk: „Ein ISMS legt die strukturierten Schritte fest, die ein Unternehmen unternimmt, um Informationssicherheit zu gewährleisten. Konkret bedeutet das, dass ein ISMS alle Maßnahmen und Prozesse definiert, die zum Schutz sensibler Daten notwendig sind. Dazu gehören Risikoanalysen, die Implementierung von Sicherheitsrichtlinien, die Überwachung der IT-Infrastruktur und regelmäßige Audits. Es handelt sich um einen fortlaufenden Prozess, der kontinuierlich verbessert und angepasst wird.“

Frage 4: Was ist das Ziel von ISMS?

Adnan Bastürk: „Das Hauptziel eines ISMS ist es, die Informationssicherheit im Unternehmen zu gewährleisten. Das bedeutet, dass alle Informationen – ob digital oder physisch – vor unbefugtem Zugriff, Verlust oder Beschädigung geschützt werden.

Ein ISMS steht für einen strukturierten Ansatz, um Sicherheitsrisiken zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten sicherzustellen. Ein wesentlicher Bestandteil ist dabei ein umfassendes Risikomanagement, das Bedrohungen und Schwachstellen frühzeitig erkennt und geeignete Maßnahmen zur Risikominderung definiert.

Zudem hilft ein ISMS, auf Sicherheitsvorfälle vorbereitet zu sein, indem klare Prozesse für die Reaktion auf Angriffe oder Datenverluste etabliert werden. Nur durch eine kontinuierliche Überprüfung und Optimierung der Sicherheitsmaßnahmen kann ein Unternehmen langfristig ein hohes Schutzniveau gewährleisten und sensible Informationen zuverlässig absichern.“

Frage 5: Welche Tools/Software gibt es?

Adnan Bastürk: „Es gibt eine Vielzahl von Tools und Softwarelösungen, die Unternehmen bei der Implementierung und Verwaltung eines ISMS unterstützen. Bekannte Anbieter sind beispielsweise:

CONTECHNET INDITOR ISO: Diese Lösung unterstützt Unternehmen bei der Implementierung eines ISMS nach ISO 27001. Sie ermöglicht eine effiziente Strukturierung und Dokumentation des gesamten Informationssicherheitsmanagementsystems.

ISMS-SmartKit von byght: Ein weiteres Tool, das speziell für die ISMS-Implementierung entwickelt wurde. Es vereinfacht die Verwaltung von Sicherheitsprozessen und stellt sicher, dass alle relevanten Anforderungen schnell und präzise erfüllt werden.

Diese Kombination von Tools bietet Unternehmen flexible und effiziente Möglichkeiten, ein ISMS zu implementieren und zu verwalten, je nach individuellen Anforderungen und Präferenzen.“

Frage 6: Ist ein ISMS verpflichtend?

Adnan Bastürk: „Ein ISMS ist in bestimmten Branchen und für bestimmte Unternehmen verpflichtend, insbesondere wenn sie mit sensiblen Daten umgehen oder in regulierten Märkten tätig sind. Unternehmen, die z. B. im Finanzsektor oder in der Gesundheitsbranche tätig sind, unterliegen oft strengen Datenschutzgesetzen, die die Implementierung eines ISMS vorschreiben. Darüber hinaus verlangen viele Geschäftspartner oder Kunden die Einhaltung bestimmter Sicherheitsstandards, was ein ISMS zur Voraussetzung macht.

Besonders für Unternehmen, die zur KRITIS-Infrastruktur gehören, ist ein funktionierendes ISMS essenziell, um den gesetzlichen Anforderungen zu entsprechen. Zudem spielt der Informationssicherheitsbeauftragte (ISB) eine zentrale Rolle, um die Maßnahmen zur Informationssicherheit zu koordinieren und weiterzuentwickeln.

Ein ISMS hilft dabei, Sicherheitsrichtlinien zu zertifizieren und fortlaufend zu aufrechterhalten, wodurch die Wahrscheinlichkeit von Sicherheitsvorfällen reduziert wird. Damit stellt ein ISMS sicher, dass Ihr Unternehmen langfristig auf Cyberbedrohungen vorbereitet ist und höchsten Sicherheitsstandards entspricht.“

Was ISMS bedeutet

Frage 7: Wie kann mein Unternehmen die ISMS Zertifizierung erlangen?

Adnan Bastürk: „Eine ISMS-Zertifizierung wird erlangt, indem ein Unternehmen ein strukturiertes Managementsystem zur Informationssicherheit implementiert und dies von einer akkreditierten Zertifizierungsstelle (z. B. TÜV, DEKRA, BSI GROUP) überprüfen lässt.

Ein ISMS können Unternehmen nutzen, um systematisch Sicherheitsrisiken zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen. Die Einrichtung eines ISMS erfordert eine klare Strategie, die Sicherheitsziele definiert und Prozesse zur kontinuierlichen Verbesserung etabliert. Dabei verfolgt ein ISMS einen Top-Down-Ansatz, bei dem die Geschäftsleitung die Verantwortung übernimmt und Sicherheitsmaßnahmen organisationsweit durchsetzt.

Die Zertifizierung nach ISO 27001 stellt sicher, dass das Unternehmen internationalen Sicherheitsstandards entspricht und ein effektives ISMS implementiert hat. Durch regelmäßige Audits und Aktualisierungen wird die Einhaltung der Sicherheitsrichtlinien überprüft, sodass Unternehmen langfristig eine hohe Sicherheitsqualität gewährleisten können.“

Frage 8: Erzählen Sie uns von einer Case Study zur ISMS Implementierung

Adnan Bastürk: „Ein besonders spannendes Projekt haben wir mit der Stadt Nördlingen umgesetzt. Diese Große Kreisstadt in Bayern musste die Anforderungen des Bayerischen E-Government-Gesetzes erfüllen, das die Sicherheit der IT-Systeme in Kommunen vorschreibt. Der IT-Leiter, Herr Georg Kugler, sah darin die Chance, ein umfassendes ISMS gemäß internationaler Sicherheitsstandards aufzubauen – und hier kamen wir ins Spiel.

Anstatt das vereinfachte ISIS12-Modell zu nutzen, entschied sich die Stadt für den BSI IT-Grundschutz, um eine umfassendere Absicherung zu erreichen. Ein ISMS besteht aus verschiedenen organisatorischen und technischen Maßnahmen, die helfen, Bedrohungen frühzeitig zu erkennen und Sicherheitsrisiken zu minimieren. keepbit IT-SOLUTIONS wurde 2019 beauftragt, diesen Prozess zu unterstützen und sicherzustellen, dass alle Anforderungen erfüllt werden.

Durch eine strukturierte Umsetzung konnte Nördlingen ein zertifiziertes ISMS einführen, das nicht nur den gesetzlichen Vorgaben entspricht, sondern auch langfristig eine nachhaltige IT-Sicherheit gewährleistet.“

Frage 9: Was waren dabei die größten Herausforderungen?

Adnan Bastürk: „Eine der größten Herausforderungen war es, ein ganzheitliches Sicherheitskonzept zu entwickeln, das alle Fachverfahren, Informationen und IT-Systeme der Stadt erfasst. Es ging also nicht nur darum, technische Lösungen wie Firewalls oder Virenschutz zu implementieren, sondern ein nachhaltiges Managementsystem für Informationssicherheit zu schaffen.

Besonders anspruchsvoll war die Umsetzung der ISO 27001-Anforderungen, um eine zertifizierte Sicherheitsstruktur zu gewährleisten. Da Kommunen zunehmend als KRITIS-Institutionen eingestuft werden, musste sichergestellt werden, dass Ihr ISMS nicht nur den gesetzlichen Vorgaben entspricht, sondern auch gegen wachsende Risiken gewappnet ist.

Ein entscheidender Faktor für den Erfolg war die enge Zusammenarbeit mit dem Information Security Officer der Stadt sowie den externen Auditoren, die den Prozess begleitet und Schwachstellen analysiert haben. Durch regelmäßige Workshops und eine strukturierte Vorgehensweise konnten wir gemeinsam mit der Stadt ein effizientes und langfristig tragfähiges ISMS etablieren.“

Frage 10: Wie haben Sie das Projekt konkret umgesetzt?

Adnan Bastürk: “Wir haben mit der Softwarelösung INDITOR® BSI gearbeitet, die speziell für den IT-Grundschutz entwickelt wurde. Diese Software hat uns dabei geholfen, alle relevanten Prozesse zu dokumentieren und die notwendigen Sicherheitsmaßnahmen festzulegen. In den Workshops haben wir mit der Stadt Nördlingen regelmäßig Aufgabenpakete abgestimmt und die BSI-Anforderungen Schritt für Schritt umgesetzt. Dabei ging es um Dinge wie die Strukturanalyse, die Schutzbedarfsfeststellung und den IT-Grundschutz-Check.”

Frage 11: Wie konnten Sie garantieren, dass das Ergebnis den Anforderungen entspricht?

Adnan Bastürk: “Nach der erfolgreichen Implementierung des ISMS haben wir ein Audit durch einen BSI-zertifizierten Auditteamleiter durchführen lassen. Das Ergebnis war äußerst positiv: Die Stadt Nördlingen hat die Anforderungen des Bayerischen E-Government-Gesetzes vollständig erfüllt und ein stabiles Informationssicherheitsmanagementsystem aufgebaut. Der IT-Grundschutz nach BSI wurde erfolgreich implementiert, und das Sicherheitsniveau der Stadt wurde signifikant erhöht. Dieser Erfolg zeigt, wie wichtig eine fundierte Informationssicherheitsstrategie für Kommunen ist. Wir bleiben weiterhin in engem Austausch mit der Stadt Nördlingen. Informationssicherheit ist ein kontinuierlicher Prozess, und das ISMS wird regelmäßig überprüft und weiterentwickelt.“

Frage 12: Wie lange dauert die Einführung eines ISMS?

Adnan Bastürk: „Die Dauer der Einrichtung eines ISMS hängt stark von der Größe des Unternehmens, der vorhandenen IT-Infrastruktur und den spezifischen Anforderungen ab. Kleine Unternehmen können die grundlegenden Prozesse innerhalb weniger Monate implementieren, während große Unternehmen oder KRITIS-Organisationen oft ein Jahr oder länger benötigen. Entscheidend ist, dass die Umsetzung strukturiert erfolgt und regelmäßig überprüft wird, um langfristig effektiv zu bleiben.“

Frage 13: Welche Kosten entstehen für Unternehmen bei der Einführung eines ISMS?

Adnan Bastürk: „Die Kosten für ein zertifiziertes ISMS variieren je nach Unternehmensgröße und Komplexität der IT-Strukturen. Neben der Anschaffung geeigneter Software-Tools und Sicherheitslösungen spielen auch die internen Ressourcen eine Rolle. Ein wesentlicher Kostenfaktor ist zudem das externe Audit durch akkreditierte Zertifizierungsstellen. Langfristig gesehen schützt ein ISMS jedoch vor potenziellen Schäden durch Sicherheitsvorfälle und Cyberangriffe, wodurch sich die Investition auszahlt.“

Frage 14: Wie können Unternehmen ihre Mitarbeiter in das ISMS einbinden?

Adnan Bastürk: „Mitarbeiter spielen eine zentrale Rolle bei der Umsetzung eines ISMS. Daher sind regelmäßige Schulungen und Sensibilisierungsmaßnahmen essenziell, um den sicheren Umgang mit vertraulichen Daten zu fördern und Informationen zu gewährleisten. Ein ISMS bietet nicht nur technische Schutzmaßnahmen, sondern auch organisatorische Richtlinien, die im Unternehmen etabliert werden müssen.

Um ein ISMS zu implementieren, sollten klare Sicherheitsrichtlinien definiert und regelmäßige Trainings durchgeführt werden. Auch simulierte Cyberangriffe oder Phishing-Tests helfen dabei, das Bewusstsein für IT-Sicherheit zu schärfen und das Risiko von Sicherheitsvorfällen zu minimieren. Letztlich hängt der Erfolg eines ISMS maßgeblich von der aktiven Beteiligung aller Mitarbeiter ab.“

Frage 15: Welche Rolle spielt die Geschäftsleitung bei der Implementierung eines ISMS?

Adnan Bastürk: „Ein ISMS verfolgt einen Top-Down-Ansatz, das bedeutet, dass die Geschäftsleitung die Verantwortung trägt und das Thema aktiv unterstützt. Ohne das Engagement der Führungsebene kann die Informationssicherheit nicht nachhaltig in die Unternehmenskultur integriert werden. Die Geschäftsleitung muss sicherstellen, dass notwendige Ressourcen bereitgestellt werden und das ISMS regelmäßig überprüft und optimiert wird.“

Frage 16: Welche Risiken entstehen, wenn Unternehmen kein ISMS einführen?

Adnan Bastürk: „Unternehmen ohne ISMS setzen sich erheblichen Sicherheitsrisiken aus. Cyberangriffe, Datenverluste oder interne Sicherheitsvorfälle können immense finanzielle Schäden und Imageverluste verursachen. Besonders in regulierten Branchen kann das Fehlen eines ISMS auch zu rechtlichen Konsequenzen führen.

Ein Unternehmen, das kein effizientes ISMS etabliert, läuft Gefahr, Bedrohungen nicht rechtzeitig zu erkennen und angemessen darauf zu reagieren. Wer ein ISMS implementieren möchte, sollte sicherstellen, dass es den spezifischen Anforderungen des Unternehmens gerecht wird und kontinuierlich optimiert wird. Zudem müssen Unternehmen ein ISMS beachten, um die gesetzlichen Vorgaben zur Informationssicherheit einzuhalten und sich gegen Haftungsrisiken abzusichern.

Ein ISMS basiert auf klaren Sicherheitsrichtlinien und Prozessen, die darauf abzielen, Bedrohungen systematisch zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen. Ohne ein strukturiertes Sicherheitsmanagement fehlt eine zentrale Steuerung der IT-Sicherheit, wodurch Schwachstellen unentdeckt bleiben und Risiken steigen.“