Im Gespräch mit Joachim Reinke (Berater und Lead Auditor u.a. für ISO 27001 und TISAX®) diskutieren wir über den Wettbewerbsfaktor Informationssicherheit und beleuchten, worauf Unternehmen bei der Einführung der ISO 27001 unbedingt achten sollten.

Als Zertifizierungsstelle für integrierte Managementsysteme prüft die GUTcert alle gängigen ISO-Managementsysteme – darunter auch die ISO 27001. Steigende regulatorische und gesetzliche Anforderungen sowie eine rasant zunehmende Anzahl von Cyberangriffen rücken das Thema Informationssicherheit immer weiter in den Fokus – was uns dazu veranlasst hat, in einer Interviewreihe den Bereich aus verschiedenen Blickwinkeln zu beleuchten. Wir, das sind Yulia Felker (Bereichsleiterin für die GUTcert Akademie und den Bereich Managementsysteme), Cedric Sell (Programmmanager GUTcert Akademie) und Tim Stauffenberg (Fachkoordinator IT-Dienstleistungen).

Informationssicherheit wird zum Wettbewerbsfaktor

Eröffnet haben wir unsere Reihe mit Joachim Reinke. Reinke hat ursprünglich Informatik studiert, war mehrere Jahre als IT-Systemadministrator und Softwareentwickler tätig und gründete Anfang 2021 zusammen mit einem Geschäftspartner die einfachISO GmbH. einfachISO unterstützt kleine und mittelständische Unternehmen bei Zertifizierungen nach ISO 27001, TISAX® und ISO 9001. Als Lead Auditor kennt er zudem die andere Seite des Zertifizierungsprozesses. Er erklärt uns im Interview, wieso Informationssicherheit immer mehr zum Wettbewerbsfaktor wird und worauf Unternehmen bei der Einführung der ISO 27001 achten sollten.

Abb.: Anzahl der ISO-27001-Zertifikate weltweit. Quelle: ISO/IAF CertSearch.

ISO 27001 oder BSI-Grundschutz: Welcher Standard passt besser?

Yulia Felker: Mit welchen Standards sind Einsteiger gut beraten?  

Joachim Reinke: Wenn gesetzliche Anforderungen keinen bestimmten Standard vorschreiben, haben wir in Deutschland den „Luxus“ von zwei Optionen: ISO 27001 und BSI-IT-Grundschutz. Beide verfolgen dasselbe Ziel – den systematischen Aufbau von Informationssicherheit – unterscheiden sich aber deutlich in Umfang und Detailtiefe:

• ISO 27001 verfolgt die Logik der ISO-Welt: Sie ist generisch für alle Branchen und alle Unternehmensgrößen anwendbar. Der Normtext umfasst rund 30 Seiten und konzentriert sich auf den Aufbau interner Strukturen und Mechanismen, die ein sicheres Informationsmanagement gewährleisten.  Ein großer Vorteil: ISO-Standards ändern sich selten und nur behutsam – typischerweise alle fünf bis acht Jahre. So kann die Expertencommunity ihre Erfahrungen in die Revisionen einfließen lassen.
• Der BSI-Grundschutz ist deutlich komplexer. Nimmt man alle zugehörigen Dokumente zusammen, kommt man auf weit über 1000 Seiten, von denen sich viele jährlich ändern. Das bedeutet hohen Aufwand für Einarbeitung und Pflege – bei zugleich geringerer Flexibilität. Ursprünglich war der Grundschutz für Behörden gedacht. Unternehmen würde ich daher zur ISO 27001 raten, bzw. in der Automobilbranche zum Pendant TISAX®.

Sinnvoll ist es in jedem Fall, den BSI-IT-Grundschutz als Vertiefung zu nutzen – insbesondere, wenn man bei einzelnen Themen wie Risikomanagement oder Business-Continuity-Management noch tiefer einsteigen möchte.

Die größten Stolpersteine bei der Einführung eines ISMS

Tim Stauffenberg: Sie sind als Berater und Lead Auditor viel bei den Unternehmen vor Ort. Bei welchen Themen tun sich Unternehmen schwerer: eher bei technischen IT-Themen oder bei organisatorischen Themen?

Joachim Reinke: Etablierte Unternehmen haben bereits eine gewisse Reife: standardisierte Prozesse, klare Verantwortlichkeiten und auch bestehende Managementsysteme (bspw. ISO 9001). Hier geht es weniger um das „ob“, sondern um das „wie“ – also darum, bestehende Strukturen sinnvoll zu erweitern und technische Umsetzungen gezielt auszubauen.

Kleinere Unternehmen und Start-Ups sind dagegen oft sehr agil und technisch stark, aber organisatorisch noch „im Aufbau“. In dieser „Sturm-und-Drang-Phase“ fehlen häufig definierte Prozesse, Rollen und Dokumentation über die tägliche Arbeit. Das ist ganz normal – aber genau hier liegt die größte Herausforderung: aus einem lebendigen, wuseligen Tagesgeschäft heraus eine strukturierte Organisation mit klaren Verantwortlichkeiten zu formen. Der Aufwand lohnt sich jedoch: Sobald die ersten Grundlagen gelegt sind, profitieren diese Unternehmen enorm davon – denn sie gewinnen neben der Informationssicherheit ganz en passant Transparenz, Effizienz und Skalierbarkeit.

Integration der ISO 27001 in bestehende Managementsysteme

Yulia Felker: Manche Unternehmen haben bereits ein ISO-Managementsystem, bspw. nach ISO 9001. Wie lässt sich die ISO 27001 dort sinnvoll integrieren?

Joachim Reinke: Bereits vorhandene ISO-Managementsysteme erleichtern die Einführung der 27001 enorm: Man baut auf vorhandene Strukturen, Erfahrungen und die Akzeptanz der Belegschaft auf – das ist ein riesengroßer Vorteil!
Besonders die ISO 9001 bietet dafür eine ideale Grundlage. Sie beschreibt das gesamte Geschäftsmodell mit allen relevanten Prozessen, Verantwortlichkeiten, Kommunikationsstrukturen und zugehöriger Dokumentation – genau der Rahmen, den man für die ISO 27001 braucht.  

Auch andere Managementsysteme, etwa nach ISO 50001 (Energiemanagement) oder ISO 14001 (Umweltmanagement), lassen sich gut mit der ISO 27001 kombinieren. Durch die gemeinsame Normstruktur („High Level Structure“) greifen sie sauber ineinander – erfordern aber etwas mehr Abstimmung auf das eigene Geschäftsmodell. Egal, in welcher Konstellation: Wichtig ist es, die Experten an einen Tisch zu bekommen, um von den vorhandenen Kenntnissen und Strukturen im eigenen Unternehmen zu profitieren. So vermeidet man doppelte Arbeit.

Verantwortlichkeiten im ISMS: Informationssicherheit gelingt nur im Team

Yulia Felker: Wer ist Ihrer Erfahrung nach in Unternehmen in der Regel verantwortlich für die Umsetzung der 27001?

Joachim Reinke: Interessanterweise sind ISMS-Beauftragte nicht zwangsläufig IT-Experten. Wer die Verantwortung übernimmt, hängt stark von der Größe und Struktur des Unternehmens ab: In Start-ups sind es häufig die Geschäftsführung oder Entwickler, die sich des Themas annehmen. In etablierten mittelständischen Unternehmen – insbesondere, wenn bereits ein Qualitätsmanagementsystem (QMS) besteht – liegt die Rolle oft bei den Qualitätsmanagementbeauftragten (QMB).

Grundsätzlich gilt: Informationssicherheit ist keine Einzeldisziplin. Die Einführung und Etablierung eines Managementsystems funktionieren nur als Teamleistung – mit klarer Kommunikation, abgestimmten Verantwortlichkeiten und gemeinsamem Verständnis für das Ziel.

Erste Schritte zur ISO 27001: Mit einer Bestandsaufnahme starten

Cedric Sell: Was würden Sie einem Unternehmen raten, das ein ISMS nach ISO 27001 neu einführen möchte? Womit sollte das Unternehmen starten?

Joachim Reinke: Der wichtigste Schritt am Anfang ist eine Bestandsaufnahme. Bevor Sie anfangen, einzelne Kapitel der Norm abzuarbeiten, sollten Sie genau wissen, wo Sie stehen. Holen Sie sich dafür jemanden, der sich wirklich auskennt, und lassen Sie sich einmal gezielt befragen – intensiv, aber in normalem Deutsch, nicht im ISO-Normen-Sprech.

Es hilft ja nichts, wenn ein Experte Sie nach Ihrem „internen und externe Kontext“ befragt – darunter können Sie sich ja nichts vorstellen. Besser wäre „Haben Sie ein Mission Statement? Eine Unternehmensvision? Wofür steht Ihr Unternehmen? Was wird auf diesem Planeten dadurch besser, dass es Sie gibt?“ – das trifft oft schon den Kern.

Oder statt nach dem „freigegebenen Risikobehandlungsplan“ zu fragen: „Wie priorisieren Sie Ihre Weiterentwicklung?“ Und beim Thema kontinuierliche Verbesserung: „Wie gehen Sie intern mit Ideen um – landen die in einem Tool oder werden sie an der Kaffeemaschine besprochen und danach vergessen?“

Kurz gesagt: Lassen Sie sich einmal sauber durchinterviewen – verständlich, praxisnah und ohne Fachchinesisch. Danach wissen Sie genau, wo Sie stehen, und können gezielt loslegen.
ISMS nach ISO 27001: In sechs Monaten zur Zertifizierung?

Cedric Sell: Sie haben ja bereits viele Unternehmen bei der Einführung eines ISMS nach ISO 27001 begleitet. Wie viel Zeit sollte ein Unternehmen dafür einplanen?

Joachim Reinke: Etwa sechs Monate sind in der Regel ein realistischer Zeitraum für die Einführung eines ISMS. Entscheidend ist, wie viel Zeit und Ressourcen das Unternehmen intern bereitstellen kann – schließlich läuft das Tagesgeschäft ja weiter und will finanziert werden. In Einzelfällen geht es auch deutlich schneller: Wir haben einmal ein Unternehmen in nur drei Wochen zur Zertifizierung geführt – allerdings mit sehr intensiver Zusammenarbeit und langen Arbeitstagen.

Wenn ein Unternehmen wirklich bei null startet, sind sechs Monate meist gut machbar – vorausgesetzt, es stellt die nötigen Ressourcen bereit.

Wichtig ist: Wir können als Berater vieles abnehmen, aber ohne eigenes Engagement funktioniert es nicht. Das ISMS soll ja zum Unternehmen passen und ihm weiterhelfen und nicht nur auf dem Papier stehen.

Cedric Sell: Am Ende kommt es also auf eines an: Informationssicherheit muss im Unternehmen verstanden, gelebt und weiterentwickelt werden – egal, ob mit externer Unterstützung oder aus eigener Kraft.

Joachim Reinke: Genau. Das Entscheidende ist, dass man anfängt – und dass man das Thema ernst nimmt. Wer das tut, ist schon einen großen Schritt weiter.

Cedric Sell: Herr Reinke, vielen Dank für das Gespräch – und für die Einblicke aus der Praxis.

Joachim Reinke: Ich danke Ihnen.  

Sie möchten sich vertieft mit den Themen ISO 27001 und ISMS auseinandersetzen? In der GUTcert Akademie bieten wir dazu seit vielen Jahren etablierte Seminare und Workshops an – von der Einführung eines ISMS bis zur internen Auditierung nach ISO 27001.

Bei Fragen oder Anmerkungen zum Thema ISMS wenden Sie sich gerne an Tim Stauffenberg.