ISMS-Aufbau für KMU: Schritt-für-Schritt

Ein ISMS (Informationssicherheits-Managementsystem) ist nicht eine Dokumentensammlung. Es ist ein laufender Steuerungs-Rahmen, der Sicherheits-Aktivitäten verbindet, priorisiert und Wirkung messbar macht. Dieser Artikel beschreibt sechs Phasen, in denen ein mittelständisches Unternehmen ein ISMS aufbauen kann, ohne in einem zwei-jährigen Berater-Projekt zu versinken.

Bevor Sie starten: drei Voraussetzungen

Ohne diese drei Voraussetzungen lohnt sich der Start nicht:

1. Geschäftsleitung committed. Ein ISMS ohne Geschäftsleitungs-Mandat scheitert. Sie geht nicht “an die IT”. Sie geht an die Geschäftsleitung mit Berichtspflicht an dieselbe.
2. Mindestens eine verantwortliche Rolle. Eine Person muss die ISMS-Verantwortung tragen, mit ausreichend Zeit (in KMU typischerweise 0,3 bis 1,0 FTE).
3. Realistische Erwartungen. Sechs bis zwölf Monate bis Audit-Reife sind realistisch. Drei Monate sind es nicht.

Phase 1: Setup und Mandat (Wochen 1 bis 4)

Ziele:

• ISMS-Verantwortung formal benannt, intern bekannt
• Steuerkreis konstituiert (max, sechs Personen, monatlicher Rhythmus)
• Mandat von der Geschäftsleitung schriftlich, mit Berichtsstruktur
• Geltungsbereich grob definiert (welche Standorte, welche Prozesse)

Quick-Win in dieser Phase: Veröffentlichung einer Informationssicherheits-Leitlinie durch die Geschäftsleitung. Eine Seite, signed, intern bekannt gemacht.

Phase 2: Kontext und Risiken (Wochen 4 bis 12)

Ziele:

• Kontext dokumentiert: Geschäftsmodell, Stakeholder, regulatorische Anforderungen, externe und interne Themen.
• Asset-Inventar der für die Geschäftstätigkeit kritischen Informationen, Systeme und Anwendungen.
• Risiko-Register mit identifizierten Risiken, Bewertung und Bearbeitungs-Status.
• Bedrohungslandschaft für Ihren Sektor und Ihre Region dokumentiert.

Methodik: Wir empfehlen ein Hybrid-Vorgehen aus ISO 27005 (Risiko-Management) und BSI 200-3 (Risikoanalyse auf Grundschutz-Basis). Ein-Stunden-Workshops mit den Schlüsselrollen liefern die Information schneller als Fragebogen-Aktionen.

Häufige Fehler in dieser Phase:

• Risiko-Register wird zu früh detailliert. Bleiben Sie zunächst auf grober Ebene.
• Asset-Inventar wird auf alle IT-Geräte ausgedehnt. Beschränken Sie sich auf Informations-Assets und kritische Systeme.
• Kontext wird nicht dokumentiert. Ohne Kontext fehlt der Rahmen für alle weiteren Entscheidungen.

Phase 3: Maßnahmen-Auswahl und SoA (Wochen 8 bis 16)

Ziele:

• Maßnahmen-Auswahl aus relevanten Frameworks (ISO 27001 Annex A, BSI Grundschutz-Bausteine, NIS2 § 30 BSIG)
• Statement of Applicability (SoA) mit Begründung pro Maßnahme (anwendbar/nicht anwendbar/anders erreicht)
• Maßnahmen-Roadmap mit Priorität, Aufwand, Verantwortlichkeit, Zeit
• Quick-Wins (Maßnahmen mit hoher Wirkung und geringem Aufwand) sofort umgesetzt

Tipp: Wer ISO 27001 plus § 30 BSIG plus BSI Grundschutz parallel betrachtet, baut ein ISMS, das nicht nur eines, sondern mehrere Regelwerke gleichzeitig erfüllt. Mehr dazu im Artikel zum Framework-Mapping.

Phase 4: Dokumentation und Prozesse (Wochen 12 bis 24)

Ziele:

• ISMS-Handbuch (zentrale Dokumente: Leitlinie, Scope, Rollen, Risiko-Methodik, SoA)
• Untergeordnete Richtlinien und Verfahren (Zutritt, Berechtigungen, Lieferanten, Vorfall, Backup, Schulung)
• Aufzeichnungs-Vorlagen (Audit-Protokolle, Vorfalls-Dokumentation, Berechtigungs-Reviews)
• Reporting-Vorlage für Geschäftsleitung (siehe Artikel zu Sicherheits-KPIs)

Häufiger Fehler: Dokumentation wird vor Substanz aufgebaut. Reihenfolge ist umgekehrt: zuerst Praxis etablieren, dann dokumentieren. Sonst entsteht eine Dokumentation, die ein nicht-existentes ISMS beschreibt.

Phase 5: Wirksamkeit prüfen (Wochen 20 bis 36)

Ziele:

• KPIs definiert und monatlich gemessen
• Erste interne Audits durchgeführt
• Mindestens eine Tabletop-Übung (Notfall-Simulation) abgeschlossen
• Management-Review durch die Geschäftsleitung

Wichtig: Ein ISMS wird durch Wirksamkeitsprüfung zu einem ISMS. Ohne Messung ist es eine Dokumentensammlung. Mit Messung wird es zum Steuerungsinstrument.

Phase 6: Audit und kontinuierliche Verbesserung (Wochen 28 plus)

Ziele bei Zertifizierungs-Anspruch:

• Vor-Audit (Stage 1) durch externe Zertifizierungsstelle
• Zertifizierungs-Audit (Stage 2)
• Bei Bestehen: Zertifikat über drei Jahre, mit jährlichen Überwachungsaudits

Ziele ohne Zertifizierungs-Anspruch:

• Reifegrad-Erhebung gegen Framework (intern oder durch externen Prüfer)
• Verbesserungs-Roadmap für die nächsten zwölf Monate
• Übergang in den PDCA-Zyklus: Plan, Do, Check, Act, kontinuierlich

Häufige Fallen, die vermieden werden sollten

”Wir machen das einmal richtig und sind dann fertig”

Ein ISMS ist nie fertig. Es ist ein laufender Steuerungs-Rahmen. Wer es als Projekt mit Abschlussdatum behandelt, scheitert daran, dass die Realität weiterläuft.

”Wir kaufen ein Tool und das macht das ISMS”

Tools können helfen, ersetzen aber nicht die organisatorische Arbeit. Ein leeres GRC-Tool ist genauso nutzlos wie ein leeres Word-Dokument.

”Audit reicht als Erfolgsmaß”

Ein bestandenes Audit sagt, dass die Maßnahmen vorhanden sind. Es sagt nicht, ob sie wirken. Reifegrad-Messung gegen mehrere Frameworks ist informativer als Audit-Ergebnis.

”Wir starten mit allen Standorten gleichzeitig”

Bei mehreren Standorten ist sequentieller Aufbau (ein Standort zuerst, dann der nächste) meistens schneller als paralleler Aufbau. Lerneffekte aus dem ersten Standort werden auf die folgenden übertragen.

Was Sie diese Woche tun können

Drei pragmatische Schritte:

1. Verantwortung benennen. Wer ist im Haus für Informationssicherheit zuständig? Wenn die Antwort “niemand explizit” ist, ist das der erste Hebel.
2. Geschäftsleitungs-Briefing organisieren. Eine Stunde, in der Sie der Geschäftsleitung den NIS2-Status, die regulatorische Lage und den groben Aufwand für ein ISMS skizzieren.
3. Reifegrad-Erstbewertung machen. Eine erste Bewertung dauert mit einem erfahrenen Berater zwei bis drei Stunden. Sie sehen, wo Sie heute stehen und was die ersten Hebel wären.

Unsere S3-Methode ist genau dafür gebaut: Reifegrad-Erstbewertung in fünf Werktagen, mit Maßnahmenplan zur ISMS-Einführung.

Quellen

• ISO/IEC 27001:2022 und ISO/IEC 27003:2017 (ISMS-Implementierungsleitfaden)
• BSI-Standard 200-2 IT-Grundschutz-Methodik
• BSI-Standard 200-3 Risikoanalyse auf Basis von IT-Grundschutz
• § 30 BSIG im NIS2-Umsetzungsgesetz