ISMS und BCM sind ein Teil der Unternehmensphilosophie
In einer zunehmend digitalisierten und vernetzten Welt sind Unternehmen mehr denn je gefordert, sowohl ihre Informationswerte als auch ihre unternehmerische Resilienz abzusichern. Zwei zentrale Instrumente hierfür sind das Informationssicherheitsmanagementsystem (ISMS) und das Business Continuity Management (BCM). In der aktuellen Folge des LabtaTalks diskutieren Andrea Hottendorf (lmbit GmbH) und Yannick Judel (Clarias GmbH) gemeinsam Sven Mawby (Labtagon GmbH) als Host, über die Bedeutung und die praktische Umsetzung beider Systeme und wie diese ineinandergreifen.
Warum ein ISMS?
Ein ISMS ist ein strukturiertes System, um Informationssicherheit unternehmensweit zu etablieren, zu dokumentieren und kontinuierlich zu verbessern. Es hilft, Risiken zu erkennen, Maßnahmen zu definieren und gesetzliche sowie vertragliche Anforderungen zu erfüllen.
Gründe für die Einführung eines ISMS:
- Gesetzliche Verpflichtungen (z. B. KRITIS-Verordnung)
- Kundenanforderungen an die IT-Sicherheit von Dienstleistern
- Unternehmerischer (interner) Wunsch nach Transparenz über Geschäftsprozesse und IT-Risiken
- Grundlage für fundierte Geschäftsentscheidungen durch Risikobewusstsein
Im Zentrum stehen die drei klassischen Schutzziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Ein ISMS betrachtet daher nicht nur IT-Systeme, sondern auch Standorte, Prozesse, Mitarbeiter, Dokumente und Lieferanten.
Standardwahl: ISO 27001 vs. BSI IT-Grundschutz
Für die Umsetzung stehen Unternehmen primär zwei etablierte Standards zur Verfügung:
- ISO/IEC 27001: International anerkannter, generischer Standard mit hoher Flexibilität.
- BSI IT-Grundschutz: Detaillierter, praxisorientierter deutscher Standard auf Basis von ISO 27001.
Während ISO 27001 Spielraum für eigene Interpretationen lässt, bietet der IT-Grundschutz konkrete Handlungsempfehlungen und eignet sich besonders für Einsteiger oder stark regulierte Branchen. Beide Standards sind nicht widersprüchlich. Im Gegenteil, sie lassen sich kombinieren, z. B. durch Nutzung von Mapping-Tabellen.
Managementsystem statt Toolfrage
Ein ISMS ist kein Softwareprojekt, sondern ein Managementsystem. Es lebt von klaren Prozessen, definierten Zuständigkeiten und der Integration in bestehende Strukturen. Tools helfen bei der Verwaltung, ersetzen aber nicht den methodischen Unterbau. Kritisch sind dabei insbesondere die fortlaufende Pflege und Risikobewertung, nicht nur zur Zertifizierung, sondern dauerhaft im operativen Betrieb.
BCM – Krisenfestigkeit durch Struktur
Während das ISMS auf den Schutz der Informationswerte fokussiert, geht es im Business Continuity Management (BCM) um die Aufrechterhaltung des Geschäftsbetriebs im Krisenfall. Ziel ist es, unternehmenskritische Prozesse zu identifizieren, Risiken zu analysieren und Wiederanlaufpläne zu entwickeln.
Typische BCM-Szenarien:
- Ausfall des Standorts
- Ausfall von Personal
- Ausfall der IT
- Ausfall von Dienstleistern
- Produktionsausfall
Ein strukturierter BCM-Prozess umfasst u. a. Business Impact Analysen, Risikoanalysen, Notfallhandbücher sowie regelmäßige Tests und Schulungen.
ISMS und BCM im Zusammenspiel
Beide Systeme ergänzen sich ideal. Das ISMS schafft Transparenz über Informationen und Risiken, das BCM sorgt dafür, dass bei Störungen ein Notbetrieb möglich bleibt und der Rückkehr zum Normalzustand strukturiert erfolgen kann.
Wichtige Gemeinsamkeiten:
- Prozessorientierung
- Risikobasierter Ansatz
- Kontinuierlicher Verbesserungsprozess (PDCA-Zyklus)
- Beteiligung aller relevanten Geschäftsbereiche, inkl. IT, Personal, Gebäude- und Qualitätsmanagement
Fazit: Sicherheit ist ein Dauerlauf
Die Einführung eines ISMS oder BCM ist kein einmaliges Projekt. Beide Systeme müssen kontinuierlich gelebt und gepflegt werden. Der größte Fehler liegt darin, das Managementsystem nach erfolgreicher Erstzertifizierung zu vernachlässigen. Unternehmen profitieren langfristig nur dann, wenn Strukturen etabliert, Verantwortlichkeiten geklärt und Mitarbeitende regelmäßig sensibilisiert werden. Awareness, transparente Kommunikation und eine enge Einbindung der Führungsebene sind hierfür unerlässlich.
Tipp aus der Praxis: Der Erfolg hängt maßgeblich vom Faktor Mensch ab – sowohl bei der Einführung als auch im laufenden Betrieb. Unterstützende Beratung und externe Perspektiven helfen, Betriebsblindheit zu vermeiden und Ressourcen effizient einzusetzen.
Hier geht es zur Episode 2 – ISMS ist Unternehmensphilosophie:
Sven Mawby im Gespräch mit Andrea Hottendorf von der lmbit GmbH und Yanick Judel von der Clarias GmbH.
