ISMS einführen: Schritt-für-Schritt-Anleitung für Unternehmen
Ein ISMS aufzubauen erfordert klare Strukturen, das Commitment der Geschäftsleitung und einen realistischen Zeitplan. Mit einem strukturierten Vorgehen ist die Einführung auch für mittelständische Unternehmen machbar.
Voraussetzungen
- Unterstützung der Geschäftsleitung. Ohne Rückendeckung von oben scheitert jedes ISMS-Projekt.
- Ausreichende Ressourcen. Planen Sie 20–50 % der Arbeitszeit des ISB für die Einführungsphase ein.
- Klare Geschäftsprozesse. Die Organisation muss ihre wesentlichen Prozesse kennen.
Phase 1 — Vorbereitung und Scoping (4–6 Wochen)
Geltungsbereich definieren: Beginnen Sie mit Kernprozessen und kritischen Informationswerten. Der Scope kann später erweitert werden.
Informationssicherheitspolitik erstellen: Kurz und verständlich — eine bis zwei Seiten genügen.
Rollen und Verantwortlichkeiten festlegen: ISB benennen, ISMS-Team bilden.
ISMS-Software auswählen: Je früher Sie ein geeignetes Werkzeug einsetzen, desto weniger Nacharbeit. Überblick im ISMS-Software-Vergleich.
Phase 2 — Risikoanalyse und Gap-Assessment (6–10 Wochen)
Informationswerte (Assets) erfassen: IT-Systeme, Anwendungen, Datenbanken, Netzwerke, physische Standorte, Prozesse und Know-how.
Risikomethodik festlegen: Skalen für Eintrittswahrscheinlichkeit und Schadenshöhe definieren.
Risiken identifizieren und bewerten: Starten Sie pragmatisch — konzentrieren Sie sich auf die wesentlichen Risiken.
Gap-Analyse durchführen: Vergleichen Sie den Ist-Zustand mit den Anforderungen des gewählten Standards.
Phase 3 — Maßnahmen umsetzen (8–16 Wochen)
Statement of Applicability (SoA) erstellen: Für jeden der 93 Controls dokumentieren, ob er anwendbar ist.
Maßnahmen priorisieren: Die 80/20-Regel hilft — Quick Wins zuerst (Passwortrichtlinie, MFA, Backup-Dokumentation, Awareness-Schulungen).
Richtlinien erstellen: Kurze, verständliche, praxistaugliche Dokumente.
Schulungen durchführen: Geschäftsleitung, IT-Team und alle Mitarbeitenden.
Phase 4 — Betrieb, Audit und kontinuierliche Verbesserung
ISMS in den Alltag integrieren: Sicherheitsprüfungen in bestehende Prozesse einbauen.
Internes Audit durchführen: Mindestens ein internes Audit vor der Zertifizierung.
Management-Review: Mindestens jährlich die ISMS-Leistung überprüfen.
Kontinuierliche Verbesserung: Jeder Vorfall und jedes Audit-Ergebnis ist Anlass zur Weiterentwicklung.
Typische Fehler bei der ISMS-Einführung
- Zu breiter Scope: Starten Sie fokussiert und erweitern Sie schrittweise.
- Dokumentation als Selbstzweck: Weniger, aber gelebte Dokumente sind mehr wert.
- Risikomanagement als Pflichtübung: Wer oberflächlich analysiert, implementiert die falschen Maßnahmen.
- Fehlende Management-Unterstützung: ISMS ist kein reines IT-Projekt.
- Excel statt Software: Ab 30+ Controls lohnt sich der Umstieg auf eine spezialisierte ISMS-Software.
Zeitplan: Was ist realistisch?
| Phase | KMU | Mittelstand |
|---|---|---|
| Vorbereitung & Scoping | 4–6 Wochen | 6–8 Wochen |
| Risikoanalyse & Gap-Assessment | 6–8 Wochen | 8–12 Wochen |
| Maßnahmen implementieren | 8–12 Wochen | 12–20 Wochen |
| Internes Audit & Management-Review | 4–6 Wochen | 6–8 Wochen |
| Gesamt bis Zertifizierungsreife | 6–9 Monate | 9–15 Monate |
Eine Kostenübersicht finden Sie in Was kostet ein ISMS?.
Häufige Fragen zur ISMS-Einführung
ISMS-Projekt starten?
Finden Sie die Software, die Sie von der ersten Risikoanalyse bis zum Zertifizierungsaudit begleitet.
Zum ISMS-Software-Vergleich