Zertifikat vorhanden, aber funktioniert dein ISMS wirklich? 

Viele Unternehmen sagen: „Wir haben ein ISMS.“ Doch die entscheidende Frage ist: Ist es auch wirksam? 

In der Praxis sieht es oft so aus: 
Es gibt ein Zertifikat. Es gibt Richtlinien.  

Es gibt Prozess-Dokumente, aber der Alltag läuft anders. 

Ein Beispiel: Die Besucheranmeldung ist laut Verfahrensanweisung klar geregelt, doch versucht man sie umzusetzen, stellt man in der Realität Abweichungen fest. 

Das Problem ist nicht fehlende Dokumentation.
Das Problem ist fehlende Wirksamkeit. 

Dieser Artikel zeigt dir 10 klare Indikatoren dafür, ob dein ISMS die Anforderungen erfüllt – oder ob es nur existiert. 

Zertifikat vorhanden, aber funktioniert dein ISMS wirklich? 

Viele Unternehmen sagen: „Wir haben ein ISMS.“ Doch die entscheidende Frage ist: Ist es auch wirksam? 

In der Praxis sieht es oft so aus: 
Es gibt ein Zertifikat. Es gibt Richtlinien.  

Es gibt Prozess-Dokumente, aber der Alltag läuft anders. 

Ein Beispiel: Die Besucheranmeldung ist laut Verfahrensanweisung klar geregelt, doch versucht man sie umzusetzen, stellt man in der Realität Abweichungen fest. 

Das Problem ist nicht fehlende Dokumentation.
Das Problem ist fehlende Wirksamkeit. 

Dieser Artikel zeigt dir 10 klare Indikatoren dafür, ob dein ISMS die Anforderungen erfüllt – oder ob es nur existiert. 

Was bedeutet es überhaupt ISMS Anforderungen zu erfüllen?

Ein ISMS (Informationssicherheitsmanagementsystem) sorgt dafür, dass Informationssicherheit strukturiert, nachvollziehbar und dauerhaft umgesetzt wird. 

Orientiert an ISO 27001 bedeutet das:

• Identifizierung von Risiken 

• Definition von Maßnahmen 

• Prüfung der Wirksamkeit 

• Kontinuierliche Verbesserung
   

Ein ISMS ist kein Dokumentenordner und keine Software. Es ist ein Managementsystem zur Unternehmenssteuerung. 

Diese Differenzierung ist entscheidend, wenn man verstehen will, wie ein funktionierendes ISMS Anforderungen erfüllt. 

Nur dokumentiert oder gelebt? Der entscheidende Unterschied

Ein funktionierendes ISMS, das die Anforderungen erfüllt, erkennt man daran, dass: 

• Rollen klar definiert sind 

• Verantwortlichkeiten verstanden werden 

• Mitarbeitende eingebunden sind 

• Risiken gemeinsam bewertet werden 

• Maßnahmen im Alltag greifen 

Nicht funktionierend ist ein ISMS, wenn: 

• nur CISO und GRC-Team beteiligt sind 

• Richtlinien kaum jemand kennt 

• Prozesse im Alltag anders laufen, als beschrieben 

• Security nur als lästige „Compliance-Pflicht“ empfunden wird

Informationssicherheit funktioniert nur, wenn sie Teil der Unternehmenskultur ist. 

Die 10 Anhaltspunkte für ein wirksames ISMS, das die Anforderungen erfüllt 

1. Der Geltungsbereich ist klar definiert In wachsenden Organisationen reicht das nicht mehr aus. 

Der Scope deines ISMS ist eindeutig beschrieben. 

Er ist:

• bekannt 

• nachvollziehbar 

• vollständig 

Alle relevanten Prozesse, Systeme und Standorte sind erfasst. Ein unklarer Scope führt somit zu unklarer Verantwortung. 

2. Das Management steht sichtbar hinter dem ISMS

Informationssicherheit ist Chefsache. Das erkennst du daran, dass das Top-Management:

• Berichte einfordert 

• Risiken aktiv bewertet 

• Entscheidungen trifft 

• Budgets bereitstellt 

• Verantwortliche benennt 

Ohne aktives Commitment bleibt das ISMS lediglich eine Formalität, da keine Anforderungen erfüllt. 

3. Dein Asset-Management ist aktuell und nutzbar

Du weißt, welche Informationswerte (Assets) du besitzt. Alle Assets sind mit folgenden Eigenschaften inventarisiert. 

• Eigentümer 

• Schutzbedarf 

• Klassifizierung 

• Lebenszyklus 

Und noch wichtiger: 
Das Asset-Inventar wird stetig gepflegt, aktualisiert und für z. B. für Risikoanalysen, Offboarding oder Patch-Management genutzt. 

Ein veraltetes Excel-Dokument nützt niemandem und erfüllt somit die ISMS Anforderungen nicht. 

4. Risiken werden regelmäßig bewertet

Risiken werden nicht einmalig betrachtet. 

Sie werden: 

• Systematisch analysiert 

• Dokumentiert 

• Regelmäßig aktualisiert 

Aus der Bewertung entstehen konkrete Maßnahmen. So stellst du sicher, dass die ISMS Anforderungen kontinuierlich umgesetzt werden. 

Wenn sich Richtlinien nie ändern, werden vermutlich auch Risiken nicht neu bewertet. 

5. Schulungen sind wirksam

Awareness ist messbar. 

Mitarbeitende erhalten rollenspezifische Schulungen.
Die Teilnahme wird dokumentiert. 

Die Wirksamkeit wird überprüft, zum Beispiel durch: 

• Phishing-Simulationen 

• Tests 

• Awareness-Kampagnen 

Die Teilnahme allein reicht nicht aus. 

6. Dokumente sind aktuell und zugänglich

Richtlinien sind: 

• Freigegeben 

• Aktuell 

• Leicht auffindbar 

Mitarbeitende werden über Änderungen informiert. Kenntnisnahmen werden dokumentiert. 

Veraltete Dokumente ohne Klassifizierung und Änderungsverlauf sind ein klares Warnsignal dafür, dass deine ISMS die Anforderungen nicht erfüllen kann. 

7. Maßnahmen werden tatsächlich umgesetz

Technische und organisatorische Controls funktionieren im Alltag. 

Zum Beispiel: 

• Backups werden getestet 

• Logs werden ausgewertet 

• Berechtigungen werden in sogenannten User 
  Reviews regelmäßig überprüft. 

Maßnahmen verstauben nicht im Maßnahmenplan für den Auditor, sondern werden tatsächlich ergriffen. 

8. Security-Incidents werden strukturiert behandelt

Sicherheitsvorfälle werden: 

• Erkannt 

• Gemeldet 

• Klassifiziert 

• Dokumentiert 

Aus Vorfällen werden Verbesserungen abgeleitet, die dazu beitragen, dass die Situation in Zukunft optimiert und die Abläufe effizienter gestaltet werden können. Ein ISMS ohne Incident-Management-Prozess ist nicht belastbar und kann die Anforderungen nicht erfüllen. 

9. Interne Audits finden regelmäßig statt

Audits werden: 

• Geplant 

• Unabhängig durchgeführt 

• Dokumentiert 

• Ausgewertet 

Sie dienen in erster Linie der kontinuierlichen Verbesserung, ob die ISMS Anforderungen im Alltag umgesetzt werden, nicht nur der Vorbereitung auf externe Audits. 

10. Management-Reviews sind mehr als Formalität

Das Top-Management führt regelmäßige Reviews durch. 

Diese führen zu: 

• Strategischen Entscheidungen 

• Ressourcenanpassungen 

• Konkreten Verbesserungen 

• Anpassung von Richtlinien 

Wenn Reviews ausschließlich vor dem Zertifizierungsaudit durchgeführt werden, ist Vorsicht geboten. 

Mini-Selbstcheck: Erfüllt dein ISMS die Anforderungen? 

Stelle dir diese fünf Fragen: 

• Wissen Mitarbeitende, wo Sicherheitsrichtlinien liegen? 

• Wird das Asset-Inventar aktiv genutzt? 

• Gab es im letzten Jahr messbare Verbesserungen? 

• Werden Risiken regelmäßig aktualisiert? 

• Ist Informationssicherheit eine Management-Priorität? 

Je öfter du zögerst, desto größer ist der Handlungsbedarf. 

Fazit: Ein funktionierendes ISMS ist Kultur – nicht Dokumentation 

Ein ISMS ist kein Zertifikat an der Wand. 
Es sind lebendige und sich ständig anpassende Prozesse. 

• Es verteilt Verantwortung. 

• Es macht Risiken sichtbar. 

• Es setzt Maßnahmen um. 

• Es verbessert sich kontinuierlich. 

Die entscheidende Frage lautet daher nicht: 

„Haben wir ein ISMS?“ 

Sondern: 

„Erfüllt unser ISMS im Alltag die Anforderungen?“ 

Quelle:

Daniel Scherer
Security Lead WK IT GmbH

„Ich bin Security Lead bei WK IT GmbH. Anfänglich in der Softwareentwicklung, habe ich meine IT-Erfahrungen als System- und Netzwerkadministrator, Service- und Operationsmanager gesammelt. Es folgten Design und Aufbau von SOC-Infrastrukturen, Rollen als Information Security Officer und Information Security Consultant. Heute begleite ich unsere Kunden in allen Fragen der Informationssicherheit und Cybersecurity von Governance bis Response„.

Zu meinem LinkedIn Account