05. Apr. 2021

Mit kleinem Team zum professionellen ISMS

Wie schafft man als KMU Informationssicherheit mit begrenzten Ressourcen? Mittelständische Unternehmen gelten in Deutschland als Säule der Wirtschaft, treiben als „Hidden Champions“ Innovationen voran und erbringen systemrelevante Leistungen. Wer in solch einer Organisation Verantwortung für die Sicherheit übernimmt, muss den gleichen Anforderungen gerecht werden wie in einem großen Konzern. Die Security-Budgets und die Größe der Teams allerdings sind limitiert. Das macht die Aufgabe schwierig.

Professionelle Priorisierung

Ein zentraler Ansatzpunkt, den Security-Status in einem KMU zu verbessern, ohne die finanziellen und personellen Mittel zu überfordern, ist eine sinnvolle Priorisierung – nach dem Motto: „Das Wichtigste zuerst!“

Damit dieses Vorgehen funktioniert und auch Auditoren zufriedenstellt, muss es in ein professionelles Sicherheits- und Risikomanagement (ISMS) eingebunden sein. Es gilt, auf möglichst einfache Weise die für ein Unternehmen relevantesten Bedrohungen zu erkennen und die damit verbundenen Risiken zu erheben, zu bewerten und zu dokumentieren. Mit der richtigen Technik müssen Assessments nicht aufwändig sein! Auf dieser Basis lassen sich dann jene Maßnahmen auswählen, die mit geringstmöglichem Aufwand den größten Fortschritt versprechen.

Ein Beispiel:

  • Sind gezielte Angriffe auf Ihr Unternehmen wahrscheinlich? Dann sollte zuerst das Security Monitoring ausgebaut werden, und vielleicht benötigen Sie langfristig ein SOC.
  • Müssen Sie eher mit Ransomware- und anderen Malware-Schäden rechnen? Dann sollten Ihre Mittel zunächst in präventive Techniken wie Segmentierung und Awareness-Maßnahmen fließen.

Auch mit einer Schritt-für-Schritt-Vorgehensweise lässt sich eine ISO-2700x- oder Grundschutz-Zertifizierung in Angriff nehmen, wenn gute Argumente für Ihre Priorisierungs-Entscheidungen sprechen und das Ziel stimmt.

Externe und eigene Leistungen

Ein weiterer Ansatzpunkt für KMU ist „Security as a Service“. Outsourcing gilt oft als Patentlösung, hat aber neben Vorteilen auch mögliche Nachteile. So muss sichergestellt sein, dass kritisches Wissen auch bei der Arbeit mit Dienstleistern im Unternehmen entsteht und bleibt. Die Qualität der Angebote steht und fällt damit, wie flexibel die Arbeitsteilung zwischen den internen und externen Team-Mitgliedern gestaltet werden kann.

Im Datakontext-Seminar „Hilfe zur Selbsthilfe – Informationssicherheit für KMU“ erfahren Sie von Holger Berens mehr zu maßgeschneiderten Security-Strategien für Unternehmen aus dem Mittelstand.

zurück