03/2025 – Fachartikel Swiss Infosec AG

Ein pragmatischer und risikoorientierter Ansatz für mehr Informationssicherheit

Informationssicherheit ist heute nicht mehr nur ein Thema für grosse Konzerne. Auch kleine und mittlere Unternehmen (KMU) stehen zunehmend vor vielfältigen Herausforderungen, wenn es um den Schutz sensibler Informationen, die Einhaltung rechtlicher und regulatorischer Anforderungen und die Abwehr von Cyberbedrohungen geht. Doch während grosse Unternehmen in umfangreiche Sicherheitsmassnahmen investieren, fragen sich KMU:

• Brauchen wir wirklich ein Informationssicherheitsmanagementsystem (ISMS)?
• Ist eine Zertifizierung nach ISO 27001 für uns realistisch oder nur unnötiger Aufwand?
• Wie können wir ein ISMS pragmatisch und ressourcenschonend einführen?

Die Antwort ist klar: Ein ISMS lohnt sich – auch ohne sofortige Zertifizierung!  Ein systematischer und pragmatischer Ansatz zur Einführung eines ISMS sorgt für den nötigen Schutz, ohne KMU mit unnötiger Bürokratie zu belasten. Und wenn die Zeit reif ist, kann eine ISO-27001-Zertifizierung das i-Tüpfelchen sein.

Brauchen wir wirklich ein Informationssicherheitsmanagementsystem (ISMS)?

Ein ISMS nach ISO 27001 hilft Unternehmen dabei, systematisch Risiken zu identifizieren, zu bewerten und wenn notwendig und wirtschaftlich geeignet Massnahmen zur Absicherung umzusetzen. Doch braucht ein KMU das wirklich? Die einfache Antwort lautet: Ja, wenn Sie Ihre Informationen, Kunden und Ihren Betrieb effektiv vor Bedrohungen schützen wollen.

Insbesondere KMU stehen oft vor den Herausforderungen:

• Knappe personelle und finanzielle Ressourcen
• Wachsende rechtliche und regulatorische Anforderungen (z. B. Datenschutzgesetze wie DSG in der Schweiz oder DSGVO in der EU, Anforderungen von Kunden)
• Steigende Bedrohung durch Cyberangriffe und gezielte Attacken auf KMU

Kleine und mittlere Unternehmen gehen fälschlicherweise davon aus, dass sie zu klein sind, um ins Visier von Cyberkriminellen zu geraten. Doch Studien zeigen, dass gerade KMU häufig Ziel von Angriffen sind, da ihre Schutzmassnahmen oft weniger ausgeprägt sind als bei Grossunternehmen. Ein gut umgesetztes ISMS schützt nicht nur vor Cyberbedrohungen, sondern stärkt auch die Geschäftsbeziehungen mit Kunden, Lieferanten und Partnern.

Ist eine Zertifizierung nach ISO 27001 für uns realistisch oder nur unnötiger Aufwand?

Eine Zertifizierung ist kein Muss, aber ein ISMS lohnt sich trotzdem. Viele KMU glauben, dass sie sofort eine offizielle Zertifizierung benötigen oder eine Zertifizierung für ein KMU zu aufwändig ist. Doch das ist nicht der Fall. Wichtig ist, zuerst ein funktionierendes ISMS aufzubauen, das pragmatisch an die bestehenden Strukturen angepasst wird.

Die Vorteile eines ISMS – auch ohne Zertifizierung – sind zahlreich:

• Ressourcen- und risikoorientierter Ansatz – Massnahmen werden gezielt dort eingesetzt, wo das grösste Bedrohungspotenzial besteht, wodurch Zeit, Budget und personelle Ressourcen optimal genutzt werden.
• Strukturierte Sicherheit – Risiken werden proaktiv gemanagt statt reaktiv auf Vorfälle zu reagieren.
• Erfüllung rechtlicher und regulatorischer Anforderungen – Schweizer Datenschutzgesetz (DSG), EU-DSGVO oder branchenspezifische Vorgaben lassen sich effizienter umsetzen.
• Vertrauensvorsprung im Markt – Eine Zertifizierung signalisiert Professionalität und Seriosität, was besonders bei internationalen Kunden von Vorteil ist.
• Effiziente Prozesse – Ein ISMS reduziert Unsicherheiten und erleichtert den Umgang mit Risiken.

Eine ISO 27001-Zertifizierung ist realistisch, wenn der Fokus auf einem pragmatischen, schrittweisen Aufbau des ISMS liegt. Der eigentliche Mehrwert entsteht bereits durch die strukturierte Herangehensweise an Informationssicherheit – unabhängig vom Zertifikat. Unternehmen profitieren von klaren Prozessen, besserem Risikomanagement und einer gestärkten Compliance, während die Entscheidung zur Zertifizierung jederzeit flexibel bleibt. Ist das ISMS einmal gut strukturiert aufgebaut und im Betrieb verankert, ist die Zertifizierung nur noch ein kleiner Schritt, der mit vertretbarem Aufwand realisiert werden kann.

Wie können wir ein ISMS pragmatisch und ressourcenschonend einführen?

Oftmals schrecken Unternehmen vor der Einführung eines ISMS zurück, weil sie einen hohen administrativen Aufwand oder enorme Kosten befürchten. Doch ein ISMS darf kein Bürokratiemonster sein!

Integration statt Neuerfindung: Nutzung vorhandener Strukturen

Ein häufiges Missverständnis ist, dass die Einführung eines ISMS eine Flut neuer Richtlinien und Weisungen erfordert. In der Praxis können bestehende Dokumente und Prozesse angepasst werden, um den Anforderungen der ISO 27001 zu entsprechen. Die meisten Unternehmen haben bereits zahlreiche Massnahmen zur Informationssicherheit implementiert, auch wenn diese nicht formal dokumentiert sind. Passwortrichtlinien, regelmässige Datensicherungen, Zugriffsbeschränkungen und Schulungen für Mitarbeitende sind oft bereits vorhanden. Es geht also nicht darum, bei null zu starten, sondern darum, Bestehendes zu strukturieren und gezielt zu ergänzen.

Falls noch keine spezifischen Regelungen vorhanden sind, genügen wenige, gezielte zielgruppenorientierte Dokumente, um die wichtigsten Anforderungen zu erfüllen.

Die Swiss Infosec AG empfiehlt einen risikoorientierten und pragmatischen Ansatz, der Schritt für Schritt umgesetzt wird:

Schritt 1: Bestandesaufnahme – Wo stehen wir aktuell?

Bevor Massnahmen ergriffen werden, sollte der Ist-Zustand der Informationssicherheit erfasst werden:

1. Welche Vorgaben und Dokumentationen bestehen?
2. Welche Schutzmassnahmen gibt es bereits?
3. Gibt es bekannte Sicherheitslücken oder bereits Vorfälle?

Schritt 2: Risikobewertung – Was ist wirklich kritisch?

Nicht alle Risiken sind gleich relevant. Deshalb sollte sich ein KMU auf die wirklich kritischen Bedrohungen für die schützenswerten Informationen und Systeme konzentrieren, beispielsweise:

1. Abfluss oder Diebstahl von Geschäftsgeheimnissen
2. Datenverluste durch Ransomware
3. Phishing-Angriffe auf Mitarbeitende
4. Fehlkonfigurationen von Systemen
5. Manipulation von Quellcode in der Software-Entwicklung

Schritt 3: Massnahmen umsetzen – Einfach, aber wirksam!

Die Massnahmen sollten sich an den identifizierten Risiken orientieren und ressourcenschonend umgesetzt werden, beispielsweise:

1. Festlegen klarer Verantwortlichkeiten und Prozesse
2. Passwörter und Multi-Faktor-Authentifizierung
3. Sensibilisierung der Mitarbeitenden
4. Backup- und Notfallkonzept

Schritt 4: ISMS kontinuierlich verbessern

Nach den ersten drei wichtigen Schritten können noch fehlende Bestandteile eines ISMS kontinuierlich hinzugefügt werden. Ein ISMS ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Es lohnt sich, regelmässig zu überprüfen, ob die Sicherheitsmassnahmen noch wirksam sind und ob neue Bedrohungen hinzugekommen sind.

ISO 27001-Zertifizierung: Das i-Tüpfelchen, aber nicht der erste Schritt

Die Zertifizierung nach ISO 27001 ist dann der letzte Schritt und bietet unter anderem folgende Vorteile:

• Offizielle Bestätigung der Sicherheitsmassnahmen
• Wettbewerbsvorteil bei Kunden und Partnern
• Vertrauensvorsprung im Markt

Doch auch ohne Zertifizierung profitieren KMU von einem gut umgesetzten ISMS. Es geht nicht darum, ein perfektes System zu haben, sondern schrittweise die Informationssicherheit zu verbessern.

Mehrwert durch die Unterstützung der Swiss Infosec AG

Dank unserer umfassenden Praxiserfahrung unterstützen wir gezielt bei der pragmatischen Umsetzung, individuell angepasst an die Unternehmensgrösse und bestehende Prozesse. Wir verfügen über umfassende Erfahrung in der Adaptierung des Standards auf unterschiedliche Unternehmensgrössen und bringen bewährte Vorlagen und Hilfsmittel mit, die den Aufbau eines ISMS erheblich erleichtern – das Rad muss nicht neu erfunden werden.

Durch diesen Ansatz profitieren KMU von einer strukturierten Informationssicherheit, die sich nahtlos in den Unternehmensalltag integrieren lässt.

Fazit: Informationssicherheit ist ein Prozess, kein Projekt!

Für KMU ist ein ISMS keine unnötige Last, sondern eine wichtige Grundlage, um Risiken zu minimieren, Kundenanforderungen zu erfüllen und langfristig wettbewerbsfähig zu bleiben.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, wie unsere Spezialistinnen und Spezialisten Sie bei der ressourcenschonenden und praxisnahen Umsetzung eines ISMS unterstützen können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 04.03.2025
Kompetenzzentrum Consulting

12/2024 – Fachartikel Swiss Infosec AG

Der nächste Schritt für die Sicherheit Ihres Unternehmens

Ein vorhandenes QMS erleichtert den Weg zum ISMS

Wenn ein Unternehmen bereits ein Qualitätsmanagementsystem (QMS) nach ISO 9001 eingeführt hat, verfügt es über eine solide Grundlage, um den nächsten Schritt in Richtung eines Informationssicherheits-managementsystems (ISMS) nach ISO 27001 zu gehen. Viele der vorhandenen Prozesse und Strukturen, die für die Umsetzung der Qualitätsmanagementnorm geschaffen wurden, lassen sich ergänzen und somit auch für den Aufbau eines ISMS nutzen. Zentrale Punkte, die beide Normen teilen, sind z.B. der Umgang mit Risiken und Chancen, die Forderungen an dokumentierte Information oder die fortlaufende Verbesserung.
Das vorhandene QMS vereinfacht die Einführung eines ISMS, da bereits klare Verantwortlichkeiten, regelmässige Managementbewertungen und strukturierte Prozesse vorhanden sind. Dass sich die Organisation bereits gewohnt ist, Normanforderungen umzusetzen, reduziert den Aufwand bei der Implementierung unter dem Strich zwar nicht erheblich, bildet aber im Umsetzungsprojekt eine gute Basis und ist ein entscheidender Vorteil, um die Einführung eines Informationssicherheitsmanagementsystems reibungslos zu gestalten.

Der integrierte Ansatz – Qualität und Sicherheit unter einem Dach

Wenn bereits ein effizientes System zum Qualitätsmanagement etabliert ist, so lässt sich dieses erweitern, um auch die Richtlinien und Prozesse des ISMS zu integrieren. Ein solcher integrierter Ansatz für Qualitäts- und Informationssicherheitsmanagement bietet zahlreiche Vorteile:

• Statt zwei separate Systeme zu verwalten, die unterschiedliche Schwerpunkte haben, können durch die Integration Synergien genutzt werden. Ein zentraler Ansatzpunkt dazu ist, dass unter Anderem gemeinsame Managementprozesse wie Audits, interne Schulungen oder die Managementbewertung für beide Normen genutzt werden können.
• Mit den bislang eingesetzten Ressourcen können die Prozesse für beide Normen durchlaufen werden. So kann zum Beispiel im Bereich der internen Audits die Einhaltung von Qualitäts- und Sicherheitsstandards gleichzeitig überprüft werden.
• Der integrierte Ansatz trägt dazu bei, dass die Organisation als Ganzes widerstandsfähiger wird.
• Durch die enge Verbindung von Qualität und Informationssicherheit entsteht ein umfassendes System, dass nicht nur die Leistung, Qualität und Effizienz des Unternehmens steigert, sondern auch potenzielle Bedrohungen und Schwachstellen frühzeitig erkennt und adressiert.

Das ISMS im QMS in 4 Schritten aufbauen

Der Aufbau eines ISMS nach ISO 27001 auf Basis eines bestehenden Qualitätsmanagementsystems sollte in mehreren klaren Schritten erfolgen. Zu empfehlen ist ein Vorgehen in vier elementaren Schritten, wobei es während jedem dieser Schritte wichtig ist, die relevanten Mitarbeitenden zu den einzelnen Themen zu schulen und zu sensibilisieren:

• Schritt 1: Gap-Analyse zwischen dem vorhandenen QMS nach ISO 9001 und den Forderungen der ISO 27001
  Erster Schritt ist es, eine Gap-Analyse durchzuführen, um festzustellen, wo das bestehende QMS nach ISO 9001 von den Anforderungen der ISO 27001 abweicht. Dabei können vorbereitend für den nächsten Schritt bereits erste Überlegungen angestellt werden, wie die identifizierten neuen Inhalte hinzugefügt werden können.
• Schritt 2: Definition der Verfahrensweise zur Integration von ISO 27001 im laufenden Betrieb des QMS
  Im zweiten Schritt sollte detailliert festgelegt werden, wie die Anforderungen von ISO 27001 in die bestehenden QMS-Prozesse integriert werden können. Nebst der Definition nötiger Anpassungen an Prozessen, Richtlinien und Verfahren sind auch klare Spielregeln zu definieren, wie der Betrieb des QMS während der Zeit der Integration sichergestellt werden kann.
• Schritt 3: Implementation des ISMS in das QMS
  Im dritten Schritt geht es nun um die Umsetzung und die Implementierung des ISMS innerhalb des bestehenden QMS. Um die Transparenz und Nachvollziehbarkeit zu gewährleisten, muss zwingend während der gesamten Integration des ISMS nach den im Schritt 2 definierten Spielregeln und den Vorgaben des QMS gearbeitet werden.
• Schritt 4: Betrieb und fortlaufende Verbesserung<
  Nach der Implementierung gilt es, das ISMS zu betreiben und fortlaufend zu verbessern. Dazu gehört nicht nur das regelmässige Analysieren von Informationssicherheitsrisiken und deren entsprechende Behandlung, sondern die konsequente Anwendung aller erstellten Vorgaben. Ein Augenmerk sollte im laufenden Betrieb auf folgende zwei Punkte gelegt werden:
  • Es sollten Mechanismen zur Überwachung und Bewertung der Sicherheitsmassnahmen eingesetzt werden, um die fortlaufende Verbesserungen sicherzustellen.
  • Es sollte jede Gelegenheit genutzt werden, um die gesamte Belegschaft des Unternehmens immer wieder zu spezifischen Themen und Gefährdungen rund um das Thema ISMS und Informationssicherheit zu schulen und zu sensibilisieren. Nur Mitarbeitende, die wissen warum und wozu sie Sicherheitsmassnahmen zu beachten haben, tun dies auch zuverlässig.

Synergien nutzen: Zeit und Kosten sparen durch Integration

Der Übergang von einem Qualitätsmanagementsystem nach ISO 9001 zu einem Integrierten Managementsystem (IMS) inklusive einem Informationssicherheitsmanagementsystem nach ISO 27001 bietet in der Betriebsphase nebst Einsparungen in Bezug auf Zeit und Kosten auch erhebliche Vereinfachungen in der Anwendung:

• Synergien nutzen, Akzeptanz schaffen
  Wenn Prozesse, Dokumentationen und Audits für Qualität und Informationssicherheit zusammengeführt werden, entfällt die Notwendigkeit, ähnliche Aufgaben mehrfach zu erledigen. So kann z.B. die von beiden Normen geforderte regelmässige Managementbewertung in einer einzigen Bewertung durchgeführt werden. Durch die Nutzung solcher Synergien wird eine einzige zentrale Informationsplattform für Mitarbeitende geschaffen, was die Akzeptanz des Integrierten Managementsystems gegenüber zwei eigenständigen Systemen deutlich steigert.
• Effizientere Ressourcennutzung
  Anstatt separate Teams für Qualitäts- und Informationssicherheitsfragen zu haben, kann ein interdisziplinäres Team gebildet werden, welches beide Bereiche abdeckt.
• Reduktion der externen Auditaufwände
  Die Integration von QMS und ISMS kann den Auditierungs- und somit auch den Zertifizierungsprozess beschleunigen. Da sich viele Anforderungen der beiden Normen überschneiden, kann der Auditprozess effizienter gestaltet werden. Dies bedingt jedoch nebst der Auswahl von Auditoren, die ISO 9001 und ISO 27001 prüfen dürfen, aber auch, dass das Projekt zur Umsetzung von ISO 27001 in Abstimmung mit dem Zertifizierungszyklus des QMS erfolgt. Falls zur Zertifizierung des ISMS nicht auf die ordentliche Re-Zertifizierung des QMS gewartet werden kann, so besteht die Möglichkeit, beide Systeme getrennt zu zertifizieren oder auch während der Zertifizierung von ISO 27001 das QMS nach ISO 9001 vorzeitig zu re-zertifizieren.

Ein Tipp zum Schluss: Respekt darf sein, Schritt für Schritt ist eine Integration aber gut machbar.

Immer wieder bekommen wir zu hören: «Jetzt haben wir es endlich geschafft, die ISO 9001 umzusetzen und zu zertifizieren! Wir haben einen riesengrossen Respekt davor, im Bereich der ISO 9001 durch ein Integrationsvorhaben Fehler zu machen und unser QMS-Zertifikat dadurch zu gefährden». Diese Gefühle und Gedanken zu haben ist berechtigt, aber unbegründet! Sämtliche ISO-Normen zu Managementsystemen sind heute darauf ausgelegt, dass sie untereinander beliebig kombinierbar sind.

Mit einer Integration von QMS und ISMS können Unternehmen im Vergleich zur Implementation von zwei getrennten Managementsystemen nur gewinnen. Gerne begleiten wir Sie auf diesem Weg zum Integrierten Managementsystem.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Informationssicherheit für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 04.12.2024
Kompetenzzentrum Consulting