Kleine und Mittlere Unternehmen verkaufen Ihre Produkte und Dienstleistungen häufig and grössere Unternehmen. Diese stellen im Rahmen des Einkaufprozesses meist Anforderungen an die Informationssicherheit Ihrer Lieferanten. Insbesondere in Bereichen in denen personenbezogene Daten ausgetauscht werden. So zum Beispiel bei SaaS Leistungen oder auch Beratungs und Datenanalyseleistungen.
Die KMUs stehen dann meist vor der Entscheidung den kostspieligen Weg der Informationssicherheitszertifizierung zu gehen oder den Kunden zu verlieren. In vielen Fällen entscheiden sich die Unternehmen für die ISO 27001 Zertifizierung, um auch perspektivisch für zukünftige Kunden und Märkte ausgerüstet zu sein. Diesen Weg und die Erfahrungen vor dem Hintergrund von KMUs werden nachfolgend skizziert.
Der ISO/IEC 27001 Standard ist kompakt aufgebaut mit nur ca. 30 Seiten. Dabei unterteilt er sich in die Kapitel 0-3, welche eine Einführung geben und Kapitel 4-10, welche die Anforderungen darlegen. Der Annex A wiederum enthält die Massnahmen von A5 bis A18. Dabei sind diese direkt mit den Massnahmen und den Massnahmenbeschreibungen aus dem ISO 27002 Dokument verknüpft.
Grundsätzlich müssen alle Anforderungen aus Kapitel 4-10 des Standards eingehalten werden. Die Anforderungen im Annex A hingegen können unter begründeten Umständen nicht erfüllt werden. Dabei wird ein Risikobasierter Ansatz gewählt, dessen zentraler Kern es ist, die CIA Kriterien sicher zu stellen. Dabei handelt es sich um:
- C: Confidentiality bezieht sich dabei auf das Ziel, dass Informationen keinen unautorisierten Personen zugänglich gemacht werden
- I: Integrity bezieht sich dabei auf das Ziel, dass Informationen akkurat/richtig und vollständig sind.
- A: Availability bezieht sich dabei auf das Ziel, dass Informationen zum Zeitpunkt ihres Bedarfs für autorisierte Personen zugänglich ist.
Ziel der ISO 27001 ist dabei der Aufbau und Betrieb eines Managementsystems welches die Informationssicherheit (in Form der oben genannten Kriterien) sicherstellt.
Für KMUs entstehen dabei die meisten Herausforderungen in der Unterhaltung der Prozesse und der dafür benötigten Ressourcen (Zeit, Wissen), der Schaffung von Awareness bei den Mitarbeitern sowie der Abgrenzung welche techn. Massnahmen zu treffen sind und welche organisationalen Massnahmen ausreichen.
Die Kosten für eine ISO 27001 Zertifizierung bestehen dabei aus den Kosten für das Zertifizierungsaudit, die Kosten für interne Ressourcen (Mitarbeiter etc.), die Kosten für externe Beratung sowie der Kosten für die Umsetzung von technischen Massnahmen.
Die Zertifizierungskosten errechnen sich dabei nach ISO 27006. Dort wird die Auditzeit bestimmt. Hier fliessen Faktoren wie die IT Komplexität und Business Komplexität ein. Die Auditzeit ist zusätzlich von der Unternehmensgrösse (Anzahl der Mitarbeiter) abhängig. Dabei beginnt die Auditzeit bei 5 Tagen und ist gestaffelt z.B. ca. 19 Tage bei Unternehmen mit 1.000 Mitarbeitern.
Insbesondere die Zeit, welche Mitarbeiter aufwenden müssen um das Management-System zu implementieren sind nicht zu unterschätzen. Dabei geht es um die Erstellung und Prüfung von Richtlinien, die Anpassung eigener Prozesse, das Einholen von Angeboten für techn. Massnahmen, die Koordination und Umsetzung sowie das gesamte Projektmanagement. Nicht zu vernachlässigen sind zudem notwendige Schulungen um Kompetenzen im ISMS Team aufzubauen und nachzuweisen.
Zusammenfassend lässt sich sagen, das die Einführung eines Informationssicherheitsmanagementsystems für KMUs ein hervorragende Möglichkiet bietet weitere Kundengruppen zu erschliessen. Vor dem Hintergrund der Ressourcenbindung muss der Prozess aber gut geplant sein und sollte einen Zeithorizont von mind. 6-12 Monaten vorsehen.