Kleine und mittlere Unternehmen verkaufen Ihre Produkte und Dienstleistungen häufig an grössere Unternehmen. Diese stellen im Rahmen des Einkaufprozesses meist Anforderungen an die Informationssicherheit Ihrer Lieferant:innen. Insbesondere in Bereichen, in denen personenbezogene Daten ausgetauscht werden. So zum Beispiel bei SaaS Leistungen oder auch Beratungs- und Datenanalyseleistungen.

Die KMUs stehen dann überwiegend vor der Entscheidung, den kostspieligen Weg der Informationssicherheitszertifizierung zu gehen oder den Kunden zu verlieren. In vielen Fällen entscheiden sich die Unternehmen für die ISO 27001 Zertifizierung, um auch perspektivisch für zukünftige Kunden und Märkte ausgerüstet zu sein. Diesen Weg und die Erfahrungen vor dem Hintergrund von KMUs werden nachfolgend skizziert.

Der ISO/IEC 27001 Standard ist kompakt aufgebaut, mit nur ca. 30 Seiten. Dabei unterteilt er sich in die Kapitel 0-3, welche eine Einführung geben und Kapitel 4-10, welche die Anforderungen darlegen. Der Annex A wiederum enthält die Massnahmen von A5 bis A18. Dabei sind diese direkt mit den Massnahmen und den Massnahmenbeschreibungen aus dem ISO 27002 Dokument verknüpft.

Grundsätzlich müssen alle Anforderungen aus Kapitel 4-10 des Standards eingehalten werden. Die Anforderungen im Annex A hingegen können unter begründeten Umständen nicht erfüllt werden. Dabei wird ein risikobasierter Ansatz gewählt, dessen zentraler Kern es ist, die CIA Kriterien sicherzustellen. Dabei handelt es sich um:

• C: Confidentiality bezieht sich dabei auf das Ziel, dass Informationen keinen unautorisierten Personen zugänglich gemacht werden
• I: Integrity bezieht sich dabei auf das Ziel, dass Informationen akkurat/richtig und vollständig sind.
• A: Availability bezieht sich dabei auf das Ziel, dass Informationen zum  Zeitpunkt ihres Bedarfs für autorisierte Personen zugänglich ist.

Ziel der ISO 27001 ist dabei der Aufbau und Betrieb eines Managementsystems, welches die Informationssicherheit (in Form der oben genannten Kriterien) sicherstellt.

Für KMUs entstehen dabei die meisten Herausforderungen in der Unterhaltung der Prozesse und der dafür benötigten Ressourcen (Zeit, Wissen), der Schaffung von Awareness bei den Mitarbeitenden sowie der Abgrenzung, welche techn. Massnahmen zu treffen sind und welche organisationalen Massnahmen ausreichen.

Die Kosten für eine ISO 27001 Zertifizierung bestehen dabei aus den Kosten für das Zertifizierungsaudit, die Kosten für interne Ressourcen (Mitarbeitende etc.), die Kosten für externe Beratung sowie der Kosten für die Umsetzung von technischen Massnahmen.

Die Zertifizierungskosten errechnen sich dabei nach ISO 27006. Dort wird die Auditzeit bestimmt. Hier fliessen Faktoren wie die IT Komplexität und Business Komplexität ein. Die Auditzeit ist zusätzlich von der Unternehmensgrösse (Anzahl der Beschäftigten) abhängig. Dabei beginnt die Auditzeit bei 5 Tagen und ist gestaffelt z.B. ca. 19 Tage bei Unternehmen mit 1.000 Beschäftigten.

Insbesondere die Zeit, welche Beschäftigte aufwenden müssen, um das Management-System zu implementieren, sind nicht zu unterschätzen. Dabei geht es um die Erstellung und Prüfung von Richtlinien, die Anpassung eigener Prozesse, das Einholen von Angeboten für technische Massnahmen, die Koordination und Umsetzung sowie das gesamte Projektmanagement. Nicht zu vernachlässigen sind zudem notwendige Schulungen, um Kompetenzen im ISMS-Team aufzubauen und nachzuweisen.

Zusammenfassend kann gesagt werden, dass die Einführung eines Informationssicherheitsmanagementsystems für KMUs eine hervorragende Möglichkeit bietet, weitere Kundengruppen zu erschliessen. Vor dem Hintergrund der Ressourcenbindung muss der Prozess aber gut geplant sein und sollte einen Zeithorizont von mind. 6-12 Monaten vorsehen.