Die Einführung eines ISMS ist eines der anspruchsvollsten Projekte im Bereich Informationssicherheit — aber auch eines der wirkungsvollsten. Ein strukturiertes Vorgehen ist entscheidend, um häufige Fehler zu vermeiden und das Projekt in einem realistischen Zeitrahmen abzuschließen. Dieser Artikel beschreibt einen bewährten Einführungsplan in fünf Phasen, der sich in der Praxis bei Unternehmen verschiedenster Größen bewährt hat.
Phase 1: Initiierung und Planung
Ohne klares Management-Commitment scheitert jedes ISMS-Projekt. In dieser Phase werden: Geschäftsführung informiert und eingebunden, Ressourcen (Budget, Personal) freigegeben, ISB oder CISO benannt, ISMS-Scope definiert, Projektplan erstellt und Kick-off-Meeting durchgeführt.
Scope-Definition: Der Anwendungsbereich muss klar abgegrenzt sein. Zu groß = Überforderung. Zu klein = lückenhafte Abdeckung. Ein erfahrener Berater hilft, den richtigen Scope zu finden.
Phase 2: Gap-Analyse
Die Gap-Analyse zeigt, wo das Unternehmen heute steht und wo ISO 27001 Anforderungen noch nicht erfüllt sind. Sie bildet die Grundlage für Projektplanung und Ressourcenbedarf. Typische Ergebnisse einer Gap-Analyse:
| Bereich | Typischer Reifegrad (KMU) |
|---|---|
| Richtlinien und Dokumentation | 20–40% |
| Risikoanalyse | 10–30% |
| Technische Maßnahmen | 40–60% |
| Schulung und Bewusstsein | 20–50% |
| Incident Management | 15–35% |
Phase 3: Risikoanalyse und -behandlung
Die Risikoanalyse ist das Herzstück des ISMS. Vorgehen: (1) Asset-Inventar: alle schutzbedürftigen Informationen und Systeme erfassen. (2) Bedrohungsidentifikation: welche Bedrohungen existieren für diese Assets? (3) Schwachstellenanalyse: wo bestehen Lücken im Schutz? (4) Risikobewertung: Eintrittswahrscheinlichkeit × Schadenshöhe. (5) Risikobehandlung: Maßnahmen ableiten.
Phase 4: Maßnahmen implementieren
Auf Basis der Risikoanalyse werden Controls aus ISO 27001 Annex A ausgewählt und implementiert. Gleichzeitig werden alle erforderlichen Richtlinien und Verfahren erstellt: IS-Richtlinie, Zugangskontrollrichtlinie, Passwortrichtlinie, Incident-Response-Plan, Business-Continuity-Plan und viele mehr. Mitarbeiterschulungen sind in dieser Phase besonders wichtig.
Phase 5: Betrieb, Überwachung und Verbesserung
Nach der Implementierung beginnt der eigentliche ISMS-Betrieb: laufende Überwachung aller Controls, regelmäßige interne Audits, jährliches Management Review und kontinuierliche Verbesserung. Erst nach einer Betriebsphase von mindestens 3–6 Monaten ist das ISMS bereit für ein externes Zertifizierungsaudit.
✓ Checkliste: Wie führt man ein ISMS ein?
- Management-Commitment schriftlich dokumentiert
- ISB oder CISO benannt und autorisiert
- ISMS-Scope formal festgelegt
- Budget und Zeitplan genehmigt
- Gap-Analyse durchgeführt
- Asset-Inventar vollständig
- Risikoanalyse abgeschlossen
- Statement of Applicability erstellt
- Alle Pflichtdokumente erstellt
- Mitarbeiterschulungen abgeschlossen
- Internes Pre-Audit durchgeführt
- Korrekturmaßnahmen aus Pre-Audit umgesetzt
Fazit
Die ISMS-Einführung ist ein strukturiertes Projekt, das Planung, Ressourcen und Konsequenz erfordert. Mit dem richtigen Vorgehen und erfahrener Unterstützung gelingt auch komplexen Organisationen eine erfolgreiche Implementierung innerhalb von 6–12 Monaten.
APASEC unterstützt Sie bei der professionellen Umsetzung — von der Gap-Analyse bis zur Zertifizierungsvorbereitung. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
KMU: 6–12 Monate. Konzerne: 18–24 Monate. Mit erfahrenem externen Partner können KMU oft in 4–8 Monaten die Zertifizierungsreife erreichen.
Management-Commitment. Ohne sichtbare Unterstützung der Geschäftsführung fehlen Ressourcen, Autorität und Vorbildfunktion. Alle anderen Faktoren sind sekundär.
Ja — aber es dauert länger und das Risiko von Fehlern ist höher. Externe Experten bringen Erfahrung aus vielen Projekten, kennen typische Stolpersteine und beschleunigen den Prozess erheblich.
Eine Gap-Analyse vergleicht den aktuellen Sicherheitsstatus eines Unternehmens mit den Anforderungen von ISO 27001. Sie zeigt, was bereits vorhanden ist und was noch fehlt — und bildet die Grundlage für den ISMS-Projektplan.
ISO 27001 schreibt eine Reihe von Pflichtdokumenten vor. Für ein KMU sind das typischerweise 20–40 Dokumente. Mit Vorlagen lässt sich der Aufwand erheblich reduzieren. APASEC stellt bewährte Dokumentenvorlagen bereit.
Der Scope legt fest, welche Teile der Organisation, welche Standorte und welche Prozesse das ISMS abdeckt. Er kann schrittweise erweitert werden. Wichtig: Der Scope muss realistisch und vollständig begründet sein.
Nach mindestens einem vollständigen PDCA-Zyklus: Planung und Implementierung abgeschlossen, mindestens ein internes Audit durchgeführt, mindestens ein Management Review abgehalten, Korrekturmaßnahmen umgesetzt.
Stage 1 ist eine Dokumentenprüfung: Der Auditor prüft, ob alle Pflichtdokumente vorhanden und korrekt sind. Stage 2 ist das eigentliche Zertifizierungsaudit: Er prüft, ob das ISMS tatsächlich gelebt und wirksam ist.
Wichtig: Die Zertifizierungsstelle muss durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert sein. Bekannte akkreditierte Stellen: TÜV, DQS, Bureau Veritas, BSI Group, DEKRA. Preis und Branchenerfahrung sind Auswahlkriterien.
Beratung: 10.000–40.000 € für KMU. Zertifizierungsaudit: 5.000–20.000 €. Interne Kosten für Mitarbeiterzeit. Tools/Software: optional 1.000–10.000 €/Jahr. Gesamtinvestition KMU: 20.000–70.000 €.