ISMS in der Industrie – schnell & verständlich erklärt!

Inhaltsverzeichnis

    Die Abkürzung ISMS ist seit einiger Zeit in aller Munde. Der Ursprung dieser Abkürzung liegt wahrscheinlich der Entwicklung dessen zugrunde, was wir heute unter dem Namen ISO 27001 kennen. Die BSI Group (British Standards Institution) hatte den Begriff um die Jahrtausendwende mit der Entwicklung eines Standards für Informationssicherheit eingeführt. Seither empfehlen Berater in der Sicherheitsbranche ständig: „Sie müssen ein ISMS implementieren!“

    Was sich dahinter verbirgt, weiß allerdings nicht jeder Berater. Und die Fachleute argumentieren oft vor dem Hintergrund der ISO 27000-Serie und betreiben so manches Mal Angstmarketing. Die Grundlage sinnvoller Entscheidungen ist jedoch umfassendes Wissen und das Verständnis der Zusammenhänge.

    Deswegen: Lassen Sie uns Klartext reden!

    Wofür steht das Kürzel ISMS?

    Die Abkürzung steht für „Information Security Management System“. Manchen ist die deutsche Übersetzung lieber: „Managementsystem für Informationssicherheit“. In der Industrie ist, anders als im Enterprise-Bereich, die Norm IEC 62443 gebräuchlich. Dort spricht man auch von einem IACS-SMS und meint damit das „Industrial Automation and Control System – Security Management System“.

    Was ist mit System gemeint?

    In diesem Fall ist damit weder ein „elektronisches System“ noch ein fertiges Produkt gemeint, das man kaufen kann. System steht hier vielmehr für den Zusammenschluss verschiedener Regeln, Richtlinien und Dokumentationen, der die IT-Sicherheit im Unternehmen gewährleistet. Alle diese Dokumente werden unter dem Begriff „ISMS“ zusammengefasst.

    Was bedeutet das für Ihre Arbeit?

    In erster Linie heißt das nur, dass Sie alle Ihre Unterlagen und Prozesse, die für die IT-Sicherheit im Unternehmen wichtig sind, unter dem Oberbegriff ISMS zusammenfassen. Mehr nicht!

    Welchen Zweck erfüllt das?

    Indem Sie alle für Ihre IT-Sicherheit relevanten Prozesse strukturiert dokumentieren, sorgen Sie für eine einheitliche Ablage und damit für nachvollziehbare Informationen. Sicherheit soll ein kontinuierlicher und koordinierbarer Prozess sein. Und das erreicht man mit einer solchen Zusammenfassung.

    Muss ich mich beim ISMS an Vorgaben halten?

    Normen oder Standards legen fest, was in welchem Umfang und auf welche Art von einem ISMS geregelt wird. Legen Sie Wert auf eine Zertifizierung, etwa nach ISO 27001, dann müssen Sie sich an die entsprechende Norm halten. Streben Sie keine Zertifizierung an, können Sie die Norm trotzdem als Denkanstoß nutzen. Oder sie einfach ignorieren.

    Allerdings kommen Normen und Standards meist aus der Praxis und beinhalten Best Practices, also optimale Vorgehensweisen. Auch wenn Sie keine Zertifizierung anstreben, kann es daher sinnvoll sein, sich an entsprechende Normen zu halten. Mit welcher Detailtiefe das geschieht, können Sie in diesem Fall selbst entscheiden. Möchten Sie jedoch eine Zertifizierung und ein ISMS nach ISO 27001 implementieren, müssen Sie sich zwangsläufig nach den Vorgaben dieser Norm richten.

    Wofür brauche ich ein ISMS?

    Betrachten Sie das ISMS als übergeordnetes System, das Ihre Dokumente, Unterlagen und Prozesse zur IT-Sicherheit steuert. Dieses System können Sie zum Beispiel mit einer Wiki-Lösung umsetzen, in der alle Dokumente zu finden sind. Dort werden auch Prozesse dokumentiert, die das Change-Management ebenso wie das Vorgehen bei Sicherheitsvorfällen definieren. Ist das ISMS einmal etabliert, kann es die IT-Sicherheit im gesamten Unternehmen steuern.

    Worin unterscheidet sich ein ISMS von einem IACS-SMS?

    Der Unterschied umfasst nur wenige Bereiche. Während das ISMS die Sicherheitsaufgaben im Bereich Enterprise abdeckt, behandelt das IACS-SMS – basierend auf der Norm IEC 62443 – zusätzlich die Besonderheiten im Automationsbereich. Vereinfacht ausgedrückt: IEC 62443 und IACS-SMS bauen auf ISO 27001 und ISMS auf, berücksichtigen aber zusätzlich die Anforderungen der Industrie, wobei die Maßnahmen auf Automationsnetze zugeschnitten sind.

    Brauche ich dazu einen externen Berater?

    Ob Sie einen externen Berater benötigen, hängt davon ab, ob Sie eine Zertifizierung anstreben. Ein weiterer Entscheidungsfaktor ist, auf wie viele Ressourcen und auf wie viel Wissen Sie im Bereich ISMS zurückgreifen können. Theoretisch können Sie sich einfach an die Norm halten oder sich Lektüre und professionelle Checklisten kaufen. In der Praxis ist die Arbeit mit einem Berater jedoch oft effizienter. Denn ein guter Berater weiß, worauf es ankommt und, was noch wichtiger ist, was man weglassen kann. Letztlich hängt es vom Einzelfall ab. Die „Abschlussprüfung“ für eine Zertifizierung muss allerdings ein dafür zugelassener Auditor durchführen.

    Was sollte ich noch beachten?

    Zwei Dinge gilt es zu beachten: Erstens kostet das Erarbeiten eines ISMS Zeit und damit Geld. Es kann aber langfristig Geld sparen und IT-Sicherheit als einen kontinuierlichen Prozess im Unternehmen etablieren. Zweitens sollten Sie bei der Auswahl eines externen Beraters darauf achten, dass der Dienstleister tatsächlich Automationserfahrung hat. Allzu oft versuchen Anbieter mit ISO 27001-Expertise im Enterprise-Bereich auch den Zusatzauftrag für die Produktionssicherheit zu übernehmen. Das ist jedoch nur in den seltensten Fällen sinnvoll!

    Sie möchten mehr wissen?

    Mehr zum Thema gibt es in unserem Artikel über die IEC 62443.

    IEC 62443 Guide: Besser diskutieren mit Herstellern

    Max Weidele
    CEO & Founder

    Die IEC 62443 nimmt weiter mehr Fahrt auf und wird immer öfters auch von Herstellern, Lieferanten und auch Betreibern referenziert.

    In unserem Guide helfen wir Ihnen als Betreiber, wie sie die IEC 62443 zur besseren Diskussion mit Ihren Lieferanten und Komponentenherstellern nutzen können.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.


    Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung