Datenschutz und Informationssicherheit gewinnen in der öffentlichen Wahrnehmung zunehmend an Bedeutung. Immer häufiger berichten Medien über Unternehmen, die Opfer von Cyberattacken oder Datenlecks wurden oder durch Systemausfälle für sich und ihre Kunden wirtschaftlichen Schaden erlitten haben. Laut einer Studie des IT-Branchenverbands Bitkom verursachen Daten-Diebstahl, Spionage und Sabotage jährlich einen Gesamtschaden von mehr als 220 Milliarden Euro. Betroffen sind dabei, auch wenn die mediale Berichterstattung dies nahelegen mag, nicht ausschließlich Großunternehmen und Konzerne. Im Gegenteil legt die Studie der Bitkom nahe, dass gerade kleine und mittelständische Unternehmen involviert sind. Nach eigenen Angaben wurden im Jahr 2021 neun von zehn Unternehmen Opfer von Cyberattacken. Stellt man dem den Anteil kleiner und mittelständischer Unternehmen an der deutschen Gesamtwirtschaft entgegen – laut Institut für Mittelstandsforschung 99,6 % – ist die Erkenntnis unausweichlich, dass KMU zu den zahlenmäßig am stärksten betroffenen Unternehmen zählen müssen.
„Der gesamte Themenkomplex Informationssicherheit und IT-Security ist für viele kleine und mittelständische Unternehmen nach wie vor ein Buch mit sieben Siegeln“, weiß Hermann Banse, Inhaber des Beratungsunternehmens Genesis Consulting. „Während große Unternehmen und Konzerne überwiegend aktiv in diese Bereiche investieren und eigene personelle Ressourcen und Know how nutzen, um Systeme abzusichern und Prozesse zu etablieren, beruhigen sich viele Mittelständler mit der irrigen Annahme, ihnen könne kaum etwas passieren.“
Eine Möglichkeit, ein Informationssicherheitsmanagementsystem (ISMS) im Unternehmen zu etablieren, bietet der Prozess der Zertifizierung nach ISO 27001. Die internationale Norm beschreibt die Merkmale eines Systems, das Informationsprozesse innerhalb eines Unternehmens absichert, Sicherheitsrisiken minimiert und im Falle einer Krisensituation Strategien bereitstellt, mit ihnen adäquat umzugehen und den Betrieb, zum Beispiel im Falle eines Systemausfalls, aufrechtzuerhalten (Business Continuity).
„Die ISO 27001 beinhaltet einen umfassenden Maßnahmenkatalog“, erklärt Banse. „Mit 10 Hauptkapiteln und 14 Katalogen mit 114 detaillierten Maßnahmen von der Zutrittskontrolle bis zum allgemeinen Betriebs- und Kommunikationsmanagement werden die Bedingungen in kleine und mittelständische Unternehmen jedoch nicht wirklich realistisch abgebildet.“
In deutscher Fassung existiert die ISO 27001 seit 2014. Die Tatsache, dass laut Angaben des Online-Portals Statista im Jahr 2020 branchenübergreifend 1.281 Unternehmen zertifiziert waren, kann als Beleg dafür betrachtet werden, dass sie bis heute für die rund 3,5 Mio. KMU in Deutschland keine große Bedeutung hat.
„Mit dem von IT-Sicherheitscluster e. V. entwickelten Modell CISIS12 steht auch kleinen und mittelständischen Unternehmen ein Leitfaden zur Verfügung, anhand dessen ihnen die Einführung eines für sie angemessenen Informationssicherheitsmanagementsystems gelingt“, beschreibt Banse die Grundlagen seiner Arbeit als Performance Consultant im Bereich Informationssicherheit.
Die 12 Schritte des Compliance-Informations-SIcherheits-Management-Systems leiten Unternehmen durch alle erforderlichen Maßnahmen, von der Herstellung eines unternehmensübergreifenden Mindsets, über Schaffung erforderlicher technischer Rahmenbedingungen, die Analyse kritischer Unternehmensprozesse und eine Risikobetrachtung bis hin zur Planung und Umsetzung geeigneter Maßnahmen und der kontinuierlichen Überwachung und Weiterentwicklung des etablierten Systems.
„Eine Grundlage des Erfolges des deutschen Mittelstands ist seine Konzentration auf fachliche Kernkompetenzen“, weiß Banse. „Damit einher geht jedoch oftmals ein Mangel an Kompetenz in Bereichen wie der Informationssicherheit. Mit professioneller Unterstützung ist es jedoch möglich, innerhalb von 6 bis 12 Monaten mit CISIS12 ein ISMS aufzubauen, das sich auch für eine Zertifizierung qualifiziert.“
Als CISIS12-Berater (Information Security Officer) berät und begleitet Hermann Banse mittelständische Unternehmen aller Branchen im Raum Nordrhein-Westfalen.
„Die Risiken, die durch unzureichende Informationssicherheit entstehen, bestehen branchenübergreifend und unabhängig von der Unternehmensgröße“, betont Banse. „Ob mittelständisches Industrieunternehmen. Dienstleister oder Klinikbetrieb – überall wo mit halbwegs sensiblen Daten gearbeitet wird kann ein Zwischenfall schweren wirtschaftlichen und nicht zuletzt irreparablen Imageschaden verursachen. Mit CISIS12 gelingt es auch KMU sich gegen die wachsende Gefahr zu rüsten.“