„Toll, jetzt müssen wir auch noch ISO 27001 machen. Und nun?“ – mit Michael Wittling

Autor: Tobias Harmes | 27. März 2025

2

Immer mehr Unternehmen sehen sich mit Anforderungen zur Informationssicherheit konfrontiert – sei es durch gesetzliche Vorgaben wie NIS-2, Kundenanforderungen oder eigene Schutzbedarfe. In dieser Folge bespreche ich mit Michael Wittling, Strategieberater ISMS & IT Security bei mindsquare, warum ISO 27001 als Standard oft die erste Wahl ist, was ein Informationssicherheitsmanagementsystem (ISMS) eigentlich bedeutet und wie Unternehmen pragmatisch in das Thema einsteigen können.

…zum Anschauen

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

…zum Hören

…zum Lesen

Warum ISO 27001 aktuell so relevant ist

Ein Informationssicherheitsmanagementsystem (ISMS) schafft Transparenz, definiert klare Prozesse und macht Informationssicherheit für das Management steuerbar. Besonders ISO/IEC 27001 hat sich als flexibles und international anerkanntes Rahmenwerk etabliert. Es ist risikobasiert aufgebaut, skalierbar und eignet sich für Unternehmen jeder Größe. In Zeiten wachsender Cyberbedrohungen und regulatorischer Anforderungen – wie der europäischen NIS-2-Richtlinie oder für kritische Infrastrukturen (KRITIS) – bietet die Norm Orientierung und Sicherheit.

Gesetzlicher Druck und unternehmerischer Nutzen

Auch wenn gesetzliche Regelungen nicht explizit die ISO 27001 vorschreiben, fordert der Gesetzgeber zunehmend Maßnahmen zum Schutz kritischer Informationen. ISO 27001 ist dabei eine der möglichen (und oft bevorzugten) Lösungen, um diesen Anforderungen systematisch zu begegnen, insbesondere durch ihre Anpassungsfähigkeit und die internationale Verbreitung.

Ein häufiges Missverständnis: Informationssicherheit betrifft nur die IT. Tatsächlich umfasst sie viel mehr und erstreckt sich von Zutrittskontrollen bis zur Absicherung analoger Informationen. Unternehmen sollten daher zuerst definieren, welche Informationen besonders schützenswert sind – ob Produktionsgeheimnis oder Gesundheitsdaten.

Webinar: ISMS pragmatisch einführen: Das Vorgehen im Überblick

Informationssicherheit bleibt ein entscheidendes Thema – Anforderungen durch gesetzliche Vorgaben wie NIS-2, Erwartungen Ihrer Kunden und prüferische Kontrollen machen eines klar: Ohne ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) ist nachhaltige Informationssicherheit schwer zu gewährleisten. Aber wie geht man die Einführung eines ISMS pragmatisch und zielgerichtet an?
Jetzt anmelden

Was ist ein ISMS genau?

Ein Informationssicherheitsmanagementsystem ist kein Tool, keine Software und kein einzelnes Dokument. Es ist ein lebendiger, kontinuierlicher Prozess: Zielsetzung, Risikoanalyse, Maßnahmenplanung, Umsetzung, Kontrolle – und das Ganze regelmäßig im Management-Review reflektiert. So wird Informationssicherheit greifbar und messbar.

ISO 27001 beschreibt genau diesen strukturierten Rahmen. Wer ein ISMS nach ISO 27001 umsetzt, setzt damit automatisch ein vollständiges Sicherheitsmanagementsystem um.

Der Einstieg in die Praxis

Wie beginnt man am besten? In vielen Fällen hilft ein Scoping-Workshop, in dem Ziele, Anforderungen und vorhandene Ressourcen geklärt werden. Danach folgt eine GAP-Analyse: Was ist schon da, was fehlt noch? Diese Bestandsaufnahme ermöglicht es, Aufwand und Projektumfang realistisch abzuschätzen.

Gerade bei knappen Ressourcen empfiehlt sich ein schrittweiser Einstieg – z. B. mit einem kleinen Geltungsbereich (Scope) wie nur der IT-Abteilung oder einem bestimmten Unternehmenszweig. So lassen sich erste Erfolge erzielen, bevor die Lösung später skaliert wird.

Häufige Stolperfallen vermeiden

Viele Projekte scheitern nicht an der Technik, sondern an der Kommunikation: Wenn das Management nicht eingebunden ist, die Ziele unklar bleiben oder technische Details im Vordergrund stehen, die am eigentlichen Schutzbedarf vorbeigehen. Der Schlüssel: Informationssicherheit muss als unternehmensweites Thema verstanden werden. IT, Fachabteilungen und Führungsebene müssen eine gemeinsame Sprache finden.

Ein ISMS bietet genau dafür eine Plattform. Es hilft, Risiken zu bewerten und verständlich zu kommunizieren. Wer zum Beispiel fehlende Firewall-Regeln als messbares Risiko aufbereitet, kann deutlich leichter Budget und Rückhalt gewinnen.

Fazit: Sicherheit strategisch denken

Ein ISMS nach ISO 27001 ist kein Selbstzweck. Richtig umgesetzt, schützt es nicht nur Unternehmenswerte, sondern stärkt Vertrauen bei Kunden und Partnern. Ob mit oder ohne Zertifizierung: Wer heute beginnt, ist morgen besser vorbereitet.

Mehr zur Einführung eines ISMS und wie man es pragmatisch an den Start bekommt, erfahren Sie im Webinar ISMS pragmatisch einführen: Das Vorgehen im Überblick. Wenn Sie einmal unverbindlich über das Thema ISMS und Informationssicherheit sprechen möchten, vereinbaren Sie auch gerne einen Termin mit uns. Hier ist unser Kalender.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

IT Security

In 5 Schritten zur ISO 27001 Zertifizierung

In diesem Beitrag möchte ich Ihnen die klassische Vorgehensweise erläutern, mit der Sie als Unternehmen ISO zertifiziert werden können.
#Informationssicherheit
Artikel lesen
IT Security

Von der Norm in die Praxis: ISO 27001 umsetzen

ISO 27001 umsetzen
Wie Sie die ISO 27001 umsetzen und dabei bei Ihren Lieferanten und Kunden zeigen, dass Sie Informationssicherheit ernst nehmen.
#Informationssicherheit
Artikel lesen
IT Security

Allianz Risk Barometer 2025: Cyberrisiken weiterhin an der Spitze

Allianz Risk Barometer
Das Allianz Risk Barometer 2025 zeigt: Cybervorfälle als Top-Risiko für Unternehmen – noch vor Betriebsunterbrechungen & Naturkatastrophen.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage