(PM) Ludwigshafen, 11.12.2016 - Peter Miller, der als Experte für IT-Sicherheit Unternehmen im Auftrag der QM-Beratung Rhein S.Q.M. GmbH im Bereich IT-Sicherheitsgesetz und ISO 27001 berät, warnt alle Organisationen vor Schadenersatzansprüchen im Fall von Industriespionage und Cyberattacken.

Für einige Unternehmen drängt mittlerweile die Zeit: Bis 31.1.2018 müssen zahlreiche Strom- und Gasnetzbetreiber, die unter die sog. KRITIS-Verordnung fallen, der Bundesnetzagentur ein ISO-27001-Zertifikat vorlegen, das die Umsetzung des IT-Sicherheitskataloges dokumentiert. Die verbleibende Frist, weiß QM-Berater und Lead Auditor Miller, sei vor allem dann knapp, wenn ein zertifizierungsfähiges Informations-Sicherheits-Management-System (ISMS) komplett neu eingeführt werden müsse.

Die drei Schritte zur Zertifizierung

Die Vorbereitung auf die ISO-27001-Zertifizierung startet stets mit einem Workshop, der der Bestandsaufnahme beim Kunden dient und für den etwa drei Tage veranschlagt werden müssen. Mittels dieser GAP-Analyse wird aufgenommen, was schon da ist – schließlich ist das Ziel immer, auf einer bestehenden Systematik aufzubauen – und mit den Anforderungen der Norm abgeglichen.

In einem zweiten Step, der sechs bis neun Monate in Anspruch nimmt, werden die identifizierten Lücken nach und nach geschlossen. Möglich ist das Ganze nur, wenn das Management voll dahintersteht, daher muss die Zertifizierung auf oberster Ebene aufgehängt sein. Schließlich sind Aspekte wie Unternehmenspolitik, Unternehmensleitlinien oder Freigabe durch die Geschäftsführung nicht nur "nice to haves", sondern inhaltliche Bestandteile der Zertifizierung nach der ISO 27001. "Die oberste Führungsebene trägt also ganz offiziell die Verantwortung für das ISMS.", stellt Miller klar. Auch kann die Zertifizierungsvorbereitung nicht komplett an einen externen Partner outgesourced werden.

Denn beim dritten Schritt, dem Audit, reicht nur die Theorie nicht aus. Im Vergleich zu anderen Zertifizierungen kann die Norm nicht nur formal, also mit einer Dokumentenprüfung, abgebildet werden, sondern beim Audit wird explizit auch die Umsetzung, also die Praxis, geprüft.

Vertragliche statt gesetzliche Verpflichtung

Freiwillig ist die gesamte ISO 27001 momentan noch für alle nicht in der KRITIS-Verordnung benannten Organisationen. Allerdings ergibt sich eine Verpflichtung manches Mal auch gar nicht über den Gesetzgeber, sondern durch kundenspezifische Forderungen, die beispielsweise Automobilhersteller mit ihren Zulieferern vertraglich vereinbaren. Außerdem gilt: Ausfälle bei den IT-Systemen kann sich in einer modernen Gesellschaft heute kaum jemand leisten. Deshalb gehören zur ISO-27001-Zielgruppe nicht nur die Unternehmen, die von Gesetzeswegen oder wegen vertraglicher Verpflichtungen müssen, sondern im Prinzip alle Unternehmen weltweit. Denn kann ein Unternehmen im Falle einer IT-Störung nicht nachweisen, im Vorfeld strukturiert potenzielle Risiken identifiziert und Sicherungsmaßnahmen entwickelt zu haben, kann ihm schuldhaftes Handeln vorgeworfen werden. Und erfolgreiche Klagen auf Schadenersatzansprüche werden dann unter Umständen viel teurer als es die ISO-27001-Zertifizierung gewesen wäre.