Mit der internationalen Norm ISO 27001 soll die Informationssicherheit in Unternehmen und Organisationen gewährleistet werden. Sie beschreibt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Mit der GAP-Analyse von CONTECHNET steht den Verantwortlichen ein kostenfreies Tool zur Verfügung, mit dem sie den groben Ist-Stand einer geplanten ISO-27001-Umsetzung in ihrem Unternehmen prüfen können.

Im Interview erklärt Jörg Kretzschmar, Geschäftsführer von CONTECHNET, was es mit der GAP-Analyse auf sich hat und was das Ziel des kostenlosen Online-Tools ist.

An welchem Punkt setzt Ihre GAP-Analyse an, und warum sollte ein Unternehmen intern eine GAP-Analyse nach ISO 27001 durchführen?

In Unternehmen gibt es meist mehrere Gründe, eine GAP-Analyse nach ISO 27001 durchzuführen. Zunächst einmal möchten viele Verantwortliche einfach überprüfen, wo sie momentan stehen. Da dies nur eine Momentaufnahme ist, ist es sinnvoll, regelmäßig seinen eigenen Sicherheitsstatus zu hinterfragen. Die GAP-Analyse direkt schließt natürlich keine Sicherheitslücken, andere Schwachstellen oder reduziert Bedrohungen. Aber sie verdeutlicht, an welchen Stellen Optimierungsbedarf besteht.

Viele Verantwortliche in Unternehmen, die eine ISO-27001-Zertifizierung anstreben, denken, sie müssten bei null beginnen. Doch dem ist in der Regel nicht so. Teilweise wurden bereits relevante Maßnahmen im Qualitätsmanagement durchgeführt oder auch in vielen anderen Bereichen Regelungen getroffen. Es gilt also zu eruieren, was schon umgesetzt wurde, und anschließend alle vorhandenen Komponenten zusammenzuführen. Erst dann wird den Verantwortlichen überhaupt bewusst, ob sie an wichtigen Stellen etwas vergessen haben oder in anderen Bereichen bereits richtig gut aufgestellt sind.

Was ist ganz generell der konkrete Nutzen einer GAP-Analyse, und wer profitiert davon?

Jörg Kretzschmar, Geschäftsführer von CONTECHNET

In erster Linie profitiert natürlich das Unternehmen selbst von der GAP-Analyse. Die Verantwortlichen und auch die Managementebene wissen dadurch, wo sie aktuell stehen und was es noch zu tun gibt. In unserem Arbeitsalltag stellen wir fest, dass viele Firmen bereits Hunderte von Beratertagen verbraucht haben und eigentlich außer viel Papier, PDFs, Visio-Zeichnungen und Exceldokumenten nichts vorhanden ist. Denn externe Berater kommen in das Unternehmen, setzen etwas um und nehmen ihr Know-how im Anschluss wieder mit. Doch gerade bei der Umsetzung von Normen wie der ISO 27001 ist es wichtig, dass die Verantwortlichen in den Unternehmen selbst wissen, wie der aktuelle Stand ist und was sie noch zu tun haben. Denn die Verantwortlichen sollten die Schwachstellen des Unternehmens kennen und diese bewusst bearbeiten – oder einfach auch schon einmal das Positive dokumentieren.

Warum hat CONTECHNET ein kostenloses Tool für diese Aufgabe programmiert?

Wird ein Mitarbeiter – meist der IT-Leiter – mit der Umsetzung der ISO 27001 oder generell der Umsetzung eines Managementsystems beauftragt, muss er sich zunächst ein Bild über den Stand des Unternehmens machen. Häufig weiß er nicht, wo er überhaupt beginnen soll. Gehen unsere Experten in Unternehmen, erzählen ihnen die Verantwortlichen oft, dass sie aus diesem Grund bereits eine GAP-Analyse beauftragt haben. Der Ablauf ist in der Regel gleich: Ein Moderator kommt in das Unternehmen und stellt Fragen. Das kostet nicht nur Geld – zwischen 5.000 und 12.000 Euro –, sondern auch Zeit. Aus diesem Grund haben wir dieses Frage-Antwort-Spiel einfach durch ein Online-Tool ersetzt. Um dem Nutzer die Analyse noch verständlicher zu machen, haben wir unsere langjährige Projekterfahrung im Rahmen von Empfehlungen in das Tool integriert. Wir haben die Norm verständlich aufbereitet und Gruppenfragen daraus definiert. Mit der Online-GAP-Analyse sparen Unternehmen also Zeit und Geld – und sie haben nichts zu verlieren.

Dennoch bleibt eine GAP-Analyse sehr aufwändig, oder?

Viele würden sie tatsächlich sogar als Horror-Aufgabe beschreiben. Aber hier stellt sich eher die Frage: warum eigentlich? Ja, es muss sich mit der Thematik beschäftigt und es müssen einige Fragen beantwortet werden. In vier bis sechs Stunden hat der Verantwortliche im Unternehmen die GAP-Analyse mithilfe des Online-Tools selbst erledigt. Der Horror ist für viele also gar nicht der Aufwand, sondern eher, dass ein Spiegel vorgehalten wird. Werden die Fragen wahrheitsgemäß beantwortet, zeigt sich schnell, wo noch Lücken bestehen und wo noch etwas zu tun ist. Aber dieser Spiegel offenbart eben auch, dass die anschließende Umsetzung kein Hexenwerk ist. Und jede Minute, die der Verantwortliche mit der eigenständigen Analyse verbringt, hilft im Anschluss, die Situation einzuschätzen und zu analysieren. Denn dann erkennt er, wo er Unterstützung benötigt und was er selbst umsetzen kann.

Welche Ergebnisse bekomme ich als Kunde?

Oft wird deutlich, dass die meisten Tage, die für die Umsetzung erbracht werden müssen, in der internen Verantwortung liegen. Als Ergebnis erhält der Nutzer also zum Beispiel, dass er – gemäß unseren Erfahrungen – noch ungefähr 16 Tage externe Unterstützung und 67 Tage interne Umsetzung benötigt, um die ISO 27001 zu realisieren. Da werden viele erst einmal sagen: »67 Tage haben wir niemals Zeit dafür.« Aber auch hier wird durch die Online GAP-Analyse deutlich, dass diese Tage auf verschiedene Abteilungen aufgeteilt und in welchen Fachbereichen die meisten Tage benötigt werden und wo die größten Schwachstellen vorliegen.

Darüber hinaus erhält der Nutzer einen einfachen Mittelwert für die Budgetkalkulation auf Basis unserer Erfahrungswerte aus 10 Jahren Projektumsetzungen. Dies kann bei der Budgetplanung helfen. Denn geht er ohne diese Planung zum Management und fordert beispielsweise 50.000 Euro für 50 externe Beratertage und stellt dann fest, dass er eigentlich 200 Tage benötigt, kann dies meist nicht mehr gestemmt werden und seine Reputation sinkt im Unternehmen. Mit dem bereitgestellten Mittelwert lässt sich analysieren, wo das Projekt finanziell hinläuft und wie es am besten für das Unternehmen durchgeführt werden kann.

Unsere Empfehlung ist also: Machen Sie es von Anfang an einfach richtig! Was ist das Ziel? Welches Werkzeug nehme ich zur Hilfe? Und vor allem: Was mache ich, wenn der Berater wieder weg ist? Habe ich die Mittel, alles selbst durchzuführen? Auch eine Struktur ist sehr wichtig, um das realisierte Managementsystem wiederkehrend zu verbessern und die erforderliche Grundlage für Audits und Rezertifizierungen zu schaffen.

Da unsere GAP-Analyse erst einmal nur den Ist-Stand und Empfehlungen bereitstellt, hat jeder Nutzer aber auch freiwillig die Möglichkeit, per Klick die Daten an uns zu übermitteln. Wir schauen uns die Ergebnisse an und diskutieren darüber. Entscheidend ist bei der ganzen Sache: Wir unterstützen Unternehmen gerne bei der Vorbereitung und dabei, ein Erstresultat für die weitere Planung zu finden. Das ist das Ziel dieser GAP-Analyse.

Herr Kretzschmar, vielen Dank für dieses Gespräch.

Illustration: © ZinetroN /shutterstock.com

175 Artikel zu „ISO 27001“

NEWS | BUSINESS | BUSINESS PROCESS MANAGEMENT | INFOGRAFIKEN | IT-SECURITY | SERVICES | WHITEPAPER

Anforderungen der ISO 27001 mit der Realität im Unternehmen abgleichen

12. April 2019

Unbemerkte Sicherheitslücken können Zertifizierung vereiteln. Getroffene Sicherheitsmaßnahmen im eigenen Hause auf Konformität mit Norm überprüfen. Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ermöglicht es Informationssicherheit im Unternehmen dauerhaft zu steuern und zu verbessern. Die Norm stellt verschiedene Anforderungen an Design und Dokumentation von Prozessen und Verantwortlichkeiten, die es gilt, möglichst lückenlos zu erfüllen. »Die…