Eine ISMS-Anwendung auswählen

Ratgeber: Alles, was Sie bei der Auswahl einer ISMS-Software wissen müssen.

Mit ausführlichem Excel-Kriterienkatalog, Marktübersicht und Testberichten

1 Wie funktioniert eine Anwendung für ein ISMS nach ISO/IEC 27001?

2 Welche Funktionen hat eine ISMS-Software?

3 Worin unterscheiden sich die Tools am Markt?

4 Geht es auch mit Excel?

5 Wie finde ich die für mich passende Produkt? Die Ausschreibung

6 Excel-Kriterienkatalog

7 Marktübersicht

8 Testberichte

9 Andere Ressourcen

Ein ISMS (Information Security Management System) ist ein Management-System, das durch eine Vielzahl aufeinander abgestimmter Maßnahmen die Informationssicherheit in einer Organisation systematisch gewährleistet und verbessert. Ausgangspunkt sind die Schutzbedarfe der Geschäftsprozesse, die für den betrachteten Geltungsbereich relevant sind. So hat beispielsweise ein HR-Prozess wie die Lohnbuchhaltung höhere Anforderungen an die Vertraulichkeit der Daten als der Bestellprozess für Büromaterial.

Die Geschäftsprozesse werden mit den von ihnen genutzten Assets verknüpft, das ist z.B. die IT-Anwendung, über die ein Prozess abgewickelt wird. Daraus ergibt sich, dass beispielsweise die HR-Anwendung und damit auch der HR-Server und der Server-Raum höhere Anforderungen an die Vertraulichkeit erfüllen müssen.

Es wird nun beurteilt, welche Bedrohungen für ein Asset relevant sind. Das kann für die HR-Anwendung die Möglichkeit sein, Passwörter zu erraten und für den Server-Raum die Bedrohung durch Feuer. Damit lassen sich die relevanten Risiken identifizieren, denen die Assets ausgesetzt sind.

Jedes Risiko wird im Hinblick auf Eintrittswahrscheinlichkeit und Auswirkungen bewertet, womit sich die wichtigen Handlungsfelder ergeben. Mit der Risikobehandlung wird dann festgelegt, wie das Risiko adressiert werden soll. Man kann es beispielsweise hinnehmen oder durch geeignete Maßnahmen reduzieren.

Die geeigneten Maßnahmen ergeben sich aus Controls, die Bestandteil der entsprechenden Normen sind. Ein Control kann beispielsweise die Existenz eines Passwort-Management-Systems sein, das ausreichend komplexe und damit schwer zu erratende Passwörter erzwingt.

Daraus ergeben sich umfangreiche Maßnahmen zur Gewährleistung der Informationssicherheit. Das können Anweisungen/Richtlinen, Prozesse und Tools sein, die eingeführt werden müssen und deren Wirksamkeit regelmäßig überprüft werden muss.

Aus der vorherigen Beschreibung wird klar, dass in einem Managementsystem für Informationssicherheit komplexe Strukturen aus Geschäftsprozessen, Assets, Bedrohungen, Schwachstellen, Risiken, Maßnahmen und Aufgaben entstehen und bearbeitet werden müssen. Diese lassen sich bereits bei kleinen Organisationen nur noch mühvoll in Excel-Tabellen abbilden und konsistent halten. Deshalb bietet es sich an, darauf spezialisierte Programme zu nutzen, die durch die Strukturen führen und die für die Konsistenz sorgen.

Viele Tools funktionieren nach diesem Schema ... Erläuterungen unter der Grafik.

Eine typische ISMS-Software hat viele der folgenden Funktionen und Eigenschaften:

Scope

• Geltungsbereich definieren
• Management von Schnittstellen-Anforderungen

Geschäftsprozesse

• Erfassen und Kategorisieren der Geschäftsprozesse
• Business Impact Analysis (BIA): Auswirkungen bei Verletzung der Schutzziele

Assets

• Aufbau eines Asset-Registers
• Kategorisierung und Dokumentation der Assets
• Verknüpfung der Assets zur Abbildung von Nutzungsbeziehungen

Schutzbedarfe der Assets

• Verknüpfung der Geschäftsprozesse mit den Assets
• Vererben der Schutzbedarfe auf die Assets
• Verrechnung des Schutzbedarfs für ein Asset bei mehreren eingehenden Strömen und Möglichkeit des manuellen Überschreibens

Risikobeurteilung

• Oberflächen zur Zuordnung von Gefährdungen auf die Assets und zu deren Bewertung im Hinblick auf Auswirkungen und Eintrittswahrscheinlichkeit
• Möglichkeit der Analyse zu unterschiedlichen Zeitpunkten
• Mitgelieferte Inhalte: Gefährdungskataloge mit Bedrohungen und Schwachstellen

Risikobehandlung

• Festlegung der Risikostrategie
• Definition von Maßnahmen
• Einschätzung des Restrisikos
• Management der Risikoakzeptanz
• Möglichkeit der Analyse zu unterschiedlichen Zeitpunkten
• Management von Ausnahmen (Exception Management)
• Mitgelieferte Inhalte: Controls, z.B. Anhang A der ISO 27001

Aufgabensteuerung

• Definieren von Aufgaben
• Zuweisung von Verantwortlichkeiten
• Planung von Kosten und Aufwänden
• Verfolgung des Fortschritts bzw. der Umsetzung

Dokumentenlenkung

• Ablage und/oder Verlinkung von Dokumenten für Richtlinien usw.
• Genehmigungsprozess
• Wiedervorlageprozess

Audit- und Review-Unterstützung

• Planung von Audits und Reviews
• Festlegung der Themenbereiche
• Dokumentation der Ergebnisse

Reporting

• Statement of Applicability (SoA)
• Risk Treatment Plan
• Maßnahmen mit Umsetzungsstand
• IT-Inventar
• KPI

Weitere Funktionalitäten

• Dashboards
• Funktionen zur dezentralen Datenerfassung
• Stammdatenverwaltung

Optionale Module

• Datenschutz-Management
• Business Continuity Management
• IT Risk Management
• IT Service Continuity Management / IT-Notfallplanung
• Security Incident Management
• Enterprise Risk Management

Technische Funktionalitäten

• Mandantenfähigkeit
• Berechtigungssystem
• Export / Import von Daten
• Schnittstellen
• E-Mail-Benachrichtigung
• LDAP-/Active Directory-Anbindung
• Single-Sign On (SSO)

Durch die Orientierung an Standards wie der ISO 27001 ist die Grundfunktionalität der ISMS-Software-Produkte natürlich ähnlich. Trotzdem können sich die Tools deutlich voneinander unterscheiden, da die Anbieter unterschiedliche Herangehensweisen haben und eigene Schwerpunkte setzen.

Nachfolgend sind einige Aspekte aufgeführt:

• Installation im eigenen Rechenzentrum (on-premises) oder Nutzung als Cloud-Dienst (Software as a Service - SaaS)
• Nativer Client oder Weboberfläche?
• Ist eine besondere Plattform erforderlich? (z.B. Confluence, MS Sharepoint)
• Mitgelieferte Inhalte (Bedrohungskataloge, Normen und Controls)
• Grad der Konfigurierbarkeit
• Grad der Anpassbarkeit (dabei Releasefähigkeit beachten)
• Spezifische Funktionen (z.B. Berechnung des resultierenden Schutzbedarfe, Risikobetrachtung brutto oder netto)
• Konzerneignung (z.B. dezentrale Asset-Erfassung und BIA, Berechtigungssystem)
• Automatisierungsmöglichkeiten
• Schnittstellen
• Verfügbare Zusatzmodule

Dabei sollte man nicht blind vorgehen nach dem Motto "Viel hilft viel", denn mehr Funktionen können u.U. Nutzung und Betrieb komplizierter machen. Stattdessen sollte man ermitteln, was in der eigenen Organisation tatsächlich benötigt wird, dabei natürlich auch einen Blick in die Zukunft werfen und daraus seine konkreten Anforderungen an ein Tool ableiten.

Wird für ein ISMS eine spezielle Software benötigt oder können die Strukturen auch mit Excel aufgebaut werden? Ja, in einfachen Fällen funktioniert es auch mit einer Excel-Tabelle. Denn jedes Strukturelement für sich betrachtet ist eine Liste, die sich wunderbar in ein Excel-Arbeitsblatt packen lässt, beispielsweise das Asset-Inventar. Die Schwierigkeiten entstehen jedoch an den Stellen, an denen man die einzelnen Elemente miteinander verknüpfen muss, das beginnt schon bei den Beziehungen zwischen den Assets. Hier bietet eine Tabellenkalkulation nur begrenzte Möglichkeiten, die Konsistenz der Daten zu wahren, was vom Anwender durch Fleißarbeit und Disziplin kompensiert werden muss. Das ist in einfachen Fällen noch tragbar, aber bei umfangreichen Strukturen wird das schnell zu einer Sisyphusaufgabe.

Das wird auch beim Blick auf das Prinzip-Schaubild am Anfang dieser Seite deutlich: Die Assets alleine sind linear und lassen sich wunderbar in einer Tabellenkalkulation abbilden

Die endgültige Struktur jedoch besteht aus mehreren miteinander verknüpften Datenstrukturen, eine manuelle Pflege und Konsistenthaltung der Daten wird sehr aufwändig:

Dazu kommt das starre Layout aus Zeilen und Spalten, das beim Zusammenführen mehrerer Strukturelemente unzweckmäßig ist. Die Assets für sich lassen sich noch perfekt in einer Tabelle anordnen. Wenn aber unter jedem Asset die Risiken aufgelistet werden sollen und dazu noch die Controls, dann wird es schnell unübersichtlich, entweder weil eine Spalte für unterschiedliche Inhalte genutzt werden muss und diese alle in der gleichen Breite dargestellt werden, was oft nicht passt. Oder weil man die Unterstrukturen soweit an die Seite verlegt, dass man nur noch am horizontalen Scrollen ist.

Alles irgendwie machbar, aber ab einer bestimmten Größe muss der Bearbeiter eine hohe Leidensfähigkeit mitbringen. Die logische Schlussfolgerung: Es braucht Werkzeuge, die die Daten konsistent halten und die gleichzeitig zweckmäßige Oberflächen haben, um die Daten bequem zu erfassen und miteinander zu verknüpfen → Das genau sind die ISMS-Tools. Neben diesen elementaren Funktionen bringen die Anwendungen aber noch zahlreiche weitere Fähigkeiten mit, die bereits weiter oben besprochen wurden.

Dieser Leitfaden liefert Ihnen eine Schritt-für-Schritt-Anleitung für die Tool-Auswahl. Beschrieben ist ein grundsätzliches Vorgehen mit Projektstart, Projektplanung, Grobkonzeption, Ausschreibung, Auswahl und Entscheidung, das Sie auf Ihre Situation adaptieren können.

Der Leitfaden umfasst die folgenden Punkte:

• Projektstart
• Anforderungen definieren
• Tool-Auswahl und Vertragsabschluss

Hierzu gehören Punkte wie:

• Ist-Zustand und Probleme klären
• Lösungsansatz beschreiben
• Nutzen für die Organisation erarbeiten
• Grundsätzliche Bereitschaft und Fähigkeit klären, ein solches Projekt durchzuführen
• Ziele und Scope klären
• Erste Marktsichtung durchführen
• Sollzustand definieren
• Grobkonzept zusammenstellen
• Projektplan erstellen
• Review
• Entscheidungsvorlage erstellen und zur Genehmigung vorlegen

Damit Sie die am besten auf Sie passende ISMS-Software finden können, sollten Sie zunächst die Rahmenbedingungen Ihrer Organisation und die allgemeine Anforderungen an ein solches Tool erarbeiten. Das führt Sie zu wichtigen Überlegungen, deren Extrakt in die Kriterien- und Testkataloge einfließt, mit denen Sie die Tool-Auswahl gestalten.

Dazu gehören Aufgaben wie:

• Longlist erstellen
• Verfahren planen
• Informationen der Produktanbieter einholen
• Anbieterpräsentationen
• Shortlist erstellen
• Proof of concept
• Testversion
• Anbieter weiter eingrenzen
• Angebotspräsentationen
• Verhandlungen
• Entscheidungsvorlage zu Beschaffung und Einführung des Tools und Genehmigung
• Vertragsabschluss

Um verschiedene Anbieter und ihre Produkte miteinander zu vergleichen, bietet sich oft ein Katalog mit Anforderungen in Excel an. Dieser wird von der suchenden Organisation erstellt und an die Anbieter mit der Bitte um Beantwortung geschickt. Eine detaillierte Vorlage mit vorausgefüllten Kriterien finden Sie auf der verlinkten Seite. Sie sollten den Katalog vor der Nutzung jedoch auf Ihre spezifischen Anforderungen anpassen.

Übersicht zu Produkten im deutschsprachigen Raum:
ISMS-Software Vergleich

ISMS Open-Source-Tools:
ISMS Open Source-Tools

Hier finden Sie Testberichte zu ausgewählten Tools: