In den Beiträgen wird behandelt:
 
  • Hilfe, so viele Anbieter und so viele ISMS-Tools zur Auswahl ?!
  • Worin unterscheiden sich die Programme?
  • Was ist die beste ISMS-Software?
  • Wie finde ich einen verlässlichen und fairen Anbieter?
  • Nach welchen Kriterien wähle ich Anbieter und Tool aus?
  • Wie mache ich eine professionelle Ausschreibung?
  • Wie bekomme ich Sicherheit bei meiner Tool-Entscheidung?
Relevant für:
IT-Verantwortliche und Projektleiter Tool-Auwahl

Zur Abbildung eines Informationssicherheitsmanagement-Systems nach ISO 27001 oder IT-Grundschutz gibt es zahlreiche Standard-Produkte (siehe Link zu unserer Marktübersicht weiter unten). Obwohl sie funktional den gleichen Zweck erfüllen, nämlich die Abbildung eines ISMS, können sich die Angebote in anderen Aspekten wesentlich voneinander unterscheiden, z.B. in der Konfigurierbarkeit, in der Art der Bereitstellung oder in Fragen der Zusammenarbeit mit dem Anbieter. Diese Punkte müssen genauso in die Auswahl einfließen wie der Preis, damit Sie sich am Ende für das Tool entscheiden, das am besten Ihre spezifischen Rahmenbedingungen und Anforderungen erfüllt. Diese Seite möchte Sie bei diesem Auswahl-Prozess unterstützen.

Inhalt

1 Wie funktioniert ein ISMS nach ISO/IEC 27001?

2 Geht es auch mit Excel?

3 Welche Funktionen hat eine ISMS-Software?

4 Worin unterscheiden sich die Tools am Markt?

5 Wie finde ich die für mich passende Software? Die Ausschreibung

6 Marktübersicht

1 Wie funktioniert ein ISMS nach ISO/IEC 27001?

Die Norm ISO/IEC 27001 definiert ein Management-System, um innerhalb einer Organisation systematisch ein hohes Niveau der Informationssicherheit zu etablieren, zu überwachen und kontinuierlich zu verbessern. Das geschieht mit Hilfe von aufeinander abgestimmten Elementen wie Organisationsstrukturen, Richtlinien, Prozessen und Vorgehensweisen. Der Ansatz orientiert sich an den Belangen der betreffenden Organisation bzw. an den konkreten Risiken, denen die Informationssicherheit der Organisation ausgesetzt ist.

Im Kern wird eine entsprechende Struktur aufgebaut, indem zunächst der Geltungsbereich (Scope) definiert wird. Innerhalb des Scopes werden die Assets (Werte) erfasst, die nach primären Assets und unterstützenden Assets unterschieden werden. Primäre Assets sind Geschäftsprozesse und Informationen, während auf den unterstützenden Assets die Geschäftsprozesse ablaufen und die Informationen liegen, wie beispielsweise Hardware, Software, Netzwerk-Komponenten, Personal, Gebäude, Räume. Die Beziehungen zwischen des Assets werden ebenfalls modelliert, ein Beispiel: Ein Geschäftsprozess beinhaltet Bestellinformationen (Informations-Asset), er nutzt eine Anwendung (Software), diese läuft auf einem Server (Hardware) und der Server steht in einem Raum.

Für jedes primäre Asset wird dann im Rahmen einer Business-Impact-Analyse (BIA) der Schutzbedarf ermittelt. Dafür werden die einzelnen Schutzziele betrachtet - häufig sind es Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity, Availability - CIA) - und es wird dabei die Frage erörtert, welche Auswirkungen ein Verlust für das betrachtete Assets hätte. Beispiel: Welche Folgen hätte der Verlust der Vertraulichkeit bei der Lohnbuchhaltung? Dabei lassen sich verschiedenen Kategorien von Auswirkungen betrachteten wie Verstoß gegen Gesetze oder Image-Schaden. Die so ermittelten möglichen Auswirkungen werden entlang der Beziehungen auf die unterstützenden Assets vererbt. Mehrere auf ein Asset eingehende Ströme werden in der Regel nach dem Maximum-Prinzip vereint.

In der Risikoanalyse, die sich im Normalfall an der Norm ISO 27005 orientiert, werden den Auswirkungen nun die Gefährdungen gegenübergestellt, die sich aus Bedrohungen und dazu passenden Schwachstellen ergeben und die mit einer Eintrittswahrscheinlichkeit bewertet werden, ggf. unter Einbeziehung bereits vorhandener Maßnahmen. Daraus ergibt sich jeweils ein konkretes Risiko, das behandelt werden muss. Grundlage ist die Wahl der Risikostrategie: Reduzieren, Transfer, Akzeptanz oder Vermeidung.

Entsprechend werden nun Maßnahmen definiert, die sich in der Regel aus den Controls aus dem Anhang A des Standards ISO 27001 ergeben. Die Maßnahmen müssen nun umgesetzt und der Fortschritt muss verfolgt werden. Mit Reviews und Audits kann die Wirksamkeit des ISMS bewertet werden.

Siehe auch:

Übersicht zur Normenreihe ISO 2700x, kostenfreier Download
https://standards.iso.org/ittf/PubliclyAvailableSt...
Die deutsche Version der Norm im Shop des Beuth-Verlags
https://www.beuth.de/de/norm/din-en-iso-iec-27001/...

2 Geht es auch mit Excel?

Wird für ein ISMS eine spezielle Software benötigt oder können die Strukturen auch mit Excel aufgebaut werden? Ja, in einfachen Fällen funktioniert es auch mit einer Excel-Tabelle. Denn jedes Strukturelement für sich betrachtet ist eine Liste, die sich wunderbar in ein Excel-Arbeitsblatt packen lässt, beispielsweise das Asset-Inventar. Die Schwierigkeiten entstehen jedoch an den Stellen, an denen man die einzelnen Elemente miteinander verknüpfen muss, das beginnt schon bei den Beziehungen zwischen den Assets. Hier bietet eine Tabellenkalkulation nur begrenzte Möglichkeiten, die Konsistenz der Daten zu wahren, was vom Anwender durch Fleißarbeit und Disziplin kompensiert werden muss. Das ist in einfachen Fällen noch tragbar, aber bei umfangreichen Strukturen wird das schnell zu einer Sisyphusaufgabe.

Dazu kommt das starre Layout aus Zeilen und Spalten, das beim Zusammenführen mehrerer Strukturelemente unzweckmäßig ist. Die Assets für sich lassen sich noch perfekt in einer Tabelle anordnen. Wenn aber unter jedem Asset die Risiken aufgelistet werden sollen und dazu noch die Controls, dann wird es schnell unübersichtlich, entweder weil eine Spalte für unterschiedliche Inhalte genutzt werden muss und diese alle in der gleichen Breite dargestellt werden, was oft nicht passt. Oder weil man die Unterstrukturen soweit an die Seite verlegt, dass man nur noch am horizontalen Scrollen ist.

Alles irgendwie machbar, aber ab einer bestimmten Größe muss der Bearbeiter eine hohe Leidensfähigkeit mitbringen. Die logische Schlussfolgerung: Es braucht Werkzeuge, die die Daten konsistent halten und die gleichzeitig zweckmäßige Oberflächen haben, um die Daten bequem zu erfassen und miteinander zu verknüpfen → Das genau sind die ISMS-Tools. Neben diesen elementaren Funktionen bringen die Anwendungen aber noch zahlreiche weitere Fähigkeiten mit, die im nächsten Kapitel besprochen werden.

3 Welche Funktionen hat eine ISMS-Software?

Eine typische ISMS-Software hat viele der folgenden Funktionen und Eigenschaften:

Assets

  • Aufbau eines Asset-Registers
  • Unterscheidung nach primären und unterstützenden Assets
  • Kategorisierung und Dokumentation der Assets
  • Verknüpfung der Assets zur Abbildung von Nutzungsbeziehungen

Business Impact Analysis (BIA)

  • Bewertung der Auswirkungen bei Verletzung der Schutzziele
  • Vererbung der Schutzbedarfe entlang der Asset-Verknüpfungen
  • Verrechnung des Schutzbedarfs für ein Asset bei mehreren eingehenden Strömen und Möglichkeit des manuellen Überschreibens

Risikoanalyse

  • Festlegung des Scopes mit den betroffenen Assets
  • Oberflächen zur Zuordnung von Gefährdungen auf die Assets und zu deren Bewertung im Hinblick auf die Eintrittswahrscheinlichkeit
  • Festlegung der Risikostrategie, Definition von Maßnahmen und Einschätzung des Restrisikos
  • Möglichkeit der Analyse zu unterschiedlichen Zeitpunkten
  • mitgelieferte Inhalte: Gefährdungskataloge mit Bedrohungen und Schwachstellen
  • mitgelieferte Inhalte: Controls, z.B. Anhang A der ISO 27001

Maßnahmen

  • Zuweisung von Verantwortlichkeiten und Aufgaben
  • Verfolgung des Fortschritts bzw. der Umsetzung

Dokumentenlenkung

  • Ablage und/oder Verlinkung von Dokumenten für Richtlinien usw.
  • Genehmigungsprozess
  • Wiedervorlageprozess

Audit- und Review-Unterstützung

  • Planung von Audits und Reviews
  • Festlegung der Themenbereiche
  • Dokumentation der Ergebnisse

Reporting

  • Statement of Applicability (SoA)
  • Risk Treatment Plan
  • Maßnahmen mit Umsetzungsstand
  • ...

Zusatzmodule

  • Die meisten am Markt erhältlichen Produkte bieten weitere Module, z.B. Datenschutz-Management, Business Continuity Management, Enterprise Risk Management

Technische Funktionalitäten

  • Mandantenfähigkeit
  • Berechtigungssystem
  • Schnittstellen
  • E-Mail-Benachrichtigung
  • LDAP-/Active Directory-Anbindung
  • Single-Sign On (SSO)

4 Worin unterscheiden sich die Tools voneinander?

Durch die Orientierung an Standards wie der ISO 27001 ist die Grundfunktionalität der ISMS-Software-Produkte natürlich ähnlich. Trotzdem können sich die Tools deutlich voneinander unterscheiden, da die Anbieter unterschiedliche Herangehensweisen haben und eigene Schwerpunkte setzen. Nachfolgend sind einige Aspekte aufgeführt:

  • Installation im eigenen Rechenzentrum (on-premises) oder Nutzung als Cloud-Dienst (Software as a Service - SaaS)
  • Nativer Client oder Weboberfläche?
  • Ist eine besondere Plattform erforderlich? (z.B. Confluence, MS Sharepoint)
  • Mitgelieferte Inhalte (Bedrohungskataloge, Normen und Controls)
  • Grad der Konfigurierbarkeit
  • Grad der Anpassbarkeit (dabei Releasefähigkeit beachten)
  • Spezifische Funktionen (z.B. Berechnung des resultierenden Schutzbedarfe, Risikobetrachtung brutto oder netto)
  • Konzerneignung (z.B. dezentrale Asset-Erfassung und BIA, Berechtigungssystem)
  • Automatisierungsmöglichkeiten
  • Schnittstellen
  • Verfügbare Zusatzmodule

Dabei sollte man nicht blind vorgehen nach dem Motto "Viel hilft viel", denn mehr Funktionen können u.U. Nutzung und Betrieb komplizierter machen. Stattdessen sollte man ermitteln, was in der eigenen Organisation tatsächlich benötigt wird, dabei natürlich auch einen Blick in die Zukunft werfen und daraus seine konkreten Anforderungen an ein Tool ableiten.

5 Wie finde ich die für mich passende Software?
Die Ausschreibung

Dieser Leitfaden liefert Ihnen eine Schritt-für-Schritt-Anleitung für die Tool-Auswahl. Beschrieben ist ein grundsätzliches Vorgehen mit Projektstart, Projektplanung, Grobkonzeption, Ausschreibung, Auswahl und Entscheidung, das Sie auf Ihre Situation adaptieren können.

Der Leitfaden umfasst die folgenden Punkte:

  • Projektstart
  • Anforderungen definieren
  • Tool-Auswahl und Vertragsabschluss

Auswahl ISMS Tool

5.1 Projektstart

Hierzu gehören Punkte wie:

  • Ist-Zustand und Probleme klären
  • Lösungsansatz beschreiben
  • Nutzen für die Organisation erarbeiten
  • Grundsätzliche Bereitschaft und Fähigkeit klären, ein solches Projekt durchzuführen
  • Ziele und Scope klären
  • Erste Marktsichtung durchführen
  • Sollzustand definieren
  • Grobkonzept zusammenstellen
  • Projektplan erstellen
  • Review
  • Entscheidungsvorlage erstellen und zur Genehmigung vorlegen

Ressourcen

5.2 Anforderungen definieren

Damit Sie die am besten auf Sie passende ISMS-Software finden können, sollten Sie zunächst die Rahmenbedingungen Ihrer Organisation und die allgemeine Anforderungen an ein solches Tool erarbeiten. Das führt Sie zu wichtigen Überlegungen, deren Extrakt in die Kriterien- und Testkataloge einfließt, mit denen Sie die Tool-Auswahl gestalten.

Ressourcen

5.3 Tool-Auswahl und Vertragsabschluss

Dazu gehören Aufgaben wie:

  • Longlist erstellen
  • Verfahren planen
  • Informationen der Produktanbieter einholen
  • Anbieterpräsentationen
  • Shortlist erstellen
  • Proof of concept
  • Testversion
  • Anbieter weiter eingrenzen
  • Angebotspräsentationen
  • Verhandlungen
  • Entscheidungsvorlage zu Beschaffung und Einführung des Tools und Genehmigung
  • Vertragsabschluss

Ressourcen

6 Marktübersicht

Übersicht zu Produkten im deutschsprachigen Raum:
ISMS-Software Vergleich

ISMS Open-Source-Tools:
ISMS Open Source-Tools

7 Andere Ressourcen

Diese Studie aus dem Jahr 2012 ist im Hinblick auf die Produkte größtenteils veraltet. Jedoch enthält sie allgemeine Teile, die für die Tool-Auswahl interessant sein können.
https://www.aisec.fraunhofer.de/content/dam/aisec/...