ISMS-Tools im Vergleich

Sofern nicht anders gekennzeichnet beruhen die Angaben auf Informationen der jeweiligen Anbieter. Diese Übersicht soll Ihnen eine erste Orientierung geben. Sie sollten jedoch keine Beschaffungsentscheidung allein auf Basis dieser Daten fällen. Wir raten dazu, zuvor verbindliche Informationen und Angebote bei den jeweiligen Anbietern einzuholen.

Fehlt eine Software oder fehlen Angaben?
Produkt eintragen - KonBriefing Research für Anbieter

Einige Tools nutzen ein proprietäres Systemen als Basis, zum Beispiel Confluence oder MS Sharepoint. Im Fall der Installation im eigenen Rechenzentrum (on-premises) kann das von Vorteil sein, wenn die entsprechende Basis-Software in der Organisation bereits genutzt wird. Dann kann es sich positiv auf Schulungs- und Betriebsaufwände auswirken, außerdem sind Schnittstellen möglicherweise leichter zu realisieren. Im Falle eines SaaS-Angebots sind die Auswirkungen geringer, da Installation und Betrieb beim Anbieter liegen.

In diesem Abschnitt sind Funktionen aufgelistet, die die Arbeit in großen Organisationen unterstützen. Gibt es viele Abteilungen, viele Geschäftsprozesse und viele Assets, so kann die Erfassung in der Regel nicht mehr vom Informationssicherheitsbeauftragten (ISB) alleine geleistet werden. Stattdessen ist es notwendig, die Verantwortlichen der Abteilungen einzubeziehen, was im Idealfall vom Tool unterstützt wird. Weiterhin sind hiermit Funktionen gemeint, um vielfach vorhandene gleichartige Assets (z.B. alle Vertriebs-Notebooks) effizient bearbeiten zu können.

In einem ISMS-Tool werden Daten gehalten und bearbeitet, die auch in verwandten Disziplinen Verwendung finden - und umgekehrt. Daher liegt es nahe, dass die Anbieter neben dem ISMS weitere Module für Business Continuity Management, Datenschutz-Management und IT Risk Management haben. Damit müssen zahlreiche Informationen nur einmal gepflegt werden, beispielsweise Geschäftsprozesse, Business Impact-Analyse (BIA) und die Assets. Hat die Organisation einen aktuellen oder zukünftigen Bedarf, der über ein reines ISMS hinausgeht, so kann die Verfügbarkeit solcher Module ein Entscheidungskriterium sein.

Bei SaaS wird die Software nicht im eigenen Rechenzentrum installiert, sondern läuft im Rechenzentrum des Anbieters. Der Anbieter kümmert sich um den technischen Betrieb, beispielsweise überwacht er den Systemzustand und die Performance und spielt Updates und neue Versionen ein. Der Anwender zahlt dafür eine Nutzungsgebühr.

Die Daten der nutzenden Organisation liegen dabei ebenfalls im Rechenzentrum des Anbieters, was bei einer Entscheidung für oder gegen SaaS regelmäßig zur Frage führt, ob die Daten dort sicher sind. Dies wird von den Anbietern oft durch entsprechende Nachweise adressiert, z.B. mit einem zertifizierten Managementsystem für Informationssicherheit nach ISO/IEC 27001 oder mit einer Auditierung nach ISAE 3402.

Schnittstellen erlauben eine Kommunikation zwischen dem ISMS-Tool und anderen Systemen. Die häufigste technische Schnittstelle ist die Anbindung an ein Email-System, um Bearbeiter über Statusänderungen, Aufgaben und Wiedervorlagen u.ä. zu informieren. Sie ist bei praktischen allen Tools gegeben und ist in der Regel nicht extra aufgeführt. Weitere technische Schnittstellen können sein: Benutzerimport über LDAP bzw. Active Directory und Single-sign on (SSO),

Beispiele für fachliche Schnittstellen sind die Anbindung an eine CMDB (Configuration Management Database), um dort gepflegte Assets zu importieren. Oder die Anbindung an Drittsysteme, die bestimmte Zustandsinformationen in das ISMS-Tool einspeisen, um auf diese Weise Maßnahmen zu überwachen.