Unternehmen, die sich für die Einführung eines Information Security Management Systems (ISMS) entscheiden, profitieren nicht nur von mehr Sicherheit. Sie erhalten auch einen frischen Blick auf ihre Geschäftsprozesse – und verbessern ihr Image.
Die Bedrohungen durch Cyberkriminalität und Hackerattacken sind allgegenwärtig. Mit Hilfe eines ISMS lässt sich diese Eintrittswahrscheinlichkeit des Ernstfalls abschätzen.
Eine lange Erfolgsbilanz in Sachen Sicherheit verzeichnet die 100x Group laut ihrem CEO Alex Höpfner. Das ist kaum eine Überraschung, ist doch das Unternehmen die Holding der BitMEX, einer führenden Handelsplattform für Kryptowährungs-Derivate. Dank dezentraler Speicherung der Daten und Partitionierung der Netzwerke gilt die Blockchain-Technologie, die auch BitMEX anwendet, als äußerst sicher. Eher überrascht, dass sich das Unternehmen darüber hinaus um lückenlose Informationssicherheit bemüht und erst vor Kurzem die Zertifizierung nach ISO/ IEC 27001 erhalten hat – womit den Kunden und Partnern belegt wird, dass die Sicherheitsrisiken stets im Blick sind. Dass ein Unternehmen, dessen Cyber Security bereits wasserdicht ist, zusätzlich eine hohe Informationssicherheit anstrebt, macht deutlich, wie wichtig ein Information Security Management System (ISMS) ist. Schließlich bieten alle Geschäftsprozesse und -daten eine Angriffsfläche für Attacken von Unbefugten. Ein ISMS hilft, die damit verbundenen Risiken zu verringern. Es erhöht die Sicherheit zusätzlich, steigert die Transparenz in Prozessen und Geschäftsbereichen und verbessert zudem das Vertrauen, das Kunden und Geschäftspartner einem Unternehmen entgegenbringen.
Des Unternehmens Kern finden
Ein Information Security Management System basiert auf einem Top-Down-Ansatz, um die Cyber Security in Unternehmen zu verbessern
(Bild: Axians)
Trotz aller Vorteile scheuen vor allem kleinere Unternehmen davor zurück, sich mit der Einführung eines ISMS zu beschäftigen. Die Einhaltung von Datenschutzbestimmungen oder auch der Einstieg in die Cloud und begleitende Digitalisierungsprojekte erscheinen dringender und nehmen die Ressourcen der IT-Abteilungen bereits voll in Anspruch. Hinzu kommt, dass sich der Aufwand für den Aufbau eines ISMS schwer pauschal abschätzen lässt. Das hängt auch damit zusammen, dass in Unternehmen oft Unklarheit über die Cyberrisiken und ihre wirklichen Kronjuwelen herrscht, die priorisiert abgesichert werden sollten. Sie sind zwar gut darin, ihre Geschäftsrisiken zu bestimmen, haben jedoch in Bezug auf Cyber-Security-Risiken einen blinden Fleck. Sie wissen zwar, was ihr neues Produkt einzigartig macht, sind sich jedoch selten bewusst, welche diesem Produkt zugrundeliegenden Daten am engsten mit ihrem Kerngeschäft verknüpft sind. So sind es vielleicht nicht die Baupläne der Produktionsstraße, auf die es Hacker abgesehen haben, sondern die Rezept- oder Steuerungsdaten der Produktion. Greifen Kriminelle auf diese Kerninformationen zu, können Unternehmen schwerwiegende wirtschaftliche Verluste erleiden – oder ihre Handlungsfähigkeit wird empfindlich gestört. Hier liefert ein ISMS ein strukturiertes Vorgehen, mit dem sich Cyberrisiken ermitteln und bewerten lassen, um auf dieser Basis die passenden Sicherheitsmechanismen zu implementieren. Wie umfangreich ein ISMS sein sollte, hängt letztlich davon ab, wie vielfältig die bestehenden Risiken sind und wie viele Risiken ein Unternehmen bereit ist zu akzeptieren.
Akzeptanz für das Projekt einholen
Ein ISMS sichert den Schutz aller Informationswerte im Unternehmen und ist damit ein Projekt, das alle Unternehmensbereiche und -prozesse umfasst. Das ist wichtig zu bedenken, wenn man ein ISMS plant, denn Unternehmen tendieren dazu, parzelliert zu arbeiten. In den einzelnen Abteilungen vom Marketing über die Produktion bis hin zum Vertrieb herrschen in der Regel sehr unterschiedliche Auffassungen darüber, welche Werte abgesichert werden müssen. Für eine umfassende Betrachtung ist ein Perspektivenwechsel dringend notwendig. Es braucht einen Top-Down-Ansatz, für den der Impuls zwingend von der Unternehmensführung ausgehen muss. Diese muss sich auf das Projekt committen und es gemeinsam mit den Verantwortlichen aus allen relevanten Bereichen vorantreiben. So entsteht ein Konzept, das unternehmensweit ausgerollt und akzeptiert wird. Dabei hilft es, von Beginn an einen externen IT-Dienstleister mit ins Boot zu holen, der die nötige Projekterfahrung und das technische Know-how für ein solches Projekt mitbringt. Dieser kann als neutrale Instanz Bedrohungsszenarien und die Einführung von Sicherungsmaßnahmen unbelastet von Investitions- und innerbetrieblichen Aspekten betrachten und zwischen verschiedenen Interessenslagen vermitteln. Ebenso kann er interne Prozesse und Anforderungen unabhängig evaluieren. In der gemeinsamen Diskussion lässt sich analysieren, wo die größten Risiken liegen, bevor eine umfassende Betrachtung weiterer bestehender Risiken folgt. Dabei werden die Fragen beantwortet, wo das Hauptrisiko liegt und welche Risiken um jeden Preis gesenkt werden müssen, bzw. toleriert werden können. In dieser Einführungsphase werden die Risiken nicht nur identifiziert (etwa anhand einer Risikomatrix), sie werden dokumentiert und nach ihrer Eintrittswahrscheinlichkeit und potentiellen Schadenshöhe klassifiziert. Damit steht ein strukturiertes Vorgehen zur Verfügung, das sich dem Umgang mit allen Arten von Risiken zugrunde legen lässt und hilft, diese auf ein akzeptables Maß zu reduzieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Nicht nur sicher, sondern auch produktiver und aufgeräumter
Ein Information Security Management System ist einer der der wichtigsten Bausteine für eine ganzheitliche Absicherung von Unternehmen.
(Bild: Axians)
Auch wenn die Bedrohungen durch Cyberkriminalität und Hackerattacken allgegenwärtig sind – das Risiko, das mit einer Bedrohung einhergeht, hängt letztlich davon ab, wie wahrscheinlich es ist, dass der Ernstfall eintritt. Mit Hilfe eines ISMS lässt sich diese Eintrittswahrscheinlichkeit abschätzen. Es leistet jedoch viel mehr als nur Risiken zu reduzieren. Da innerhalb des ISMS Geschäftsprozesse permanent in Bezug auf Cyber-Risiken und Schwachstellen analysiert und bewertet werden, liegt der Fokus nun auf den kritischen Prozessen. Veraltete und unsichere Prozesse werden sichtbar, was nicht nur mehr Sicherheit, sondern auch Raum für mehr Produktivität schafft und Geschäftsprozesse verbessert. Die Belegschaft wird auf Risiken sensibilisiert und weiß, was im Ernstfall zu tun ist. So lassen sich Sicherheitsmaßnahmen in kurzer Zeit implementieren und Bedrohungen überall im Unternehmen erfolgreich bekämpfen – bei Daten, in Prozessen und Strukturen. Die dazu nötigen Regeln und Abläufe fasst ein ganzheitliches Information Security Management System individuell passend für die Unternehmens-Workflows zusammen. Damit wird es ein Teil des großen Ganzen. Damit dies gelingt, stehen Experten für Sicherheitsthemen bereit, um Unternehmen bei der Umsetzung von ISMS-Projekten zu unterstützen. Sie können dank ihrer breit angelegten Erfahrung und als unbeteiligter Dritter dem Projektteam in allen Phasen der Umsetzung zur Seite stehen. Auch danach übernehmen sie weitere Aufgaben, etwa die Schulung der Mitarbeiter oder das komplette Outsourcing des ISMS. Unternehmen, die sich wie in dem oben genannten Beispiel für eine Zertifizierung nach ISO entscheiden, erwerben dadurch ein zusätzliches Qualitätsmerkmal. Sie zeigen ihre Kompetenz bezüglich der Informationssicherheit – und können der Bedrohungslandschaft der Zukunft ruhig ins Auge sehen.
Über den Autor: Der studierte Elektrotechnik-Ingenieur Ulf-Gerrit Weber begann seine Karriere als Netzwerk-Entwickler bei der Eltec Elektronik, einem Hersteller für Industrierechner und Industrial Imaging-Lösungen, bevor er in den Vertrieb des Unternehmens wechselte. Bei dem Systemintegrator Controlware Communicationssystems arbeitete der Security-Experte anschließend überwiegend als Vertriebsbeauftragter für IT-Security-Lösungen. Seit 2004 ist er Senior Security Consultant bei Axians IT Security, wo er die Konzeption und Implementierung technischer und organisatorischer Security-Projekte verantwortet. Durch den kontinuierlichen Kundenkontakt kennt er aktuelle Security-Bedrohungen aus erster Hand und verfügt über umfangreiches Praxiswissen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/63/096381a460a1833d3dc912b7c4f9776a/0129245099v2.jpeg "Die Sicherheitslücke EUVD-2025-24155 / CVE-2025-38499 im Linux-Kernel, die bereits seit August 2025 im Umlauf ist, wird vom BSI als kritisch eingestuft. Möglicherweise, weil nach wie vor Linux-Distributionen davon betroffen sind. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/df/bc/dfbcc513eacc7711f228d27580aceed5/0129149468v2.jpeg "Ghost Pairing ist eine Phishing-Masche, bei der Cyberkriminelle gefälschte Links nutzen, um an die Telefonnummer des Nutzers zu gelangen und mit dieser unbefugt ein Gerät an dessen WhatsApp-Konto zu koppeln. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/9b/c3/9bc3650365043192ef4509df28ac6859/0129429761v1.jpeg "OpenClaw ging Ende 2025 an den Start und schon mehrere Tausend Nutzer. Doch Malware-verseuchte Skills und Sicherheitslücken riskieren die Sicherheit der User. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/f5/73f58fc7aa25fff37737ad39e645f58d/0129416630v1.jpeg "Wo Licht ist, ist auch Schatten: Mit der großen Beliebtheit von OpenClaw kommen auch Sicherheitsrisiken einher. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/ee/8cee19b883a181d816bba40b67a32c02/0129346728v2.jpeg "KI und Cloud verwandeln physische Sicherheit in eine strategische Geschäftsfunktion, aber 70 Prozent der Unternehmen haben weiterhin Bedenken bei der Implementierung. (Bild: © Strother - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/ee/41ee076f4e68cdbba27e9c6bce24cc26/0129203790v1.jpeg "Power Automate geht weit über einfache Workflow-Erstellung hinaus und verbindet strukturierte Prozesstechnik mit Cloud-Integration und konkreten Mechanismen für zuverlässige Abläufe in Microsoft 365 und hybriden Netzwerken. (Bild: © Kateryna - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/97/af97245494f5ed2d9e7a5e85d635821e/0129347165v2.jpeg "Am 15. September 2025 schlug der Entwickler Daniel Pereira Alarm: Er entdeckte, dass das beliebte npm-Paket „@ctrl/tinycolor“ mit Malware infiziert worden war. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/37/d4375d65bd9e3e6daf606f1c265ad788/0129459549v1.jpeg "Security-Insider war als Sponsor der Hacking Challenge 2026 bei der virtuellen Siegerehrung am 11. Februar dabei. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/48/f7/48f78b959c3f62d59ef36983c5c95d4f/0124034819v2.jpeg "Ein einziger ungeschützter Endpunkt kann bereits ausreichen, um die gesamte IT/OT in einem Unternehmens-Netzwerk anzugreifen. (Bild: Viks_jin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/e9/7de9a309c98605ff6edea5151f61916e/0124302592v4.jpeg "Die weltweite geopolitische Lage bleibt angespannt – und mit ihr die Unsicherheiten im Datenschutz. (Bild: Dall-E / KI-generiert)")