Potentiale und Chancen von den Managementsystemen ISMS und GRC

Denis Schorr

Denis Schorr ist Geschäftsführer der GORISCON GmbH, ein innovationsgetriebenes Unternehmen, das Kunden/-innen zum Thema Informationsmanagement, Risikomanagement, Compliance sowie Datenschutz berät und diese in der projektorientierten Einführung von IT-gestützten Managementsystemen unterstützt. Im folgenden Interview gibt er Einblicke in seine Expertise und zeigt die Potentiale und Chancen von den Managementsystemen ISMS (Informationssicherheitsmanagement) und GRC (Governance Risk and Compliance) auf.

Informationssicherheitsmanagement: viele, gerade kleinere oder mittelgroße Unternehmen stehen vor der Frage, wie Sie am besten möglichst schlank in das Thema einsteigen? Was sind aus Ihrer Sicht gut erste Schritte für eine ISMS-Einführung?
Grundlegend sind hier zwei Themen. 1. Muss das Management zu 100% hinter einer Umsetzung stehen, damit steht und fällt der Erfolg eines ISMS. 2. Umsetzbarkeit – Schlank starten und Schrittweise optimieren. Dabei sollte zu Beginn der Fokus auf eine stabile ISMS-Organisation (Rollen, Richtlinien, Ziele), Sensibilisierung und interne Audits gelegt werden. So kann man das Managementsystem gezielt ausbauen und verbessern.

Ist ein Einstieg über ein softwarebasiertes Tool sinnvoller, als ggf. zunächst eine entsprechende Beratungsleistung mit „Papierarbeit“?
Eine softwarebasierte Umsetzung erleichtert auf jeden Fall viele Abläufe (schont Ressourcen) und ermöglicht eine nachhaltige Umsetzung. Dennoch ist es elementar, dass die Methoden, Organisation und Prozesse etabliert sind, sonst hilft die beste Software nichts.

Governance Risk und Compliance (GRC) fokussiert ja auf das übergeordnete Risikomanagement, Kontrollen und Richtlinien im Unternehmen – ein ISMS dagegen spezifisch auf Informationssicherheit. Wie grenzt ihr die beiden Felder selbst ab?
Eine Abgrenzung sollte stets in modernen Managementsystemen vermieden werden. Beide Disziplinen (Risikomanagement wie Informationssicherheitsmanagement) sollten im Einklang fungieren, damit Potentiale und Chance durchgängig gehoben werden können. Aus meiner Sicht kann ein modernes ISMS nicht ohne Integration in das Risikomanagement funktionieren.


Wie kann aus einem GRC Ansatz ein echter Wettbewerbsvorteil werden – denn der Aufwand für Implementierung und Pflege ist ja nicht zu unterschätzen?
„Im Kontext des Wandels können reaktive, manuelle Prozesse, welche üblicherweise große Ressourcen an Personal benötigen, nicht im gleichen Maß die Transparenz aufzeigen. Eine moderne Organisation benötigt transparente Prozesse bei Governance, Risikomanagement und Compliance. Visibilität im Risikomanagement und Compliance nutzt unter anderem Technologien der künstlichen Intelligenz, um Effizienz, Effektivität und Transparenz zu bieten. Die Steuerung der Unternehmensprozesse wird damit agiler und dynamisch beeinflusste Faktoren, Risiko und Compliance, erlauben dem Unternehmen zeitnahe Korrekturen“

Woher kommt die steigende Notwendigkeit der Automatisierung eines ISMS?
Die Entwicklungen, sowohl technisch wie wirtschaftlich, werden immer dynamischer. Daher ist es von zentraler Bedeutung, dass auch die Steuerung des ISMS gezielter und schneller funktioniert. Bedrohungslagen ändern sich in atemberaubender Geschwindigkeit, da kann man es sich nicht mehr leisten, Zeit und Ressourcen mit „unnötigem“ Aufwand (endlose Pflegen von Excellisten, etc.) und Verwaltung zu blockieren. Somit ist es essentiell, Automatismen zu implementieren und damit das ISMS als Erfolgsfaktor für ein Unternehmen zu machen.

Wie ist Ihr Ausblick auf das Thema ISMS? Wohin entwickeln sich Tools und Prozesse?
Das Tempo der Veränderungen in Organisationen ist atemberaubend – nicht zuletzt wegen Corona. Die moderne Unternehmensorganisation muss heute die Verflechtung von sich ständig ändernden Vorschriften, Durchsetzungsmaßnahmen, risikorelevanten, geschäftlichen und internen Veränderungen der Geschäftsstrategien, Prozessen, Mitarbeitern, Transaktionen und mehr genau überwachen. Dies erfordert von der Organisation innovative Erweiterung der Ansätze des Richtlinienmanagements um die automatisierte Einbindung zur Risikoidentifikation und -minimierung. Nur mit diesen Optimierungen, ist die Aufrechterhaltung der Compliance in einer dynamischen Organisation und Umgebung sicherzustellen. Einher geht damit, dass das Richtlinienmanagement ein koordinierter, konsistenter, effektiver und effizienter Prozess sein muss. Damit ist die Grundlage zur Erreichung der notwendigen Agilität geschaffen um die Richtlinien aktuell, Zielgruppen fokussiert und die Sichtbarkeit der Compliance auch automatisiert zu halten.

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter A wie Awareness bis Z wie Zero Trust im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote für Ihre IT, OT oder IoT. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.