So gelingt der ISMS-Einstieg auch für kleinere Unternehmen

Ein regional tätiges Unternehmen mit rund 50 Mitarbeitenden bietet technische Dienstleistungen und Vertriebsservices im B2B-Bereich an. Die meisten Mitarbeitenden arbeiten mobil oder hybrid, Kundenkommunikation und Projektarbeit erfolgen fast ausschließlich digital – über Cloud-Dienste, mobile Geräte und vernetzte Plattformen. Die IT war über Jahre gewachsen, ohne klare Struktur oder dokumentierte Verantwortlichkeiten.

Mit wachsendem Druck durch Kundenanforderungen, Datenschutz und neue gesetzliche Vorgaben (z. B. NIS2), entschied sich die Geschäftsleitung: „Wir brauchen ein ISMS – aber bitte ohne Bürokratie-Monster.“

Phase 1: Einstieg mit gesundem Menschenverstand

Der erste Schritt war ein interner Workshop mit Geschäftsführung, IT und Schlüsselpersonen aus Fachabteilungen. Es ging nicht um ISO-Kapitel, sondern um Verständnis und Überblick:

• Welche Informationen und Systeme sind kritisch?

• Wo bestehen Sicherheitsrisiken – technisch, organisatorisch, menschlich?

• Welche Schutzmaßnahmen existieren bereits? Was fehlt?

• Wer ist wofür verantwortlich, wenn etwas passiert?

Das Ergebnis war eine einfache, aber fundierte Risikolandkarte, die sichtbar machte, wo Handlungsbedarf bestand – und wo schon gute Ansätze vorhanden waren.

Phase 2: Struktur schaffen – ohne Überforderung

Aus der Risikobewertung entstanden konkrete Maßnahmen. Die meisten davon waren pragmatisch und sofort umsetzbar:

• Überarbeitung der Zugriffsrechte, Einführung befristeter Berechtigungen für Externe

• Erstellung einfacher Richtlinien für Cloud-Nutzung, Homeoffice und private Geräte

• Benennung klarer Verantwortlicher für Sicherheitsthemen im IT- und Fachbereich

• Schulung der Geschäftsleitung zur Rolle der Informationssicherheit im Unternehmen

• Dokumentation bestehender Prozesse und IT-Dienstleister-Schnittstellen

Wichtig: Die Maßnahmen wurden nicht von außen diktiert, sondern gemeinsam erarbeitet – so entstand Akzeptanz und echte Relevanz für den Alltag.

Phase 3: Dokumentation mit Mehrwert

Die Dokumentation war von Anfang an praxisorientiert:

• Rollen, Risiken, Maßnahmen und Kontrollen wurden digital abgelegt

• Checklisten für Onboarding, Backup-Tests und Sicherheitsroutinen wurden eingeführt

• Änderungen und neue Risiken werden laufend ergänzt – ohne unnötigen Formalismus

So wurde aus der Dokumentation ein internes Steuerungsinstrument, kein Papiertiger.

Phase 4: Verstetigung und Weiterentwicklung

Das ISMS wurde so aufgebaut, dass es schlank und lebendig bleibt:

• Ein jährlicher Sicherheits-Review mit Geschäftsführung, IT und externem Partner

• Zwei kurze Awareness-Schulungen pro Jahr für alle Mitarbeitenden

• Technische Basisprüfung durch den IT-Dienstleister (Firewall, Patches, Backup)

Das System bleibt überschaubar, erfüllt aber zentrale Anforderungen – und lässt sich bei Bedarf ausbauen.

Ergebnis: Ein ISMS, das wirklich funktioniert

Das Unternehmen hat heute ein funktionierendes ISMS – nicht zertifiziert, aber wirksam. Die Basis für künftige Anforderungen wie ISO 27001, TISAX oder NIS2 ist gelegt.

Der Mehrwert aus Sicht der Geschäftsleitung:

• Klare Zuständigkeiten, weniger Risiko, mehr Übersicht

• Entlastung der IT durch definierte Abläufe

• Gesteigertes Vertrauen bei Kunden und Partnern

• Keine Angst mehr vor Sicherheitsfragen oder Audits