ISMS modular aufbauen – statt alles auf einmal

Einführung: Warum ein modulares ISMS sinnvoll ist

Ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001 ist für viele Unternehmen Pflicht – oder zumindest strategisch sinnvoll. Doch der Aufbau eines ISMS wird oft als Mammutaufgabe wahrgenommen. Der Gedanke, auf einen Schlag ein umfassendes System zur Informationssicherheit zu etablieren, überfordert viele Organisationen – insbesondere kleine und mittlere Unternehmen (KMU), internationale Standorte oder Unternehmen ohne bestehende IT-Governance-Struktur.

Die Lösung: ein modularer, schrittweiser Aufbau, der sich an Risiko, Reifegrad und Ressourcen orientiert. Dieser Beitrag zeigt praxisnah, wie ein ISMS modular aufgebaut werden kann – und warum das in vielen Fällen die effizienteste und nachhaltigste Herangehensweise ist.

Kapitel 1: Was bedeutet ein modulares ISMS?

Ein modulares ISMS bedeutet, dass das System nicht als starres Gesamtprojekt eingeführt wird, sondern in funktionalen, priorisierten Teilabschnitten. Jedes Modul stellt einen abgeschlossenen Funktionsbereich dar – z. B. Risikomanagement, Schulungen, Notfallplanung oder Auditwesen.

Typische Module:

• Grundlagendokumente (Informationssicherheitsrichtlinie, Leitlinie)
• Schutzbedarfsfeststellung & Risikoanalyse
• Maßnahmenplanung und Umsetzung
• Awareness- und Schulungsmaßnahmen
• IT-spezifische Anforderungen (Zugriffsrechte, Netzwerksicherheit)
• Lieferkettenmanagement
• Business Continuity & Incident Response
• Interne Audits und Managementbewertungen

Diese Module lassen sich nacheinander einführen, regelmäßig überprüfen und weiterentwickeln.

Kapitel 2: Vorteile eines modularen Ansatzes

1. Risikoorientierung

Organisationen können dort beginnen, wo der Schutzbedarf am höchsten ist – z. B. bei personenbezogenen Daten, kritischer Infrastruktur oder Schlüsselprozessen.

2. Zeit- und Ressourcenschonung

Ein modulares ISMS lässt sich leichter planen, budgetieren und in der Praxis verankern. So bleibt das Projekt überblickbar.

3. Frühzeitige Wirksamkeit

Frühe Module (z. B. Risikoanalyse, Zugriffssteuerung, Awareness) zeigen schnell Effekte und schaffen intern Akzeptanz.

4. Einbindung bestehender Systeme

Bestehende Prozesse aus Qualitätsmanagement, Datenschutz oder Compliance lassen sich gezielt integrieren.

5. Flexibilität für internationale Standorte

Standorte können auf Basis gemeinsamer Rahmenbedingungen unterschiedliche Module in eigenem Tempo umsetzen.

Kapitel 3: Normative Grundlage – ISO 27001:2022

Die aktuelle Version der ISO 27001 (Stand 2022) fordert keine vollständige Abdeckung aller Maßnahmen ab Tag 1. Vielmehr verlangt sie:

• ein angemessenes, risikoorientiertes System
• dokumentierte Entscheidungen über Maßnahmen und Umfang
• kontinuierliche Verbesserung

Der modulare Aufbau ist somit kompatibel mit den Anforderungen der Norm – sofern eine nachvollziehbare Strategie dokumentiert und verfolgt wird.

Kapitel 4: Vorgehen in der Praxis

Phase 1: Ausgangsanalyse

• Bestehende Prozesse identifizieren (z. B. ISO 9001, Datenschutz, BCM)
• Schutzbedarf definieren (z. B. personenbezogene Daten, Produktionsdaten)
• Reifegrad einschätzen (z. B. über ISMS-Quick-Check)

Phase 2: ISMS-Grundlagenmodul

• Informationssicherheitsrichtlinie erstellen
• Rollen und Verantwortlichkeiten klären
• Erste Awareness-Schulung durchführen

Phase 3: Risikomanagementmodul

• Schutzbedarfsfeststellung
• Risikoanalyse und Risikobehandlung
• Maßnahmenplan mit Fristen und Verantwortlichkeiten

Phase 4: Technische und organisatorische Maßnahmen

• IT-spezifische Module (Netzwerksicherheit, Zugriffskontrollen, Logging)
• Organisatorische Maßnahmen (z. B. Zutrittskontrolle, Clear Desk Policy)

Phase 5: Überprüfung und Auditmodul

• Interne Audits vorbereiten und durchführen
• Management-Review etablieren
• Korrekturmaßnahmen und Lessons Learned erfassen

Kapitel 5: Beispiele aus der Praxis

Beispiel A: Mittelständisches Unternehmen mit 3 Standorten

Ein deutscher Maschinenbauer startete mit einem Schutzbedarf in der Entwicklungsabteilung. Nach Risikobewertung wurden Schritt für Schritt weitere Module ergänzt: Backup-Konzept, Zugriffsmanagement, Lieferantenkontrollen. Das ISMS wurde über 18 Monate modular ausgebaut und erfolgreich zertifiziert.

Beispiel B: IT-Dienstleister mit Cloudbetrieb

Ein Unternehmen im SaaS-Bereich baute das ISMS auf Basis existierender ISO 9001-Prozesse auf. Module wie Change-Management, Incident Handling und IT-Betrieb wurden ergänzt. Der modulare Aufbau ermöglichte die gezielte Nutzung von Synergien.

Beispiel C: Tochtergesellschaft eines Konzerns

Ein internationaler Standort implementierte auf Basis zentraler Konzernrichtlinien lokale ISMS-Module: IT-Infrastruktur, Awareness-Trainings und Notfallmanagement. So entstand ein ortsangepasstes, aber normkonformes System.

Kapitel 6: Typische Stolpersteine vermeiden

• Überambitionierter Scope: Lieber fokussiert starten als ein theoretisch perfektes System aufzubauen
• Fehlende Governance: ISMS braucht klare Steuerung und Verantwortliche – auch in modularen Projekten
• Unstrukturierte Dokumentation: Schon bei der Einführung darauf achten, dass jedes Modul sauber dokumentiert wird
• Keine Integration: ISMS-Module müssen aufeinander aufbauen und sich ergänzen

Kapitel 7: Checkliste für ein modulares ISMS

1. Schutzbedarf und Ziele definieren
2. Vorhandene Prozesse analysieren
3. Priorisierte Modulreihenfolge festlegen
4. Zeitplan mit realistischen Etappen erstellen
5. Verantwortlichkeiten zuweisen
6. Dokumentationsstruktur festlegen
7. Frühzeitige Schulung und Kommunikation einplanen
8. Module iterativ implementieren und prüfen

Fazit: Sicherheit braucht Struktur – kein Overengineering

Ein ISMS ist ein lernendes System. Wer es modular aufbaut, schafft nicht nur Akzeptanz und Effizienz – sondern auch langfristige Wirksamkeit. ISO 27001 lässt diesen Weg zu, viele Auditoren begrüßen ihn sogar.

Adinger unterstützt Unternehmen beim schrittweisen Aufbau eines ISMS – normkonform, pragmatisch und branchenspezifisch angepasst.