Im ersten Beitrag unserer Blogserie ging es um die Frage, ob ein ISMS überhaupt mit einem Tool beginnt.
Die Rückmeldungen darauf waren wenig überraschend. Viele kennen die Situation, und viele sind genau so gestartet. Oft mit dem Gefühl, schnell voranzukommen, und erst später wird klar, dass die Richtung nicht ganz passt. In der Praxis sehen wir dabei immer wieder die gleichen Muster. Nicht, weil Organisationen grundsätzlich etwas falsch machen, sondern weil der Einstieg oft unterschätzt wird.
Hier sind die fünf häufigsten Fehlentscheide, die wir beim Aufbau eines ISMS beobachten:
1. Mit dem Tool beginnen
Der Klassiker. Es wird ein Tool ausgewählt, implementiert und danach versucht, die Struktur darauf aufzubauen.
Das Problem: Das Tool gibt eine Logik vor, bevor klar ist, wie das eigene ISMS überhaupt funktionieren soll. Die Folge ist oft ein System, das zwar sauber dokumentiert ist, aber im Alltag kaum genutzt wird und damit genau den Zweck verfehlt, für den es aufgebaut wurde.
2. ISO 27001 als Ziel statt als Rahmen verstehen
Viele Organisationen starten mit dem Ziel:
«Wir wollen ISO 27001 zertifiziert werden.»
Das ist legitim, aber gefährlich, wenn es zum alleinigen Treiber wird. Ein ISMS, das nur auf das Audit ausgerichtet ist, funktioniert oft genau bis zum Audit und verliert danach an Dynamik. Der eigentliche Mehrwert, nämlich Sicherheit im Alltag, bleibt dabei häufig auf der Strecke.
3. Verantwortung nicht klar klären
Das Thema Informationssicherheit wird häufig «irgendwo» angesiedelt:
- IT
- Compliance
- einzelne engagierte Personen
Formal gibt es vielleicht eine Rolle. Operativ bleibt vieles unklar.
Und genau dort beginnt das Problem: Entscheidungen werden verzögert, Themen bleiben liegen oder werden mehrfach bearbeitet. Ein ISMS ohne klare Verantwortung funktioniert nur sehr begrenzt.
4. Zu komplex starten
Gerade grössere Organisationen neigen dazu, von Anfang an «alles richtig» machen zu wollen. Frameworks werden vollständig abgebildet, Prozesse detailliert beschrieben, Dokumentationen aufgebaut. Das Resultat ist oft ein System, das zwar vollständig ist, aber kaum jemand wirklich versteht oder nutzt.
5. Den Betrieb unterschätzen
Der Aufbau eines ISMS wird häufig als Projekt verstanden. Was danach kommt, wird unterschätzt. Dabei liegt die eigentliche Herausforderung genau dort:
- regelmässige Reviews
- Pflege von Risiken
- Anpassung an Veränderungen
Ein ISMS, das nicht aktiv betrieben wird, verliert schnell an Wirkung, unabhängig davon, wie gut es initial aufgebaut wurde.
Was bedeutet das konkret?
Die meisten dieser Punkte haben einen gemeinsamen Nenner:
Der Fokus liegt zu früh auf Struktur, Tool oder Zertifizierung und zu wenig auf der Frage, wie das ISMS im Alltag funktionieren soll. Genau dort entscheidet sich: Wirkt das ISMS oder existiert es nur?
Und jetzt?
Wenn Sie sich in einem oder mehreren dieser Punkte wiederfinden, ist das kein Ausnahmefall – im Gegenteil.
Die entscheidende Frage ist nicht, ob diese Themen auftreten, sondern wie früh sie erkannt und korrigiert werden.
Wenn Sie das für Ihre Organisation einordnen möchten, lohnt sich ein Austausch. Oft reicht schon ein kurzer Blick von aussen, um die richtigen Stellschrauben zu erkennen.
Sie haben Fragen zum Thema? Dann sprechen Sie gerne direkt mit Jens Albrecht.
Sie haben Teil eins der Serie verpasst? Hier geht es zum Blogbeitrag «Brauche ich überhaupt ein ISMS-Tool?»».