Informationssicherheits-Managementsysteme

Steigende Cyberrisiken lassen Unternehmen investieren

08.09.2017
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Die meisten Unternehmen sahen bislang keinen Grund, ein Informationssicherheits-Managementsystem (ISMS) einzuführen. Seigende Cyberrisiken und vor allem neue rechtliche Verpflichtungen haben die Ausgangssituation verändert.

Derzeit verfügen nur zehn Prozent der Unternehmen über ein zertifizierbares ISMS. Weitere 15 Prozent nutzen ein partielles beziehungsweise nicht nach internationalen Normen wie ISO 27001 zertifizierbares ISMS. Noch mehr befinden sich gegenwärtig in der Planungsphase oder bereits in der Umsetzung. Das berichtet die Carmao GmbH, ein Expertenpool von 60 zertifizierten Consultants, die sich mit Informationssicherheit, IT-Risikomanagement, IT-Compliance und Datenschutz beschäftigen.

Was veranlasst Unternehmen ein Informationssicherheits-Managementsystem (ISMS) einzuführen?
Was veranlasst Unternehmen ein Informationssicherheits-Managementsystem (ISMS) einzuführen?
Foto: Carmao

"Seit dem vergangenen Jahr ist ein deutlicher Ruck durch den Markt gegangen", beobachtet Geschäftsführer Ulrich Heun. Viele Unternehmen seien durch das IT-Sicherheitsgesetz, die neue EU-Datenschutz-Grundverordnung und weitere gesetzliche Anforderungen unter Handlungsdruck geraten. "Dabei spielt ein Managementsystem für Informationssicherheit fast immer eine wesentliche Rolle."

Carmao hat über 200 IT-Sicherheitsverantwortliche aus Unternehmen mit einem Jahresumsatz von über 50 Millionen Euro befragt. Eines der Ergebnisse ist, dass rechtliche Notwendigkeiten das entscheidende Motiv für den Aufbau eines ISMS sind. 56 Prozent nennen diesen Aspekt als hauptsächlichen Treiber, 51 Prozent sagen, die steigenden Sicherheitsrisiken seien der wichtigste Motivator. Viele Unternehmen berichten zudem, dass ihre Auftraggeber und Geschäftspartner heute ein ISMS einfordern (24 Prozent).

Was veranlasst Unternehmen, auf ein Informationssicherheits-Managementsystem (ISMS) zu verzichten?
Was veranlasst Unternehmen, auf ein Informationssicherheits-Managementsystem (ISMS) zu verzichten?
Foto: Carmao

Die Studie gibt auch Aufschluss darüber, warum sich Unternehmen bislang mit einem ISMS zurückgehalten haben. Unter anderem zeigt sich, dass die Chefetagen zu den Bremsern gehören. Mehr als jeder zweite Befragte gibt in der Erhebung an, dass es für die Implementierung eines ISMS bisher an der Unterstützung durch die Geschäftsleitung gefehlt habe. "Dass Topmanager dem Thema gegenüber heute aufgeschlossener sind, dürfte den neuen gesetzlichen Verpflichtungen, aber auch einem veränderten Klima in den Unternehmen geschuldet sein", meint Heun.