Was ist ein Information Security Management System - ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) beschreibt den strukturierten Rahmen zur Steuerung, Überwachung und kontinuierlichen Verbesserung der Informationssicherheit in Unternehmen. Grundlage vieler ISMS-Initiativen ist die internationale Norm ISO/IEC 27001, welche Anforderungen an Prozesse, Risiken und Sicherheitskontrollen definiert, siehe Artikel Anforderungen an eine ISO 27001 Zertifizierung.  Ziel eines ISMS ist es, Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer Informationen dauerhaft sicherzustellen. Dabei werden technische, organisatorische und regulatorische Anforderungen miteinander verbunden. Besonders in regulierten Branchen bildet ein ISMS die Grundlage für Auditfähigkeit, Governance und belastbare Sicherheitsprozesse.

Die Bedeutung eines ISMS steigt durch regulatorische Vorgaben wie NIS2, DORA oder ISO/IEC 27001 kontinuierlich an. Unternehmen müssen heute nachweisen können, wie Sicherheitsrisiken identifiziert, bewertet und kontrolliert werden. Ein dokumentiertes ISMS schafft dafür nachvollziehbare Prozesse und unterstützt die Einhaltung gesetzlicher Anforderungen. Gleichzeitig verbessert ein strukturiertes Sicherheitsmanagement die Transparenz gegenüber Kunden, Partnern und Auditoren. Besonders bei kritischen Infrastrukturen wird ein belastbares ISMS zunehmend zur geschäftlichen Voraussetzung, zertifiziert nach 27001 durch einen namhaften Zertifizierer, wir z.B. IPG mit dem TÜV Austria.

Die Einführung eines ISMS beginnt typischerweise mit der Definition des Geltungsbereichs (Scope) sowie einer strukturierten Bewertung bestehender Sicherheitsrisiken und Prozesse (Risk Assessment). Anschliessend werden Richtlinien, Rollenmodelle und technische Kontrollen definiert und organisatorisch verankert (Controls). Erfolgreiche ISMS-Projekte verbinden dabei Governance, IT-Sicherheit, Compliance und operative Prozesse miteinander. Besonders wichtig sind regelmässige Audits, Managementbewertungen und kontinuierliche Verbesserungsmassnahmen (KVP). Unternehmen schaffen dadurch eine langfristig belastbare Sicherheits- und Compliance-Architektur.

Ein funktionierendes Information Security Management System (ISMS) ist weit mehr als ein technisches Kontrollsystem – es ist ein Führungsinstrument. Denn Informationssicherheit betrifft längst nicht nur die IT, sondern durchdringt sämtliche Geschäftsprozesse, Rollenmodelle, Compliance-Vorgaben und das Tagesgeschäft. Wer Verantwortung trägt, muss auch Sicherheit mitdenken – strategisch, transparent und messbar. 

Ein zentraler Hebel dabei ist ein durchdachtes Identity & Access Management (IAM). Es muss dabei nicht einmal vollständig technisch umgesetzt sein, sondern kann durch organisatorische Massnahmen ergänzt werden. Richtig eingesetzt, baut IAM auf einem sauber verankerten ISMS mit klaren Zuständigkeiten, automatisierten Prozessen und sichtbarer Verantwortung auf. 

Führungskräfte sehen sich heute mit einer Vielzahl an sicherheitsrelevanten Anforderungen konfrontiert: Dazu gehören Zugriffskontrollen, Datenklassifizierung, Rollenmodelle, Onboarding-Prozesse von Menschen, Geräte und Applikationen sowie die generelle Auditfähigkeit – und all das in einem zunehmend hybriden, dynamischen Umfeld. Manuell ist das kaum noch zu bewältigen. 

Ein IAM-System automatisiert wiederkehrende Aufgaben rund um Benutzer und Berechtigungen, reduziert die Fehlerquote und entlastet damit die zuständigen Fachbereiche. Gleichzeitig stellt es sicher, dass Regeln, Prozesse und Sicherheitsstandards verlässlich eingehalten werden, ohne dabei bürokratisch zu wirken. IAM wird auch oft als Schiedsrichter bezeichnet, möglichst wenig spürbar aber im Hintergrund stets präsent! Genau hier entfaltet IAM seinen Mehrwert für ein ISMS: Es ermöglicht eine effiziente Umsetzung von Sicherheit. 

Ein zentrales Prinzip erfolgreicher ISMS-Umsetzungen ist der sogenannte Demingkreis mit dem PDCA-Modell: Plan – Do – Check – Act. Die Prozesse sollen sich kontinuierlich verbessern, indem stetig geplant, ausgeführt, bewertet und angepasst wird. Transparenz ist der Schlüssel dazu, denn präzise Anpassungen setzen eine lückenlose und umfassende Bewertung voraus. Die Bewertung wiederum basiert auf den Outputs der Ausführung. Genau hier kann IAM bei der Meldung von Verstössen unterstützen. 

Über Dashboards, automatisierte Reports und Ereignisprotokolle entsteht dank IAM ein durchgehender Überblick: Welche Benutzer gehören zu welcher Identität? Sind es administrative Benutzer oder Benutzer für das tägliche Geschäft? Welche Berechtigungen sind erteilt? Auf welche Daten kann zugegriffen werden? Gibt es verwaiste Benutzer auf den Systemen? Sind die erteilten Berechtigungen sauber dokumentiert? Auf welchem Weg wurde die Erteilung durchgeführt? Wer hat die Erteilung genehmigt? Hat ein Mitarbeiter mal seine Funktion oder Abteilung gewechselt? Werden Funktionstrennungsregeln verletzt? Und so weiter und so fort ... 

Ein häufiges Problem in Unternehmen: Informationssicherheit bleibt ein isoliertes IT-Thema. Dabei wirkt sie am stärksten, wenn sie Teil der Geschäftsprozesse ist. IAM kann hier als Hebel eingesetzt werden, da IAM das Thema der Zugriffe und somit der Datenhoheit aus der IT in die Fachabteilungen trägt.  

Durch die Integration mit HR-Systemen, Workflows, ERP, etc. schlägt IAM eine Brücke zwischen den operativen Prozessen und der Informationssicherheit. IAM zeigt den Fachabteilungen schonungslos auf, wer alles auf welche Daten Zugriff hat und damit Teil der Kernprozesse ist. Dadurch gibt die IT die Hoheit über die Erteilung von Berechtigungen an einen Datenowner im Business ab. Auch die regelmässige Rezertifizierung trägt dazu bei, dass sich die Verantwortlichen in den Kernprozessen regelmässig mit Informationssicherheit auseinandersetzen müssen. Ein eingespielter Prozess verringert Reibungsverluste und die Risiken, was zu mehr Agilität im Unternehmen führt. 

Die Informationssicherheitspolitik ist die zentrale Leitlinie eines Unternehmens. Sie formuliert dessen grundsätzliche Haltung, Ziele und Verpflichtungen im Umgang mit Informationssicherheit und bildet den strategischen Rahmen für alle nachgelagerten Richtlinien, Prozesse und Massnahmen im ISMS. Ihre Verabschiedung und Umsetzung erfolgt durch das Top-Management. 

Wir empfehlen unseren Kunden stets, mit einer klar definierten IAM-Richtlinie, die aus der Informationssicherheitspolitik abgeleitet wurde, zu starten. Diese IAM-Richtlinie legt fest, wie digitale Identitäten verwaltet, Zugriffsrechte vergeben und überwacht werden. Sie enthält auch Informationen zu Verantwortlichkeiten, Genehmigungsprozessen und Kontrollmechanismen. Alternativ oder ergänzend empfiehlt sich eine PAM-Richtlinie (Privileged Access Management) für den Umgang mit besonders sensiblen oder administrativen Zugängen. Zudem ergänzen wir nun auch zunehmend den sicheren Einsatz von KI-basierten Systemen – beispielsweise durch Regeln für maschinelle Identitäten, Trainingsdatenkontrolle oder automatisierte Entscheidungsprozesse. 

Klare Zuständigkeiten sind nicht nur eine Frage der Compliance, sondern auch ein entscheidender Effizienzfaktor. In einem modernen IAM-System besitzt jedes Objekt – sei es eine digitale Identität, ein Account, eine Applikation, eine Rolle oder eine einzelne Berechtigung – einen eindeutig zugewiesenen Owner. In der Regel handelt es sich dabei um eine benannte natürliche Person mit der entsprechenden Verantwortung. 

Gerade bei Personalwechseln schafft IAM hier Transparenz und Verlässlichkeit: Zuständigkeiten können strukturiert übergeben, automatisiert dokumentiert und bei Bedarf revisionssicher geprüft werden – etwa beim Wechsel von Projektleitungen oder in der Linienorganisation. Das reduziert Risiken durch unklare Verantwortlichkeiten und beschleunigt zugleich interne Abläufe. 

Ein modernes ISMS braucht Leadership – aber nicht nur auf dem Papier, sondern auch im Alltag. IAM ist eines der Bindeglieder, das Sicherheit sichtbar, messbar und steuerbar macht. Wer als Führungskraft auf Transparenz, Automatisierung und klare Zuständigkeiten setzt, verankert Informationssicherheit als gelebte Praxis im Unternehmen. So wird aus einem abstrakten Sicherheitsansatz ein konkreter Wettbewerbsvorteil. 

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen. Der Autor blickt auf rund 35 Jahren Berufserfahrung zurück und hat in dieser Zeit unzählige Audits zu verschiedenen ISO-Standards in unzähligen Unternehmen durchgeführt.