Warum ISMS- (und andere Managementsystem)-Projekte scheitern
von Thomas Neeff
So ungefähr wie auf dem Foto stand kürzlich der Informationssicherheits-Beauftragte eines Kunden vor mir und klagte mir sein Leid. Man sei zu Jahresanfang euphorisch mit dem Ziel gestartet, bis Ende des dritten Quartals ein ISMS nach ISO 27001 einzuführen und zertifizieren zu lassen. Leider musste man das für gescheitert erklären; die Umsetzung sei meilenweit hinter dem Plan zurück, und es gehe einfach nichts vorwärts. Dabei, so der Kollege, habe man doch alles getan, damit das Vorhaben ein Erfolg wird: extra eine Software beschafft, er selbst habe eine entsprechende Schulung erhalten, und die Zusicherung der Geschäftsleitung, er dürfe für das Vorhaben „seine ganze Zeit und Energie“ verwenden – die gab es auch. Trotzdem ist das Vorhaben „in die Hose gegangen“.
Ich habe das zum Anlass genommen, mich einmal etwas ausführlicher mit der Frage zu beschäftigen, warum eigentlich ISMS- (und andere Managementsystem)-Projekte scheitern. Die folgenden Ausführungen sind auf alle Arten von Managementsystemen (Qualität, Umwelt, Arbeitsschutz, und so weiter) anwendbar.
Was bedeutet eigentlich der Betrieb eines ISMS?
Nach meiner und unserer Erfahrung beginnt die Misere meist schon damit, dass Organisationen und vor allen Dingen Entscheider eine völlig falsche Vorstellung davon haben, was eigentlich ein Managementsystem-Vorhaben ist. Es ist nämlich gerade kein Projekt (Projekt = etwas, das einen definierten Anfang und ein definiertes Ende hat) – sondern ein Programm, das dauerthaft betrieben werden muss. Vergleichbar mit dem Sport: es ist eher ein Marathon denn ein 100m-Sprint. Es erfordert Commitment, Energie und das Verständnis des Prinzips der kontinuierlichen Verbesserung. Nichts ist statisch, sondern unterliegt der permanenten Frage: wie können wir die Dinge besser machen?
Ein Programm benötigt (wie ein Projekt auch) Ressourcen, d.h. Geld und Personalressourcen, und die benötigte Zeit muss ins Tagesgeschäft eingeplant werden. „Mal eben nebenbei“ ein ISMS oder ein anderes Managementsystem – neben dem Tagesgeschäft – aufzubauen, das klappt nicht.
Ein häufig gehörtes „Killer-Argument“ ist dann oft: wir sind so mit Kundenprojekten beschäftigt, dass wir uns um Informationssicherheit und ein ISMS nicht auch noch kümmern können. Eine völlig falsche Sichtweise: das ISMS und seine Abläufe sollten integraler Bestandteil der Kundenprojekte sein!
ISMS-Abläufe als Teil des Tagesgeschäfts
Wo ich gerade vom Tagesgeschäft sprach: die ISMS-relevanten Abläufe müssen ins tägliche Geschäft verankert werden. Mit der Message „das müssen wir machen, weil die ISO-Norm das fordert“ erzeugt man nur Ablehnung – aber keine Unterstützung. Erst wenn jeder versteht, dass die Abläufe integraler Bestandteil des Tagesgeschäfts sind – und aus Eigeninteresse der Organisation durchgeführt werden – erst dann werden die Abläufe auch so funktionieren, dass die Mitarbeitenden diese akzeptieren.
Und wie macht man das, die Verankerung ins Tagesgeschäft? Am besten mit einer geeigneten Toolunterstützung. Die guten alten Word- und Excel-Vorlagen zur Dokumentation des ISMS und der Steuerung des Tagesgeschäfts sind nicht nur out – sondern sie kosten einfach viel zu viel Zeit, werden von niemandem akzeptiert – und deswegen auch nicht verwendet. Folge: das ISMS geht zugrunde, bevor es richtig eingeführt war.
A fool with a tool …
Es braucht also ein geeignetes Werkzeug. Aber Achtung: der Kauf des Werkzeugs alleine macht noch kein lebendes und atmendes ISMS. Wie beim Fitness-Studio: nur weil ich einen Vertrag abgeschlossen habe bin ich noch nicht automatisch fit geworden. Ich muss schon selbst regelmäßig ins Studio gehen und trainieren, damit sich der gewünschte Effekt einstellt.
Übertragen auf das ISMS-Tool: nur durch regelmäßige Nutzung, aktive Steuerung und Mitarbeit der Stakeholder einer Organisation kommt das „ans Leben“ – und es entsteht über die Zeit eine Dokumentationsbasis, anhand derer die Organisation leicht nachweisen kann, dass sie die ISMS-Abläufe angemessen in ihr operatives Geschäft integriert hat. Dann steht auch einer erfolgreichen Zertifizierung nichts im Wege – weil die Effektivität der Abläufe leicht nachweisbar ist.
Was fehlt noch zum Gelingen? Richtig, das viel beschworene Bewusstsein und die Verantwortung für die Abläufe.
Verantwortlichkeit als Schlüssel zum Erfolg
Wer ist eigentlich für Informationssicherheit verantwortlich? In vielen Organisationen wird bei dieser Frage reflexhaft mit dem Finger auf den Informationssicherheitsbeauftragten gezeigt. Das sind dann meist die Firmen, die meiner Erfahrung nach eben nicht erfolgreich ein ISMS aufbauen und betreiben können. Denn: Informationssicherheit ist eine Gemeinschaftsaufgabe. Jeder Mitarbeitende hat seinen/ihren Teil – im Rahmen des jeweiligen Rollenprofils – für die Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus beizutragen. Der Informationssicherheitsbeauftragte hält die Fäden in der Hand – er/sie ist aber nicht alleinig verantwortlich für die Informationssicherheit der Organisation.
Analog beim Qualitätsmanagement: Der Qualitätsmanagement-Beauftragte ist ja auch nicht der alleinig Verantwortliche für die Qualität einer Organisation. Sondern: jeder Mitarbeitende trägt dazu etwas bei.
Kann man den Aufbau eines ISMS an Externe vergeben?
Ganz klare Antwort aus meiner Sicht: nein. Der Aufbau eines ISMS ist kein Gewerk wie ein Software-Entwicklungsprojekt, das man an einen externen Dienstleister vergeben und diesem sagen kann, komm wieder, wenn es fertig ist. Im Gegenteil: nach meiner Erfahrung ist das klassisches Change Management: man optimiert die Verhaltensweise einer Organisation, und das ständig. Dabei muss man alle Stakeholder der Organisation mitnehmen. Wie soll das eine externe Partei sinnvoll machen?
Ich weiß natürlich, dass ISMS-Projekte nur zu oft so aufgesetzt sind. Da gibt es Firmen, die versprechen ein „zertifizierungsreifes ISMS innerhalb von zwei Monaten“, natürlich gegen entsprechenden Obulus. Meist geht das mit einer – je nach Organisationsgröße – größeren Anzahl an Beratertagen einher. Oft klappt auch die Zertifizierung – und das begehrte Zertifikat wird ausgestellt. Und dann? Der Dienstleister ist entweder irgendwann weg und der Kunde fragt sich, wo die Nachhaltigkeit seines Investments geblieben ist. Oder aber es entsteht ein Abhängigkeitsverhältnis, in dem der Dienstleister – wiederum gegen entsprechenden Obulus – sich um den Betrieb des ISMS kümmert. Das mag bequem für den Kunden sein, ist aber null nachhaltig und erzeugt für dessen Organisation keinerlei Mehrwert (außer vielleicht, dass man durch Einwurf von viel Geld ein Zertifikat erhält, das faktisch nichts aussagt – denn in solchen Konstellationen handelt es sich dann faktisch um das ISMS des Dienstleisters, nicht um das des Kunden).
Wie es besser geht? Durch die Anerkenntnis der Verantwortung und das Staffing wesentlicher ISMS-relevanter Rollen und Funktionen mit eigenen Ressourcen. Und ja – diese dürfen sich von externen Beratern punktuell helfen lassen – und zwar dabei, ihrer Verantwortung nachzukommen. Natürlich darf man die eine oder andere Rolle auch mal (temporär) mit Externen besetzen. Als nicht opportun erachte ich es jedoch, den gesamten ISMS-Betrieb auszulagern.
Fazit
Die oben aufgeführten Themen sind nach meiner Erfahrung der Schlüssel zum erfolgreichen Aufbau und Betrieb eines ISMS – wie auch jedes anderen Management-Systems. Ignoriert man diese, kommt wenn überhaupt nur ein „Papiertiger“ heraus – etwas, das auf dem Papier funktioniert, aber keine operative Wirkung und keinen Mehrwert entfaltet. Und dazu ist dann nach meiner Überzeugung das investierte Geld einfach zu schade.
Über den Autor: Thomas Neeff
Thomas ist Experte für IT Service Management, IT Security Management und Datenschutz und als Trainer für uns tätig. Er begleitet Unternehmen, Teams und Führungskräfte bei der Implementierung von ITIL®, ISO 27001 sowie ISO 20000. Zudem besitzt Thomas Expertise, wenn es um technische und organisatorische Maßnahmen im Datenschutz, DSGVO-Implementierung und Risikomanagement geht.
25.09.2024