- Ein Reifegradmodell bewertet nicht ob du eine Maßnahme hast, sondern wie gut sie funktioniert: von ad hoc über definiert bis optimiert.
- Das Modell umfasst fünf Stufen: Initial (1), Wiederholbar (2), Definiert (3), Gesteuert (4) und Optimiert (5). Die meisten mittelständischen Unternehmen starten bei Stufe 1-2.
- Die Bewertung erfolgt über 12 ISMS-Domänen, von Risikomanagement über Incident Response bis Asset Management. Jede Domäne wird einzeln bewertet.
- Der Reifegrad ist kein Schulnoten-System. Stufe 3 (Definiert) ist für die meisten mittelständischen Unternehmen ein realistisches und ausreichendes Ziel.
- Regelmäßige Reifegradmessungen (jährlich) zeigen den Fortschritt deines ISMS und liefern konkrete Verbesserungsziele für jede Domäne.
Warum der Reifegrad zählt
ISO 27001 ist binär: Du bist zertifiziert oder du bist es nicht. Du hast eine Richtlinie oder du hast keine. Du hast ein Risikoregister oder du hast keins. Diese Ja/Nein-Logik hat ihre Berechtigung für die Zertifizierung. Aber sie beantwortet nicht die Frage, die dich im Alltag wirklich beschäftigt: Wie gut funktioniert mein ISMS tatsächlich?
Zwei Unternehmen können beide ISO-27001-zertifiziert sein und trotzdem meilenweit auseinanderliegen. Das eine hat einen Incident-Response-Prozess, der auf Papier definiert ist, aber noch nie getestet wurde. Das andere hat einen Prozess, der vierteljährlich geübt, nach jedem Vorfall verbessert und mit automatisiertem Alerting unterstützt wird. Beide erfüllen die ISO-27001-Anforderung an Incident Management. Aber ihr tatsächliches Sicherheitsniveau ist fundamental verschieden.
Ein Reifegradmodell schließt diese Lücke. Es bewertet nicht nur ob du etwas hast, sondern wie gut es funktioniert, wie konsistent es angewendet wird und ob es sich kontinuierlich verbessert.
Das CMMI-basierte Reifegradmodell für ISMS
Das Capability Maturity Model Integration (CMMI) wurde ursprünglich für die Bewertung von Software-Entwicklungsprozessen entwickelt. Seine Grundstruktur eignet sich hervorragend für die Bewertung von ISMS-Prozessen, weil sie universell genug ist, um auf verschiedene Domänen angewandt zu werden, und gleichzeitig präzise genug, um konkrete Verbesserungsziele abzuleiten.
Die fünf Reifegradstufen
Stufe 1: Initial (Ad hoc)
Beschreibung: Prozesse existieren, aber sie sind nicht dokumentiert, nicht standardisiert und hängen von einzelnen Personen ab. Wenn der Mitarbeiter, der „das immer macht", krank ist, funktioniert es nicht.
Typische Merkmale:
- Sicherheitsmaßnahmen werden reaktiv ergriffen, wenn ein Problem auftritt
- Keine oder rudimentäre Dokumentation
- Erfolg hängt von individueller Kompetenz und Initiative ab
- Keine einheitlichen Prozesse über Abteilungen hinweg
- Wissen steckt in Köpfen, nicht in Dokumenten
Beispiel Risikomanagement: Risiken werden informell besprochen, wenn jemand ein Problem bemerkt. Es gibt kein Risikoregister. Risikobewertungen finden nicht statt. Maßnahmen werden ad hoc entschieden.
Beispiel Incident Response: Wenn ein Vorfall passiert, reagieren die Personen, die gerade verfügbar sind. Es gibt keinen definierten Prozess, keine Eskalationswege und keine Dokumentation.
Stufe 2: Wiederholbar (Managed)
Beschreibung: Grundlegende Prozesse sind definiert und werden regelmäßig durchgeführt. Es gibt Verantwortlichkeiten und eine Grunddokumentation. Die Prozesse sind aber nicht über alle Bereiche hinweg standardisiert.
Typische Merkmale:
- Kernprozesse sind dokumentiert und werden regelmäßig durchgeführt
- Verantwortlichkeiten sind zugewiesen
- Grundlegende Dokumentation existiert (Richtlinien, Verfahren)
- Prozesse werden innerhalb eines Teams konsistent durchgeführt, aber unterschiedlich zwischen Teams
- Reaktive Elemente überwiegen noch gegenüber proaktiven
Beispiel Risikomanagement: Ein Risikoregister existiert und wird jährlich aktualisiert. Die Risikobewertung folgt einer definierten Methodik. Aber die Maßnahmenverfolgung ist unregelmäßig, und es gibt kein Reporting an die Geschäftsleitung.
Beispiel Incident Response: Ein Incident-Response-Plan existiert auf Papier. Die Rollen sind definiert. Aber der Plan wurde nie getestet, und beim letzten Vorfall wusste trotzdem niemand, was zu tun ist.
Stufe 3: Definiert (Standardisiert)
Beschreibung: Prozesse sind organisationsweit standardisiert, dokumentiert und werden konsistent angewendet. Es gibt definierte Schulungen, regelmäßige Überprüfungen und eine aktive Steuerung.
Typische Merkmale:
- Alle ISMS-Prozesse sind organisationsweit standardisiert und dokumentiert
- Regelmäßige Schulungen für alle Beteiligten
- Prozesse werden aktiv gesteuert und überwacht
- Kennzahlen werden erhoben und berichtet
- Interne Audits finden regelmäßig statt und Findings werden bearbeitet
- Management Review wird durchgeführt und führt zu Maßnahmen
- Proaktive und reaktive Elemente sind ausgewogen
Beispiel Risikomanagement: Das Risikoregister wird quartalsweise überprüft. Risikobewertungen folgen einer standardisierten Methodik. Maßnahmen werden getrackt und der Fortschritt wird an die Geschäftsleitung berichtet. Neue Risiken werden aktiv identifiziert.
Beispiel Incident Response: Der Incident-Response-Plan wird jährlich getestet (Tabletop Exercise). Vorfälle werden dokumentiert und nachbereitet (Lessons Learned). Eskalationswege funktionieren. Die mittlere Reaktionszeit wird gemessen.
Dies ist das Zielniveau für die meisten mittelständischen Unternehmen. Stufe 3 bedeutet, dass dein ISMS funktioniert, konsistent angewendet wird und sich messbar verbessert. Für eine ISO-27001-Zertifizierung und NIS2-Compliance ist Stufe 3 ausreichend.
Stufe 4: Gesteuert (Quantitativ)
Beschreibung: Prozesse werden quantitativ gesteuert. Entscheidungen basieren auf Daten, nicht auf Gefühl. Es gibt definierte Zielwerte, statistische Prozesskontrolle und eine datengetriebene Optimierung.
Typische Merkmale:
- Detaillierte Kennzahlen für alle Prozesse
- Zielwerte und Schwellenwerte sind definiert
- Abweichungen werden analysiert und die Ursachen adressiert
- Entscheidungen basieren auf quantitativer Analyse
- Benchmarking mit Branchenwerten
- Prädiktive Elemente (Trendanalysen, Risikoprognosen)
- Automatisierte Datenerhebung und Reporting
Beispiel Risikomanagement: Risiken werden quantitativ bewertet (monetärer Erwartungswert). Risk Appetite und Risikotoleranz sind formal definiert und werden eingehalten. Risiko-Trends werden analysiert und fließen in die Strategie ein.
Beispiel Incident Response: MTTD und MTTR werden systematisch gemessen und gegen Zielwerte getrackt. Vorfallsmuster werden analysiert, um wiederkehrende Ursachen zu identifizieren. Die Wirksamkeit der Maßnahmen wird quantitativ nachgewiesen.
Stufe 5: Optimiert (Kontinuierlich verbessernd)
Beschreibung: Das ISMS optimiert sich kontinuierlich und proaktiv. Innovation und Anpassungsfähigkeit sind in die Prozesse eingebaut. Verbesserungen werden systematisch identifiziert und umgesetzt.
Typische Merkmale:
- Kontinuierliche, systematische Prozessverbesserung
- Proaktive Anpassung an neue Bedrohungen und Technologien
- Lessons Learned werden organisationsweit genutzt
- Automatisierung wo sinnvoll
- Sicherheitskultur ist in der gesamten Organisation verankert
- Das ISMS treibt Geschäftsinnovation statt sie zu bremsen
Beispiel Risikomanagement: Risikomanagement ist in alle Geschäftsprozesse integriert. Neue Projekte, Produkte und Partnerschaften werden automatisch einer Risikobewertung unterzogen. Das Risikomodell wird regelmäßig auf Basis neuer Erkenntnisse validiert und verbessert.
Beispiel Incident Response: Vorfälle werden proaktiv durch Threat Intelligence und Anomalie-Erkennung verhindert. Red-Team-Übungen testen die Widerstandsfähigkeit. Automatisierte Playbooks beschleunigen die Reaktion. Jeder Vorfall führt zu messbaren Verbesserungen.
Stufe 5 ist für die meisten Organisationen kein realistisches Ziel. Sie beschreibt einen Zustand, der typischerweise nur von Unternehmen erreicht wird, deren Kerngeschäft die Informationssicherheit ist, oder von Organisationen mit sehr hohem Schutzbedarf (Militär, Geheimdienste, kritische Infrastruktur).
Die 12 ISMS-Domänen
Um den Reifegrad deines ISMS zu bewerten, zerlegst du es in Domänen und bewertest jede Domäne einzeln. Das Ergebnis ist kein einzelner Wert, sondern ein Profil, das zeigt, wo du stark bist und wo Verbesserungsbedarf besteht.
Domäne 1: Governance und Führung
Bewertungsfragen:
- Ist die Informationssicherheitspolitik dokumentiert und von der Geschäftsleitung verabschiedet?
- Sind Rollen und Verantwortlichkeiten klar definiert?
- Unterstützt die Geschäftsleitung das ISMS aktiv (Ressourcen, Teilnahme am Management Review)?
- Gibt es eine regelmäßige Berichterstattung an die Geschäftsleitung?
Domäne 2: Risikomanagement
Bewertungsfragen:
- Gibt es eine dokumentierte Risikomanagement-Methodik?
- Werden Risiken regelmäßig identifiziert, bewertet und behandelt?
- Gibt es ein gepflegtes Risikoregister?
- Werden Maßnahmen nachverfolgt und ihre Wirksamkeit überprüft?
- Ist der Risk Appetite der Organisation definiert?
Domäne 3: Asset Management
Bewertungsfragen:
- Gibt es ein vollständiges Inventar aller IT- und OT-Assets?
- Sind Verantwortlichkeiten für jedes Asset zugewiesen?
- Werden Assets klassifiziert (Kritikalität, Schutzbedarf)?
- Sind Abhängigkeiten zwischen Assets dokumentiert?
- Wird das Inventar aktuell gehalten?
Domäne 4: Zugangs- und Zugriffskontrolle
Bewertungsfragen:
- Gibt es eine Zugangsrichtlinie?
- Werden Zugriffsrechte nach dem Least-Privilege-Prinzip vergeben?
- Werden Zugriffsrechte regelmäßig überprüft (Access Reviews)?
- Ist MFA für kritische Systeme und externe Zugänge aktiviert?
- Gibt es einen Prozess für Onboarding/Offboarding?
Domäne 5: Kryptographie und Datenschutz
Bewertungsfragen:
- Sind Verschlüsselungsstandards definiert (Daten in Transit, Daten at Rest)?
- Werden Verschlüsselungsstandards eingehalten?
- Gibt es ein Schlüsselmanagement?
- Werden personenbezogene Daten gemäß DSGVO geschützt?
Domäne 6: Physische Sicherheit
Bewertungsfragen:
- Sind Sicherheitszonen definiert (Serverraum, Produktionshalle, Büro)?
- Gibt es Zugangskontrollen zu kritischen Bereichen?
- Werden Zutrittsrechte regelmäßig überprüft?
- Sind Schutzmechanismen gegen Umwelteinflüsse vorhanden (Brandschutz, USV, Klimatisierung)?
Domäne 7: Betriebssicherheit (Operations Security)
Bewertungsfragen:
- Gibt es dokumentierte Betriebsverfahren für kritische Systeme?
- Ist ein Change-Management-Prozess definiert und wird er eingehalten?
- Werden Backups regelmäßig erstellt und getestet?
- Gibt es ein Patch-Management (IT und OT)?
- Werden Logs erhoben und überwacht?
Domäne 8: Netzwerksicherheit
Bewertungsfragen:
- Ist das Netzwerk segmentiert?
- Gibt es eine Firewall-Architektur mit dokumentierten Regeln?
- Werden Netzwerk-Änderungen über ein Change-Management gesteuert?
- Gibt es ein Netzwerk-Monitoring?
- Sind IT- und OT-Netzwerke getrennt?
Domäne 9: Incident Management
Bewertungsfragen:
- Gibt es einen Incident-Response-Plan?
- Sind Eskalationswege definiert?
- Werden Vorfälle dokumentiert und nachbereitet (Lessons Learned)?
- Wird der Plan regelmäßig getestet (Übungen, Simulationen)?
- Werden Incident-Kennzahlen erhoben (MTTD, MTTR)?
Domäne 10: Business Continuity
Bewertungsfragen:
- Gibt es einen Business-Continuity-Plan?
- Wurden die kritischen Geschäftsprozesse identifiziert (BIA)?
- Gibt es Recovery-Pläne für kritische Systeme?
- Werden die Pläne regelmäßig getestet?
- Sind Recovery-Zeitziele (RTO/RPO) definiert und erreichbar?
Domäne 11: Compliance und Audit
Bewertungsfragen:
- Sind die relevanten regulatorischen Anforderungen identifiziert (NIS2, DSGVO, branchenspezifisch)?
- Werden interne Audits regelmäßig durchgeführt?
- Werden Audit-Findings nachverfolgt und behoben?
- Gibt es ein Management Review?
- Wird die Compliance regelmäßig überprüft?
Domäne 12: Awareness und Schulung
Bewertungsfragen:
- Gibt es ein Security-Awareness-Programm?
- Werden alle Mitarbeiter regelmäßig geschult?
- Gibt es rollenspezifische Schulungen (Admins, Entwickler, Geschäftsleitung)?
- Wird die Wirksamkeit der Schulungen gemessen (z.B. Phishing-Simulation)?
- Gibt es eine Sicherheitskultur, die über Pflichtschulungen hinausgeht?
Bewertungsmethodik
Bewertungsskala pro Domäne
Bewerte jede Domäne auf der fünfstufigen Skala (1 = Initial bis 5 = Optimiert). Nutze die Beschreibungen der Reifegradstufen als Referenz und stelle für jede Domäne die spezifischen Bewertungsfragen.
Die Bewertung sollte evidenzbasiert erfolgen. Nicht „ich glaube, wir sind bei 3", sondern: „Wir haben einen dokumentierten Prozess (das spricht für 3), aber er wurde im letzten Jahr nur einmal statt quartalsweise überprüft (das spricht eher für 2). Bewertung: 2,5, gerundet auf 2."
Bewertungsmatrix
Erstelle eine Bewertungsmatrix, die für jede Domäne und jede Reifegradstufe konkrete Kriterien definiert. Ein Auszug als Beispiel für die Domäne Risikomanagement:
| Kriterium | Stufe 1 | Stufe 2 | Stufe 3 | Stufe 4 | Stufe 5 |
|---|---|---|---|---|---|
| Risikoregister | Existiert nicht | Existiert, unvollständig | Vollständig, aktuell | Quantitativ bewertet | Prädiktiv, KI-gestützt |
| Bewertungsrhythmus | Bei Bedarf | Jährlich | Quartalsweise | Kontinuierlich | Echtzeit-Risikomonitoring |
| Maßnahmenverfolgung | Keine | Informell | Formaler Prozess | KPI-gesteuert | Automatisiert, datengetrieben |
| Management-Reporting | Keines | Bei Bedarf | Regelmäßig | Datenbasiertes Dashboard | Strategisch integriert |
| Methodik | Keine | Rudimentär | Standardisiert (ISO 27005) | Quantitativ (FAIR etc.) | Adaptiv, selbstlernend |
Durchführung
Wer bewertet? Der ISB leitet die Bewertung, aber er sollte nicht allein bewerten. Beziehe die IT-Leitung, die Geschäftsleitung und wenn möglich einen externen Berater ein. Unterschiedliche Perspektiven verhindern Betriebsblindheit.
Wie oft? Einmal jährlich als Vollbewertung. Die Ergebnisse fließen in das Management Review ein. Quartalsweise kann ein Quick-Check der kritischsten Domänen sinnvoll sein.
Dokumentation: Dokumentiere für jede Domäne die Bewertung, die Begründung (welche Evidenz stützt die Bewertung), den Ziel-Reifegrad und die Maßnahmen, um den Ziel-Reifegrad zu erreichen.
Ergebnisse interpretieren
Das Reifegradprofil
Die Ergebnisse aller 12 Domänen ergeben ein Profil, das auf einen Blick zeigt, wo dein ISMS stark und wo es schwach ist. Ein typisches Profil eines mittelständischen Unternehmens im zweiten Jahr nach ISMS-Einführung sieht etwa so aus:
| Domäne | Ist | Soll |
|---|---|---|
| Governance und Führung | 3 | 3 |
| Risikomanagement | 2 | 3 |
| Asset Management | 2 | 3 |
| Zugangs-/Zugriffskontrolle | 3 | 3 |
| Kryptographie und Datenschutz | 2 | 3 |
| Physische Sicherheit | 3 | 3 |
| Betriebssicherheit | 2 | 3 |
| Netzwerksicherheit | 2 | 3 |
| Incident Management | 2 | 3 |
| Business Continuity | 1 | 3 |
| Compliance und Audit | 2 | 3 |
| Awareness und Schulung | 3 | 3 |
Dieses Profil zeigt: Governance, Zugangskontrolle, physische Sicherheit und Awareness sind auf Zielniveau. Die größten Lücken bestehen bei Business Continuity (Stufe 1), Risikomanagement und Betriebssicherheit (Stufe 2).
Durchschnittlicher Reifegrad
Der Durchschnitt aller Domänen gibt einen groben Gesamtwert. Im Beispiel oben: 2,25. Aber der Durchschnitt ist weniger aussagekräftig als das Profil, weil er die Schwachstellen verdeckt. Ein Durchschnitt von 3,0 kann bedeuten, dass alle Domänen bei 3 liegen (gut), oder dass die Hälfte bei 4 und die andere Hälfte bei 2 liegt (problematisch). Nutze den Durchschnitt nur als grobe Orientierung und konzentriere dich auf die einzelnen Domänen.
Priorisierung der Verbesserungen
Du kannst nicht alle Domänen gleichzeitig verbessern. Priorisiere nach zwei Kriterien:
Kritikalität: Welche Domäne hat den größten Einfluss auf dein tatsächliches Sicherheitsniveau? Incident Management auf Stufe 1 ist kritischer als Kryptographie auf Stufe 2, weil ein fehlender Incident-Response-Prozess dich im Ernstfall handlungsunfähig macht.
Aufwand: Welche Verbesserung ist mit vertretbarem Aufwand erreichbar? Eine Verbesserung von Stufe 1 auf Stufe 2 (grundlegende Prozesse einführen) ist oft schneller erreichbar als eine Verbesserung von Stufe 3 auf Stufe 4 (quantitative Steuerung einführen).
Die Kombination ergibt eine Matrix: Hohe Kritikalität und geringer Aufwand = sofort angehen. Hohe Kritikalität und hoher Aufwand = strategisch planen. Niedrige Kritikalität = nachrangig.
Von Stufe zu Stufe: Der Verbesserungsfahrplan
Von Stufe 1 auf Stufe 2: Grundlagen schaffen
Zeitrahmen: 3-6 Monate pro Domäne
Kernmaßnahmen:
- Prozesse dokumentieren (auch wenn sie einfach sind)
- Verantwortlichkeiten zuweisen
- Grundlegende Templates und Vorlagen erstellen
- Regelmäßige Durchführung etablieren (Kalendereinträge, Erinnerungen)
- Erste Kennzahlen erheben (auch wenn noch manuell)
Typischer Aufwand: Gering bis mittel. Hauptsächlich Dokumentationsarbeit und Organisationsaufwand.
Von Stufe 2 auf Stufe 3: Standardisieren und steuern
Zeitrahmen: 6-12 Monate pro Domäne
Kernmaßnahmen:
- Prozesse organisationsweit vereinheitlichen
- Schulungen für alle Beteiligten durchführen
- Regelmäßige Überprüfungen einführen (Audits, Reviews)
- Kennzahlen systematisch erheben und berichten
- Feedback-Schleifen etablieren (Lessons Learned, kontinuierliche Verbesserung)
- Management Review mit konkreten Ergebnissen durchführen
Typischer Aufwand: Mittel. Erfordert Investitionen in Schulungen, Tools und Zeit für die Standardisierung.
Von Stufe 3 auf Stufe 4: Datengetrieben steuern
Zeitrahmen: 12-24 Monate pro Domäne
Kernmaßnahmen:
- Detaillierte KPIs mit Zielwerten und Schwellenwerten definieren
- Automatisierte Datenerhebung und Reporting einführen
- Statistische Analyse von Trends und Abweichungen
- Benchmarking mit Branchenwerten
- Prädiktive Elemente einführen (Trendanalysen, Risikoprognosen)
- Dashboard-basierte Steuerung
Typischer Aufwand: Hoch. Erfordert investitionen in Automatisierung, Datenanalyse und spezialisierte Tools.
Reifegrad und Compliance
ISO 27001
Für eine erfolgreiche ISO-27001-Zertifizierung brauchst du in den meisten Domänen mindestens Stufe 2, idealerweise Stufe 3. Ein Zertifizierungsauditor wird nicht jede Domäne auf Stufe 3 erwarten, aber er wird erwarten, dass die Kernprozesse (Risikomanagement, Incident Management, internes Audit, Management Review) mindestens auf Stufe 2 funktionieren.
NIS2
NIS2 fordert ein wirksames Risikomanagement. „Wirksam" bedeutet in der Praxis mindestens Stufe 2 in allen sicherheitsrelevanten Domänen und Stufe 3 in den Kerndomänen (Risikomanagement, Incident Management, Business Continuity). Die persönliche Haftung der Geschäftsleitung erhöht den Druck, ein funktionierendes System nachweisen zu können.
Auditor-Perspektive
Auditoren nutzen implizit Reifegradkonzepte, auch wenn sie es nicht so nennen. Wenn ein Auditor sagt „der Prozess ist definiert, aber wird er auch gelebt?", fragt er nach dem Reifegrad. Wenn du proaktiv einen Reifegrad-Assessment vorlegst und zeigst, dass du deine Schwächen kennst und einen Verbesserungsplan hast, wird das von den meisten Auditoren positiv bewertet.
Jährliche Reifegradmessung
Die Reifegradmessung sollte ein fester Bestandteil deines ISMS-Zyklus sein:
Q4 des Jahres: Reifegradmessung durchführen. Ergebnisse dokumentieren. Vergleich mit dem Vorjahr. In ISMS Lite lässt sich der Reifegrad über alle Domänen hinweg erfassen, visualisieren und über die Jahre vergleichen.
Management Review (Q1 des Folgejahres): Reifegradergebnisse vorstellen. Ziel-Reifegrade für das neue Jahr festlegen. Ressourcen und Budget für Verbesserungsmaßnahmen planen.
Unterjährig: Maßnahmen umsetzen. Quartalsweiser Quick-Check der kritischsten Domänen.
Q4 des Folgejahres: Erneute Messung. Hat sich der Reifegrad wie geplant verbessert? Wenn nicht: Warum nicht? Was muss angepasst werden?
Dieser Zyklus gibt dir eine klare Struktur für die kontinuierliche Verbesserung deines ISMS und entspricht dem PDCA-Prinzip. Er macht Fortschritte sichtbar (sowohl für dich als auch für die Geschäftsleitung und Auditoren) und liefert eine objektive Grundlage für Investitionsentscheidungen.