- Ein ISMS enthält die sensibelsten Daten eines Unternehmens: Risikoregister, Maßnahmenstatus, Incident-Berichte, Audit-Ergebnisse und Richtlinien mit Unterschriften.
- Für einen Angreifer ist das Risikoregister eine Landkarte der Schwachstellen, der Maßnahmenstatus zeigt wo noch Lücken offen sind.
- Das Tool, das deine Sicherheit dokumentiert, muss selbst den höchsten Sicherheitsanforderungen genügen.
- Self-Hosted-Lösungen eliminieren das Risiko, dass ein SaaS-Anbieter kompromittiert wird und deine Sicherheitslandkarte offenlegt.
- Verschlüsselung, Zugriffskontrollen, Backup-Strategie und regelmäßige Überprüfung sind keine optionalen Extras, sondern Pflicht.
Dein ISMS weiß mehr über dich als jeder Angreifer hofft
Jedes Unternehmen hat Kronjuwelen. Kundendaten, Geschäftsgeheimnisse, Finanzzahlen. Aber es gibt eine Datenkategorie, die in Sicherheitsdiskussionen erstaunlich selten vorkommt: die Daten des ISMS selbst. Also genau die Daten, die dokumentieren, wie du dein Unternehmen schützt, wo deine Schwachstellen liegen und welche Gegenmaßnahmen du ergriffen hast oder eben noch nicht.
Wenn du ein ISMS betreibst, sammelst du systematisch die sensibelsten Informationen deines Unternehmens an einem Ort. Das ist der Sinn der Sache. Ein ISMS aufzubauen bedeutet, Risiken zu identifizieren, zu bewerten und zu behandeln. Aber genau diese Konzentration von sicherheitskritischem Wissen macht das ISMS selbst zu einem lohnenden Ziel.
Dieser Artikel zeigt dir, was alles in einem ISMS steckt, warum ein Angreifer mit diesen Daten mehr anfangen kann als mit vielen anderen Datenkategorien und wie du das paradoxe Problem löst, dass das Tool zur Sicherheitsdokumentation selbst maximal sicher sein muss.
Was alles in einem ISMS steckt
Um zu verstehen, warum ISMS-Daten so schützenswert sind, lohnt sich ein Blick auf die einzelnen Bestandteile. Die meisten Unternehmen unterschätzen, wie viel sicherheitskritisches Wissen im Laufe der Zeit in ihrem ISMS zusammenkommt.
Das Risikoregister: Eine Landkarte deiner Schwachstellen
Das Risikoregister ist das Herzstück jedes ISMS. Hier dokumentierst du systematisch alle identifizierten Risiken deines Unternehmens. Jeder Eintrag enthält eine Beschreibung der Bedrohung, eine Einschätzung der Eintrittswahrscheinlichkeit, die potenzielle Schadenshöhe und die aktuelle Risikobewertung.
Für dich als ISB oder IT-Leiter ist das ein Steuerungsinstrument. Für einen Angreifer wäre es Gold. Dein Risikoregister verrät ihm nicht nur, welche Bedrohungen du identifiziert hast, sondern auch, welche du für wahrscheinlich hältst. Es zeigt die Schutzbedarfsfeststellung deiner Systeme und damit indirekt, welche Systeme besonders wertvoll sind. Ein Risiko, das du mit "hoch" bewertet hast, signalisiert dem Angreifer: Hier gibt es etwas zu holen, und der Verteidiger weiß es.
Noch aufschlussreicher sind die Risiken, die du als "akzeptiert" eingestuft hast. Jedes akzeptierte Risiko ist ein bewusst eingegangenes Delta zwischen Soll und Ist. Für einen Angreifer ist das eine Einladung: "Wir wissen, dass hier eine Lücke ist, aber wir haben uns entschieden, nichts dagegen zu tun."
Ein typisches Risikoregister eines mittelständischen Unternehmens mit 200 Mitarbeitern enthält 80 bis 150 Einträge. Das ist eine detaillierte Schwachstellenanalyse, die kein externer Penetrationstest in dieser Tiefe liefern würde.
Der Maßnahmenstatus: Wo du noch Lücken hast
Eng verbunden mit dem Risikoregister ist der Status deiner Sicherheitsmaßnahmen. Ob du mit dem Statement of Applicability nach ISO 27001 arbeitest oder die Controls nach BSI IT-Grundschutz umsetzt: In deinem ISMS ist dokumentiert, welche Maßnahmen du implementiert hast, welche in Umsetzung sind und welche noch ausstehen.
Der Maßnahmenstatus verrät einem Angreifer präzise, wo dein Schutzschild Löcher hat. Wenn dein ISMS zeigt, dass die Netzwerksegmentierung erst für Q3 geplant ist, weiß der Angreifer: Im aktuellen Quartal kann er sich nach einem initialen Zugang wahrscheinlich lateral im Netz bewegen. Wenn die Multi-Faktor-Authentifizierung nur für 60 % der Systeme ausgerollt ist, sucht er gezielt nach den anderen 40 %.
Besonders kritisch sind Maßnahmen im Status "teilweise umgesetzt". Sie suggerieren oft eine falsche Sicherheit nach innen, während sie nach außen exakt zeigen, wo die Implementierung noch nicht greift.
Incident-Daten: Deine Verwundbarkeitshistorie
Jeder dokumentierte Sicherheitsvorfall enthält wertvolle Informationen. Der Angriffsvektor, die betroffenen Systeme, die Reaktionszeit, die ergriffenen Gegenmaßnahmen und die Lessons Learned zeichnen ein detailliertes Bild deiner Abwehrfähigkeit.
Ein Incident Response Plan ist wichtig und richtig. Aber die konkreten Vorfallberichte gehen weit darüber hinaus. Sie zeigen einem Angreifer, welche Angriffsmethoden in der Vergangenheit erfolgreich waren, wie schnell du reagiert hast und ob du die Schwachstelle tatsächlich geschlossen hast. Ein Vorfall, der vor sechs Monaten durch Phishing verursacht wurde, kombiniert mit dem Wissen, dass das Security-Awareness-Programm erst kürzlich gestartet wurde, ergibt ein klares Bild: Phishing funktioniert hier wahrscheinlich noch immer.
Die Incident-Daten enthalten außerdem oft technische Details, die bei einer reinen Außenbetrachtung nicht sichtbar wären. IP-Adressen interner Systeme, Netzwerkarchitektur-Details, eingesetzte Sicherheitssoftware und Eskalationswege.
Audit-Berichte: Dein Sicherheitszeugnis im Detail
Interne Audits und externe Zertifizierungsaudits produzieren Berichte, die Abweichungen, Empfehlungen und Verbesserungspotenziale dokumentieren. Ein Audit-Bericht ist im Grunde eine professionelle Bewertung deiner Sicherheitslücken, erstellt von jemandem, der genau weiß, worauf es ankommt.
Hauptabweichungen aus einem Zertifizierungsaudit sind besonders brisant. Sie dokumentieren Bereiche, in denen dein Sicherheitsniveau nachweislich nicht den Anforderungen entspricht. Der Zeitraum zwischen Feststellung und Behebung ist ein Fenster, in dem ein Angreifer genau diese Schwäche ausnutzen könnte.
Auch die Audit-Feststellungen und daraus abgeleiteten Maßnahmen sind aufschlussreich. Sie zeigen den Reifegrad deines ISMS und wo die Prüfer die größten Defizite sehen.
Richtlinien mit Geschäftsführer-Unterschrift
Auf den ersten Blick scheinen Richtlinien weniger sensibel als Risikoregister oder Incident-Daten. Aber auch sie enthalten wertvolle Informationen. Die Informationssicherheitsrichtlinie definiert den Geltungsbereich deines ISMS und damit, was geschützt wird und was explizit nicht.
Passwort-Richtlinien verraten die Mindestanforderungen und damit die Mindestkomplexität, die ein Angreifer beim Brute-Force-Angriff einkalkulieren muss. Die Backup-Richtlinie zeigt Aufbewahrungsfristen und Backup-Zyklen, was bei einem Ransomware-Angriff entscheidend ist. Die Richtlinie zur Nutzung mobiler Endgeräte verrät, ob BYOD erlaubt ist und welche Kontrollmechanismen greifen.
Und dann ist da die Geschäftsführer-Unterschrift. Sie macht die Richtlinie zu einem rechtsverbindlichen Dokument. Bei einer Datenschutzverletzung oder einem Sicherheitsvorfall kann eine unterschriebene, aber nicht umgesetzte Richtlinie zur Haftungsfalle werden.
Weitere sensible ISMS-Bestandteile
Die Liste geht weiter:
- Netzwerkpläne und Systemdokumentation: Zeigen die gesamte IT-Architektur, Schnittstellen und Datenflüsse.
- Berechtigungskonzepte: Dokumentieren, wer auf welche Systeme zugreifen kann und welche Rollen existieren.
- Lieferantenbewertungen: Offenbaren Abhängigkeiten und Schwachstellen in der Lieferkette.
- Business-Impact-Analysen: Zeigen, welche Geschäftsprozesse kritisch sind und wie lange ein Ausfall toleriert wird.
- Schulungsnachweise: Verraten den Awareness-Level der Mitarbeiter.
- Management-Review-Protokolle: Dokumentieren strategische Entscheidungen und Budgetallokationen für Sicherheit.
Warum ein Angreifer mit ISMS-Daten mehr anfangen kann als mit Kundendaten
Kundendaten haben einen Marktwert. Im Darknet bringen Kreditkartendaten ein paar Euro pro Stück, E-Mail-Adressen noch weniger. Für einen Angreifer, der auf schnelles Geld aus ist, sind Kundendaten lukrativ, aber austauschbar. Jedes Unternehmen hat Kundendaten, und der Marktwert pro Datensatz sinkt mit der Menge.
ISMS-Daten hingegen sind einzigartig und strategisch. Sie ermöglichen gezielte Angriffe, die weit über das hinausgehen, was ein Angreifer ohne dieses Wissen erreichen könnte.
Szenario 1: Der gezielte Angriff
Ein Angreifer verschafft sich Zugang zum ISMS eines Maschinenbauers mit 300 Mitarbeitern. Aus dem Risikoregister erfährt er, dass die OT-Systeme in der Produktion ein bekanntes, aber als "akzeptiert" eingestuftes Risiko darstellen, weil die SCADA-Systeme nicht gepatcht werden können. Aus dem Maßnahmenstatus sieht er, dass die Netzwerksegmentierung zwischen IT und OT erst für das nächste Quartal geplant ist. Die Incident-Historie zeigt, dass ein Phishing-Angriff vor drei Monaten erfolgreich war.
Mit diesen Informationen kann der Angreifer einen präzisen Angriffsplan erstellen: Phishing-Angriff als Einstieg (bewährt), laterale Bewegung ins OT-Netz (noch nicht segmentiert), Angriff auf die SCADA-Systeme (ungepatcht, bekannte Schwachstellen). Ohne die ISMS-Daten hätte der Angreifer Wochen für Reconnaissance gebraucht. Mit den Daten braucht er Stunden.
Szenario 2: Die Erpressung
ISMS-Daten eignen sich hervorragend für Erpressung, weit über klassische Ransomware hinaus. Ein Angreifer, der droht, dein Risikoregister zu veröffentlichen, trifft dich an mehreren Stellen gleichzeitig:
- Reputationsschaden: Kunden und Partner erfahren von deinen Schwachstellen.
- Wettbewerbsnachteil: Konkurrenten sehen deine Sicherheitsinvestitionen und Defizite.
- Regulatorische Konsequenzen: Aufsichtsbehörden sehen dokumentierte, aber nicht behobene Schwachstellen.
- Zertifizierungsrisiko: Ein veröffentlichter Audit-Bericht mit Hauptabweichungen kann die ISO-27001-Zertifizierung gefährden.
Der Druck zu zahlen ist bei ISMS-Daten oft höher als bei Kundendaten, weil die Konsequenzen einer Veröffentlichung so vielfältig und langfristig sind.
Szenario 3: Der Supply-Chain-Angriff
Dein ISMS enthält Lieferantenbewertungen und Informationen über die Sicherheitsniveaus deiner Dienstleister. Für einen Angreifer, der einen Supply-Chain-Angriff plant, sind das wertvolle Vorarbeiten. Er erfährt, welche Dienstleister du nutzt, wie du deren Sicherheitsniveau bewertest und wo du Schwächen identifiziert hast. Statt dich direkt anzugreifen, nimmt er den Dienstleister ins Visier, den du selbst als Schwachpunkt identifiziert hast.
Das Paradox: Sicherheitsdokumentation muss selbst sicher sein
Hier liegt das fundamentale Paradox jedes ISMS: Das System, das deine Sicherheit verbessern soll, sammelt genau die Informationen, deren Offenlegung deine Sicherheit am stärksten gefährden würde. Je gründlicher du dein ISMS pflegst, desto wertvoller werden die Daten darin für einen Angreifer.
Dieses Paradox lässt sich nicht auflösen, nur managen. Und der erste Schritt ist, die Frage ernst zu nehmen: Wie sicher ist das Tool, in dem du deine Sicherheit dokumentierst?
Die Frage, die du deinem ISMS-Anbieter stellen solltest
Viele Unternehmen investieren erhebliche Ressourcen in die Absicherung ihrer Produktivsysteme, aber die Compliance-Software läuft nebenbei auf einer SaaS-Plattform, deren Sicherheitsarchitektur niemand geprüft hat. Das ist, als würdest du einen Tresor kaufen und den Schlüssel unter die Fußmatte legen.
Frag dich:
- Wo liegen meine ISMS-Daten physisch?
- Wer hat technisch Zugriff darauf? Nicht nur mein Team, sondern auch der Anbieter, dessen Admins, der Hosting-Provider?
- Unter welcher Rechtsordnung werden die Daten gespeichert?
- Was passiert, wenn der SaaS-Anbieter gehackt wird? Werde ich benachrichtigt? Wie schnell?
- Kann der Anbieter meine Daten im Klartext lesen?
- Was passiert mit meinen Daten, wenn der Anbieter den Betrieb einstellt?
Die Antworten auf diese Fragen bestimmen, wie gut deine ISMS-Daten geschützt sind. Und bei vielen Cloud-ISMS-Lösungen sind die Antworten ernüchternd.
Cloud-ISMS: Geteilte Verantwortung, geteiltes Risiko
Bei einer Cloud-basierten ISMS-Lösung gibst du die Kontrolle über deine sensibelsten Daten an einen Dritten ab. Das ist kein pauschales Argument gegen die Cloud. Aber bei ISMS-Daten wiegt das schwerer als bei einer Projektmanagement-Software.
Das Shared-Responsibility-Modell der Cloud bedeutet: Der Anbieter sichert die Infrastruktur, du sicherst deine Daten und Konfiguration. In der Praxis heißt das, dass du darauf vertraust, dass:
- Der Anbieter seine Infrastruktur sauber betreibt und zeitnah patcht.
- Kein Mitarbeiter des Anbieters unbefugt auf deine Daten zugreift.
- Der Anbieter Sicherheitsvorfälle transparent kommuniziert.
- Die Daten in einer Rechtsordnung liegen, die deine Anforderungen erfüllt.
- Der Anbieter nicht selbst Ziel eines Angriffs wird.
Jeder dieser Punkte ist ein Risiko, das du bei einer Self-Hosted-Lösung eliminierst oder zumindest selbst steuern kannst.
Schutzmaßnahmen für deine ISMS-Daten
Unabhängig davon, ob du ein Cloud- oder Self-Hosted-ISMS nutzt, gibt es Maßnahmen, die du ergreifen solltest. In ISMS Lite lassen sich diese Schutzmaßnahmen direkt als Controls dokumentieren und ihr Umsetzungsstatus nachverfolgen, inklusive Verantwortlichkeiten und Fristen.
Zugriffskontrollen: Need-to-Know-Prinzip
Nicht jeder im Unternehmen braucht Zugang zu allen ISMS-Daten. Strukturiere die Berechtigungen nach dem Need-to-Know-Prinzip:
| Rolle | Zugriff |
|---|---|
| ISB / CISO | Vollzugriff auf alle ISMS-Daten |
| IT-Leiter | Risikoregister, Maßnahmenstatus, Incident-Daten |
| Risikoeigner (Fachabteilung) | Nur eigene Risiken und zugehörige Maßnahmen |
| Geschäftsführung | Management-Review-Daten, KPI-Dashboard, Richtlinien |
| Auditor (extern) | Temporärer, eingeschränkter Zugriff während des Audits |
| Alle anderen | Kein Zugriff |
Multi-Faktor-Authentifizierung für den Zugang zum ISMS ist keine Option, sondern Pflicht. Wenn du MFA für E-Mail einsetzt, aber nicht für dein ISMS, stimmt die Priorität nicht.
Verschlüsselung: Ruhend und in Bewegung
ISMS-Daten müssen verschlüsselt sein, und zwar doppelt:
In Transit: TLS 1.3 für alle Verbindungen zum ISMS. Das ist heute Standard und sollte nicht verhandelbar sein.
At Rest: Die Daten auf der Festplatte oder in der Datenbank müssen verschlüsselt sein. AES-256 ist der aktuelle Standard. Bei einer Self-Hosted-Lösung hast du die Kontrolle über die Verschlüsselungsschlüssel. Bei einer Cloud-Lösung hängt es davon ab, ob der Anbieter Bring Your Own Key (BYOK) unterstützt oder ob er die Schlüssel verwaltet.
Besonders wichtig: Backups der ISMS-Daten müssen ebenfalls verschlüsselt sein. Ein unverschlüsseltes Backup deines Risikoregisters auf einem Netzlaufwerk macht alle anderen Schutzmaßnahmen zunichte.
Logging und Überwachung
Wer hat wann auf welche ISMS-Daten zugegriffen? Wer hat Änderungen vorgenommen? Ein vollständiges Audit-Log ist bei ISMS-Daten nicht nur aus Compliance-Gründen wichtig, sondern auch als Frühwarnsystem für unbefugte Zugriffe.
Überwache insbesondere:
- Anmeldeversuche, besonders fehlgeschlagene
- Zugriffe außerhalb der üblichen Arbeitszeiten
- Massenexporte oder -downloads von Daten
- Änderungen an Berechtigungen
- Zugriffe auf besonders sensible Bereiche wie Incident-Daten oder Audit-Berichte
Netzwerkisolation
Wenn du dein ISMS self-hosted betreibst, stelle sicher, dass der Server nicht im selben Netzwerksegment steht wie die Arbeitsplatzrechner. Eine Netzwerksegmentierung ist hier genauso sinnvoll wie für andere kritische Systeme. Der ISMS-Server sollte nur über definierte Ports und Protokolle erreichbar sein, idealerweise über ein eigenes Management-VLAN.
Regelmäßige Überprüfung
Mindestens einmal jährlich, besser halbjährlich, solltest du die Sicherheit deines ISMS-Systems selbst überprüfen:
- Sind alle Berechtigungen noch aktuell? Haben ehemalige Mitarbeiter noch Zugang?
- Ist die Software auf dem aktuellen Stand?
- Funktionieren die Backups? Hast du einen Restore getestet?
- Sind die Verschlüsselungsstandards noch zeitgemäß?
- Gibt es Auffälligkeiten in den Zugriffslogs?
Checkliste: Schutz deiner ISMS-Daten
| Maßnahme | Priorität | Status |
|---|---|---|
| MFA für alle ISMS-Nutzer aktiviert | Hoch | ☐ |
| Rollenbasierte Zugriffskontrolle konfiguriert | Hoch | ☐ |
| Verschlüsselung at Rest (AES-256) aktiv | Hoch | ☐ |
| TLS 1.3 für alle Verbindungen | Hoch | ☐ |
| Backup-Strategie dokumentiert und getestet | Hoch | ☐ |
| Backups verschlüsselt | Hoch | ☐ |
| Audit-Logging aktiv und überwacht | Mittel | ☐ |
| Netzwerksegmentierung für ISMS-Server | Mittel | ☐ |
| Berechtigungen halbjährlich geprüft | Mittel | ☐ |
| Hosting-Standort und Rechtsordnung dokumentiert | Mittel | ☐ |
| Exit-Strategie für Anbieterwechsel vorhanden | Niedrig | ☐ |
| Penetrationstest des ISMS-Systems durchgeführt | Niedrig | ☐ |
Häufige Fehler beim Schutz von ISMS-Daten
Fehler 1: ISMS-Daten werden nicht als schützenswert klassifiziert. Viele Unternehmen haben eine saubere Klassifizierungsrichtlinie, aber die ISMS-Daten selbst tauchen darin nicht auf. Das Risikoregister müsste mindestens als "vertraulich" eingestuft sein, Incident-Daten und Audit-Berichte ebenfalls.
Fehler 2: Zu viele Menschen haben Vollzugriff. In der Praxis haben oft alle IT-Mitarbeiter Zugang zum ISMS, weil "die müssen ja alle damit arbeiten". Das ist falsch. Der Azubi in der IT braucht keinen Einblick ins Risikoregister. Die Fachabteilung braucht nur ihre eigenen Risiken.
Fehler 3: Backups werden vergessen oder nicht verschlüsselt. Das ISMS wird regelmäßig gesichert, aber die Backups liegen unverschlüsselt auf einem Netzlaufwerk. Ein Angreifer, der sich im Netzwerk befindet, greift sich das Backup statt des Live-Systems, weil es weniger gut überwacht ist.
Fehler 4: Kein Notfallplan für den ISMS-Ausfall. Was passiert, wenn dein ISMS nicht verfügbar ist? Wenn du gerade in einem aktiven Sicherheitsvorfall steckst und auf dein Incident-Response-Verfahren zugreifen willst, aber der ISMS-Server auch betroffen ist? Ein Notfallhandbuch mit den wichtigsten Verfahren sollte auch offline verfügbar sein.
Fehler 5: Der SaaS-Anbieter wird nicht als Lieferant bewertet. Wenn du ein Cloud-ISMS nutzt, ist der Anbieter ein kritischer Lieferant. Er müsste in deiner Lieferantenbewertung mit dem höchsten Schutzbedarf geführt werden. In der Praxis wird das oft versäumt, weil "das ist ja unser Sicherheitstool, die müssen ja sicher sein".
Die Self-Hosted-Option: Wenn du die Kontrolle nicht abgeben willst
Für Unternehmen, die die Kontrolle über ihre ISMS-Daten nicht aus der Hand geben wollen, bieten Self-Hosted-Lösungen eine Alternative. Statt dein Risikoregister und deine Audit-Berichte auf den Servern eines Drittanbieters zu speichern, betreibst du das ISMS auf deiner eigenen Infrastruktur.
Die Vorteile liegen auf der Hand:
- Vollständige Datenkontrolle: Du weißt genau, wo deine Daten liegen, wer darauf zugreift und unter welcher Rechtsordnung sie gespeichert sind.
- Kein Drittanbieterrisiko: Wenn der SaaS-Anbieter gehackt wird, sind deine Daten nicht betroffen.
- Integration in bestehende Sicherheitsarchitektur: Der ISMS-Server wird Teil deines Sicherheitskonzepts und profitiert von deinen bestehenden Schutzmaßnahmen wie Firewall, IDS/IPS und Netzwerksegmentierung.
- Compliance-Einfachheit: Bei regulatorischen Anforderungen an die Datenhaltung musst du nicht auf die Zusicherungen eines Drittanbieters vertrauen, sondern kannst die Einhaltung selbst nachweisen.
Die Nachteile sind ebenso klar: Du brauchst IT-Ressourcen für Betrieb und Wartung. Updates musst du selbst einspielen, Backups selbst konfigurieren und die Verfügbarkeit selbst sicherstellen. Für ein Unternehmen mit einer funktionierenden IT-Abteilung ist das kein Showstopper, für ein Unternehmen ohne eigene IT-Ressourcen schon.
Die Entscheidung ist keine Glaubensfrage. Sie hängt von der Risikobereitschaft, den verfügbaren Ressourcen und den regulatorischen Anforderungen ab. Aber bei ISMS-Daten sollte die Antwort zumindest bewusst getroffen werden und nicht "wir nehmen halt das, was der Berater empfiehlt". ISMS Lite ist bewusst als Self-Hosted-Lösung konzipiert, weil wir davon überzeugt sind, dass ISMS-Daten unter der Kontrolle des Betreibers bleiben sollten. Die Installation läuft auf jedem Linux-Server mit PHP und einer Datenbank, ohne Abhängigkeit von Cloud-Diensten.
Wie du dein ISMS im ISMS abbildest
Es klingt meta, aber es ist logisch: Dein ISMS-Tool gehört als Asset in dein eigenes ISMS. Es sollte:
- Im IT-Asset-Management als kritisches System erfasst sein.
- Eine eigene Risikobewertung erhalten.
- Im Scope der internen Audits liegen.
- In der Business-Impact-Analyse berücksichtigt werden.
- Einen eigenen Eintrag im Wiederanlaufplan haben.
Wenn du im Management Review über den Sicherheitsstatus berichtest, gehört der Schutz des ISMS selbst als eigener Punkt auf die Agenda. Nicht als Randnotiz, sondern als Kernthema.
Fazit
ISMS-Daten sind die sensibelsten Informationen, die dein Unternehmen besitzt, weil sie alles andere schützen sollen. Behandle sie entsprechend. Prüfe, wo deine ISMS-Daten liegen, wer Zugriff hat und wie sie gesichert sind. Und wenn die Antworten dich nicht beruhigen, ändere etwas daran, bevor ein Angreifer diese Fragen für dich beantwortet.
Weiterführende Artikel
- Self-Hosted vs. Cloud: Datensouveränität bei Compliance-Software
- NIS2 und Datensouveränität: Was die Richtlinie über die Kontrolle deiner Daten sagt
- ISMS-Daten sichern: Backup-Strategie für selbst gehostete Compliance-Systeme
- Risikobewertung im ISMS: Methodik, Matrix und Praxisbeispiel
- Verschlüsselung im Unternehmen: Was, wo und wie verschlüsseln