Aktuelles, Branche, Gastbeiträge - geschrieben von am Freitag, Juli 10, 2026 14:26 - noch keine Kommentare

ISMS: Sieben Tipps für mehr Datensicherheit in KMU

Informationen gehören zu den wertvollsten Ressourcen von Unternehmen und sind zugleich vielfältigen Risiken ausgesetzt. Neben externen Cyberangriffen gefährden auch interne Schwachstellen wie unzureichende Zugriffskontrollen, veraltete Systeme oder mangelhafte Datensicherungen die Informationssicherheit. Der Beitrag zeigt, warum ein systematischer Schutz geschäftskritischer Informationen unverzichtbar ist und welche Maßnahmen Unternehmen ergreifen sollten, um Risiken frühzeitig zu erkennen und ihre Daten nachhaltig zu sichern.

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 10.07.2026] Informationen zählen heute zu den sensibelsten und zugleich kritischsten Unternehmenswerten. Kundendaten, Vertragsunterlagen, Finanzinformationen, interne Kommunikation oder Daten aus ERP- und CRM-Systemen bilden die Grundlage zahlreicher Geschäftsprozesse. Umso gravierender sind die Folgen, wenn Daten manipuliert, verschlüsselt, unkontrolliert weitergegeben oder dauerhaft gelöscht werden.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Dr. Sebastian Schmerl

Fakt ist: Risiken entstehen längst nicht mehr nur durch gezielte externe Angriffe. Fehlende Zugriffskontrollen, unzureichend getestete Backups, veraltete Systeme oder unnötig weitreichende Berechtigungen schaffen oft bereits intern eine erhebliche Angriffsfläche. Besonders kritisch ist es, wenn Unternehmen zwar einzelne Sicherheitsmaßnahmen implementiert haben, aber kein strukturiertes Verständnis darüber besteht, welche Informationen tatsächlich entscheidend sind und wie diese dediziert geschützt werden können.

Informationssicherheitsmanagementsysteme (ISMS)

Genau hier setzt ein Information Security Management System (ISMS) an. Es hilft Unternehmen dabei, sensible Informationen, kritische Systeme und relevante Risiken systematisch zu erfassen, Verantwortlichkeiten festzulegen und geeignete Schutzmaßnahmen umzusetzen. Dabei muss ein ISMS keineswegs ausufernd oder hochbürokratisch sein. Gerade kleinere und mittelständische Unternehmen (KMU) profitieren häufig von einem pragmatischen Ansatz, der Informationssicherheit nachvollziehbar strukturiert.

Dazu braucht es zunächst nur sieben Basismaßnahmen:

  1. Scope und Kritische Assets identifizieren
    Der erste Schritt eines ISMS ist gleichzeitig einer der wichtigsten: Unternehmen müssen verstehen, welche Systeme und Daten für den eigenen Betrieb tatsächlich geschäftsentscheidend sind. Diese sollten den Scope des ISMS bilden. Das klingt selbstverständlich, ist in der Praxis jedoch häufig nicht der Fall. Denn oft existiert zwar ein technisches Grundverständnis über die eigene Infrastruktur, aber keine priorisierte Übersicht darüber, welche Assets im Ernstfall wirklich geschäftskritisch wären.

    Dabei geht es nicht nur um Hardware oder Endgeräte. Essenzielle Assets sind häufig Identitäts- und Verzeichnisdienste, Microsoft-365-Umgebungen, ERP-Systeme, zentrale Fileshares, Backup-Systeme oder branchenspezifische Anwendungen. Auch sensible Kundendaten, Vertragsunterlagen oder Finanzinformationen gehören dazu.

    Es gilt: Nicht jedes einzelne System muss sofort vollständig erfasst werden. Sinnvoller ist es, zunächst die fünf bis zehn wichtigsten Systeme und Datenbestände zu identifizieren. Die zentrale Frage lautet: Welche Daten oder Systeme würden den Betrieb massiv beeinträchtigen, wenn sie ausfallen, manipuliert oder verschlüsselt würden? Bereits diese Priorisierung schafft Transparenz und verhindert, dass Sicherheitsmaßnahmen nach Bauchgefühl statt nach tatsächlicher Kritikalität umgesetzt werden.

  2. Risiken bewerten
    Sind die wichtigsten Assets identifiziert, folgt die Risikobetrachtung. Auch hier heißt das Motto: Einfachheit schlägt Perfektion. Komplexe Risikomatrizen mit Dutzenden Bewertungsstufen erzeugen oft mehr Verwaltungsaufwand als Sicherheitsgewinn. Für viele (vor allem mittelständische) Unternehmen reicht zunächst eine einfache Einteilung in „niedrig“, „mittel“ und „hoch“. Entscheidend ist nicht mathematische Präzision, sondern die realistische Einschätzung: Wie wahrscheinlich ist ein Vorfall? Und welche Auswirkungen hätte er?

    Besonders relevant sind dabei Risiken rund um Datenverlust, Ransomware, fehlende Zugriffskontrollen oder unzureichende Backups. Denn gerade Backup-Systeme werden in KMU häufig unterschätzt. Ein vorhandenes Backup bedeutet noch lange nicht, dass sich Daten im Ernstfall tatsächlich wiederherstellen lassen. Restore-Tests gehören deshalb zwingend zur Sicherheitsstrategie.

    Ebenso entscheidend sind unnötige Berechtigungen. In vielen Unternehmen haben Mitarbeitende über Jahre hinweg Zugriff auf Systeme und Daten erhalten, die längst nicht mehr für ihre Aufgaben notwendig sind. Solche überprivilegierten Konten vergrößern die Angriffsfläche erheblich. Ein ISMS hilft dabei, genau diese Risiken sichtbar zu machen – und zwar nicht erst, wenn es zu spät ist.

  3. Verantwortlichkeiten festlegen
    Informationssicherheit scheitert selten ausschließlich an Technik. Häufig fehlt schlicht Klarheit darüber, wer zuständig ist. Genau deshalb gehört die Definition von Rollen und Verantwortlichkeiten zu den zentralen Bestandteilen eines ISMS.

    Vor allem in kleineren Unternehmen verteilen sich Sicherheitsaufgaben oft informell: Der Administrator kümmert sich um Backups, ein externer Dienstleister betreut die Firewall und die Geschäftsführung geht davon aus, dass „die IT das schon macht“. Im Ernstfall führt das schnell zu Unsicherheiten.

    Ein funktionierendes ISMS definiert deshalb klar, wer Risiken bewertet, wer Maßnahmen umsetzt und wer Entscheidungen trifft. Typischerweise liegt die operative Verantwortung bei der IT-Leitung oder Administratoren, während die Geschäftsführung Risiken akzeptieren oder Investitionen freigeben muss.

    Das klingt zunächst formal, hat aber praktische Auswirkungen. Wenn beispielsweise bekannt ist, dass kein ausreichender Endpoint-Schutz vorhanden ist oder Backup-Konzepte Lücken aufweisen, dann sollte dokumentiert werden, wie mit diesem Risiko umgegangen wird. Genau darum geht es im Kern eines ISMS: Risiken sichtbar machen, bewerten und Entscheidungen nachvollziehbar dokumentieren.

  4. Maßnahmen priorisieren
    Einer der größten Fehler in Sicherheitsprojekten besteht darin, alles gleichzeitig lösen zu wollen, jedoch ist auch hier Priorisierung entscheidend. Ein pragmatisches ISMS konzentriert sich zuerst auf Basis-Sicherheitsmaßnahmen. Dazu zählen insbesondere funktionierende Backup- und Restore-Prozesse, Zugriffskontrollen, Patch-Management sowie Schutzmaßnahmen gegen Phishing und Social Engineering.

    Untersuchungen belegen: Phishing und BEC (Business E-Mail Compromise) waren, sind und bleiben ein massives Risiko für Unternehmen. Gefälschte Rechnungen, manipulierte Zahlungsaufforderungen oder präparierte Anhänge gehören längst zum Alltag. Deshalb ist Security Awareness weiterhin relevant – auch wenn technische Schutzmaßnahmen vorhanden sind.

    Gleichzeitig sollten Unternehmen vermeiden, sich bei der Ausarbeitung eines ISMS zu früh in hochkomplexen Spezialthemen zu verlieren. Ein sauber umgesetztes Basisniveau bringt meist deutlich mehr Cyberhygiene als umfangreiche Dokumentation ohne operative Umsetzung. Oder anders formuliert: Lieber 80 Prozent sinnvoll umgesetzt, als 100 Prozent theoretisch beschrieben.

  5. Dokumentation aufsetzen
    Dennoch gehört auch Dokumentation zu jedem ISMS, allerdings nicht in Form unlesbarer Handbücher. Schon wenige Dokumente reichen aus, um Struktur zu schaffen. Dazu gehören typischerweise eine Übersicht über den Geltungsbereich des ISMS, eine Asset-Liste, ein Risikoregister sowie eine priorisierte Maßnahmenliste. Ergänzend sinnvoll sind einige Kernrichtlinien, etwa zu Zugriffskontrolle, Backup, Patch-Management oder Incident Response.

    Auch ein Incident-Log sollte vorhanden sein. Sicherheitsvorfälle – selbst kleinere Malware-Funde oder Phishing-Versuche – lassen sich dort dokumentieren und später auswerten. Wiederkehrende Vorfälle liefern oft wertvolle Hinweise auf strukturelle Schwachstellen. Wichtig ist dabei vor allem die Praxistauglichkeit. Eine Passwort-Richtlinie muss kein zehnseitiges Dokument sein. Wenn klar definiert ist, welche Anforderungen gelten, warum MFA (Multi-Faktor Authentifizierung) verpflichtend ist und wie Administrator-Konten gehandhabt werden, reicht häufig bereits eine halbe Seite, die im Ernstfall auch auffindbar sein muss. Die beste Dokumentation hilft schließlich wenig, wenn sie niemand liest oder im Ernstfall niemand weiß, wo sie liegt.

  6. Prozesse definieren
    Neben Dokumentation braucht ein ISMS funktionierende Prozesse. Dabei müssen diese keineswegs hochkomplex sein. Klar verständliche Abläufe sind meist deutlich wirksamer. Das beginnt beim Access Management: Wer erhält Zugriff auf welche Systeme? Wer genehmigt Berechtigungen? Wie oft werden bestehende Rechte überprüft? Über Jahre gewachsene Berechtigungsstrukturen zählen zu den häufigsten Sicherheitsproblemen – vor allem in KMU. Ebenso wichtig sind definierte Backup-Prozesse. Unternehmen sollten festlegen, welche Daten gesichert, wie lange sie aufbewahrt und wie Wiederherstellungen getestet werden. Viele Unternehmen verlassen sich auf Backups, ohne jemals überprüft zu haben, ob diese tatsächlich funktionieren.

    Hinzu kommt ein einfacher Incident-Response-Prozess. Wie werden Sicherheitsvorfälle erkannt? Wer wird informiert? Welche Systeme können isoliert werden? Welche externen Dienstleister müssen eingebunden sein? Auch hier gilt: Im Ernstfall helfen keine komplizierten Prozessdiagramme, sondern klare Zuständigkeiten und erreichbare Ansprechpartner.

    Nicht zuletzt gehört Patch-Management zu den Pflichtaufgaben eines ISMS. Systeme sollten möglichst automatisiert aktualisiert werden. Gerade angesichts immer kürzerer Zeitfenster zwischen Schwachstellenveröffentlichung und aktiver Ausnutzung wird schnelles Patchen zunehmend entscheidend
    .

  7. Regelbetrieb etablieren
    Zu guter Letzt muss bedacht werden: Ein ISMS ist kein Projekt mit Enddatum. Genau das wird in vielen Unternehmen unterschätzt. Informationssicherheit funktioniert nur dann nachhaltig, wenn sie Teil des Regelbetriebs wird. Dies bedeutet nicht zwangsläufig hohe Zusatzaufwände. Bereits kurze monatliche Reviews der wichtigsten Risiken können ausreichen, um Risikobewertung und Maßnahmen aktuell zu halten. Quartalsweise Abstimmungen mit der Geschäftsführung schaffen zusätzliche Transparenz. Hinzu kommen regelmäßige Prüfungen von Berechtigungen, Backup-Prozessen oder Sicherheitsvorfällen. Entscheidend ist dabei vor allem eines: Das ISMS muss gelebt werden. Dokumente, die nach ihrer Erstellung in der Schublade verschwinden, verbessern keine Informationssicherheit. Erst wenn Risiken regelmäßig überprüft, Maßnahmen angepasst und Verantwortlichkeiten tatsächlich wahrgenommen werden, entfaltet ein ISMS seinen Nutzen.

Fazit: Informationssicherheit muss praktikabel bleiben

Ein ISMS ist für Unternehmen − insbesondere für KMU − ein wirkungsvolles Instrument zur Priorisierung. Es hilft dabei, kritische Daten und Systeme sichtbar zu machen, Risiken strukturiert zu bewerten und Sicherheitsmaßnahmen nachvollziehbar umzusetzen. Entscheidend ist dabei nicht die Menge der Dokumentation, sondern ob Prozesse und Verantwortlichkeiten im Alltag tatsächlich funktionieren. Denn Informationssicherheit entsteht nicht durch Ordner und Richtlinien allein, sondern dadurch, dass Risiken verstanden, Maßnahmen umgesetzt und regelmäßig überprüft werden. Genau darin liegt der eigentliche Mehrwert eines ISMS.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2026
Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht

datensicherheit.de, 05.07.2016
KRITIS: TÜV Rheinland beschreibt fünf Vorteile der ISO 27001 für Betreiber

 

 



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung