Mitbegründer von IsoPlanner Ivar van Duuren über die praktische Anwendung von ISO-Normen

Die ISO-Zertifizierung klingt nach einem logischen Schritt zu einem besseren Risiko Management und stärkere Informationssicherheit für viele Organisationen. Jeder, der glaubt, dass es nur darum geht, Dokumente auszufüllen und Kästchen anzukreuzen, wird enttäuscht sein.Ivar van Duuren, Gründer von IsoPlanner (selbst nach ISO 27001 zertifiziert), bietet einen offenen Einblick in das, was es wirklich mit der Umsetzung von ISO-Normen auf sich hat. Und wo seiner Meinung nach oft Dinge schief gehen.

Erste Schritte mit der ISO-Zertifizierung: Die Kunst der Einfachheit

„Welchen Rat würde ich meinem jüngeren Ich geben?“ Ivar denkt einen Moment nach. „Versuche die Dinge einfach zu halten. Vor allem bei etwas wie ISO 27001 besteht die Gefahr, dass zu viel getan wird.“ Die Norm ist oft abstrakt, und angesichts der Fülle von Meinungen und Interpretationen lauert die Gefahr einer Überimplementierung an jeder Ecke. Sein Rat: Fangen Sie klein an, halten Sie es praktisch und machen Sie vor allem nicht zu viel auf einmal. „Je weniger du zuerst tust, desto besser. Und wenn du am Ende viel tust, dann weißt du wenigstens, dass es wichtig ist.“

ISO-Richtlinien, Verfahren und Anweisungen: Worum geht es dabei?

Die ISO-Norm selbst legt selten explizit fest, was Sie dokumentieren müssen, aber: „Was Sie wirklich benötigen, ist begrenzt. Nützlich ist viel mehr. „Viele Unternehmen haben Probleme mit dem Unterschied zwischen Richtlinien, Verfahren und Arbeitsanweisungen. Ivar erklärt es deutlich:

• Richtlinie: Vereinbarungen über Ihre Ziele. Erstellen Sie beispielsweise jeden Tag ein Backup.
• Verfahren: Wie organisiert man diesen Prozess, wer macht was.
• Arbeitsanweisungen: Schrittweise Erklärung von wie du tust etwas. Zum Beispiel: Loggen Sie sich in System X ein, klicken Sie auf die Schaltfläche Y.

Was sind die wirklich entscheidenden ISO-Maßnahmen?

„Sie müssen beispielsweise nicht alle in ISO 27001 Anhang A genannten Maßnahmen umsetzen“, erklärt Ivar. „Sie müssen nachweisen, dass Sie mit Risiken umgehen und geeignete Maßnahmen wählen.“ Einige Maßnahmen sind jedoch fast immer vorhanden: „Zugriffsmanagement zum Beispiel. Man muss einfach sicher sein, dass nur die richtigen Personen Zugriff auf vertrauliche Informationen haben. Das sollte immer gut organisiert sein.“

Und wie beweist man Effektivität?

Eine Richtlinie allein reicht jedoch nicht aus. Eine Organisation muss auch nachweisen, dass die Maßnahmen funktionieren. Dies kann beispielsweise durch Stichprobenkontrollen erfolgen. „Wenn Sie sagen, dass jeder neue Mitarbeiter eine Sensibilisierungsschulung absolvieren muss, können Sie regelmäßig überprüfen, ob das tatsächlich passiert ist“, sagt Ivar. Die Dokumentation spielt dabei eine wichtige Rolle: nicht nur, was Sie tun, sondern auch, wie Sie es aufzeichnen. Ihm zufolge liegt darin der Wert spezialisierter Software: „Es hilft enorm, wenn Sie die Zusammenhänge zwischen Dokumenten, Maßnahmen und Risiken aufzeichnen können. Mit nur Ordnern in SharePoint wird es schnell unübersichtlich.“

Die ISO-Zertifizierung ist auch für Experten eine Menge Arbeit

Obwohl IsoPlanner auf die Unterstützung von ISO-Implementierungen spezialisiert ist, war der interne Prozess für Ivar alles andere als einfach. „Ungeachtet unseres Wissens dauerte es länger als erwartet, eine gute Richtlinie zu formulieren und ihre Konsistenz zu überwachen.“ Das liegt daran, dass die Informationssicherheit mehrere Abstraktionsebenen gleichzeitig betrifft: Richtlinien, Maßnahmen, Risiken und Anforderungen. „Du springst ständig zwischen diesen Ebenen hin und her. Eine Maßnahme ist in der Richtlinie enthalten, berührt ein Risiko und wird dann wieder in die Verfahren aufgenommen. Es erfordert viel Struktur, um diese Kohärenz aufrechtzuerhalten.“

KI- und ISO-Zertifizierung: ein Versprechen und eine Herausforderung

KI spielt auch in der Welt der Informationssicherheit eine immer wichtigere Rolle. „Wir haben IsoPlanner bereits um KI-Funktionen erweitert“, sagt Ivar. „Zum Beispiel, um die Dokumentation zu vereinfachen oder Risiken schneller zu erkennen.“ Er warnt jedoch vor überstürzten Erwartungen: „KI verspricht viel, muss aber praktisch umsetzbar sein. Es ist keine magische Lösung. Man muss ein Gleichgewicht zwischen Innovation und Anwendbarkeit wahren. „Lesen Sie auch: IsoPlanner KI-Assistent

Der Aufstieg von NIS2 und die Macht der Barrierefreiheit

Was Ivar derzeit begeistert, ist der Trend auf dem Markt in Bezug auf NIS2. „Immer mehr Organisationen fangen damit an. Was mir besonders gefällt, ist, dass Initiativen wie das NIS2-Qualitätszeichen von Samen Digitaal Veilig das Thema konkret und zugänglich machen. Für Organisationen, für die ISO 27001 immer noch eine Brücke zu sein scheint, ist dies ein guter Zwischenschritt.“

Schließlich: Eine ISO-Norm auf Papier erfordert immer noch die menschliche Berührung

Insgesamt ist die ISO-Zertifizierung mehr als nur eine Checkliste. Sie erfordert Reflexion, Kommunikation, Prioritätensetzung und kontinuierliche Anpassung. „Ganz gleich, welche Tools oder welche Unterstützung Sie haben, es bleibt letztlich ein Projekt, das in Ihrem Unternehmen implementiert werden muss.“ Wollen Sie also wirklich, dass die ISO-Zertifizierung funktioniert? Fangen Sie einfach an. Wisse, was du tust. Und vor allem: Stellen Sie sicher, dass jeder in Ihrer Organisation weiß, warum Sie das tun.