Für IT-Dienstleister ist ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 heute wichtiger denn je. Die Einführung bringt nicht nur Herausforderungen mit sich, sondern eröffnet auch neue Chancen – für mehr Struktur, Sicherheit und Vertrauen. In diesem Beitrag blicken wir auf unsere eigene Reise zurück und teilen offen, was wir heute anders machen würden.
Bei Netstream glich die Einführung unseres Informationssicherheitsmanagementsystems (ISMS) im Jahr 2022 eher einem Hauruck-Verfahren. Trotzdem schafften wir es, das ISMS in knapp drei Monaten umzusetzen. Nach unserem ersten Rezertifizierungsaudit – dieses findet alle drei Jahre statt – blicken wir zurück und fragen uns: Würden wir das heute wieder so machen? Nicht ganz.
Unsere ursprünglichen Erwartungen waren alles andere als optimistisch. Als wir uns zum ersten Mal mit dem Gedanken einer ISO 27001-Zertifizierung befassten, gingen wir von Kosten im sechsstelligen Bereich aus – und rechneten mit einer Projektlaufzeit von ein bis zwei Jahren. Kein Wunder, dass das Thema zunächst wieder auf dem Abstellgleis landete.
Mit zunehmendem Marktbedarf und steigenden Anforderungen an die Informationssicherheit haben wir uns schliesslich entschieden, das Thema proaktiv anzugehen. Unser Ziel war klar: Die ISO 27001-Zertifizierung effizient und nachhaltig umzusetzen – und zwar so, dass sie zu uns als KMU passt.
Schritte zu unserem ISMS-Aufbau: Umsetzung und Erkenntnisse
1. Budget realistisch einschätzen
Offen gestanden hatten wir anfangs keine klare Vorstellung, welche Kosten bei der Einführung eines ISMS tatsächlich auf uns zukommen würden. Frühere Hochrechnungen erschienen uns eindeutig zu hoch. Deshalb entschieden wir uns für einen pragmatischen Ansatz: Statt mit einem fixen Budgetrahmen zu arbeiten, haben wir uns überlegt, was uns der Schritt zur ISO 27001-Zertifizierung grundsätzlich wert ist – und diesen Richtwert laufend hinterfragt.
Für viele mag ein Projektstart ohne festgelegtes Budget abschreckend wirken. Doch gerade mit einem kleinen Team und kurzen Entscheidungswegen hat uns dieser flexible Rahmen geholfen, gezielt zu investieren – ohne die Kontrolle zu verlieren.
2. Hilfe annehmen
Uns war von Beginn an klar: Ohne professionelle Unterstützung wird es schwierig. Also machten wir uns auf die Suche nach einem Beratungspartner, der unsere Situation versteht und uns dabei hilft, ein ISMS aufzubauen, das zu uns passt – pragmatisch, effizient und machbar im Alltag.
3. ISMS in der richtigen Dimension
Wir wollten kein System schaffen, das zwar auf dem Papier überzeugt, im Betrieb aber kaum umsetzbar ist. Deshalb haben wir von Anfang an darauf geachtet, dass unser ISMS pragmatisch bleibt – ohne den Anspruch zu verlieren, die ISO 27001-Anforderungen ernsthaft und nachvollziehbar zu erfüllen.
4. Team einbeziehen – nicht nur informieren
Machen Sie nicht den Fehler, die Entscheidung zur Einführung eines ISMS einfach über den Zaun zu werfen. Es sind letztlich die Mitarbeitenden, die das System leben müssen.
Deshalb war es uns wichtig, zentrale Personen frühzeitig einzubinden, anstatt nur zu informieren. Wir haben offen über Ängste und Vorbehalte gesprochen, aber auch Ideen aus dem Team aufgenommen und in die Umsetzung integriert.
5. Tools und Struktur früh klären
Unsere erste Version des ISMS war über verschiedenste Tools und Plattformen verstreut: Word, Excel, Confluence und unzählige Ordner.
Spezialisierte Software ist zwar nicht zwingend notwendig, kann aber gerade bei Themen wie Risikomanagement oder Richtlinienverwaltung enorm unterstützen.
Heute setzen wir auf eine zentrale ISMS-Lösung, ergänzen sie aber gezielt mit Tools wie Confluence und Jira – weil sie sich bei uns im Alltag bewährt haben. Was zusätzlich hilft: Eine klare und einfache Leitlinie für Mitarbeitende, wo welche Inhalte zu finden sind.
6. Den Anwendungsbereich bewusst definieren
Was gehört eigentlich alles zu unserem ISMS? Zu Beginn hatten wir darauf ehrlich gesagt keine klare Antwort.
Heute wissen wir: Ein gut abgesteckter Anwendungsbereich vereinfacht nicht nur die Dokumentation, sondern auch den gesamten Zertifizierungsprozess. Wir haben uns damals schrittweise herangetastet.
7. Risiken richtig erfassen – und nicht darin versinken
Unsere erste Risikoanalyse war ein unübersichtliches Excel-Monster, das uns regelmässig Kopfschmerzen bereitete. Wir waren uns oft selbst nicht sicher, was wir da eigentlich gerade bewerten.
Relativ schnell wurde klar: Wir brauchen eine Lösung, die uns hilft, Risiken strukturiert und nachvollziehbar zu erfassen – und dabei auch die nötige Übersicht bewahrt.
Der Umstieg von Excel war zwar aufwendiger als gedacht, hat sich aber gelohnt. Heute arbeiten wir mit einem spezialisierten SaaS-Tool, das uns sowohl bei der Bewertung als auch beim Nachverfolgen der Risiken unterstützt.
8. Richtlinien entwickeln, die man auch leben kann
Eine Richtlinie ist schnell geschrieben, aber noch lange nicht automatisch hilfreich.
Wir haben früh gemerkt, dass es entscheidend ist, sich bei jeder Policy zu fragen: Ist sie wirklich relevant? Ist sie verständlich? Und vor allem: Können wir sie im Alltag umsetzen?
Die Gefahr ist gross, sich zu verzetteln und am Ende ein System zu schaffen, das zwar formal korrekt ist, aber niemand wirklich lebt. Unser Ziel war deshalb stets: So viel wie nötig, so wenig wie möglich.
9. Dokumentieren, dokumentieren, dokumentieren
Ein zentraler, aber zugleich mühsamer Aspekt des ISMS. Wenn die Dokumentation nicht von Anfang an mitgedacht wird, rächt sich das später. Auditoren möchte am Ende Nachweise sehen.
ISO 27001 schreibt nicht vor, wie dokumentiert werden muss – und genau darin liegt die Chance. Wir haben für uns einen Weg gewählt, der zu unserer Arbeitsweise passt: Heute setzen wir auf Jira, ergänzt durch Confluence, und dokumentieren direkt dort, wo wir ohnehin arbeiten. Das spart Zeit und schafft Übersicht.
10. Nicht jede:r muss die Cryptographic Policy kennen
Einer der grössten Trugschlüsse bei der Einführung eines ISMS: dass jetzt alle alles wissen müssen. Müssen sie nicht. Statt ganze Richtliniensammlungen zu verteilen, haben wir gezielt überlegt: Wer braucht welches Wissen? Eine gut platzierte Info bringt mehr als 40 Seiten Policy, die niemand liest.
11. Audit ohne Panik? Vorbereitung hilft.
Bei unserem ersten Audit Anfang 2022 kam alles zusammen: Pandemie, Online-Audit und ein halbes Team krank. Auditiert wurde per Videocall – mit geteiltem Bildschirm, spontanen Fragen und der Erwartung, dass alle Dokumente auf Anhieb auffindbar sind. Wir hatten zwar alles irgendwo abgelegt, aber die Suche nach bestimmten Nachweisen in dem Moment war… sagen wir: herausfordernd.
Heute wissen wir, was hilft: Alle relevanten Nachweise, Policies, Reports und Links vorher zusammenstellen – am besten nach Norm-Kapitel sortiert. So bleibt der Puls unten, auch wenn die Kamera läuft.
12. Nach der Zertifizierung ist vor der Zertifizierung
Hat man das Zertifikat einmal in der Hand, könnte man meinen: geschafft. Aber genau genommen geht die Arbeit danach erst richtig los.
Seit unserer Erstzertifizierung haben wir unser ISMS mehr als einmal komplett über den Haufen geworfen – neu gedacht, neu sortiert, neu aufgebaut. Nicht aus Spass, sondern weil wir gemerkt haben: Ein ISMS muss zum Unternehmen passen, nicht umgekehrt.
Wir sehen das heute gelassener: Das ISMS ist kein abgeschlossenes Projekt, sondern ein lebender Teil unseres Betriebs. Und wenn man’s richtig anpackt, sogar ein ziemlich nützlicher.
Fazit
Unser Einstieg in die Welt der Informationssicherheit war eher holprig – mit vielen Fragen, ein paar Umwegen und einigen spontanen Entscheidungen.
Heute, drei Jahre später, haben wir ein ISMS, das zu uns passt: lebbar, wirksam und kontinuierlich in Bewegung.
Was wir gelernt haben? Dass Perfektion nicht das Ziel sein sollte. Ein ISMS darf wachsen, sich anpassen und auch mal neu gedacht werden – Hauptsache, es bleibt praxistauglich.
Und ja: Die Investition hat sich gelohnt. Nicht nur, weil wir jetzt zertifiziert sind, sondern weil wir Risiken besser verstehen, unsere Prozesse klarer strukturiert haben – und das Vertrauen unserer Kunden und Partner gestärkt wurde.
Für alle, die vor der Entscheidung stehen: Starten Sie pragmatisch, bleiben Sie flexibel – und sehen Sie das ISMS nicht als Pflichtübung, sondern als Chance, das Unternehmen besser aufzustellen.
