goSecurity BLOG

Das ist eine Frage, mit der sich jede Person auseinandersetzen muss, die mit einem ISMS-Projekt in Berührung kommt. Sei es das Management eines Unternehmens, das Ressourcen zur Verfügung stellen muss, der interne CISO, der endlich mehr Struktur in seinen Alltag bringen will, IT-Mitarbeitende, die für so etwas eigentlich keine Zeit haben, Beratungsunternehmen, die ein vernünftiges Angebot zusammenstellen wollen, sowie auch externe Berater oder Projektleiter, die das Unternehmen beim Aufbau ihres ISMS durch das Projekt führen. Und wie so oft gilt auch hier: je mehr Beteiligte, desto mehr Meinungen. Ich möchte mich in diesem Artikel mit diesem Thema etwas auseinandersetzen und hoffe, dass Sie als Leser danach ein ausgewogeneres Bild haben, was Sie in einem ISMS-Projekt erwartet – und wie lange ein solches dauern kann.

(Nur kurz der Vollständigkeit halber: ein ISMS ist ein Informations Sicherheits Management System, und es dient der Steuerung und Kontrolle der Informationssicherheits-Prozesse in einem Unternehmen. [1])

Die „jüngste“ IT-Projektart

Bevor wir etwas tiefer in das Thema eintauchen, muss man noch wissen, dass ISMS-Projekte möglicherweise eine der jüngsten Projektarten darstellt, die es in der IT gibt. So wurde die Norm ISO 27001, auf deren Basis man ein ISMS aufbauen kann, erstmals 2005 (in Englisch) veröffentlicht [2]. Und es dauerte etliche Jahre, bis sowohl die Norm, als auch das Thema ISMS eine gewisse Bekanntheit erlangte. Noch heute, bald 20 Jahre nach der ersten Veröffentlichung der ISO 27001 Norm, weiss in vielen Unternehmen niemand, um was es sich bei einem ISMS handelt – und das, obwohl das Thema Informationssicherheit für jedes Unternehmen ein Muss ist. Viele andere Projektarten, wie z.B. ERP-Release-Wechsel, Storage- und Servermigrationen, OS-Upgrades usw. sind wesentlich älter und bekannter, und jeder, der mit IT-Themen zu tun hat, kennt sie.

Unterschiedliche Erwartungshaltungen

Wie in der Einleitung bereits angedeutet, liegt die grösste Schwierigkeit bei der Beantwortung der Titelfrage darin, dass speziell bei ISMS-Projekten die Erwartungshaltungen teilweise diametral auseinanderliegen. Das Management wird sich gegen „noch ein Projekt“ zuerst sträuben, und ist die Notwendigkeit erkannt, will man es möglichst schnell und kostengünstig abwickeln. Schliesslich braucht man das Geld für „Wichtigeres“ (weil man das Thema ISMS eben nicht richtig kennt und einschätzen kann) – suchen Sie sich eines der letztgenannten Projekte im vorherigen Abschnitt aus. Auf der entgegengesetzten Seite findet man nebst externen Dienstleistern und Beratern den CISO, der in groben Zügen weiss, wo sich die Schwächen im Bereich Informationssicherheit befinden, und diese unbedingt beheben will. Und die grösste Hemmschwelle sind die heute immer und überall sehr knapp berechneten personellen Ressourcen, woraus resultiert, dass eben eigentlich niemand Zeit für ein solches Projekt hat.

Ein erster Richtwert

Ich mache es kurz: rechnen Sie bis zu einer Unternehmensgrösse von 1000 Mitarbeitenden mit einer Projektdauer von mindestens einem Jahr. Je grösser der Konzern, desto länger wird das Projekt dauern, da umfangreichere Strukturen und IT-Prozesse den Aufbau des ISMS ebenfalls komplexer werden lassen. Und ja – kleinere Unternehmen können ein ISMS auch in einer kürzeren Zeit aufbauen, dies ist aber ebenfalls von grundlegenden Einflussfaktoren abhängig, auf die ich im nächsten Abschnitt eingehen werde.

Die wichtigsten Einflussfaktoren

Leitfaden für erfolgreiche Projekte gibt es viele, und es ist nicht mein Anspruch, Ihnen in diesem kurzen Blog-Artikel aufzuzeigen, wie man Projekte richtig durchführt, denn das würde hier den Rahmen sprengen. Aber ich zeige Ihnen nachfolgend vier Faktoren auf, die aus meiner Erfahrung am meisten Einfluss auf ein ISMS-Projekt ausüben:

• dem Projekt zugeordnete interne Ressourcen: dies ist der grösste und einflussreichste Faktor überhaupt, und zugleich der Hauptgrund, weshalb ISMS-Projekte oft deutlich länger dauern als erwartet. Ein externer Berater kann zwar aufzeigen, was es alles zu tun gibt, und er kann sogar mit Vorlagen behilflich sein, aber letztendlich müssen die zahlreichen Richtlinien geschrieben, Prozesse aufgezeichnet und Abläufe in der IT dokumentiert werden – und zwar von internen Fachspezialisten. Auch das Einrichten der verschiedenen ISMS-Funktionen und Workflows kostet Zeit. Hängt das alles an einer einzelnen (internen) Person, und hat diese womöglich sogar nur eingeschränkt Zeit, dann ist ein langandauerndes Projekt vorprogrammiert.

• Aufbau der Unternehmensstruktur: ein Konzern, der saubere und geordnete Prozesse und Abläufe sowie klar definierte Zuständigkeiten besitzt, wird flüssig durch ein ISMS-Projekt kommen. Je heterogener aber ein Unternehmen strukturiert ist – z.B. aufgrund unvollständiger Konsolidierung nach einer Fusion oder zu schnellem Wachstum – desto schwieriger gestaltet sich die Umsetzung strukturierter Prozesse aus dem ISMS. Unternehmen, welche ihre Prozesse bereits früher optimiert haben, z.B. aufgrund einer ISO 9001 (Qualitäts-Management) Zertifizierung, sind hier klar im Vorteil.

• Unterstützung des Managements: ein ISMS-Projekt, das vom Management aktiv gepusht wird, wird wesentlich schneller vorankommen als eines, das eher widerwillig geduldet wird. Die Vorbildfunktion im Management kann für ein erfolgreiches ISMS-Projekt matchentscheidend sein! Und ganz nebenbei erwähnt, erfüllt ein proaktives Management auch viel einfacher die entsprechenden Anforderungen aus der ISO 27001 Norm, welches die „oberste Leitung“ (ISO 27001, Kapitel 5) in die Pflicht nimmt.

• Ausgewogene Grösse des Projektteams: Genau so, wie bereits oben erwähnt eine einzelne Person wahrscheinlich nicht in der Lage ist, den gesamten Aufwand zu bewältigen, kann auch ein zu grosses Projektteam hinderlich sein. Endlose Diskussionen und Follow-Ups aufgrund Uneinigkeit könnten ein ISMS-Projekt sogar dauerhaft gefährden. Besser ist ein kleines, aber effizientes Projektteam, in dem jede Person ihre Stärken voll ausspielen kann, und das zielgerichtet vorwärts arbeitet.

Fazit

Natürlich gibt es noch weitere Einflussfaktoren, wie z.B. das zur Verfügung stehende Budget, welches ausreichend bemessen sein sollte oder die Wahl einer Beratungsfirma, welche mit guten Vorlagen das Projekt beschleunigen kann. Grundsätzlich gilt: macht sich ein Unternehmen vor dem Start eines ISMS-Projektes Gedanken zu den obigen Punkten, und trifft es die richtigen Entscheidungen, dann stehen die Chancen für ein geordnetes und zeitlich optimales Projekt gut. Überraschungen wird es immer geben, wie in jedem anderen Projekt auch. Planen Sie bei der Laufzeit des Projektes auch genügend Reserve ein, nach dem Motto „always expect the unexpectable“. Dann wird Ihr ISMS-Projekt im Grossen und Ganzen genau so lange dauern, wie Sie sich das vorgestellt haben.

Quellen

[1] : Information Security Management System

[2] : ISO/IEC 27001