ISMS trifft Security Operations

Warum Governance ohne Betrieb nicht funktioniert

Viele Unternehmen investieren heute in Informationssicherheit und bauen ein Information Security Management System (ISMS) auf. Auf dem Papier ist damit vieles geregelt: Richtlinien existieren, Risiken sind bewertet, Prozesse definiert. Doch in der Praxis zeigt sich häufig ein anderes Bild.

Security-Massnahmen greifen nicht konsequent, Verantwortlichkeiten bleiben unklar und Sicherheitsentscheidungen werden weiterhin reaktiv getroffen. Das eigentliche Ziel eines ISMS,  Sicherheit systematisch zu steuern, wird oft nicht erreicht. Warum ist das so?

Ein häufiger Grund: Governance und Security-Betrieb sind nicht ausreichend miteinander verbunden.

Warum viele ISMS in der Praxis scheitern

Viele Organisationen verfügen heute über ein ISMS. Dennoch bleibt seine Wirkung im Alltag häufig begrenzt.

Aus der Praxis zeigen sich typische Muster:

• ISMS-Strukturen werden primär in MS-Office-Dokumenten abgebildet
• der Fokus liegt auf Audits statt kontinuierlicher Steuerung
• Management-Commitment fehlt oder ist zu schwach ausgeprägt
• Richtlinien existieren, werden aber nicht in operative Prozesse übersetzt
• Risikoanalysen bleiben zu abstrakt und ohne Bezug zum Betrieb
• Verantwortlichkeiten sind nicht klar geregelt
• Inhalte werden nicht regelmässig aktualisiert

Rolf Wagner von fortControl beschreibt es so: «Es ist erfreulich, dass immer mehr Unternehmen ein ISMS aufbauen, doch oft endet das Ganze beim Nachweis von Compliance, nicht bei wirksamer Sicherheit. Das Managementsystem bleibt auf der Governance-Folie, anstatt den operativen Alltag zu steuern.»

Ein audit-orientierter Ansatz beantwortet häufig nur die Frage: Sind wir compliant?
Die wichtigere Frage bleibt dagegen offen: Sind wir tatsächlich geschützt?

Gerade in dynamischen IT-Umgebungen mit Cloud-Services, Remote Work und neuen Bedrohungsszenarien reicht es nicht mehr aus, Richtlinien einmal jährlich zu überprüfen. Sicherheit muss kontinuierlich gesteuert und angepasst werden.

Was Security Operations ohne ISMS fehlt

Auch aus Sicht des Security-Betriebs zeigt sich schnell, wenn ein strukturiertes ISMS fehlt. Security-Teams erkennen zwar Ereignisse und Angriffe, doch ohne klare Governance fehlen oft wichtige Entscheidungsgrundlagen.

Typische Herausforderungen sind:

• fehlende Priorisierung von Risiken und Massnahmen
• unklare Risikobewertung
• Incident Response ohne geschäftlichen Kontext
• fehlende Verantwortlichkeiten und Eskalationswege
• keine systematische kontinuierliche Verbesserung
• fehlende Verbindung zur Security-Architektur

Was bedeutet das für die Praxis?

Ein Security Operations Center erkennt:

• eine kritische Schwachstelle
• einen ungewöhnlichen Login
• einen möglichen Angriff

Doch ohne ein funktionierendes ISMS fehlen entscheidende Informationen:

• Welche Assets sind besonders kritisch?
• Welche Geschäftsprozesse sind betroffen?
• Welche Risiken sind akzeptabel und welche nicht?
• Wer trägt die Entscheidungsverantwortung?
• Welche Reaktionsprozesse sind definiert?

Maxim Lachmann von Inseya beschreibt diese Situation so: «Viele Unternehmen haben ein ISMS etabliert, doch im Alltag scheitert es oft an der konsequenten Umsetzung. Sicherheitsmassnahmen konkurrieren mit operativen Anforderungen und werden deshalb zurückgestellt. Entscheidend ist daher nicht die Dokumentation, sondern die Integration in den Arbeitsalltag.»

Ohne diese Verbindung entsteht häufig ein anderes Problem: Unternehmen investieren stark in Security-Tools, ohne dass diese Teil eines konsistenten Sicherheitskonzepts sind.

«Häufig sehe ich Unternehmen mit vielen Security-Tools, aber ohne klare Struktur. Technologien existieren nebeneinander, während Governance, Priorisierung und Abstimmung zu kurz kommen.»

Das Ergebnis ist Komplexität statt Sicherheit.

Wenn Governance, Architektur und Betrieb zusammenarbeiten

Der eigentliche Mehrwert entsteht erst dann, wenn Governance, Architektur und Security-Betrieb miteinander verzahnt werden.

Ein funktionierender Sicherheitsansatz basiert auf einem kontinuierlichen Regelkreis:

• Der Schutzbedarf von Geschäftsprozessen und Assets ist bekannt
• Risiken werden strukturiert analysiert und bewertet
• Security-Massnahmen werden gezielt definiert und priorisiert
• Monitoring und Incident Response werden umgesetzt
• Erkenntnisse aus dem Betrieb fliessen zurück ins ISMS

So entsteht ein Kreislauf:

Maxim Lachmann beschreibt diese Verzahnung so: «Der grösste Mehrwert entsteht an den Schnittstellen zwischen Governance, Architektur und Security-Betrieb. Governance definiert die Sicherheitsstandards, Architektur übersetzt diese in Systemlösungen und der Security-Betrieb überwacht die Umsetzung und liefert Feedback.»

In diesem Zusammenspiel wird ein ISMS zu dem, was es eigentlich sein soll: ein Steuerungsinstrument für Sicherheit, nicht nur ein Compliance-Nachweis.

Fazit: Sicherheit braucht Governance und Betrieb

Informationssicherheit lässt sich weder allein durch Dokumentation noch allein durch Technologie erreichen.

Ein wirksamer Sicherheitsansatz entsteht erst, wenn:

• Risiken strukturiert bewertet werden
• Sicherheitsarchitekturen daraus abgeleitet werden
• Security-Massnahmen im Betrieb überwacht und verbessert werden

Oder anders formuliert: Governance definiert die Richtung. Der Security-Betrieb sorgt dafür, dass Sicherheit im Alltag tatsächlich funktioniert.

Unternehmen, die beide Perspektiven miteinander verbinden, schaffen nicht nur Compliance, sondern eine nachhaltige und wirksame Sicherheitsstrategie.

Wie gut unterstützt Ihr ISMS die Sicherheit im operativen Alltag?

In einem kurzen Austausch besprechen wir das gern mit Ihnen zusammen: