Bewertung des ISO 27001 Standards für den Einsatz in KMU

Mag. Jakub Pasikowski, BSc

Dozent: DI Herfried Geyer

Ausgangslage

Die österreichische Wirtschaft besteht fast zur Gänze aus kleinen und mittelgroßen Unternehmen (KMU). Durch die allgegenwärtige Digitalisierung werden diese Unternehmen einer Welle neuer Gefahren ausgesetzt. Große Unternehmen setzen deswegen bereits seit Jahren auf Informationssicherheitsmanagement. Die gängige Meinung ist jedoch, dass die vorhandenen Standards, wie die ISO 27001 zu umfangreich, kompliziert und letzten Endes zu teuer sind, um auch von KMU eingesetzt zu werden.

Wie sehen das jedoch die Unternehmen selbst? Ist eine Einführung eines Informationssicherheitsmanagementsystems tatsächlich zu teuer oder gibt es andere Gründe, weshalb die Umsetzung bisher hauptsächlich großen Unternehmen vorbehalten geblieben ist? Können KMU die Maßnahmen zur Implementierung von Informationssicherheit selbst umsetzen oder ist externe Hilfe, etwa von einem Beratungsunternehmen, nötig? Welche Maßnahmen sind aus Sicht der Unternehmen erforderlich?

Ziel

Um diesen Fragen nachzugehen, analysiert die Arbeit die Umsetzbarkeit der vom ISO 27001 Standard empfohlenen Maßnahmen in KMU und stellt diese Analyse den Ergebnissen einer Umfrage gegenüber, die im Juni 2018 unter österreichischen IT-KMU durchgeführt wurde. Dabei werden die einzelnen Maßnahmen unter den Aspekten der finanziellen Leistbarkeit, des zeitlichen Aufwandes, des notwendigen Knowhows und der Relevanz für das Unternehmen betrachtet.

Ergebnis

Daraus konnten drei zentrale Ergebnisse gezogen werden. Erstens werden von den Unternehmen nicht die finanziellen Mittel als zentrale Hürde für die Umsetzung gesehen, sondern die dafür notwendigen zeitlichen Aufwände und zusätzlichen Verantwortungen.

Zweitens schätzen die befragten IT- Betriebe ihre eigenen Kenntnisse als ausreichend gut ein, um sich eine selbständige Umsetzung der Maßnahmen zuzutrauen und sehen sich nicht auf externe Beratung angewiesen. Drittens hat ein Großteil der befragten Unternehmen bereits viele der vorgeschlagenen Maßnahmen umgesetzt und befindet sich damit auf halbem Weg zu einer ISO 27001 Zertifizierung.