Viele Unternehmen schreiben sich bei ISO 27001 sinngemäß auf: "Wir wollen Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen." Das klingt toll, ist aber als Informationssicherheitsziel zu dünn.
Vertraulichkeit, Integrität und Verfügbarkeit sind Schutzziele, also die Richtung. Ein Ziel im Sinne von ISO 27001 muss konkreter sein. Abschnitt 6.2 verlangt Informationssicherheitsziele und die Planung, wie diese erreicht werden sollen. Diese Ziele sollen zur Informationssicherheitspolitik passen, messbar sein, soweit praktikabel, relevante Anforderungen sowie Ergebnisse aus Risikobewertung und Risikobehandlung berücksichtigen, überwacht, kommuniziert und bei Bedarf aktualisiert werden.
Genau deshalb reicht es nicht, am Jahresende festzustellen: "Mit C, I und A sieht es insgesamt ganz gut aus."
Das ist keine Zielerreichung, sondern ein Blabla. Ein Ziel muss so formuliert sein, dass man erkennen kann, ob man ihm nähergekommen ist oder es erreicht hat.
Die kurze Antwort
Ein gutes Informationssicherheitsziel ist konkret, verständlich und anspruchsvoll, aber erreichbar. Es beschreibt nicht nur eine schöne Absicht, sondern eine echte Veränderung oder Verbesserung. ISO 27001 verlangt dazu nicht nur das Ziel selbst, sondern auch den Plan dahinter: Was wird getan, welche Ressourcen werden benötigt, wer ist verantwortlich, bis wann soll es fertig sein und wie wird das Ergebnis bewertet.
Das macht die Sache erfreulich bodenständig. Sie brauchen keine Philosophie über Informationssicherheit, sondern ein paar saubere Ziele, die tatsächlich etwas bewegen. Ein Ziel wie "Alle privilegierten Zugänge bis Ende Q3 auf persönliche Accounts mit MFA umstellen" ist brauchbar. "Wir wollen Vertraulichkeit stärken" ist eher ein Postertext. Und "Wir wollen alle irgendwie sicherer arbeiten" ist komplett daneben.
Schutzziele sind wichtig, aber noch keine Ziele
Vertraulichkeit, Integrität und Verfügbarkeit bleiben natürlich die Grundlage. Aber sie sind zunächst nur die Perspektiven, aus denen Sie auf Informationen und Risiken schauen.
Praktisch heißt das: "Wir setzen Vertraulichkeit, Integrität und Verfügbarkeit um" ist ungefähr so konkret wie "Wir wollen gesund leben." Das ist nicht falsch, aber daraus weiß noch niemand, was eigentlich passieren soll. Ein Ziel braucht deshalb einen klaren Bezug zu einer Veränderung, einem Ergebnis oder einem Zustand, den Sie in einem bestimmten Zeitraum erreichen wollen.
Woher gute Informationssicherheitsziele kommen
Gute Ziele fallen selten vom Himmel. Häufig ergeben sie sich aus Anforderungen interessierter Parteien, aus dem Risikobehandlungsplan, aus Auditergebnissen, aus Sicherheitsvorfällen, aus Managemententscheidungen oder aus erkannten Verbesserungsmöglichkeiten. Abschnitt 6.2 verlangt, dass Ziele relevante Informationssicherheitsanforderungen sowie Ergebnisse aus Risikobewertung und Risikobehandlung berücksichtigen.
Und im Management Review soll unter anderem auf die Erfüllung der Informationssicherheitsziele, die Ergebnisse der Risikobewertung, den Status des Risikobehandlungsplans und Verbesserungsmöglichkeiten geschaut werden.
Damit wird auch klar, warum Ziele nicht irgendwo losgelöst vom Rest des ISMS entstehen sollten. Wenn Kunden wiederholt stärkere Nachweise zu Zugriffssteuerung fordern, wenn aus dem Risiko-Workshop ein wackliges Berechtigungsmanagement hervorgeht oder wenn im internen Audit wiederholt fehlende Löschprozesse auftauchen, dann sind das sehr naheliegende Quellen für gute Ziele.
Messbar wenn machbar
Dieser kleine Zusatz ist wichtig. ISO 27001 verlangt nicht, dass jedes Ziel mit einer mathematischen Präzision von drei Nachkommastellen gemessen wird. Die Formulierung lautet „messbar, wenn praktikabel“. Das ist absichtlich vernünftig. Manche Ziele lassen sich direkt in Zahlen fassen, andere eher über klar definierte Zustände oder Meilensteine. Entscheidend ist trotzdem, dass man nicht im Nebel bleibt.
Ein gutes Ziel kann also numerisch sein, etwa "Phishing-Klickrate unter 5 Prozent senken". Es kann aber auch zustandsbezogen sein, etwa "Verfahren zur Rezertifizierung von Zugriffsrechten eingeführt und für alle Kernsysteme bis Jahresende angewendet". Wichtig ist nur, dass am Ende nicht diskutiert werden muss, ob man eigentlich fertig ist.
Es muss klar sein, wer was macht
Ein Ziel ohne Verantwortlichen ist meistens nur vage Hoffnung, denn meist erfüllen sie sich nicht von alleine. Abschnitt 6.2 verlangt deshalb, dass bei der Planung festgelegt wird, was getan wird, welche Ressourcen erforderlich sind, wer verantwortlich ist, bis wann es abgeschlossen sein soll und wie die Ergebnisse bewertet werden. Genau dieser Planungsteil macht aus einem Ziel ein steuerbares Vorhaben.
Praktisch sollte deshalb zu jedem Ziel mindestens feststehen: das genaue Ziel, der Owner, die wichtigsten Maßnahmen, benötigte Zeit oder Budgetmittel, der Zieltermin, der Rhythmus für Statusberichte und das Kriterium, nach dem Erfolg oder Nichterfolg beurteilt wird. Dafür braucht es kein schweres Tool. Eine gute Tabelle oder ein Ticket im Ticketsystem reicht oft völlig aus.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Unsere Informationssicherheitsziele sind Vertraulichkeit, Integrität und Verfügbarkeit."
Das sind Schutzziele, aber keine operativen Informationssicherheitsziele im Sinne von Abschnitt 6.2. ISO 27001 erlangt Ziele, die zum ISMS passen, soweit praktikabel messbar sind und geplant erreicht werden.
Der zweite Denkfehler ist, sich viel zu viele Ziele aufzuladen: Wenn sich eine Organisation 30 oder 40 Ziele setzt, kümmert sie sich am Ende oft ernsthaft nur um wenige. Das demotiviert das Team und macht das ISMS schwerfällig. Weniger, dafür sauber verfolgt, ist meist deutlich besser.
Besser fünf gute Ziele als vierzig dekorative
Informationssicherheitsziele sollen herausfordernd sein, aber erreichbar. Genau darin steckt ihr Wert. Wenn sie nur banal sind, bringen sie keine Verbesserung. Wenn sie völlig überzogen sind, werden sie schnell zu Frustmaschinen. ISO 27001 Anforderung 6.2 zwingt Unternehmen nicht zu einer bestimmten Anzahl, sondern zu vernünftiger Planung, Überwachung und Bewertung. Das spricht eher für eine überschaubare Zahl von Zielen, die wirklich priorisiert werden.
Ein Unternehmen, das sich fünf gute Ziele setzt und davon drei oder vier ernsthaft voranbringt, hat mehr gewonnen als eines, das vierzig Ziele dokumentiert und dann nur zufällig irgendwo Fortschritt hat. Das ist kein formaler Standardsatz, sondern schlichte Führungslogik. Der Standard liefert dafür den Rahmen, indem er Klarheit, Verantwortlichkeit und Bewertung verlangt.
Fortschritt muss berichtet werden
Ein Ziel, über das zwischendurch nie gesprochen wird, ist wie ein U-Boot, das in Kapstadt losfährt und hofft, ohne Navigationshilfe fehlerfrei examt am Nordpol aufzutauchen.
Fortschritt sollte deshalb in sinnvollen Abständen berichtet werden, zum Beispiel monatlich, quartalsweise oder entlang klarer Meilensteine. Abschnitt 6.2 verlangt, dass Ziele überwacht und kommuniziert werden. Und Abschnitt 9.3 verlangt im Management Review ausdrücklich die Betrachtung der Erfüllung der Informationssicherheitsziele.
Gerade deshalb gehören Informationssicherheitsziele nicht in die Schublade. Sie gehören auf die Tagesordnung des Management Reviews. Dort kann man nachschärfen, Ziele ändern, Ressourcen nachlegen, neue Ziele setzen, erfolglose Ziele beenden oder auch einmal bewusst festhalten, was erreicht wurde. Das Management Review ist genau dafür da, die Eignung, Angemessenheit und Wirksamkeit des ISMS regelmäßig zu überprüfen und Entscheidungen zur Verbesserung zu treffen.
Was will der Auditor sehen?
Ein Auditor will hier in aller Regel keine motivierenden Slogans sehen. Er will sehen, dass es dokumentierte Informationssicherheitsziele gibt, dass diese zu Ihrer Sicherheitsausrichtung passen, dass sie soweit praktikabel messbar sind und dass ihre Erreichung tatsächlich verfolgt wird.
Hilfreiche Nachweise sind deshalb eine Zielübersicht, die Planungsangaben je Ziel, Statusberichte oder Protokolle, nachvollziehbare Bewertungen der Zielerreichung und Management-Review-Unterlagen, in denen über die Ziele gesprochen wurde. Der Auditor will Ihr Steuerungsinstrument sehen.
FAQ
Nein. Das sind Schutzziele, aber keine hinreichend konkreten Informationssicherheitsziele nach Abschnitt 6.2. Der Standard verlangt Ziele, die geplant erreicht, überwacht und soweit praktikabel messbar sind.
Nein. Sie sollen messbar sein, wenn praktikabel. Das kann über Kennzahlen geschehen, aber auch über klar definierte Zustände, Meilensteine oder eingeführte Verfahren, sofern die Zielerreichung objektiv bewertet werden kann. Aber: je eher eine Messbarkeit da ist, desto eher lässt sich Fortschritt (und Rückschritt) sehen.
Abschnitt 6.2 verlangt, dass bei der Planung festgelegt wird, was getan wird, welche Ressourcen benötigt werden, wer verantwortlich ist, bis wann das Ziel erreicht sein soll und wie die Ergebnisse bewertet werden.
Typischerweise aus relevanten Anforderungen, aus Risikobewertung und Risikobehandlung sowie aus Verbesserungsbedarf. Das steht in Anforderung 6.2 und wird im Management Review wieder aufgegriffen.
Ja. Auditoren erwarten regelmäßig, dass das Top-Management die Informationssicherheitsziele kennt und im Management Review über ihre Erfüllung spricht.
Der Standard nennt keine feste Zahl. In der Praxis sind wenige priorisierte Ziele meist sinnvoller als eine überladene Liste, die später nicht aktiv verfolgt wird. ISO 27001 verlangt Qualität der Planung und Nachverfolgung, nicht Masse.
Unser Tipp
Formulieren Sie Informationssicherheitsziele so, dass ein Dritter in einem Satz verstehen kann, was erreicht werden soll, wer es treibt, bis wann es erledigt sein soll und woran man Erfolg erkennt. Wenn das nicht gelingt, ist es meistens noch kein gutes Ziel. Wenige saubere Ziele bringen Ihr ISMS fast immer weiter als ein ambitionierter Ziel-Friedhof.
Interesse geweckt?
Wenn Sie Informationssicherheitsziele im Rahmen einer ISO 27001-Einführung sauber festlegen und wirksam steuern wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!