22. Juni 2023

ISO 27001 – ein Fall für die Rechtsabteilung?

Von Joachim Reinke

Juni 22, 2023

Compliance, ISO 27001, Rechtsbteilung

ISO 27001 - ein Fall für die Rechtsabteilung? Bei der Umsetzung eines ISO 27001- Projektes stehen viele Organisationen oft vor der Frage zu entscheiden, welche Abteilung die Verantwortung für das Thema übernehmen soll.

Wir erleben häufig, dass diese Verantwortung der Rechtsabteilung übertragen wird. Das erscheint auch zunächst einmal naheliegend: Die ISO 27001 ist ein Compliance-Thema. Und Compliance-Themen werden gerne an die Rechtsabteilung gegeben.

In diesem Artikel schildern wir unsere Erfahrungen, wenn Rechtsabteilungen die Regie im ISO 27001 Projekt übernehmen.

ISO 27001 - ein Compliance-Projekt: Thema für die Rechtsabteilung?

Rechtsabteilungen haben einige spezifische Herausforderungen, wenn sie das Thema ISO 27001 Compliance umsetzen sollen. Wir gehen auf die wichtigsten ein:

Verständnis der Organisationsprozesse

Rechtsabteilungen konzentrieren sich in in ihrer täglichen Arbeit häufig in erster Linie auf Verträge und Einhaltung gesetzlicher Vorschriften. Ihr Fachwissen weniger darin, die Feinheiten der Organisationsprozesse zu verstehen oder zu adaptieren. Wenn Rechtsabteilungen für die ISO 27001-Konformität verantwortlich sind, können sie Schwierigkeiten haben, die technischen und betrieblichen Aspekte der Informationssicherheit zu erfassen.

Wissen im Bereich IT-Sicherheit

Die ISO 27001 erfordert ein umfassendes Verständnis von IT-Sicherheitspraktiken. Rechtsabteilungen verfügen von Natur aus möglicherweise nicht über die erforderliche Expertise in bspw. Bereichen wie Anti-Malware-Maßnahmen, Authentifizierungsmanagement, Mobile Device Management (Universal Endpoint Management) oder Cloud-Security. Dadurch können wichtige Sicherheitsaspekte übersehen oder unzureichend berücksichtigt werden.

Praktikabilität

Die Daseinsberechtigung einer jeden Rechtsabteilung liegt darin, das eigene Unternehmen vor rechtlichen Folgen zu schützen. Dieser Ansatz zieht sich wie ein roter Faden durch ISO 27001-Projekte, die die Rechtsabteilung umsetzt. In Folge mangelnder Erfahrung in Bereichen

  • "Was ist technisch möglich und sinnvoll?" und auch
  • "Wie organisieren wir es in der Firma?"

 gibt es dann häufig Regelungen, die entweder völlig inpraktikabel oder sogar bedrohlich sind. So wie diese hier, die wir neulich gefunden haben:

Und so sollte eine Regelung nicht aussehen:

"Alle Mitarbeiter müssen zu jeder Zeit alle nationalen wie internationalen gesetzlichen Regelungen zur Verschlüsselung wichtiger Daten einhalten. Eine Zuwiderhandlung kann seitens der Firma durch Entlassung und Schadensersatzforderungen geahndet werden."


Ein solcher Ansatz ist zum einen völlig realitätsfern und schafft zudem eine Atmosphäre der Angst, was zu kontraproduktiven Ergebnissen führt. Aber die Rechtsabteilung hat ihre Aufgabe erfüllt: Die Haftbarkeit liegt nicht mehr beim Unternehmen.

Wie geht's denn besser?

Der bessere Ansatz ist dieser: Stellen Sie ein Projektteam zusammen. Sie benötigen die folgenden Rollen:

  1. Projektmanager: Ein Projektmanager mit fundierten Kenntnissen in Projektsteuerung und -führung ist von entscheidender Bedeutung. Diese Person kann das gesamte Projekt effektiv koordinieren, die Teammitglieder einbinden, regelmäßige Berichte an die Geschäftsführung liefern und Hindernisse identifizieren sowie zusätzliche Ressourcen ermitteln, die möglicherweise benötigt werden.
  2. Branchenkenner (Prozessexperten): Das Projektteam sollte aus Mitgliedern bestehen, die das Geschäft und die betrieblichen Abläufe der Organisation gut verstehen. Sie müssen wissen, welche Aspekte "sicher gemacht werden müssen" und wie die ISO 27001-Anforderungen auf das spezifische Geschäftsumfeld zugeschnitten werden können. Dieses Verständnis ist entscheidend, um die Sicherheitsmaßnahmen effektiv anzuwenden und Compliance zu gewährleisten.
  3. Personalabteilung (HR): Personalsicherheit ist ein wichtiger Aspekt der ISO 27001. Die Einbindung von Vertretern der Personalabteilung im Projektteam ermöglicht eine umfassende Betrachtung dieser Thematik. Sie können sicherstellen, dass Sicherheitsrichtlinien und -verfahren in Einklang mit den Personalrichtlinien stehen und die Mitarbeiter angemessen geschult und sensibilisiert werden.
  4. Datenschutzbeauftragter: Datenschutz ist ein Bestandteil der ISO 27001. Die Einbindung eines Datenschutzbeauftragten im Projektteam gewährleistet, dass die Datenschutzanforderungen in den Sicherheitsmaßnahmen berücksichtigt werden.
  5. IT-Admin: Die ISO 27001 schreibt nur wenige technische IT-Sicherheitsmaßnahmen vor - aber der IT-Admin kann Ihnen sagen, welche Anforderungen aus der Norm einfach über IT abbildbar sind (oder sogar schon fertig sind).

ISO 27001 - ein Fall für die Rechtsabteilung?

Ganz ehrlich: unsere Erfahrungen sind, dass das Projekt bei einem dedizierten Projektteam (Zusammensetzung s.o.) besser aufgehoben ist.

Unser Tipp

Wer wäre bei Ihnen im Projektteam? Überlegen Sie doch anhand unserer Liste einmal, wen Sie bräuchten. Fühlen Sie schon einmal vor: wären die Personen bereit mitzumachen? 

Projektteam oder Rechtsabteilung? Wollen wir einmal darüber unverbindlich und kostenfrei sprechen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.