ISO-27001-Software kaufen und im Audit zeigen: Fertig?
„Sie kaufen unsere Software, beantworten ein paar Fragen und präsentieren das Ergebnis anschließend im Audit.“
So klingt das Versprechen vieler Anbieter von ISO 27001-ISMS-Software.
Das klingt bequem.
Die Plattform stellt Fragen, sammelt Nachweise, zeigt Fortschrittsbalken und färbt erledigte Punkte grün. Am Ende steht dort vielleicht: 100 Prozent umgesetzt.
Das Problem ist nur:
Ein vollständig ausgefülltes Softwareportal ist noch kein funktionierendes ISMS.
Die kurze Antwort
Eine gute ISMS-Software kann hilfreich sein.
Sie kann:
- Aufgaben strukturieren;
- Verantwortlichkeiten zuordnen;
- Risiken dokumentieren;
- Nachweise sammeln;
- Maßnahmen verwalten;
- und das Audit vorbereiten.
Was sie nicht kann:
- Ihr Unternehmen verstehen;
- Risiken für Sie bewerten;
- Entscheidungen treffen;
- Verantwortlichkeiten tatsächlich verankern;
- Maßnahmen umsetzen;
- oder dafür sorgen, dass Mitarbeiter die beschriebenen Abläufe anwenden.
Die Software kann Ihr ISMS unterstützen.
Sie ist aber nicht das ISMS.
Ein grüner Haken ist noch keine Umsetzung
Nehmen wir an, die Software fragt:
„Werden Zugriffsrechte regelmäßig überprüft?“
Sie klicken auf „Ja“, laden eine Richtlinie hoch und erhalten einen grünen Haken.
Aber:
- Stimmt das auch?
- Wer prüft die Rechte?
- Wie oft?
- Für welche Systeme?
- Werden unnötige Rechte entfernt?
- Gibt es einen Nachweis?
- Weiß der Verantwortliche überhaupt, dass er verantwortlich ist?
Die Software kann Antworten erfassen.
Sie weiß nicht automatisch, ob diese Antworten stimmen.
Eine hochgeladene Datei ist kein gelebter Prozess.
Der Auditor prüft nicht nur die Software
Eine ISMS-Plattform kann im Audit für Übersicht sorgen.
Der Auditor wird sich aber nicht nur durch das Portal klicken.
Er wird Mitarbeiter fragen:
- Wie melden Sie einen Sicherheitsvorfall?
- Wer genehmigt neue Berechtigungen?
- Was passiert beim Ausscheiden eines Mitarbeiters?
- Wann wurde der Notfallplan zuletzt getestet?
- Wie bewerten Sie Ihre wichtigsten Lieferanten?
Wenn die Antwort lautet „Das müsste in der Software stehen“, haben Sie ein Problem.
Ein ISMS funktioniert nicht, weil die Software die Antwort kennt.
Es funktioniert, wenn die zuständigen Mitarbeiter sie kennen.
Das ISMS steht plötzlich neben der eigentlichen Arbeit
Die Mitarbeiter arbeiten längst mit ihren vorhandenen Werkzeugen:
- Tickets im Ticketsystem;
- Aufgaben in der Projektsoftware;
- Berechtigungen in den Administrationssystemen;
- Personalprozesse in der Personalverwaltung;
- Lieferanteninformationen im Einkauf;
- technische Nachweise in den jeweiligen Systemen.
Dann kommt die ISMS-Software dazu.
Plötzlich sollen Vorgänge zusätzlich dort dokumentiert, bestätigt oder nachgehalten werden.
Damit entsteht oft kein integriertes Managementsystem.
Es entsteht eine zweite Welt neben der eigentlichen Arbeit.
Und genau deshalb fragen Mitarbeiter: „Wozu brauchen wir das jetzt? Das ist so sinnvoll wie eine Bedienungsanleitung für meine Kaffeetasse!“
Die Frage ist berechtigt. Der Sinn erschließt sich nicht.
Ein ISMS sollte die vorhandene Arbeit ordnen. Es sollte sie nicht noch einmal nachbauen oder sinnlos daneben stehen.
Der Lock-in entsteht schleichend
Viele Plattformen starten als praktisches Werkzeug. Nach einigen Jahren befinden sich dort:
- die Risikobewertung;
- das Statement of Applicability;
- Richtlinien;
- Maßnahmen;
- Lieferantenbewertungen;
- Auditfeststellungen;
- Nachweise;
- Verantwortlichkeiten;
- ...und viele, viele historische Entscheidungen.
Dann ist die Software nicht mehr nur ein Werkzeug. Sie ist der Aufbewahrungsort des gesamten ISMS.
Ein Wechsel wird schwierig. Deshalb sollten Sie vor dem Kauf klären:
- Können alle Daten vollständig exportiert werden?
- In welchem Format?
- Bleiben Beziehungen zwischen Risiken, Maßnahmen und Nachweisen erhalten?
- Lassen sich Historien und Freigaben übernehmen?
- Können Sie das ISMS außerhalb der Plattform weiterbetreiben?
Ein Stapel PDF-Dateien ist kein brauchbarer Systemexport.
Die Software bestimmt plötzlich die Methode
Jede Plattform hat ihre eigene Logik.
Sie bestimmt:
- wie Risiken beschrieben werden;
- wie Maßnahmen zugeordnet werden;
- wie Kontrollen dokumentiert werden;
- und wie Fortschritt gemessen wird.
Dann wird irgendwann nicht mehr gefragt: „Welche Vorgehensweise passt zu unserem Unternehmen?“
Sondern: „Was müssen wir eintragen, damit die Anzeige grün wird?“
Das ist die falsche Richtung.
Die Software muss zur Organisation passen.
Nicht die Organisation zur Software.
„Aber wir haben doch Beratung dazugekauft“
Unternehmen, die ISO 27001-Software anbieten, haben auch irgendwo im Kleingedruckten etwas über die mitgekaufte „Beratung“ stehen.
In der Praxis bedeutet das meistens etwas anderes, als viele erwarten.
Wenn bei einer ISMS-Software „Beratung“ dabei ist, heißt das in der Regel:
Es gibt jemanden, der Ihnen erklärt, wie Sie die Software bedienen.
- Wo klicken Sie?
- Wie legen Sie ein Risiko an?
- Wie laden Sie Nachweise hoch?
- Wie funktioniert das Reporting?
Was es in der Regel nicht bedeutet:
- Jemand analysiert Ihr Unternehmen;
- hilft Ihnen dabei, Ihre tatsächlichen Risiken sauber zu bewerten;
- entwickelt mit Ihnen passende Prozesse;
- oder baut mit Ihnen ein funktionierendes ISMS auf.
Sie bekommen Unterstützung für das Werkzeug.
Nicht für den Aufbau des Systems.
Das ist ein entscheidender Unterschied. Wenn Sie wissen, wie die Werkzeuge in Ihrer Werkzeugkiste funktionieren, können Sie damit noch nicht automatisch ein Auto reparieren.
Prüfen Sie zuerst das Problem
Fragen Sie vor dem Kauf:
- Welches konkrete Problem löst die Software?
- Welche vorhandenen Systeme ersetzt sie?
- Was muss doppelt gepflegt werden?
- Wie kommen wir wieder heraus?
- Was kostet die Lösung über mehrere Jahre?
Kaufen Sie keine ISMS-Software, nur weil sie Ihnen ein fertiges ISMS verspricht.
Fazit: Werkzeug oder Auditkulisse?
Eine gute ISMS-Software kann Arbeit erleichtern.
Sie kann Ordnung schaffen, Aufgaben nachhalten, Nachweise bündeln und Audits vorbereiten.
Sie kann aber kein ISMS ersetzen.
Problematisch wird es, wenn das Versprechen lautet:
Software kaufen. Fragen beantworten. Audit bestehen. Fertig.
Dann drohen vier Probleme:
- Eingabemasken werden mit Umsetzung verwechselt;
- das ISMS entsteht als Parallelwelt neben der Arbeit;
- das Unternehmen gerät in einen Lock-in;
- und aus dem einfachen Einstieg wird ein teures Dauerabonnement.
Die entscheidende Frage lautet nicht:
„Welche Software bringt uns am schnellsten auf 100 Prozent?“
Sondern:
„Welches konkrete Problem löst diese Software in unserer täglichen Arbeit?“
Kann der Anbieter darauf keine klare Antwort geben, kaufen Sie wahrscheinlich kein ISMS-Werkzeug.
Sie kaufen dann eine teure Auditkulisse.