Vertraulichkeit, Verfügbarkeit und Integrität sind wichtige Aspekte bei der Nutzung von informationsverarbeitenden Systemen. Sie gewinnen im Kontext der fortschreitenden Digitalisierung an Bedeutung – und damit auch das Managementsystem für Informationssicherheit nach ISO/IEC 27001. Eine in 2020 von der BAM in Kooperation mit der Technischen Universität Berlin durchgeführte Studie der Forschungsinitiative QI-FoKuS zeigt erstmals umfassend Motive und Wirkungen der Implementierung und Zertifizierung eines Managementsystems und beleuchtet auch Hürden.
Während noch vornehmlich Unternehmen aus der Informations- und Kommunikationstechnik (IKT) zu den Nutzern gehören, steigt die Verbreitung auch in anderen Branchen, insbesondere bei Anbietern kritischer Infrastrukturen. Befragte Unternehmen sind insbesondere dadurch motiviert, Informationssicherheitsvorfällen vorzubeugen. Für Unternehmen der IKT-Branche sind Forderungen von Kundenseite jedoch auch ein starker Treiber.
Als Hürden werden der hohe Zeitaufwand, die nötigen externen Beratungsleistungen und, vorwiegend bei kleineren Unternehmen, hohe Kosten genannt. Zudem werden die Komplexität der Normeninhalte und fehlende unternehmensinterne Expertise aufgeführt. In diesem Zusammenhang zeigt die Studie, dass neben der Erhöhung der Bekanntheit der Norm diejenigen Maßnahmen als besonders sinnvoll von den Befragten bewertet wurden, die gerade kleine und mittelständische Unternehmen (KMUs) bei der Einführung eines Managementsystems unterstützen.
Insgesamt schätzten die befragten Unternehmen das Managementsystem nach ISO/IEC 27001 als lohnende Investition in ihrem Unternehmen ein: Sie profitieren insbesondere vom erhöhten Bewusstsein für Informationssicherheit unter ihren Mitarbeitenden und nehmen eine erhöhte Informationssicherheit sowie reduzierte Gefahr von Informationssicherheitsvorfällen wahr.
Abschließend zeigt die Studie im Hinblick auf die Konformitätsbewertung (Zertifizierung) die Bedeutung der Akkreditierung und die Kompetenz der Auditoren als wichtige Kriterien für die Wahl der Zertifizierungsstellen. Mit 125 befragten Organisationen diverser Branchen ist dies die weltweit umfassendste wissenschaftliche Studie zur Nutzung dieses genormten Managementsystems.
Die vollständigen Ergebnisse der Umfrage gibt es hier.
QI-FoKuS steht für Qualitätsinfrastruktur – Forschung für Konformitätsbewertung und Sicherheit und wird durchgeführt von der Bundesanstalt für Materialforschung und -prüfung (BAM) in Zusammenarbeit mit der Technischen Universität Berlin. Unterstützt wird diese Initiative durch das Bundesministerium für Wirtschaft und Energie (BMWi).