7 Schritte zum echten Risikomanagement
Viele Unternehmen investieren enorm viel Zeit in ihr ISMS.
Dokumente werden geschrieben, Policies abgestimmt, Zertifikate vorbereitet. Auf dem Papier sieht alles gut aus.
Und trotzdem passiert in der Praxis immer wieder das Gleiche:
Risiken werden zwar beschrieben – aber nicht bewusst entschieden.
Kein Gremium sagt klar:
Dieses Risiko akzeptieren wir. Dieses nicht. Und hier investieren wir.
Das Ergebnis:
Ein ISMS, das Audits besteht – aber das Unternehmen nicht wirklich steuert.
Das typische bild in der praxis
Wir sehen es regelmäßig in Projekten:
• Umfangreiche ISMS-Dokumentationen
• Sauber formulierte Richtlinien
• Zertifikate an der Wand
Aber wenn es konkret wird, fehlt das Entscheidungsfundament:
• Keine aktive Beteiligung der Geschäftsleitung
• Meetings mit den falschen Rollen
• Keine klare Agenda
• Keine verbindlichen Entscheidungen
• Viele Folien, wenig WirkungNach dem Termin ist alles wie vorher.
Warum das ISMS-BOARD der entscheidende Hebel ist
In mehreren Organisationen haben wir nicht zuerst Prozesse oder Dokumente geändert.
Der erste Schritt war immer derselbe:
Ein ISMS‑Board aufsetzen. Warum?
Weil genau hier die Brücke entsteht zwischen:
• Papier und Handlung
• Risiko und Entscheidung
• Compliance und Business
Ein funktionierendes ISMS‑Board bringt die richtigen Perspektiven an einen Tisch: Business, IT, Informationssicherheit, Risk und Datenschutz.
Hier entstehen:
• Prioritäten
• Budgets
• Verantwortlichkeiten
• Klare Entscheidungen
Ohne dieses Board bleibt das ISMS ein reiner Audit‑Showact.
IN 7 Schritten vom Deko-ISMS zum Steuerelement
1. Mandat holen
Die Geschäftsleitung gibt einen klaren Auftrag – und steht sichtbar dahinter.
Ohne Mandat bleibt das Board wirkungslos.
Wichtig: nicht nur dulden, sondern aktiv unterstützen.
2. Ziele festlegen
Ein ISMS‑Board braucht einen klaren Zweck, z.B.:
• Risiken steuern
• Maßnahmen priorisieren
• Budgets entscheiden
Wenige Ziele, klar formuliert, praxisnah.
3. Rollen richtig besetzen
Nicht viele – sondern die richtigen:
• Geschäftsleitung / CIO
• Relevante Fachbereiche
• Informationssicherheit
• Risk Management
• Datenschutz
Entscheidungsfähigkeit schlägt Teilnehmerzahl.
4. Entscheidungsregeln klären
Vor dem ersten Termin muss klar sein:
• Wer entscheidet was?
• In welchem Rahmen?
• Was wird eskaliert – und wann?
Ohne diese Regeln wird jedes Meeting zur Diskussionsrunde.
5. Standard‑Agenda etablieren
Keine wechselnden Folien‑Sammlungen.
Eine feste Struktur, z.B.:
1. Top‑Risiken
2. Neue Risiken
3. Status laufender Maßnahmen
4. Offene Entscheidungen
Wiederholung schafft Fokus.
6. Einfache KPIs nutzen
Nicht alles messen – nur das Relevante:
• Anzahl kritischer Risiken
• Durchlaufzeiten von Maßnahmen
• Umsetzungsstand
Das Ziel ist Transparenz, nicht Reporting‑Overkill.
7. Drei Sitzungen als Pilot durchführen
Nicht perfekt starten, sondern bewusst testen:
• Drei Termine durchführen
• Lessons Learned sammeln
• Format feinjustieren
Danach entscheiden: skalieren, anpassen, fest verankern.
Fazit:
Ein ISMS wird nicht dadurch wirksam, dass es vollständig dokumentiert ist.
Es wird wirksam, wenn Risiken bewusst entschieden werden.
Ein funktionierendes ISMS‑Board ist dafür der zentrale Hebel.
Es macht aus Compliance ein echtes Steuerungsinstrument für Ihre Informationssicherheit.
