ISMS aufbauen: In 6 Schritten zur Einführung

Stefan Effenberger

IT-Dokumentation-Experte

zuletzt aktualisiert

16

.

 

July

 

2026

Lesezeit

3 Minuten

>

ISMS aufbauen: In 6 Schritten zur Einführung

Das Wichtigste in Kürze:

  • Ein ISMS aufzubauen gelingt in sechs Schritten: Commitment, Geltungsbereich, Asset-Inventar, Risikobewertung, Maßnahmen und Rollen, kontinuierliche Prüfung.
  • Ohne aktuelle IT-Dokumentation fehlt jeder Risikobewertung die Datenbasis – das ist der häufigste Grund, warum Projekte ins Stocken geraten.
  • Seit dem NIS2UmsuCG (in Kraft seit 6. Dezember 2025) ist strukturiertes Risikomanagement für rund 29.500 deutsche Unternehmen keine Kür mehr, sondern Pflicht.
ISMS aufbauen: Schrittweise zum Managementsystem

Nur rund 38,5 Prozent der NIS-2-pflichtigen Unternehmen hatten sich bis zur Frist am 6. März 2026 beim BSI registriert. Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist für rund 29.500 Unternehmen – strukturiertes Risikomanagement ist damit für die meisten von ihnen keine Kür mehr, sondern Pflicht. Wer jetzt ein ISMS aufbauen will, braucht vor allem eine Reihenfolge, die sich im Alltag einhalten lässt. Dieser Artikel zeigt sechs Schritte, mit denen die Einführung gelingt, ohne im Chaos aus Excel-Listen und Zuständigkeitsfragen zu versanden.

Was bedeutet es, ein ISMS aufzubauen?

Ein ISMS aufzubauen bedeutet, Informationssicherheit von einer Ansammlung einzelner Maßnahmen in ein System aus Richtlinien, Prozessen und klaren Zuständigkeiten zu überführen. Statt einzelner Firewall-Regeln oder punktueller Backups entsteht eine Struktur, die Risiken systematisch erkennt, bewertet und behandelt. Diese Struktur wird regelmäßig überprüft, nicht einmal eingerichtet und dann vergessen.

Auslöser für den Aufbau sind meist externe Anforderungen: die NIS-2-Pflicht, eine Kundenanfrage nach Sicherheitsnachweisen oder der Wunsch nach einer ISO-27001-Zertifizierung. Manche Unternehmen starten proaktiv, weil sie ihre eigene Risikohaltung verbessern wollen, bevor ein Vorfall sie dazu zwingt. Was genau ein Informationssicherheitsmanagementsystem im Detail umfasst und wie es sich von reiner IT-Sicherheit abgrenzt, ist an anderer Stelle ausführlich beschrieben. Hier geht es ausschließlich um den Weg dorthin: sechs Schritte, die aufeinander aufbauen und in dieser Reihenfolge Sinn ergeben. Ohne definierten Geltungsbereich fehlt dem Asset-Inventar der Rahmen, ohne Inventar fehlt der Risikobewertung die Grundlage – wer Schritte überspringt, macht sie später doppelt.

Wichtig ist dabei eine realistische Erwartung an den Aufwand: Der Aufbau eines belastbaren Systems dauert je nach Unternehmensgröße mehrere Monate bis mehrere Jahre. Wer das unterschätzt, plant von Anfang an zu knapp und gerät im dritten oder vierten Monat unter Druck, obwohl gerade dann die inhaltliche Sorgfalt am wichtigsten wäre.

Welche Voraussetzungen müssen vor dem Start stehen?

Bevor der erste Schritt beginnt, sollten drei Punkte geklärt sein. Fehlt einer davon, verläuft das Projekt erfahrungsgemäß im Sand:

  • Commitment der Geschäftsführung: Budget, Zeit und sichtbare Unterstützung – nicht nur eine Unterschrift unter einem Dokument.
  • Verantwortliche Person: Mindestens eine Person oder ein kleines Team steuert den Aufbau, meist als Informationssicherheitsbeauftragter (ISB).
  • Realistischer Zeitrahmen: Für ein mittelständisches Unternehmen mit rund 100 Mitarbeitenden sind 9 bis 12 Monate bis zu einem zertifizierungsfähigen Zustand ein üblicher Richtwert.

Ohne Rückhalt von oben scheitert der Aufbau fast immer an fehlenden Ressourcen oder mangelnder Durchsetzungskraft gegenüber Fachabteilungen. Die Geschäftsleitung muss die Informationssicherheit als Priorität behandeln, nicht als Randnotiz der IT-Abteilung.

In der Praxis wird der Aufbau oft fälschlicherweise allein der IT-Abteilung überlassen. Das rächt sich spätestens dann, wenn Maßnahmen Fachbereiche wie Personal, Einkauf oder Vertrieb betreffen und dort niemand das Mandat hat, Prozesse zu ändern. Ein funktionsübergreifendes kleines Team – IT, Compliance und mindestens eine Person mit Entscheidungsbefugnis – verhindert diesen Engpass von Anfang an.

Wie legen Sie den Geltungsbereich fest?

Der Geltungsbereich – auch Scope genannt – bestimmt, welche Standorte, Systeme, Prozesse und Dienstleister erfasst werden. Diese Entscheidung fällt am Anfang und hat Folgen für den gesamten weiteren Aufbau.

Ein zu weit gefasster Scope überfordert kleine Teams von Beginn an. Ein zu enger Scope lässt Lücken entstehen, die spätestens im Audit auffallen. Ein bewusst begrenzter Anfangs-Scope, der nach der ersten Zertifizierung schrittweise erweitert wird, ist in der Praxis der pragmatischere Weg als der Versuch, gleich das gesamte Unternehmen abzudecken. Cloud-Dienste und externe Dienstleister gehören ausdrücklich in diese Überlegung – sie werden in der Praxis häufig vergessen und fallen dann bei der Risikobewertung unter den Tisch.

Die konkreten ISO-27001-Anforderungen an einen Geltungsbereich sind in der Norm selbst festgelegt und lassen sich als Checkliste für die Scope-Definition nutzen.

Ein Beispiel aus der Beratungspraxis verdeutlicht die Tragweite dieser Entscheidung: Ein Fertigungsunternehmen mit zwei Standorten wollte zunächst beide Werke plus sämtliche Cloud-Anwendungen in den Scope aufnehmen. Nach einer ersten Bestandsaufnahme zeigte sich, dass ein Standort deutlich weniger sicherheitskritische Prozesse enthielt als der andere. Die Entscheidung, zunächst nur den kritischeren Standort vollständig abzudecken und den zweiten in der nächsten Ausbaustufe zu ergänzen, verkürzte die Zeit bis zur ersten internen Bereitschaftsprüfung erheblich. Ein begrenzter, aber vollständig durchdachter Scope schlägt einen ambitionierten, aber lückenhaften.

Wie bauen Sie das Asset-Inventar auf?

Hier entscheidet sich in der Praxis, ob der weitere Aufbau auf festem Boden steht oder nicht. Ein Asset-Inventar erfasst alle Systeme, Anwendungen, Datenbestände und Prozesse, die zum Geltungsbereich gehören. Was nicht erfasst ist, kann später weder bewertet noch geschützt werden.

Viele Unternehmen versuchen diesen Schritt mit Excel-Listen, die schon nach wenigen Wochen veraltet sind: Neue Server werden im Betrieb ergänzt, aber nicht nachgetragen. Berechtigungen ausgeschiedener Mitarbeitender bleiben bestehen, weil niemand die Liste pflegt. Ein belastbares Asset-Inventar braucht eine Datenquelle, die sich automatisch aktualisiert, statt manuell nachgeführt zu werden. Agentenlose Inventarisierungstools wie Docusnap erfassen Server, Clients, Netzwerkgeräte und Cloud-Dienste fortlaufend und liefern damit die Grundlage, auf der die folgenden Schritte erst verlässlich funktionieren.

Ohne diese Basis wird jede spätere Risikobewertung zur Schätzung statt zur fundierten Analyse.

Ein häufiges Muster in der Beratungspraxis: Ein Mittelständler mit rund 150 Mitarbeitenden begann seine Bestandsaufnahme in drei getrennten Excel-Dateien – eine für Server, eine für Berechtigungen, eine für Software-Lizenzen. Nach einem halben Jahr waren alle drei Listen unvollständig und widersprachen sich teilweise. Erst eine automatisierte Inventarisierung brachte die Daten wieder auf einen gemeinsamen, verlässlichen Stand. Diese Erfahrung wiederholt sich branchenübergreifend, weil manuelle Listen strukturell nicht mit der Änderungsgeschwindigkeit realer IT-Umgebungen mithalten können. Neue Cloud-Dienste, wechselnde Mitarbeitende und Patch-Zyklen sorgen dafür, dass jede Momentaufnahme innerhalb von Wochen veraltet.

Wie funktioniert die Risikobewertung?

Auf Basis des Asset-Inventars werden Bedrohungen und Schwachstellen je Wert bewertet: Was könnte passieren, wie wahrscheinlich ist es, und wie schwer wäre der Schaden? Ein gängiger, pragmatischer Ansatz für den Mittelstand ist eine 5×5-Matrix, die Eintrittswahrscheinlichkeit und Auswirkung jeweils von 1 bis 5 bewertet und daraus einen Risikowert berechnet.

Aus dem Ergebnis leiten sich Entscheidungen ab: Risiken werden reduziert, transferiert (etwa über eine Cyberversicherung), akzeptiert oder durch Prozessänderungen vermieden. Diese Entscheidung muss dokumentiert und nachvollziehbar begründet sein – Auditoren prüfen nicht nur, ob eine Risikobewertung existiert, sondern ob die getroffenen Entscheidungen zum tatsächlichen Risikoprofil passen.

Ein typisches Praxisbeispiel: Ein Fertigungsunternehmen identifiziert veraltete Zugriffsrechte auf einem Fileserver als mittleres Risiko. Statt einer aufwendigen technischen Lösung reicht hier oft eine einfache, aber konsequent durchgesetzte Berechtigungsbereinigung.

Die Risikobewertung ist damit das eigentliche Herzstück des gesamten Aufbaus. Sie unterscheidet ein professionelles System von einer bloßen Sammlung von Checklisten, weil sie erklärt, warum bestimmte Maßnahmen priorisiert werden und andere warten können. Wichtig ist, die Methodik einmal festzulegen und dann konsequent beizubehalten. Wer bei jeder Bewertungsrunde neue Kriterien erfindet, verliert die Vergleichbarkeit zwischen den Zyklen und damit die Möglichkeit, echte Verbesserung nachzuweisen.

Welche Rollen und Maßnahmen gehören in diese Phase?

Aus der Risikobewertung entstehen konkrete Maßnahmen – technische wie Verschlüsselung und Zugriffskontrollen, aber auch organisatorische wie Richtlinien und Schulungen. Fünf Rollen wiederholen sich in fast jedem Aufbau: Geschäftsführung, Informationssicherheitsbeauftragter, IT-Verantwortliche, Risikoeigner je Fachbereich und die Belegschaft als Ganzes.

Am Ende dieser Phase steht die von der Geschäftsführung unterzeichnete Informationssicherheitsleitlinie: das Grunddokument, das Ziele, Geltungsbereich und Verantwortlichkeiten verbindlich festhält. Mitarbeiterschulungen sind dabei kein optionaler Zusatz – der häufigste Fehler beim ISMS-Aufbau ist, dass Awareness-Maßnahmen vernachlässigt werden, obwohl der Mensch nach wie vor das häufigste Einfallstor für Sicherheitsvorfälle bleibt.

Die Rollenverteilung sollte von Anfang an schriftlich festgehalten werden, nicht nur mündlich vereinbart sein. Wer ist Risikoeigner für welchen Bereich? Wer entscheidet, wenn ein Risiko das definierte Toleranzniveau übersteigt? Wer meldet Vorfälle, und an wen? Diese Fragen wirken zu Beginn kleinteilig, entscheiden aber später darüber, ob im Ernstfall schnell und koordiniert gehandelt wird oder Verantwortlichkeiten erst geklärt werden müssen, während der Schaden bereits wächst.

Wie wird aus der Einführung ein Dauerprozess?

Ein ISMS-Projekt endet nicht mit der Umsetzung der ersten Maßnahmen. Der PDCA-Zyklus – Planen, Umsetzen, Überprüfen, Handeln – macht daraus einen fortlaufenden Prozess: Kontrollen werden getestet, Wirksamkeit wird gemessen, Schwachstellen fließen in die nächste Planungsrunde ein.

Ein internes ISMS-Audit mindestens einmal jährlich zeigt, ob Dokumente noch dem tatsächlichen Zustand der IT entsprechen. Wer hier nur prüft, ob Dokumente existieren, statt ob sie stimmen, verschenkt den eigentlichen Wert des Audits. Für die Wahl des zugrunde liegenden Standards gibt es keine Einheitslösung. Neben ISO 27001 ist BSI IT-Grundschutz gerade für Unternehmen mit Bezug zur öffentlichen Verwaltung oder zu KRITIS-Sektoren eine gleichwertige, in Deutschland etablierte Alternative.

Wer den Aufbau erfolgreich abgeschlossen hat, steht häufig vor der nächsten Frage: Lohnt sich der Schritt zur formalen ISMS-Zertifizierung? Für Unternehmen mit Kunden in regulierten Branchen oder mit Lieferkettenanforderungen ist das oft der logische nächste Schritt, aber keine zwingende Voraussetzung für ein wirksames Managementsystem.

Auch nach Abschluss der ersten Runde bleibt die Datengrundlage entscheidend: Kontrollen lassen sich nur wirksam testen, wenn bekannt ist, welche Systeme überhaupt betroffen sind. Ein aktuelles Asset-Inventar ist deshalb nicht nur ein einmaliger Startpunkt, sondern die Grundlage für jeden weiteren Durchlauf des PDCA-Zyklus. Werkzeuge, die die IT-Landschaft fortlaufend erfassen, sparen genau an dieser Stelle wiederkehrenden manuellen Aufwand, der sonst bei jeder Prüfungsrunde erneut anfällt.

Was hat sich beim ISMS-Aufbau 2026 geändert?

Drei Entwicklungen sind für die Planung 2026 relevant:

  • Die NIS-2-Registrierungsfrist beim BSI endete am 6. März 2026 – bis dahin hatten sich nur rund 38,5 Prozent der betroffenen Unternehmen registriert, eine verspätete Registrierung bleibt aber möglich und ist einer fehlenden Reaktion in jedem Fall vorzuziehen.
  • Der erste geforderte Compliance-Nachweis wurde von Ende 2025 auf den 30. Juni 2026 verschoben – diese zusätzliche Zeit sollte für den strukturierten Aufbau genutzt werden, nicht für weiteres Abwarten.
  • Das BSI-Portal für die Registrierung ist seit Januar 2026 freigeschaltet und bündelt zugleich Hilfestellungen zur Risikoanalyse sowie aktuelle Sicherheitsmitteilungen.

Wer sein Vorhaben jetzt beginnt, sollte diese Fristen als Rahmen nutzen. Die inhaltliche Reihenfolge – Commitment, Scope, Inventar, Risikobewertung, Maßnahmen, Wirksamkeitsprüfung – aber nicht überspringen, nur um schneller fertig zu sein. Ein hastig zusammengestelltes System ohne belastbare Datenbasis hält weder einem echten Sicherheitsvorfall noch einem gründlichen Audit stand.

FAQs

Wie lange dauert es, ein ISMS aufzubauen?

Für ein mittelständisches Unternehmen mit rund 100 Mitarbeitenden ist ein zertifizierungsfähiger Zustand nach 9 bis 12 Monaten ein realistischer Richtwert. Größere oder stark verteilte Organisationen benötigen oft mehrere Jahre, bis der komplette Zyklus einmal durchlaufen ist. Der laufende Betrieb danach ist ein Dauerprozess ohne festes Enddatum.

Was kostet der Aufbau im Mittelstand?

Die Kosten hängen stark von Unternehmensgröße, gewähltem Scope und dem Anteil externer Beratung ab. Neben möglichen Beraterhonoraren fällt vor allem interne Arbeitszeit an, meist ein halber bis ganzer Stellenanteil für die Projektsteuerung über die Aufbauphase hinweg.

Ist eine ISO-27001-Zertifizierung Pflicht?

Nein. Das NIS2UmsuCG schreibt keine bestimmte Zertifizierung vor, sondern verlangt angemessene technische und organisatorische Maßnahmen nach Stand der Technik. Eine Zertifizierung ist ein freiwilliger, aber häufig sinnvoller externer Nachweis dieser Maßnahmen.

Welche Rolle spielt IT-Dokumentation beim Aufbau?

Eine vollständige und aktuelle IT-Dokumentation ist die Voraussetzung für ein belastbares Asset-Inventar und damit für jede Risikobewertung. Ohne sie beruhen Entscheidungen auf Annahmen statt auf dem tatsächlichen Zustand der IT-Infrastruktur.

Reicht BSI IT-Grundschutz statt ISO 27001?

Für viele deutsche Unternehmen ist BSI IT-Grundschutz eine gleichwertige Alternative, insbesondere bei Bezug zu Behörden oder KRITIS-Sektoren. Die Wahl richtet sich meist danach, welcher Standard von Kunden, Partnern oder Aufsichtsbehörden konkret verlangt wird.

IT-Dokumentation als ISMS-Fundament nutzen

Ein Asset-Inventar, das sich manuell pflegen lässt, veraltet innerhalb weniger Wochen. Docusnap erfasst Ihre IT-Landschaft automatisiert und agentenlos – als aktuelle Datenbasis für Risikobewertung und Audit-Nachweise.

Docusnap 30 Tage testen

Neugierig? Dann probieren Sie Docusnap in Ihrer eigenen Umgebung aus.

Voller Funktionsumfang
30 Tage kostenlos

Asset-Inventar ohne Excel-Chaos

Docusnap inventarisiert Ihre IT automatisiert und liefert die aktuelle Datenbasis, auf der jede Risikobewertung erst verlässlich wird.

Nächster Artikel

Schutzbedarfsfeststellung Ihrer Daten und IT-Systeme

Entdecken Sie, wie Docusnap die Schutzbedarfsfeststellung vereinfacht und Ihre IT-Sicherheit nachhaltig stärkt. Optimieren Sie Ihr Risikomanagement.