Was kostet Cybersicherheit mit einem ISMS? - Part 2

Kostenindikation
In diesem Blog-Beitag schauen wir uns konkrete Rechenbeispiele an und erklären, was man dabei berücksichtigen muss.
Software
Je nachdem, was ein ISMS an zusätzlichen Funktionalitäten mitbringt, gibt es eine große Spannbreite bei den Angeboten.
Für einfache Systeme, die meist nicht mehr als ein Dokumenten-Management-System mit entsprechenden Vorlagen für die einzelnen Policies und Controls bereitstellen, sind Kosten ab 300€ im Monat nicht unüblich, je nach Anzahl der aktiven (schreibender Zugriff) und passiven (lesender Zugriff) Benutzer der Plattform, sind eventuell weitere Lizenzkosten zu veranschlagen. Zu beachten ist, dass sämtliche weitere notwendige Software selbst beigestellt, eingerichtet und administriert werden muss. Bei entsprechender Erfahrung können sich hier Vorteile bei der Eigenimplementation ergeben. Mangelt es an Know-How, ist es empfehlenswert, mehr in entsprechende Tools zu investieren.
Systeme mit mehr Funktionalitäten erbitten durchaus 500€ pro Lizenz (pro Person) oder mehr. Mitgeliefert werden dann möglicherweise nicht nur Vorlagen und Interpretationshilfen, sondern z.B. auch Workflows für Incident & Event Management, Task-Planung und -Tracking und gegebenenfalls auch technische Integration, z.B. für die Einhaltung der Passwort-Richtlinien und vieles mehr, bis hin zur KI-gestützten Echtzeit-Auswertung der Kommunikation.
Ressourcen
In diesem Abschnitt werden beispielhaft Kostenrechnungen als Aufwands-Indikatoren dargelegt. Diese dienen nur der Orientierung. Die tatsächlichen Kosten können im konkreten Fall aufgrund der vorgenannten Bedingungen stark abweichen. Insbesondere die Stundensätze der Beteiligten können sehr unterschiedlich ausfallen. Deshalb werden hier nur (geschätzte) Aufwände angegeben – verrechnet mit aktuellen Stundensätzen sollte man dann in der Lage sein, dies in einer Preiskalkulation zu verarbeiten.
Die Norm unterteilt sich im Wesentlichen in 2 Teilbereiche:
· Requirements (4.1 bis 10.2): das "Was" (24 Unterpunkte)
· Annex (A.5 bis A.8): das "Wie" (93 Controls)
Zu allen Punkten und Controls muss man sich Gedanken machen. Hier kommt es darauf an, ob man schon entsprechende Prozesse oder Richtlinien im Unternehmen etabliert hat und wie gut diese den Sicherheitsbedürfnissen der ISO 27001 entsprechen. Für einige ist mehr Zeit einzuplanen, für andere weniger. Aufwändig ist es vor allem, wenn noch keine adäquaten Prozesse vorhanden sind oder noch mehr, wenn bestehende Prozesse nicht den Anforderungen entsprechen und komplett umstrukturiert werden müssen. In kleinen, ganz jungen, sehr agilen Firmen mit einem sehr erfahrenen ISO-27001-Experten konnte in Einzelfällen ein ISMS in 3 Monaten implementiert werden. Realistisch ist aber eher ein Jahr, wenn sich mindestens eine Person hauptberuflich mit dem Thema beschäftigen kann. Dann hat man etwa pro Anforderungs-Punkt bzw. pro Control etwa 2 Tage Zeit – was eher knapp bemessen ist, wenn es bisher keinen entsprechenden Fokus auf Cybersecurity gab. Lassen sich die Themen nicht ausreichend kompetent durch interne Ressourcen abdecken, kann ein Berater hinzugezogen werden. Aber er braucht auch diese Zeit, denn er muss die entsprechenden Prozesse erfragen oder aufbauen (lassen). Je höher der Digitalisierungsgrad, je komplexer bestehende Prozesse und je größer die Firma, desto mehr Aufwand wird zu veranschlagen sein.
Als untere Grenze kann für eine leichtgewichtige Firma mit etwa 25 Mitarbeitern, inkl. IT-Fachpersonal, sehr grob geschätzt werden:
Dazu kommt die Koordination – und je nach Auslastung der genannten Ressourcen kann es hier auch zu zeitlichen Verzögerungen kommen. Hieran ist auch sehr gut zu erkennen, dass die Umsetzung der ISO 27001 hohe Priorität im Unternehmen und Unterstützung vom Management haben sollte, damit sich die Arbeiten nicht verzögern.
Je nach Umfang der ISMS-Software sind weitere Aufwände zu veranschlagen, um fehlende Funktionalitäten mit anderen Mitteln zu implementieren.
Audits / Zertifizierung
Interne und externe Audits sollten regelmäßig von unabhängigem, geschultem Personal durchgeführt und dokumentiert werden. Es mag zunächst widersprüchlich klingen, aber auch interne Audits können von externen Beratern durchgeführt werden. Das "intern" besagt in diesem Zusammenhang lediglich, dass die Ergebnisse (noch) nicht zertifizierungs-relevant sind, sondern Abweichungen frühzeitig erkannt werden sollen, die dann zu Korrekturmaßnahmen führen.
Externe Audits werden dann von akkreditierten(!) Prüfungsorganisationen durchgeführt. Hierzu haben die entsprechenden Prüfinstanzen in der Regel vordefinierte Stunden- oder Tagessätze, meist in Abhängigkeit der Firmengröße, der Anzahl der Standorte und der Komplexität der Prozesse und IT-Infrastruktur. Die Norm schreibt Mindestzeiten für Audits vor:
· Stufe 1 (Dokumentenprüfung)
· Stufe 2 (Vor-Ort-Audit)
· Überwachungsaudits (jährlich)
· Re-Zertifizierung (nach 3 Jahren)
Bei der Erstzertifizierung einer kleinen Firma können gut 3-5 Tage als Minimum veranschlagt werden, je nach Komplexität auch mehr.
Unterschiedliche Prüfinstanzen haben auch verschiedene Stunden- oder Tagessätze, renommierte internationale Anbieter verlangen in der Regel etwas mehr.
Das Einholen mehrerer Angebote für einen Preisvergleich ist sinnvoll.
Das Minimum
Wenn man eine sehr leichtgewichtige Firma hat und bereits umfängliches Know-How zur ISO 27001 bei den Mitarbeitern vorhanden ist, sollte man trotzdem für zwei Mitarbeiter jeweils einen oder zwei Tage in der Woche freihalten, um die Implementation vorantreiben zu können. In einem Zeitraum von etwa einem Jahr lässt sich so – bei guter Unterstützung innerhalb des Unternehmens und überschaubarer Komplexität – ein ISMS implementieren.
Wenn das interne Wissen erst aufgebaut werden muss, hilft ein externer Berater. Der Aufwand wird dadurch aber nicht weniger: die Kosten werden lediglich von intern nach extern verschoben.
Beispiel-Schätzungen
Im Folgenden werden Beispiele gerechnet, die möglichst plausible Zahlen / Erfahrungswerte verwenden. Diese können im Einzelfall, wie beschrieben, deutlich abweichen. Auch wenn es in diesen Beispielen noch Einsparpotentiale geben mag, sollte davon ausgegangen werden, dass dies eher die Untergrenzen sind und bei der eigentlichen Planung wahrscheinlich nach oben korrigiert werden muss.
Beispiel Kleinstunternehmen
Angenommenes fiktives Unternehmen mit etwa 10 Mitarbeitern; weitgehend digitalisierte, effektive Prozesse; keine interne IT-Expertise;
Implementationszeit: 1 Jahr
Wenn man die potenzielle durchschnittliche Gesamtleistung von 10 Mitarbeitern im Jahr gegenüberstellt, dann sind das etwa 10%, die an Eigenleistung (mit höherem Aufwand im Management-Bereich) bereitzustellen sind. Selbst ohne eine Zertifizierung kommen noch Kosten von etwa 40.000 € für Beratung und Software-Lizenzen dazu, die diese 10 Mitarbeiter auch erst einmal als Gewinn erarbeiten müssen. Bei einer Zertifizierung kann in diesem Beispiel mit 60.000 € Initialkosten (ohne die Eigenleistung) gerechnet werden. Bei einem angenommenen Gewinn von 10% bedeutet das, dass das Unternehmen einen Umsatz von 600.000 € nicht unterschreiten sollte, um die Zertifizierung sicher aus eigener Kraft finanzieren zu können.
In den Folgejahren ist der Aufwand erfahrungsgemäß etwas geringer. Je nach Unternehmens-Wachstum sind hier etwa 25-50% der Initial-Investitionen zu veranschlagen. Ein kontinuierlicher Verbesserungsprozess ist zwingend vorgeschrieben, also längere Unterbrechungen und damit weitere Einsparungen sind nicht möglich.
Beispiel Kleinunternehmen
Angenommenes fiktives Unternehmen mit etwa 40 Mitarbeitern; weitgehend digitalisierte, effektive Prozesse; interne IT-Expertise vorhanden;
Implementationszeit: 1 Jahr
Hier erreichen die Investitionen durchaus einen 6-stelligen Betrag (ohne Eigenleistung).
In der Regel ist es sinnvoll, über einen für die ISO-27001-Zertifizierung zuständigen Vollzeit-Mitarbeiter nachzudenken.
Der Umsatz des Unternehmens sollte daher deutlich die Million Euro überschreiten und dabei gesunde Gewinne erwirtschaften, um die Implementations- und Zertifizierungs-Finanzierung sicherzustellen.
Ausblick
Im nächsten Blog-Beitrag werden wir die wichtigsten Ereknntnisse noch einmal zusammenfassen und versuchen, unverbindliche allgemeine Empfehlungen zur Finanzierungsplanung geben.