Die DataGovernance Technologies Ltd., ein Schweizer Softwareunternehmen, war Auftraggeberschaft dieser Arbeit. Ziel war die Implementierung eines praxisnahen ISMS nach ISO 27001, um Herausforderungen zu erkennen, passende Strategien festzulegen und daraus Erkenntnisse abzuleiten. Es sollte ein möglichst hoher Reifegrad erreicht und eine Grundlage für eine spätere formale Zertifizierung geschaffen werden. Die Motivation lag im Schutz sensibler Informationen, in der Effizienzsteigerung, in der Erhöhung des Kundenvertrauens und im Erhalt der Wettbewerbsfähigkeit.

Das Vorgehen umfasste eine gründliche Recherche von Fachinformationen zu ISO 27001 und ISO 27002. Zudem wurden Daten durch Interviews mit ISO 27001-zertifizierten Unternehmen und erfahrenen ISO-Expert*innen erhoben und ausgewertet, um Einblicke in Herausforderungen und bewährte Strategien zu gewinnen. Parallel dazu wurde bei der Auftraggeberschaft ein ISMS praktisch umgesetzt, basierend auf Best-Practice Vergleichen, Checklisten und einem schrittweisen Vorgehensmodell. Der Fokus lag auf einer praxisnahen Umsetzung, angepasst an die begrenzten Ressourcen des KMU.

Die Erkenntnisse der Bachelor-Thesis zeigen, dass ein nachhaltiges ISMS in KMUs auf einer gelebten Sicherheitskultur, aktiver Managementunterstützung, klar definierten Rollen und Verantwortlichkeiten, kontinuierlicher Sensibilisierung der Mitarbeitenden, strukturierter Dokumentation sowie einem laufenden Verbesserungsprozess nach dem PDCA-Zyklus basiert. Beim Auftraggeber waren durch die Tätigkeit im Bereich Data Governance sowohl Fachwissen als auch ein gutes Bewusstsein für Informationssicherheit vorhanden. Andere KMUs sehen sich jedoch mit Herausforderungen wie begrenzten personellen, finanziellen und zeitlichen Ressourcen, der Komplexität der Norm, fehlendem Fachwissen sowie anfänglichen Akzeptanzproblemen bei Mitarbeitenden und Führungskräften konfrontiert. Eine erfolgreiche Umsetzung erfordert angepasste organisatorische und technische Massnahmen und für die Zertifizierungsreife sind die vollständige Umsetzung aller relevanten Anforderungen, interne Audits, Managementbewertungen und eine aktuelle Erklärung zur Anwendbarkeit (SoA) entscheidend. Langfristig muss das ISMS im Alltag aller Mitarbeitenden verankert und kontinuierlich verbessert werden, um wirksam zu bleiben.