ISMS App: Praktisches Informationssicherheitsmanagement für den Mittelstand

Die Herausforderung: ISMS ohne Umschweife einführen

Ein etablierter Automotive-Zulieferer stand vor einer klassischen Situation: Die VDA-Absicherung forderte eine strukturierte Informationssicherheit nach ISA/Basis-Standard. Gleichzeitig war klar, dass schwere ISMS-Tools wie Verinice oder HiScout für die Unternehmenskultur nicht passen würden. Es brauchte einen pragmatischen Ansatz, der Sicherheit nicht als Compliance-Last, sondern als integrierten Geschäftsprozess vermittelt.

Die Anforderungen waren komplex: Zentrale Verwaltung von Informationswerten mit Klassifizierung, Erfassung von Geschäftsprozessen und deren Schutzbedarfe, automatisierte Risikoanalyse basierend auf standardisierten Bedrohungskatalogen und eine Lösung, die in das bestehende Microsoft-365-Ökosystem passt. Traditionelle ISMS-Softwaretools waren zu starr und zu teuer für die Anforderungen dieses Unternehmens.

Die Lösung: ISMS App auf Microsoft Dataverse

Das Projektteam entschied sich, eine maßgeschneiderte ISMS App auf Basis von Microsoft Dataverse und Power Platform Model-Driven Apps zu entwickeln. Diese Entscheidung eröffnete mehrere Vorteile: Die Lösung nutzt vorhandene Microsoft-365-Lizenzen, skaliert flexibel mit dem Unternehmen und lässt sich iterativ erweitern, ohne komplett umgestellt werden zu müssen.

Die App implementiert das bewährte VIVA-Prinzip zur Schutzbedarfsfeststellung. VIVA steht für Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität – die vier Säulen jeder modernen Informationssicherheit. Jeder Informationswert wird systematisch nach diesen Kriterien klassifiziert. Diese Klassifizierung wird dann auf alle zugehörigen Anwendungen und Geschäftsprozesse vererbt, wodurch automatisch der Schutzbedarf für jeden Geschäftsprozess und jedes IT-System ermittelt wird.

Die zentrale Erfassung von Informationswerten mit VIVA-Klassifizierung bildet die Grundlage für die automatisierte Schutzbedarfsvererbung

Automatisierte Risikoanalyse und standardisierte Risiken

Das Herzstück der App ist ein umfassender Risikokatalog mit über 70 standardisierten Risiken, die direkt auf die Bedrohungslandschaft des BSI-Grundschutzes (BSI 200-3) abgebildet sind. Dies ist entscheidend: Statt dass Analysten erst Risiken identifizieren müssen, präsentiert die App branchenspezifische und technologiespezifische Risiken bereits strukturiert. Das beschleunigt nicht nur die Risikoanalyse, sondern sichert auch ab, dass häufig übersehene Bedrohungen nicht in die Blindzone fallen.

Bei der Risikoanalyse selbst wird ein pragmatischer Zweischritt-Ansatz verfolgt: Für jedes relevante Risiko werden die Parameter Eintrittswahrscheinlichkeit und Schadensausmaß erfasst. Aus dieser Kombination berechnet die App automatisch die Risiklasse. Um die Visualisierung zu erleichtern, nutzt die App farb-codierte Wahl-Felder: Grün für akzeptabel, Gelb für tolerabel mit Maßnahmen, Rot für kritisch. Diese visuelle Darstellung macht Risikolanden auf einem Blick verständlich und unterstützt die Priorisierung von Maßnahmen.

Der Risikokatalog kombiniert standardisierte Bedrohungen mit benutzerdefinierten Frequenz- und Impactbewertungen und berechnet automatisch Risikoklassen

Mapping und Modularität: Von Anwendungen bis Vulnerabilities

Die App ermöglicht komplexe n:n-Beziehungen über Mapping-Tabellen. Ein Informationswert kann über mehrere Anwendungen verwaltet werden. Eine Anwendung ist in mehreren Prozessen integriert. Ein Prozess kann mehrere IT-Systeme betreffen. Diese Flexibilität ist grundlegend für realistische Sicherheitsmodellierung: In komplexen Organisationen sind solche Verflechtungen die Norm, nicht die Ausnahme.

Die ISMS App deckt alle zentralen Module eines modernen Sicherheitsmanagementsystems ab: Informationswerte (mit VIVA-Klassifizierung), Geschäftsprozesse, IT-Systeme (Räume, Rechner, Netzwerk), Anwendungen, Kommunikationsverbindungen, Schwachstellen und Maßnahmen. Diese modulare Struktur bedeutet, dass das System im Laufe der Zeit erweitert werden kann – neue Modellierungskonzepte können hinzugefügt werden, ohne das bestehende System zu stören.

Die Anwendungsübersicht zeigt auf einen Blick, welche Schutzbedarfe erfüllt sind und wo Risiken bestehen

Power Automate und Automatisierung: Weniger manuelle Arbeit

Hinter den Kulissen arbeitet Power Automate, um wiederholte, mechanische Aufgaben zu automatisieren. Wenn beispielsweise die Schutzbedarfsklasse eines Informationswerts geändert wird, können Workflows automatisch alle abhängigen Prozesse und Systeme benachrichtigen und ggf. Maßnahmen neu bewerten. Dies reduziert manuelle Fehler und stellt sicher, dass das ISMS konsistent bleibt, auch bei häufigen Änderungen in der Organisationsstruktur.

Geschäftlicher Impact und Zielgruppen

Die ISMS App wurde speziell für Organisationen entwickelt, die eine pragmatische, nicht-akademische Einführung von Informationssicherheit benötigen. Das Zielaudience umfasst mehrere Segmente: Automotive-Zulieferer, die TISAX-konform sein müssen, mittelständische Unternehmen mit Microsoft-365-Investitionen, IT-Dienstleister, die Audit-Grundlagen für ihre Kunden aufbauen möchten, und Sicherheitsberater, die ein skalierbares Werkzeug zur ISMS-Einführung suchen.

Für den Pilotunternehmen hatte die Einführung der ISMS App mehrere direkte Auswirkungen: Die Zeit für Risikoanalysen sank um etwa 60 Prozent, da die strukturierte Erfassung und automatisierte Berechnung manuelle Analysen ersetzte. Die Fehlerquote in der Schutzbedarfsfeststellung ging gegen Null, da die Vererbungslogik Inkonsistenzen ausschloss. Das Unternehmen erhielt ein lebendes, wartbares ISMS statt eines statischen Dokuments, das alle halbe Jahre veraltet war.

Technischer Stack und Integration

Die technische Architektur ist bewusst Modern ohne zu sein überkompliziert. Microsoft Dataverse bildet das zentrale Datenlager, in dem alle ISMS-Informationen normalisiert gespeichert sind. Model-Driven Apps bieten die Benutzeroberfläche – entwickelt ohne einen einzigen Zeile JavaScript-Code, sondern durch Konfiguration im Power Apps-Designer. Power Automate stellt die Automatisierungshebel bereit. Die Lösung integriert sich nahtlos in Microsoft Teams und SharePoint, sodass Sicherheitsberichte und Dokumentation direkt aus dem ISMS exportiert werden können.

Die Entscheidung für Microsoft Dataverse statt eine eigene Datenbank zu bauen, zahlt sich langfristig aus: Das System läuft auf derselben Infrastruktur wie die anderen Microsoft-365-Anwendungen, hat die gleichen Sicherheits- und Compliance-Standards und benötigt keine separate IT-Wartung. Denselben Dataverse-Ansatz nutzen wir auch für branchenspezifische Anwendungen wie unser Energiemanagement-System mit 281 Kraftwerksprojekten.

Wer Informationssicherheit ernst nimmt, braucht auch sichere Endgeräte. Unser Zero-Touch IT-Onboarding mit Intune Autopilot stellt sicher, dass Compliance-Richtlinien vom ersten Login an greifen — ein wichtiger Baustein für jedes ISMS.

Nächste Schritte: Wie Sie ein ähnliches System aufbauen

Wenn Sie in einer ähnlichen Situation sind – Sie brauchen strukturiertes Informationssicherheitsmanagement, haben Microsoft 365 im Einsatz, möchten aber nicht in teure externe Tools investieren – dann ist ein maßgeschneidertes ISMS auf Dataverse-Basis eine praktische, wartbare Lösung. Das System funktioniert besonders gut, wenn Sie mit agilen, iterativen Prozessen arbeiten und das ISMS lieber aufbauen als implementieren möchten.

Lassen Sie uns in einem Strategiegespräch besprechen, wie ein ähnliches System für Ihre Organisation aussehen könnte – und welche spezifischen Anforderungen Sie haben.

---

Verwendete Technologien:

• Microsoft Dataverse
• Power Apps (Model-Driven Apps)
• Power Automate
• Microsoft 365
• SharePoint, Teams
• Azure (optional für erweiterte Datenanalyse)

Strategie-Gespräch buchen