Sicher ans Ziel: Wie KMU Projekte vor Informationssicherheitsrisiken schützen – ohne den Zeitplan zu sprengen

Schritt 1: Risiken identifizieren – der erste und wichtigste Schritt

Bevor Risiken reduziert werden können, müssen sie sichtbar gemacht und dokumentiert werden.
ISO 27001 (Kap. 6.1.2) fordert die systematische Risikoidentifikation – nicht nur für IT-Systeme, sondern für alle projektbezogenen Informationswerte.

Die wirksamste Risikoanalyse entsteht, wenn Personen mit tiefem Projekt- und Fachwissen aktiv einbezogen werden – z. B. Projektleiter, Entwickler, Key-User oder Prozessowner.
Diese Mitarbeiter kennen die geplanten Inhalte, Schnittstellen, Abhängigkeiten und potenziellen Stolpersteine.

Dabei ist auch die Sicherheitskompetenz der Beteiligten selbst zu prüfen:

• Haben sie ein Grundverständnis für Informationssicherheit?
• Wurden sie in den relevanten Sicherheitsprozessen geschult?
• Haben sie ein aktuelles Sicherheitszertifikat oder Awareness-Training absolviert?
• Sind sie zur Informationssicherheit verpflichtet?

Praxis-Tipp: Halten Sie gefundene Risiken in einer einfachen Risikoliste fest – mit Datum, Verantwortlichem, Bewertung und aktuellem Status. So lassen sich Fortschritte nachverfolgen und bei Bedarf auch im Audit belegen.

So identifizieren KMU Risiken in Projekten:

1. Projektkontext analysieren
   • Welche Systeme, Daten, Prozesse sind betroffen?
   • Wer hat Zugriff – intern und extern?
   • Welche externen Partner oder Lieferanten sind eingebunden?

2. Mögliche Bedrohungen erfassen

1. • Technisch: Datenverlust, Hacking, Fehlkonfigurationen
   • Organisatorisch: unklare Zuständigkeiten, fehlende Freigaben
   • Extern: unsichere Lieferanten, Compliance-Verstösse

3. Schwachstellen erkennen

1. • Veraltete oder unsichere Technik
   • Keine Zugriffsbeschränkungen
   • Fehlende Schulung oder Awareness im Projektteam

4. Ersteinschätzung vornehmen

1. • Grob bewerten: Welche Risiken sind kritisch, welche weniger relevant?

Praxisbeispiel:
Ein IT-Dienstleister führte beim Projektstart einen zweistündigen Risiko-Workshop durch – mit Entwicklern, Key-Usern, Projektleitung und ISB.
Ergebnis: Drei potenzielle Risiken wurden sofort erkannt – eines davon hätte den Go-live um Wochen verzögert.

Pro-Tipp: Risikoidentifikation ist keine einmalige Übung. Wiederholen Sie sie bei jedem grossen Projektmeilenstein, um neue Risiken früh zu erkennen.

Schritt 2: Risiken reduzieren – aus Erkenntnissen Verbesserungen machen

Risiken aufzulisten reicht nicht – der Nutzen entsteht erst, wenn sie gezielt gesenkt werden.
ISO 27001 (6.1.3) fordert, dass Risiken vermieden, reduziert, übertragen oder akzeptiert werden – mit dokumentierten Entscheidungen.

Praxis-Tipp: Legen Sie vorab eine feste Skala für Auswirkung und Eintrittswahrscheinlichkeit fest – so bleiben Prioritäten objektiv und vergleichbar.

So gehen KMU vor:

1. Priorisieren – nach Wahrscheinlichkeit & Auswirkung
2. Massnahmen planen – technisch (z. B. Verschlüsselung) & organisatorisch (z. B. Vier-Augen-Prinzip)
3. Umsetzen & im Projektplan verankern – Verantwortliche, Fristen, Fortschritt
4. Wirksamkeit prüfen – durch KPIs oder Tests

Nutzen:

• Planungssicherheit durch weniger Störungen
• Kostensenkung um bis zu 70 % gegenüber Notfallmassnahmen
• Bessere Audit-Ergebnisse
• Kundenvertrauen steigt

Praxisbeispiel:
Ein KMU erkannte hohes Risiko durch unsichere Schnittstellen.
→ API-Authentifizierung, Zugriffskontrolle, Verschlüsselung eingeführt.
→ Risiko-Score sank von „hoch“ auf „niedrig“ – dokumentiert im ISMS.

Schritt 3: Risiken überwachen – kontinuierliche Sicherheit

Risiken ändern sich im Projektverlauf. Neue Lieferanten, zusätzliche Funktionen oder geänderte Anforderungen können neue Schwachstellen schaffen.

Best Practices:

• Sicherheits-Checkpoints in jedem Meilenstein
• Regelmässige Reviews der Risikoliste
• Change-Management immer mit Sicherheitsprüfung koppeln
• Nachweise wie Checklisten, Freigabeprotokolle oder Testergebnisse aufbewahren – sie belegen gelebte Sicherheit und sparen Erklärungsaufwand im Audit.