Der externe Auditor hat das Haus verlassen. Auf Ihrem Schreibtisch liegt ein Bericht mit Feststellungen, Abweichungen und Handlungsempfehlungen. Herzlichen Glückwunsch, das war der einfache Teil. Jetzt beginnt das eigentliche Projekt: Sie müssen Findings in funktionierende Maßnahmen überführen, eine IT-Abteilung überzeugen, die bereits am Limit arbeitet, und das alles, ohne den laufenden Betrieb zu gefährden. Dieser Artikel zeigt, wie das gelingt und warum der technische Teil dabei oft das kleinste Problem ist.
Es gibt einen Moment nach jedem ISO-27001-Audit, den wahrscheinlich jeder IT-Sicherheitsbeauftragte kennt. Man öffnet den Abschlussbericht, liest die Liste der Nichtkonformitäten und denkt innerlich: „Das wusste ich schon. Aber wie erkläre ich das jetzt dem Admin-Team, das seit Monaten sagt, dass es keine Zeit hat?“ Denn zwischen der Erkenntnis, dass etwas fehlt, und der tatsächlichen Umsetzung liegt eine Distanz, die sich manchmal anfühlt wie der Grand Canyon. Und niemand hat eine Brücke mitgebracht.