ISMS-Tool im Praxistest: Wenn SharePoint und 47 Excel-Dateien als Lösung gelten
"Zeig mir mal das ISMS-Tool." Dieser Satz fällt regelmäßig bei Kunden-Gesprächen. Die Antwort ist häufig ein SharePoint-Ordner mit 47 Excel-Dateien – und ja, es gibt ein Login dazu. Ketzerisch? Vielleicht. Aber ehrlich.
Die Frage dahinter ist nicht bösartig, sondern fundamental: Was unterscheidet ein echtes ISMS-Tool von einer gut strukturierten Ablage? Und wann lohnt die Investition in spezialisierte Software wirklich?
Das Problem mit Excel-basierten ISMS-Lösungen
Excel ist ein mächtiges Werkzeug. Aber es wurde nicht für die kontinuierliche Steuerung eines Informationssicherheitsmanagementsystems gebaut. Das zeigt sich in der Praxis an konkreten Symptomen: Controls und Tasks existieren nebeneinander, statt miteinander verknüpft zu sein. Evidenz wird manuell zusammengetragen, anstatt im Prozess zu entstehen. Rollen und Zuständigkeiten sind dokumentiert, aber nicht operational. Und der Audit wird zum Ausnahmezustand statt zum regulären Export.
Der Kernpunkt: Wenn die tägliche Arbeit darin besteht, Kästchen zu füllen und Evidenz manuell zu erzeugen, zahlt man für Dokumentation – nicht für Steuerung. Das ist ein wichtiger Unterschied.
Wann ein ISMS-Tool echten Mehrwert liefert
Ein ISMS-Tool hat erst dann Mehrwert, wenn es Operations und Controls zusammenbringt. Das klingt abstrakt, lässt sich aber an vier konkreten Kriterien festmachen: Tasks und Controls sind strukturell verknüpft, nicht nur grob zugeordnet. Evidenz entsteht im Prozess selbst, nicht durch nachträgliches Copy-Paste. Governance steuert den Betrieb, statt nur Häkchen zu verwalten. Und ein Audit ist ein Export, kein Sonderprojekt, das Wochen in Anspruch nimmt.
Diese vier Eigenschaften unterscheiden ein Steuerungswerkzeug von einem Dokumentenspeicher. Wenn ein angebotenes ISMS-Tool diese Eigenschaften nicht erfüllt, ist die Frage berechtigt: Was ist der Vorteil gegenüber einer gut gepflegten Excel-Tabelle?
Die richtige Frage bei Tool-Demos stellen
Bei der Evaluierung von ISMS-Tools lohnt es sich, gezielt nach den kritischen Funktionen zu fragen statt nach dem Feature-Umfang. Wie läuft die Verknüpfung zwischen einem Control und den zugehörigen Aufgaben und Verantwortlichen? Wie entsteht der Audit-Trail – automatisch oder manuell? Was passiert, wenn sich ein Control ändert: wird es aktiv im System propagiert, oder muss jemand manuell nachpflegen?
Und eine Frage, die sich im Gespräch bewährt hat: "Was war das absurdeste ISMS-Feature, das Ihnen in einer Demo als Innovation verkauft wurde?" Die Antworten sind aufschlussreich – sie zeigen, welche Erfahrungen andere IT-Entscheider im Mittelstand bereits gemacht haben.
ISMS im Regelbetrieb: Was das wirklich bedeutet
Ein ISMS im Regelbetrieb bedeutet: Rollen, Aufgaben, Nachweise und Risiko – jeden Tag. Nicht einmal jährlich für den Audit, nicht quartalsweise für das Management-Review, sondern kontinuierlich als Teil der normalen Betriebsabläufe.
Das erfordert ein Tool, das in der Lage ist, diesen Regelbetrieb zu unterstützen – mit klaren Zuständigkeiten, automatischen Erinnerungen, transparenten Eskalationspfaden und einer Evidenzstruktur, die sich aus dem Betrieb selbst ergibt.
Fazit: Der Werkzeug-Test beginnt mit der ehrlichen Bestandsaufnahme
Für Unternehmen im Mittelstand, die über ein ISMS-Tool nachdenken, lohnt sich zunächst eine ehrliche Bestandsaufnahme: Was leistet das aktuelle Tool oder die aktuelle Lösung – wirklich? Wo entstehen manuelle Aufwände, die durch bessere Integration vermieden werden könnten? Und welche Anforderungen stehen in den nächsten zwölf Monaten an – NIS-2-Audit, ISO-27001-Zertifizierung, externe Due Diligence?
Die Antworten auf diese Fragen zeigen, ob ein Tool-Wechsel sinnvoll ist, oder ob zunächst die organisatorischen Grundlagen gestärkt werden müssen. Denn das beste Tool entfaltet keinen Mehrwert in einer Organisation, die noch keine klaren Rollen, Verantwortlichkeiten und Prozesse definiert hat.