Es gibt Regulierungstexte, die man einmal liest, abnickt und dann in den Schrank stellt. Und es gibt Gesetze wie den Cyber Resilience Act (CRA): Er verändert, wie Produkte mit digitalen Funktionen in Europa entwickelt, gebaut, ausgeliefert, gepflegt und aus dem Verkehr gezogen werden. Der CRA ist kein weiteres „nice to have“ in Sachen IT-Security, sondern die neue Grundlinie, an der sich künftig jedes „Produkt mit digitalen Elementen“ messen lassen muss – vom smarten Heizkörperthermostat über Routers, Türschlösser, Kameras, Medizingeräte-Software bis hin zu industriellen Steuerungen, Entwicklungswerkzeugen, Passwortmanagern oder Betriebssystemen.

Der CRA ist seit Ende 2024 im EU-Amtsblatt veröffentlicht und in Kraft; die Pflichten greifen gestaffelt: Die Melde- und Vulnerability-Management-Pflichten gelten 21 Monate nach Inkrafttreten, die übrigen Pflichten nach 36 Monaten – also spätestens Ende 2027 muss das Regelwerk in der Breite erfüllt sein. Wer ab dann Produkte in der EU „in Verkehr bringt“ (Hersteller), importiert (Importeure) oder weiterverkauft (Händler), bewegt sich nur noch innerhalb dieses neuen Spielraums. Das gilt auch für Unternehmen außerhalb der EU, die ihre Soft- oder Hardware hier vermarkten: Sie benötigen einen in der EU ansässigen Bevollmächtigten und unterliegen denselben Regeln.

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) gilt oft als Mammutprojekt. Viele Unternehmen schieben es vor sich her, weil sie den Aufwand scheuen, die Komplexität fürchten oder befürchten, dass der Betrieb monatelang im Ausnahmezustand laufen muss. Tatsächlich kann ein ISMS-Einführungsprojekt chaotisch verlaufen – wenn man es falsch angeht. Mit einem klaren, strukturierten Vorgehen hingegen lässt es sich in geordnete Bahnen lenken, ohne den Arbeitsalltag lahmzulegen. Der Schlüssel liegt in einer schrittweisen Umsetzung, die Orientierung gibt, Ressourcen klug einsetzt und alle Beteiligten mitnimmt. Der hier beschriebene 5-Stufen-Plan bietet genau diesen roten Faden und übersetzt ISO/IEC 27001:2022, BSI IT-Grundschutz & Co. in greifbare Arbeitspakete.

Die Logik dahinter ist einfach: erst Klarheit und Commitment, dann saubere Planung, danach eine realitätsnahe Risikoanalyse, anschließend fokussierte Umsetzung der wichtigsten Maßnahmen – und zum Schluss die Verstetigung im Regelbetrieb samt Audits und kontinuierlicher Verbesserung. So entsteht ein ISMS, das nicht nur Papier füllt, sondern tatsächlich Sicherheit erzeugt.

Wenn wir heute über Informationssicherheit sprechen, denken wir fast automatisch an digitale Angriffe, Firewalls, Passwörter und Verschlüsselung. Der Begriff wirkt untrennbar mit dem Internet verbunden. Dabei ist Informationssicherheit deutlich älter als die digitale Vernetzung. Sie beginnt nicht mit Computern, sondern mit den ersten Versuchen, Wissen, Daten und strategisch wichtige Fakten vor unbefugtem Zugriff zu schützen. Lange bevor Hacker aus dunklen Kellern und staatliche Cyberoperationen Schlagzeilen machten, mussten Unternehmen, Regierungen und Militärs dafür sorgen, dass Informationen nicht in falsche Hände gerieten. Nur waren die Bedrohungen damals anderer Natur – und die Schutzmaßnahmen sahen ganz anders aus. In einer Welt ohne digitale Kopien existierte jede Information auf einem physischen Medium: handgeschriebene Dokumente, gedruckte Akten, Mikrofilmrollen, Magnetbänder oder sogar in den Köpfen ausgewählter Personen. Wer eine Information stehlen wollte, musste nicht durch eine Firewall, sondern durch eine verschlossene Tür, an einem Pförtner vorbei oder in ein gesichertes Archiv eindringen. Und wer sie schützen wollte, setzte auf Schlösser, Tresore, Wachpersonal und strenge Zugangsprotokolle. Informationssicherheit bedeutete damals, die physische Kontrolle über das Medium zu behalten, auf dem die Information existierte. Diese grundlegende Idee – Kontrolle über das Trägermedium, Kontrolle über die Personen, Kontrolle über die Wege – prägt bis heute jedes moderne Sicherheitskonzept, auch wenn sich die Träger, Personen und Wege massiv verändert haben.

Militärische Kryptographie und staatliche Geheimhaltung

Besonders weit entwickelt war die Informationssicherheit schon früh im militärischen Bereich. Schon im 19. Jahrhundert kannten Armeen die Notwendigkeit, Operationspläne, technische Baupläne oder diplomatische Depeschen vor neugierigen Augen zu verbergen und bei Bedarf zu verschlüsseln. Im Ersten und Zweiten Weltkrieg wurden ganze Abteilungen damit beauftragt, Nachrichten unlesbar zu machen und gleichzeitig feindliche Chiffren zu knacken. Die berühmte Enigma-Maschine der deutschen Wehrmacht ist nur das bekannteste Beispiel, doch sie steht stellvertretend für ein umfassendes System aus Verschlüsselung, Schlüsselverwaltung, Kurierdiensten, Funkdisziplin, Tarnbegriffen, abgestuften Geheimhaltungsgraden und strenger Sanktionskultur. Die Antwort der Alliierten – die Codeknacker in Bletchley Park um Alan Turing – ist legendär und zeigt zugleich, dass Informationssicherheit nie nur Technik ist. Es geht ebenso um Organisation, Geheimhaltung, disziplinierte Arbeitsteilung, Redundanz und die Fähigkeit, Fehlerquellen im eigenen System zu erkennen und zu korrigieren. In diesem Umfeld entstanden Prinzipien, die später in die Managementsysteme der zivilen Wirtschaft gewandert sind: „Need to know“ statt „nice to have“, Schlüsseltausch nach definierten Intervallen, Vier-Augen-Prinzip bei besonders sensiblen Operationen, die klare Trennung von Rollen und Verantwortlichkeiten sowie eine kompromisslose Dokumentation von Veränderungen an Verfahren und Material.

Wenn wir heute das Wort „Hacker“ hören, schießen den meisten sofort stereotype Bilder in den Kopf: ein dunkler Raum, das fahle Licht eines Monitors, grüne Zeichenketten, die über den Bildschirm laufen, und irgendwo eine Person mit Kapuzenpulli, die blitzschnell tippt. Dieses Bild ist das Produkt von Filmen, Schlagzeilen und Popkultur – und es hat mit der Realität nur am Rande zu tun. Die Wahrheit ist: Hacker gibt es, seit es komplexe Systeme gibt. Lange bevor es Computer und Internet gab, versuchten Menschen, diese Systeme zu verstehen, zu hinterfragen, zu manipulieren oder zu verbessern. Die Geschichte des Hackens beginnt nicht mit Silicon Valley, sondern reicht zurück in eine Zeit, in der Nachrichten über optische Signale übertragen wurden und Telefonnetze noch von mechanischen Wählscheiben beherrscht wurden.

Frühe Systeme: Telegraf, Funk und der Informationsvorsprung

Der erste bekannte „Hack“ fand im Jahr 1834 statt und hatte mit Elektronik noch nichts zu tun. In Frankreich betrieb die Regierung ein hochmodernes optisches Telegrafensystem, bei dem Signale über große Entfernungen mithilfe von mechanischen Armen und Sichtlinien weitergegeben wurden. Zwei findige Geschäftsmänner, François und Joseph Blanc, erkannten, dass dieses Netz ihnen einen entscheidenden Vorteil an der Börse verschaffen konnte. Sie bestachen einen Telegrafenbeamten, der in den offiziellen Übertragungen winzige, kaum wahrnehmbare Veränderungen vornahm – Änderungen, die für Außenstehende bedeutungslos wirkten, für die beiden jedoch verschlüsselte Botschaften darstellten. So erhielten sie Kursinformationen schneller als alle anderen und konnten diese für gewinnbringende Geschäfte nutzen. Es war der erste dokumentierte Fall, bei dem ein bestehendes Kommunikationssystem manipuliert wurde, um einen Informationsvorsprung zu erlangen – der Urtypus des Hackens. Das 19. und frühe 20. Jahrhundert kannte viele solcher Manipulationen, auch wenn niemand sie damals als „Hacks“ bezeichnete. In den USA etwa nutzten Kriminelle schon in den 1860er-Jahren Telegrafenleitungen, um Pferderenn-Ergebnisse zu verzögern oder zu verändern und damit Wetten zu manipulieren; in den 1920er-Jahren traten Funkpiraten auf den Plan, die Radiowellen kaperten, um eigene Botschaften auszustrahlen oder offizielle Übertragungen zu stören. In allen Fällen ging es darum, die Funktionsweise eines Systems zu verstehen, seine Grenzen auszutesten und es dann kreativ – oder kriminell – zu nutzen.

Wer in Deutschland ein strukturiertes Informationssicherheits-Managementsystem (ISMS) aufbauen will, steht früher oder später vor einer strategischen Weichenstellung: ISO/IEC 27001 oder BSI IT-Grundschutz? Beide Ansätze sind anerkannt, beide gelten als robust, beide können zu einer Zertifizierung führen. Und doch unterscheiden sie sich in Philosophie, Detailtiefe, Flexibilität, Nachweisführung und internationaler Reichweite. Die Entscheidung ist nicht trivial; sie hängt von Unternehmensgröße, Branche, Kundenanforderungen, regulatorischen Vorgaben, Lieferketteneinbindung und – nicht zu unterschätzen – von der Unternehmenskultur ab. Wer das für sich passende Modell wählen will, sollte verstehen, was beide Ansätze ausmacht, wie sie geprüft werden und wo ihre jeweiligen Stärken liegen. Genauso wichtig: Es ist keine dogmatische Entweder-oder-Frage. Hybride Wege sind nicht nur möglich, sondern oft sinnvoll.

ISO/IEC 27001: Risikobasiert, flexibel, weltweit anschlussfähig

ISO/IEC 27001 ist der international verbreitetste Standard für ISMS. Sein Kern ist Risikomanagement: Organisationen definieren ihren Kontext, identifizieren Informationswerte, analysieren Risiken und wählen angemessene Maßnahmen. Die Norm gibt die Management-Mechanik vor (Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung), lässt aber bewusst Freiraum in der Ausgestaltung. Diese Flexibilität ist eine große Stärke: