IT-Service trifft Informationssicherheit
Warum ISMS und ITSM keine Gegensätze sind
IT Service Management trifft Informationssicherheit ein realistischer Blick auf Prozesse und Potenziale
Wenn IT-Services reibungslos laufen sollen, muss vieles im Hintergrund zusammenspielen: Prozesse, Tools, Daten, und nicht zuletzt die Sicherheit. In unserem Podcast „LabtaTalk“ sprechen Sven Mawby von Labtagon und Björge Dörr von INNOMEA über die täglichen Herausforderungen, an denen IT Service Management (ITSM) und Informationssicherheitsmanagementsysteme (ISMS) aufeinandertreffen. Darüber diskutieren beide darüber, warum die Verzahnung beider Bereiche essenziell für moderne Organisationen ist.
Sicherheit ist keine eigene Disziplin, sondern integraler Bestandteil aller Bereiche
Was im ersten Moment wie zwei unterschiedliche Welten erscheint, IT-Service und IT-Security, entpuppt sich im Projektalltag zunehmend als untrennbare Einheit. Ob Incident Management, Change Prozesse oder die Datenpflege in einer CMDB, wer Services betreibt, muss auch ihre Risiken und Sicherheitsanforderungen mitdenken. Ein Service ist nicht mehr nur „verfügbar“ oder „nicht verfügbar“, sondern häufig auch „sicher“ oder „nicht sicher“.
Gerade in regulierten Branchen, etwa im Banken- oder Versorgungssektor, werden Sicherheitsvorfälle nicht nur operativ, sondern auch regulatorisch relevant. Das bedeutet, dass klassische ITSM-Prozesse wie Impact-Analysen, Eskalationsstufen und Incident-Response-Prozesse zentrale Pfeiler des gelebten ISMS und umgekehrt sind.
Datenqualität ist das Fundament für Automatisierung, Sicherheit und Effizienz
Die Gesprächspartner waren sich einig, dass ohne belastbare Datenbasis sich weder ITSM noch ISMS effektiv umsetzen lässt. Egal ob man mit einer CMDB (Configuration Management Database) oder erweiterten Informationssicherheitskatalogen arbeitet, wer nicht weiß, welche Assets vorhanden sind, wer sie nutzt, wo sie eingesetzt werden und welche Abhängigkeiten bestehen, kann Risiken weder erkennen noch managen.
Der Einsatz automatisierter Tools, beispielsweise zur Pflege von CI-Relationen oder zur Unterstützung von Root-Cause-Analysen, setzt gepflegte Daten voraus. Dabei geht es nicht um technische Spielerei, sondern um echte Business-Relevanz, wie etwa bei Sicherheitsvorfällen oder geplanten Changes.
Wie Enterprise Service Management IT-Prinzipien unternehmensweit nutzbar macht
Service Management ist längst nicht mehr auf die IT beschränkt. On- und Offboarding-Prozesse im HR-Bereich, Facility Management oder interne Anfragen zu Compliance-Themen, überall, wo standardisierbare Abläufe gefragt sind, helfen ITSM-Praktiken. Die Übertragung bewährter Methoden aus der IT auf andere Unternehmensbereiche macht Prozesse nicht nur effizienter, sondern auch sicherer, vorausgesetzt dass Informationssicherheit mitgedacht wird.
Besonders spannend wird es, wenn Self-Service-Portale zum zentralen Einstiegspunkt für Services werden. Ob HR-Prozess, Impfterminvergabe oder Whistleblower-Meldung, der strukturierte Umgang mit sensiblen Daten, Rechten und Rollen erfordert durchdachte Konzepte und Tools, die ITSM und ISMS sinnvoll vereinen.
Vendor Management gewinnt mit NIS2 zunehmend an Relevanz
Mit der NIS2-Richtlinie und neuen Anforderungen aus dem europäischen Sicherheitsrecht rücken auch Zulieferer in den Fokus der Informationssicherheit. Wer heute schon im ITSM Vendor Management betreibt, etwa über zentrale Servicekataloge, wird den Schritt zu einer systematischen Risikoüberwachung in der Lieferkette leichter gehen können. Doch die Umsetzung muss prozessual durchdacht und technisch unterstützt werden und vor allem auch durch die Geschäftsführung mitgetragen werden.
Rollen, Rechte und Verantwortung im Identity- und Access-Management systematisch abbilden
Ein weiterer zentraler Aspekt im Zusammenspiel von ITSM und ISMS ist die Identitätenverwaltung. Wer darf was, wann, wie lange und warum? Nur mit funktionalen, rollenbasierten Gruppen, automatisierten Rezertifizierungen und einem systematischen Blick auf Abhängigkeiten und Berechtigungen lässt sich der Spagat zwischen Usability und Sicherheit schaffen.
Löschen ist das neue Speichern, Datenhoheit als strategisches Ziel erkennen
Früher wurde gespeichert, was ging, heute wird nach dem „Wozu“ gefragt. Nach den Vorgaben der DSGVO sollen nur erforderliche Daten verarbeitet werden alles andere ist zu vermeiden oder zu entfernen. ITSM-Tools bieten hier wertvolle Funktionen zur Anonymisierung, Archivierung und strukturierten Löschung. In Verbindung mit Audit-Trails und Dokumentationsstandards ist das nicht nur ein Beitrag zur Compliance, sondern auch zur operativen Effizienz.
Die Mission ist es, gemeinsam Prozesse zu stärken weit über den Einsatz von Tools hinaus
Am Ende des Gesprächs steht der Appell, wer sich nur auf Tools verlässt, bleibt im Klein-Klein der IT hängen. Es geht darum, Unternehmen zur strukturierten Steuerung, zur aktiven Compliance und zur fundierten Entscheidungsfindung zu befähigen. Das beginnt mit einer ehrlichen Bestandsaufnahme, einem Plan und der Bereitschaft, die verschiedenen Disziplinen in einer Strategie zu vereinen.
Fazit zum Thema ITSM und Informationssicherheit:
ITSM und ISMS sind keine Gegensätze. Im Gegenteil, sie ergänzen sich in der Zielsetzung, stabile, sichere und nachvollziehbare Prozesse zu schaffen. Die operative Realität zeigt: Ohne Sicherheit ist kein Service zukunftsfähig – und ohne strukturiertes Management bleibt Sicherheit oft wirkungslos.
Neugierig geworden? Weiterführende Informationen und Tools
Mehr zur praktischen Umsetzung von Service- und Sicherheitsstrategien finden Sie auf den Seiten von Labtagon und INNOMEA.
Sprechen Sie unser Team ganz unverbindlich an!
Hier geht es zur Episode 6 – Episode 6 – Informationssicherheit und ITSM
Sven Mawby im Gespräch mit Björge Dörr, CSIO, innomea GmbH
