Beispiel für eine Projektplanung
Zur Einführung eines Informationsmanagementsystem ( ISMS ) für ein KMU
Präambel und Annahmen:
Dieses Beispiel geht davon aus, dass Prozesse, Arbeitsanweisungen sowie die grundlegende Dokumentation bereits vorhanden und auf dem aktuellen Stand sind. Sollten diese im Rahmen des Projekts erst erstellt werden müssen, ist mit erheblichen Auswirkungen auf den zeitlichen Ablauf zu rechnen.
📌 Projekt: Einführung eines ISMS nach ISO/IEC 27001
Unternehmensgröße: 10 Mitarbeitende
Bereiche im Scope: IT, Kundensupport, Entwicklung, Einkauf, Personal
Externe Dienstleister im Scope:
Marketingagentur
Fulfilment-Dienstleister
Steuerbüro
Lieferant aus China
Microsoft (O365-Cloud Services)
Rollen im Projekt:
Externer Informationssicherheitsbeauftragter (ISB)
Externer Datenschutzbeauftragter (DSB)
Leitung IT (intern)
Geschäftsführung (auch Personalleitung)
🗂️ Projektstrukturplan (PSP) – Phasen und Aufgaben
1. Projektinitialisierung (KW 1–2)
| Aufgabe | Verantwortlich |
|---|---|
| Projektauftrag und Scope definieren | GF, ISB |
| Projektteam zusammenstellen | GF |
| Kick-off-Meeting durchführen | ISB |
2. IST-Analyse & Kontext der Organisation (KW 3–5)
| Aufgabe | Verantwortlich |
|---|---|
| Geschäftsprozesse und Assets erfassen (inkl. externe Dienstleister) | ISB, IT, Einkauf |
| Rollen und Verantwortlichkeiten dokumentieren | ISB, GF |
| Interne & externe Anforderungen identifizieren (z. B. DSGVO, Verträge) | ISB, DSB |
| Geltungsbereich („Scope“) des ISMS definieren | ISB |
3. Risikoanalyse & Maßnahmenplanung (KW 6–9)
| Aufgabe | Verantwortlich |
|---|---|
| Schutzbedarfsfeststellung (Daten, Systeme) | ISB, IT |
| Bedrohungen & Schwachstellen identifizieren | ISB |
| Risikoanalyse & Risikobewertung | ISB |
| Risikobehandlungsplan erstellen | ISB |
| Maßnahmenkatalog mit Priorisierung | ISB, GF, IT |
4. Umsetzung von Maßnahmen (KW 10–18)
| Aufgabe | Verantwortlich |
|---|---|
| IT-Sicherheitsrichtlinien und -verfahren erstellen (Passwörter, Zugriff, etc.) | ISB, IT |
| Schulungen für Mitarbeitende durchführen | ISB, DSB |
| AV-Verträge prüfen/abschließen (z. B. mit MS, Fulfilment, Marketing) | GF, DSB |
| Sicherheitsmaßnahmen implementieren (z. B. MFA, Backup, Zugriffssteuerung) | IT |
| Notfallmanagement etablieren (z. B. Notfallplan, Backup-Test) | ISB, IT |
5. ISMS-Dokumentation (KW 14–19)
| Aufgabe | Verantwortlich |
|---|---|
| ISMS-Handbuch erstellen | ISB |
| Richtlinien und Prozesse dokumentieren | ISB |
| Dokumentationsstruktur festlegen | ISB, GF |
6. Internes Audit & Managementbewertung (KW 20–22)
| Aufgabe | Verantwortlich |
|---|---|
| Internes ISMS-Audit planen und durchführen | Externer Auditor / ISB |
| Abweichungen analysieren | ISB |
| Managementbewertung vorbereiten und durchführen | GF, ISB |
7. Kontinuierliche Verbesserung (ab KW 23 ff.)
| Aufgabe | Verantwortlich |
|---|---|
| Korrekturmaßnahmen bei Schwachstellen einleiten | ISB, IT |
| ISMS weiterentwickeln | ISB, GF |
| Vorbereitung auf Zertifizierung (optional) | ISB |
🗓️ Zeitplanübersicht (Grobplan)
| Woche | Phase |
|---|---|
| KW 1–2 | Projektstart |
| KW 3–5 | Kontext & Analyse |
| KW 6–9 | Risikoanalyse |
| KW 10–18 | Maßnahmenumsetzung |
| KW 14–19 | Dokumentation |
| KW 20–22 | Audit & Managementreview |
| ab KW 23 | Betrieb & Verbesserung |
📎 Hinweise für kleine Unternehmen
Der Aufwand kann durch Nutzung von Templates und Tools (z. B. Confluence, ISMS-Software) reduziert werden.
Der externe ISB sollte regelmäßig berichten, aber operativ entlasten.
Der Fokus liegt auf Angemessenheit – nicht auf Perfektion: lieber einfach, aber wirksam dokumentieren.
Eine Zertifizierung (z. B. nach ISO 27001) ist optional, aber empfehlenswert bei Kundenanforderung.
Unternehmen, die keine ISO 27001-Zertifizierung anstreben oder benötigen, können alternativ das Cyber Trust Label in Betracht ziehen, um ihre Informationssicherheit nach außen hin sichtbar und glaubwürdig darzustellen.
⏱️ Geplanter Zeitaufwand für das Projekt
Die folgende Tabelle gibt einen Überblick über den geschätzten Stundenaufwand für die einzelnen Projektphasen. Sie dient als Orientierung für den Ressourcenbedarf und hilft, den zeitlichen Rahmen realistisch einzuschätzen.
| Phase | Externer ISB | Externer DSB | Leitung IT | Geschäftsführung | Mitarbeitende (gesamt) | Gesamtstunden |
|---|---|---|---|---|---|---|
| Projektinitialisierung | 4 | 0 | 1 | 2 | 0 | 7 |
| IST-Analyse & Kontext | 12 | 2 | 4 | 2 | 2 | 22 |
| Risikoanalyse & Maßnahmenplanung | 16 | 0 | 4 | 2 | 2 | 24 |
| Umsetzung von Maßnahmen | 28 | 4 | 20 | 4 | 12 | 68 |
| ISMS-Dokumentation | 16 | 0 | 2 | 2 | 0 | 20 |
| Internes Audit & Managementreview | 10 | 0 | 2 | 4 | 0 | 16 |
| Kontinuierliche Verbesserung (erste Schritte) | 8 | 0 | 4 | 2 | 1 | 15 |
| Gesamtsumme | 94 | 6 | 37 | 18 | 17 | 172 |
🔧 Stundensätze (geschätzt)
| Rolle | Stundensatz (€) | Bemerkung |
|---|---|---|
| Externer ISB | 140 € | Spezialist, Beratung & Audit |
| Externer DSB | 120 € | DSGVO-Beratungsleistungen |
| Leitung IT | 80 € | Interne Personalkosten |
| Geschäftsführung | 100 € | Interne Kapazitätsbindung |
| Mitarbeitende gesamt | 60 € | Durchschnitt interner Aufwand |
📊 Aufwand aus Tabelle (Stunden)
| Rolle | Stunden | Stundensatz (€) | Gesamtkosten (€) |
|---|---|---|---|
| Externer ISB | 94 | 140 € | 13.160 € |
| Externer DSB | 6 | 120 € | 720 € |
| Leitung IT | 33 | 80 € | 2.640 € |
| Geschäftsführung | 18 | 100 € | 1.800 € |
| Mitarbeitende | 17 | 60 € | 1.020 € |
| Gesamtsumme | 168 | — | 19.340 € |
📌 Zusätzliche mögliche Kosten
| Position | Schätzung (€) | Kommentar |
|---|---|---|
| ISMS-Tool (z. B. SaaS, Basic Plan) | 1.000 €/Jahr | Optional, kann Aufwand reduzieren |
| Schulung/Trainingsmaterialien | 500 € | Für Awareness & Sensibilisierung |
| AV-Vertragsprüfung (DSB) | inkl. (in Aufwand) | Bereits berücksichtigt |
| Gesamtkosten mit Tools/Trainings | ca. 20.800 € |
💡 Hinweise zur Interpretation
Die tatsächlichen Kosten hängen stark von den Tagessätzen und der Effizienz der Umsetzung ab.
Bei Eigenleistung kann die Gesamtsumme signifikant reduziert werden.
Eine spätere Zertifizierung (z. B. ISO 27001) würde zusätzliche externe Auditkosten verursachen (~5.000–10.000 €).
✅ Mehrwert durch die FormigaCrew beim ISMS-Projekt
🔹 1. Kosteneffizienz durch gebündelte Expertise
- 100 € pro Stunde für hochqualifizierte ISB- und DSB-Leistungen ist im Marktvergleich besonders wirtschaftlich.
- Im Vergleich zu marktüblichen Sätzen von 120–160 €/h ergibt sich ein Einsparpotenzial von bis zu 30 %.
- Keine Mehrkosten durch externe Schulungen, da die Beratung auch Awareness-Formate abdeckt.
🔹 2. Ganzheitlicher Beratungsansatz
Die FormigaCrew bietet keine rein technische Perspektive, sondern berücksichtigt alle relevanten Geschäftsbereiche im Scope:
- IT-Sicherheit & Infrastruktur (Microsoft 365, Zugriffssteuerung, Backup)
- Kundensupport & Entwicklung (Datenschutz, Zugriff auf personenbezogene Daten)
- Einkauf & Lieferantenbewertung (Sicherheitsvorgaben für Lieferanten, z. B. China)
- Personalprozesse (Vertraulichkeit, On-/Offboarding, Awareness)
Dadurch wird das ISMS von Anfang an praxisnah und prozessorientiert aufgebaut.
🔹 3. Ressourcenschonung durch gezielte Projektsteuerung
- Die FormigaCrew strukturiert das Projekt in klar abgegrenzte Phasen.
- Übernahme operativer Aufgaben: z. B. Dokumentenerstellung, Risikoanalyse, Maßnahmenplanung.
- Der interne Aufwand im Unternehmen wird minimiert – besonders wichtig bei kleinen Teams mit begrenzten Kapazitäten.
🔹 4. Kompetenz in der Zusammenarbeit mit externen Dienstleistern
- Erfahrung im Umgang mit Cloud-Dienstleistern (Microsoft 365), Marketingagenturen, Fulfilment-Partnern und Steuerbüros.
- Sicherstellung, dass AV-Verträge, Zugriffsbeschränkungen und technische & organisatorische Maßnahmen korrekt implementiert sind.
🔹 5. Nachhaltigkeit & Vorbereitung auf Zertifizierung
- Die FormigaCrew legt Wert auf skalierbare ISMS-Strukturen.
- Wenn das Unternehmen später eine ISO/IEC 27001-Zertifizierung anstrebt, sind alle Grundlagen bereits erfüllt.
- Zudem wird ein Prozess zur kontinuierlichen Verbesserung etabliert (PDCA-Zyklus), der dauerhaft Mehrwert schafft.
💰 Beispielhafte Einsparung durch FormigaCrew
| Rolle | Marktüblicher Satz | FormigaCrew | Ersparnis je Stunde | Projektstunden | Gesamtersparnis |
|---|---|---|---|---|---|
| Externer ISB | 140 € | 100 € | 40 € | 94 | 3.760 € |
| Externer DSB | 120 € | 100 € | 20 € | 6 | 120 € |
| Gesamt | — | — | — | — | 3.880 € |
Die angegebenen Stundensätze verstehen sich ohne eventuelle Reisekosten, die im Verlauf des Projekts anfallen können. Sollte eine Reise erforderlich sein, berechnen wir die Kosten transparent auf Basis der tatsächlich entstandenen und belegbaren Ausgaben.
🚀 Fazit
Die Zusammenarbeit mit der FormigaCrew bietet kleinen Unternehmen:
Sicherheit auf hohem Niveau zum fairen Preis
Minimale interne Belastung
Zukunftssichere Prozesse für Compliance, Kundenvertrauen und Skalierbarkeit
Bereit, Ihr Unternehmen sicherer zu machen?
Kontaktieren Sie uns noch heute unter: consulting@formigacrew.com
und lassen Sie uns gemeinsam den Grundstein für ein wirksames Informationssicherheitsmanagement legen.
Effizient. Praxisnah. Zukunftssicher.
