Wer einen Massnahmenplan Informationssicherheit erstellen will, steht selten vor einem Mangel an Themen. Meist ist das Gegenteil das Problem: zu viele offene Punkte, zu wenig klare Prioritäten und eine Dokumentation, die zwischen Excel, Tickets, E-Mails und Sitzungsprotokollen zerfällt. Genau dort entscheidet sich, ob Informationssicherheit im Alltag wirksam wird oder ob sie als Liste guter Absichten liegen bleibt.

Was ein guter Massnahmenplan in der Informationssicherheit leisten muss

Ein Massnahmenplan ist keine Sammlung beliebiger To-dos. Er verbindet erkannte Lücken mit konkreten Verantwortlichkeiten, realistischen Fristen und einer nachvollziehbaren Bewertung von Aufwand, Nutzen und Risiko. Für KMU, Verwaltungen und andere Organisationen zählt dabei nicht nur die fachliche Richtigkeit. Ebenso wichtig ist, dass der Plan steuerbar bleibt und gegenüber Management, Revision oder externen Prüfstellen belastbar dokumentiert werden kann.

In der Praxis scheitern viele Pläne an drei Punkten. Erstens werden Massnahmen zu allgemein formuliert, etwa mit Aussagen wie „Awareness verbessern“ oder „Backups prüfen“. Zweitens fehlt die Priorisierung, sodass kritische Themen neben weniger dringenden Aufgaben gleich behandelt werden. Drittens ist der Bezug zu Anforderungen aus Standards oder internen Vorgaben nicht sauber nachgewiesen. Dann wird aus einem Sicherheitsprogramm schnell ein administrativer Nebel.

Ein belastbarer Massnahmenplan schafft hier Ordnung. Er zeigt, welche Abweichung festgestellt wurde, welches Ziel erreicht werden soll, wer die Umsetzung verantwortet und bis wann ein überprüfbares Ergebnis vorliegen muss. Diese Klarheit ist nicht nur für Auditoren hilfreich. Sie spart intern Zeit, weil weniger Rückfragen entstehen und Fortschritte sauber messbar werden.

Massnahmenplan Informationssicherheit erstellen - sinnvoller Ablauf

Der richtige Ablauf beginnt nicht bei den Massnahmen selbst, sondern beim Befund. Erst wenn klar ist, welche Anforderungen nicht erfüllt sind, welche Risiken daraus folgen und welcher Reifegrad erreicht werden soll, lassen sich sinnvolle Schritte ableiten. Wer diesen Zusammenhang überspringt, produziert leicht Aktivität ohne Wirkung.

1. Befunde sauber erfassen

Grundlage ist ein strukturiertes Assessment. Das kann sich an ISO 27001:2022, am Cyber Security Basis Check, am IKT-Minimalstandard oder an NIST-orientierten Vorgaben ausrichten. Entscheidend ist, dass der Ist-Zustand systematisch bewertet wird und die Ergebnisse nicht nur als Punktzahl vorliegen, sondern als nachvollziehbare Einzelbefunde.

Ein Befund sollte konkret genug sein, um daraus direkt eine Handlung abzuleiten. Statt „Zugriffsmanagement ungenügend“ ist beispielsweise präziser: „Es gibt keinen dokumentierten Prozess für Eintritt, Wechsel und Austritt von Mitarbeitenden mit Bezug auf Benutzerkonten und Berechtigungen.“ Erst diese Präzision macht den nächsten Schritt möglich.

2. Lücken in umsetzbare Massnahmen übersetzen

Nicht jede Lücke verlangt dieselbe Art von Reaktion. Manche Themen brauchen eine Richtlinie, andere eine technische Konfiguration, wieder andere Schulung, Vertragsanpassung oder eine organisatorische Regelung. Deshalb sollte jede Massnahme so beschrieben sein, dass das erwartete Ergebnis überprüfbar ist.

Besser als „Notfallmanagement verbessern“ ist etwa: „Kritische Wiederanlaufverfahren für ERP und Dateiablage definieren, dokumentieren und in einem Test überprüfen.“ Eine solche Formulierung zeigt Ziel, Umfang und Nachweis in einem Satz.

3. Prioritäten festlegen

Ein häufiger Fehler ist die reine Abarbeitung nach Reihenfolge des Assessments. Fachlich sinnvoller ist eine Priorisierung entlang von Risiko, Kritikalität und Abhängigkeiten. Wenn etwa die Multi-Faktor-Authentisierung für administrative Zugänge fehlt, ist dieses Thema meist dringlicher als eine formale Überarbeitung einzelner Richtliniendokumente.

Gleichzeitig gilt: Nicht alles mit hohem Risiko lässt sich sofort umsetzen. Manche Massnahmen haben technische oder organisatorische Vorbedingungen. Ein realistischer Massnahmenplan berücksichtigt deshalb auch Reihenfolgen. Ohne Rollenmodell wird Berechtigungsmanagement schwer sauber steuerbar. Ohne Inventar bleibt Schwachstellenmanagement oft lückenhaft.

4. Verantwortlichkeiten und Fristen verbindlich zuordnen

Massnahmen ohne klare Zuständigkeit bleiben erfahrungsgemäss liegen. Dabei reicht es nicht, nur eine Abteilung zu benennen. Es braucht eine verantwortliche Person, idealerweise ergänzt um Mitwirkende und Freigabestellen. Das schafft volle Kontrolle über den Status und verhindert, dass Aufgaben zwischen IT, Fachbereich und Management pendeln.

Auch Fristen sollten realistisch sein. Zu kurze Termine führen zu ständigem Verschieben, zu lange Fristen nehmen den Druck aus kritischen Themen. Bewährt haben sich Zieltermine, die an bestehende Steuerungsrhythmen anschliessen, etwa Monats- oder Quartalsreviews.

5. Nachweise und Fortschritt dokumentieren

Ein Massnahmenplan entfaltet seinen Wert erst dann vollständig, wenn Umsetzung und Wirksamkeit dokumentiert werden. Dazu gehören Statusangaben, Umsetzungsnachweise, Entscheidungen zu Terminverschiebungen und gegebenenfalls Restrisiken. Gerade bei Prüfungen zeigt sich schnell, ob Massnahmen nur behauptet oder revisionssicher belegt werden können.

Welche Inhalte in einen Massnahmenplan gehören

Wer einen Massnahmenplan Informationssicherheit erstellen möchte, sollte auf ein einheitliches Datenschema achten. Das klingt technisch, ist aber vor allem eine Frage der Führbarkeit. Wenn jede Massnahme anders beschrieben ist, leidet die Vergleichbarkeit.

Mindestens enthalten sein sollten Referenz auf den Befund oder die Anforderung, Beschreibung der Massnahme, Priorität, verantwortliche Person, Zieltermin, Status, erwarteter Nachweis und Bezug zum Risiko. Häufig sinnvoll sind zusätzlich Angaben zu Aufwand, betroffenen Systemen oder Organisationseinheiten sowie Hinweise auf Abhängigkeiten.

Der Bezug zum Risiko wird oft unterschätzt. Dabei ist er gerade für die Geschäftsleitung zentral. Sie will nicht nur sehen, was getan wird, sondern warum es relevant ist. Wird eine Massnahme direkt mit einem identifizierten Risiko oder einer regulatorischen Anforderung verbunden, entsteht eine managementtaugliche Entscheidungsgrundlage.

Typische Stolpersteine bei der Erstellung

Viele Organisationen starten motiviert und verlieren dann an Tempo, weil der Plan zu gross oder zu unscharf wird. Das passiert vor allem dann, wenn sämtliche Themen gleichzeitig aufgenommen werden, ohne sie in sinnvolle Wellen zu gliedern. Besser ist ein priorisierter Umsetzungsplan mit klarer Taktung.

Ein weiterer Stolperstein ist die Vermischung von Massnahme und Zielbild. „ISO 27001 einführen“ ist keine konkrete Massnahme, sondern ein Programmziel. Darunter braucht es operative Schritte wie Leitlinie freigeben, Asset-Inventar aufbauen, Lieferantenbewertung definieren oder Logging-Konzept umsetzen. Nur diese Ebene lässt sich verlässlich steuern.

Schwierig wird es auch, wenn der Plan losgelöst vom Tagesgeschäft geführt wird. Informationssicherheit ist kein Paralleluniversum. Viele Massnahmen betreffen Prozesse in HR, Beschaffung, Betrieb, Entwicklung oder Governance. Ohne bereichsübergreifende Zusammenarbeit bleibt selbst der beste Plan ein Papiertiger.

Excel reicht oft nur am Anfang

Für kleine Umfänge kann eine Tabellenlösung genügen. Sobald jedoch mehrere Verantwortliche, Statusänderungen, Nachweise, Risikozuordnungen und verschiedene Frameworks ins Spiel kommen, wird Excel schnell unübersichtlich. Versionen driften auseinander, Kommentare gehen verloren und die Historie ist nur mit Aufwand nachvollziehbar.

Gerade bei Organisationen, die wiederkehrende Assessments durchführen oder gegenüber internen und externen Stellen Bericht erstatten müssen, lohnt sich eine digitale, zentrale Steuerung. Dort lassen sich Befunde direkt in Massnahmen überführen, Verantwortlichkeiten im Team abbilden und Fortschritte ohne Medienbrüche dokumentieren. Das spart nicht nur Zeit. Es erhöht auch die Nachvollziehbarkeit und damit die Qualität der Steuerung.

Eine Plattform wie SCMC ist genau auf diesen Ablauf ausgelegt: Assessment, Auswertung, Massnahmen und Risikoverfolgung in einer durchgängigen Umgebung. Für Organisationen, die ohne grossen Beratungsaufwand arbeiten wollen, ist das ein praktischer Vorteil. Vor allem dann, wenn Management-Reports, revisionssichere Historie und Schweizer Datenhaltung mitentscheidend sind.

So wird der Massnahmenplan steuerbar statt nur vollständig

Vollständigkeit ist nicht dasselbe wie Wirksamkeit. Ein Plan mit 80 offenen Punkten kann fachlich korrekt und operativ trotzdem wertlos sein, wenn niemand erkennt, was diese Woche, diesen Monat und dieses Quartal wirklich zählt. Deshalb sollte jede Organisation ihren Massnahmenplan auch als Führungsinstrument verstehen.

Dazu gehört eine einfache Statuslogik. Offen, in Umsetzung, blockiert, umgesetzt und geprüft reichen oft aus. Zu viele Zwischenstufen erzeugen eher Diskussion als Klarheit. Ebenso wichtig ist ein fester Review-Rhythmus, in dem Fortschritte, Hindernisse und Prioritätsänderungen besprochen werden.

Hilfreich ist zudem die Trennung zwischen Sofortmassnahmen und strukturellen Verbesserungen. Wenn ein akutes Risiko besteht, etwa fehlende Absicherung privilegierter Konten, darf dieses Thema nicht in denselben Zeithorizont fallen wie der langfristige Ausbau von Richtlinienlandschaften. Beides ist relevant, aber nicht gleich dringend.

Am Ende überzeugt ein Massnahmenplan nicht durch seine Länge, sondern durch seine Wirkung. Wenn Verantwortliche wissen, was zu tun ist, das Management die Prioritäten versteht und Nachweise jederzeit verfügbar sind, wird Informationssicherheit steuerbar. Genau dann wird aus einer Pflichtübung ein Werkzeug, das Organisationen sicherer, transparenter und handlungsfähiger macht.