Bericht über das Treffen der mbuf Gruppe IT-Security Management am 13. November 2025 bei der HORNBACH Baumarkt AG in Bornheim in der Pfalz.

Der Aufbau eines Informationssicherheitsmanagementsystem (kurz: ISMS) ist ein zentraler Baustein in der Umsetzung der NIS2 Richtlinie. An die dreißig Teilnehmer:innen aus der mbuf Community waren in die Pfalz gereist, um sich zu dem Thema auszutauschen:

• Wie wird das Thema in den unterschiedlichen Unternehmen angegangen?
• Wie weit ist ist die Umsetzung fortgeschritten?
• Welche externen Partner wurden ggf. mit ins Boot geholt?
• Welche Erfahrungen wurden gesammelt?

Bewusst wurde darauf verzichtet, Referenten aus dem Kreis der Lösungsanbieter einzuladen. „Aus der Praxis, für die Praxis“ war der Leitgedanke dieses Treffens und fünf Kurzvorträge aus dem Kreis der Teilnehmenden schafften eine tragfähige Basis für ausführliche Diskussionen und einen lebhaften Austausch über Unternehmensgrenzen – und über das eingeplante Zeitfenster – hinaus.

Nach einführenden Worten und interessanten Informationen zur HORNBACH Baumarkt AG von Andreas Schobert, CTO, gab Lennard Indlekofer, Information Security Specialist, Einblicke zum Stand der Einrichtung eines ISMS im Unternehmen. Eine besondere Herausforderung werde zum Beispiel darin gesehen, ISMS nicht nur in der Zentrale in Bornheim zu implementieren, sondern ein solches Managementsystem gleich einem Sicherheitsnetz auch über die 173 Bau- und Gartenmärkten, drei Fachmärkte, 39 Baustoff-Handelsniederlassungen sowie über Onlineshops in neun europäischen Ländern auszurollen.

Co-Gruppenleiter Max Gutberlet, CISO der Rotkäppchen-Mumm Sektkellereien GmbH, ging nach der Darstellung des Status Quo in Sachen ISMS bei Rotkäppchen-Mumm in seinem Beitrag insbesondere auf die Auswahlkriterien für eine ISMS-Lösung und die Wahl der richtigen Beratungspartner für den Aufbau und die Einführung eines ISMS ein. Um externe Unterstützung, das wurde auch in der nachfolgenden sehr intensiven Diskussion deutlich, gibt es beim Thema ISMS kein herumkommen, denn in kaum einem Unternehmen ist das notwendige Knowhow in ausreichendem Maße vorhanden. Allein die Anschaffungskosten für ein ISMS Tool zur Grundlage der Entscheidung zu machen, kann zu fatalen Fehlinvestitionen führen. Auch in diesem Fall müssen TCO (total costs of ownership) und unternehmensspezifische Aspekte im Auge behalten werden.

Martin Schimmelpfennig, Information Security Manager in der Eckes-Granini Group, berichtete von einem ISMS, das über die Beratungsgesellschaft PwC ins Haus kam. Das System sei sehr vielschichtig und mächtig, aber die Komplexität habe auch zu erhöhten Herausforderungen in der Einführungsphase geführt.

Ralf Birkenmeier, CIO und IT Security Advocate bei Testo Industrial Services DE, machte deutlich, dass sich Testo als ein Hersteller von hochpräzisen Messgeräten und Prüfinstrumenten für den professionellen – oft sicherheitsrelevanten – Einsatz in einem sehr regulierten Szenario bewege. Dies würde naturgemäß zu erhöhten Anforderungen an ein ISMS führen. Sie seien quasi permanent mit irgendwelchen Audits konfrontiert. Viele davon beträfen die Einhaltung von IT-Security-/ Cyber-Security-Vorgaben.

Nach dem Mittagessen erlaubte Jochen Wildner, Consultant bei der ditis Systeme GmbH + Co. KG und inzwischen bei der J.M.Voith SE & Co.KG in Sachen ISMS aktiv, begleitet von einer ausgiebigen Live-Demo einen Einblick in das bei VOITH selbst entwickelte ISMS Toolkit. Inzwischen bietet VOITH diese Lösung sogar anderen Unternehmen als Blueprint oder Lösungspaket an.

Die anschließende Kaffeepause erlaubte via Internet, gemeinsam live die Debatte und Abstimmung im Bundestag zum Gesetzentwurf der Bundesregierung „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ mitzuerleben. Mit fast zweijähriger Verzögerung regelt nun auch die deutsche Regierung die Umsetzung der europäischen Vorgaben in deutsches Recht.

Die abschließende Diskussionsrunde machte noch einmal deutlich:

• Wie ein ISMS letztlich aussehen muss, das hängt von vielen unternehmensspezifischen Aspekten ab
• Wichtig ist, sich auf den Weg zu machen und sich dabei von kompetenten Partnern begleiten zu lassen
• Im Bereich der ISMS Tools kann es kein „one fits all“ geben. Manchmal kann weniger mehr sein, ein zu komplexes System kann eher überfordern, gefordert ist der genau passende Maßanzug. Die Kostenbetrachtung sollte dabei nicht an erster Stelle stehen.

Bereits in der Mittagspause hatte die Gruppe ihre Schwerpunktthemen für 2026 identifiziert:

• Awareness: Wie die Awareness im Unternehmen gestärkt und das Thema Sicherheit intern besser „verkauft“ werden?
• Recovery: Wie lässt sich sicherstellen, dass nach einem schweren Sicherheitsvorfall schnellstmöglich die Systeme wieder verfügbar sind?
• Security Architektur: Wie sollte eine Sicherheitsstruktur „best-of-breed“ aufgebaut sein? Sollte auf eine allumfassende Lösung gebaut werden („alle Eier in einen Korb legen“) oder ist es eher ratsam, Lösungen unterschiedlicher Anbieter (teils sogar überlappend) einzusetzen?

Die Gruppe wird sich bei Präsenztreffe am 18./19. März 2026 (Gastgeber Orange Cyberdefense Germany GmbH, München), 1./2. Juli 2026 (Gastgeber KWS Saat SE & Co. KGaA, Einbeck) und am 11./12. November 2026 (Gastgeber Trützschler Group SE, Mönchengladbach) mit diesen Themenblöcken beschäftigen.

Schon jetzt können über die geschlossene und nur für Gruppenmitglieder zugängige Teamsplattform hierzu Ideen – oder auch Fragen und Anregungen zu anderen Themen – eingebracht werden.

Wer Interesse hat, sich als CISO oder mit dem Thema IT-Security-Management befasster Mitarbeiter in dieser mbuf Gruppe einzubringen, der nimmt bitte Kontakt auf mit der mbuf Geschäftsstelle (info@mbuf.de).