Was waren die grössten Herausforderungen auf dem Weg zum Zertifikat?
mha: Die grösste Herausforderung aus interner Sicht ist, die Anforderungen an ein Informationsmanagementsystem (ISMS) überhaupt zu verstehen und beurteilen zu können was relevant ist und was nicht. Das Ganze ist ein enormer Lernprozess. Viele Gefahren und Risiken sind den Mitarbeitern zwar bewusst, aber es ist oft nirgends niedergeschrieben, wie man damit umzugehen hat. Dies zu dokumentieren und visibel zu machen ist ein wichtiger Bestandteil während der Vorbereitung – aber nicht ganz einfach.
ceu: Was die technischen Aspekte anbelangt waren wir bereits vor dem Audit gut aufgestellt. Aber zu begreifen wie das ISO-System funktioniert und wie die 114 vorgegebenen Controls in den Tagesbetrieb integriert werden können, war eine echte Herausforderung. Es gibt Controls, die sehr eng formuliert sind und wenig Spielraum offen lassen und andere, die unterschiedlich interpretiert werden können.
Kannst du mir ein Beispiel eines solchen Controls nennen?
ceu: Control A.11.1.2 regelt die physische Zugangskontrolle zu sicherheitsrelevanten
Bereichen wie Büros und Datacentern. Der Control besagt, dass Sicherheitsbereiche durch angemessene Zugangskontrollen geschützt werden müssen, damit sichergestellt ist, dass nur autorisiertes Personal Zugang hat. Ob die Zugangskontrolle nun durch einen Wachposten, Schlüssel, Gesichtserkennung, Fingerabdruckscanner oder eine Kombination von allem geschieht, ist dem Unternehmen freigestellt. Der Auditor hat schlussendlich zu beurteilen, ob die getroffene Massnahme geeignet ist.
Mit welchen konkreten Massnahmen wurden Risiken minimiert?
mha: Ein einfaches Beispiel: Jeder Technik-Mitarbeiter besitzt eine eigene externe Festplatte. Die Festplatten waren bis anhin nicht ausreichend geschützt. Was passiert bei Verlust? Die Daten wären für den Finder einsehbar gewesen. Dies wurde eindeutig als Risiko identifiziert. Daher werden neu sämtliche Datenträger inventarisiert und verschlüsselt.
ceu: Zweites Beispiel: Wie in den meisten Firmen hatte jeder Mitarbeitende für sich selbst zu entschieden, welche Dokumente im Reisswolf landen und welche im Altpapier gesammelt werden. Dass das auch schiefgehen kann, haben in der Vergangenheit diverse Medienberichte gezeigt. Deshalb wird bei uns neu sämtliches Altpapier eingesammelt und kontrolliert vernichtet. Dies ist zwar mit Mehrkosten verbunden, hilft jedoch der Informationssicherheit.
Diese zwei Beispiele mögen banal klingen, doch sie zeigen genau, worum es bei ISO 27001 geht: Informationssicherheit ist nichts Abstraktes, sondern Alltag.
Was bringt das Zertifikat unseren Kunden?
ceu: Zusammengefasst hat der Kunde vor allem einen Nutzen: Er kann sich darauf verlassen, dass Informationssicherheit bei einem zertifizierten Partner eine grössere Rolle spielt als anderswo und sich das Unternehmen intensiv mit diesem Thema befasst hat. Aufgrund dessen, dass ein jährliches Überwachungsaudit stattfindet und das ISMS nach drei Jahren komplett neu auditiert wird, ist das keine Momentaufnahme, sondern ein kontinuierlicher Prozess.
Was könnt Ihr Unternehmen empfehlen, welche sich ebenfalls zertifizieren lassen wollen?
ceu: Das Wichtigste ist, sich dem Anwendungsbereich bewusst zu werden. Für welche Geschäftsbereiche und Dienstleistungen im Unternehmen ist Informationssicherheit überhaupt relevant? Ein klassischer Produktionsbetrieb könnte sich auch nur für die Sicherheit von Informationen im eigenen Betrieb zertifizieren lassen. Das reduziert den Aufwand enorm. Für uns als IT-Dienstleister war jedoch ein vollumfänglicher Geltungsbereich sinnvoll, da wir auch für die Sicherheit der Informationen unserer Kunden verantwortlich sind.
Nun ist achermann ISO 27001 zertifiziert. Was nun?
ceu: Informationssicherheit und Datenschutz wird im Unternehmen nach wie vor eine zentrale Rolle spielen. So werden uns gesetzliche Vorgaben wie die EU-DSGVO oder die Schweizer DSG-Revision, sowie die angestrebte Zertifizierung des internen Kontrollsystems nach ISAE 3402 weiterhin beschäftigen. Mit der ISO 27001 Zertifizierung haben wir nun die idealen Voraussetzungen geschaffen.
