Seit ziemlich genau einem Jahr ist die essendi it GmbH, unsere Muttergesellschaft in Deutschland, nun nach ISO 27001 zertifiziert. Durchgeführt wurde das Audit vom Certification Center Security (CCSEC Zertifizierungsstelle der Würth IT GmbH). Der externe ISO 27001 Auditor bescheinigte, dass ein Informationssicherheits-Managementsystem ISMS für den ‚Geschäftsbereich IT-Security und xc, IT-Administration und Betrieb‘ erfolgreich eingeführt wurde.
Wir sprechen mit Denis Flegel, ISB bei essendi it, über die Anforderungen, Vorgehensweisen und den Nutzen eines ISMS.
Inhalt:
Was ist die ISO 27001 und was macht ein ISB?
Wie geht man so eine Zertifizierung an?
Wie seid ihr vorgegangen?
Wie habt ihr die Zusammenarbeit organisiert?
Was kostet die ISO 27001 Zertifizierung?
Wie findet man das richtige Beratungsunternehmen?
Welche Empfehlung hast du für Unternehmen, die eine international anerkannte Sicherheitszertifizierung anstreben?
Welche Vorteile hat eine Zertifizierung?
Welche Prozesse stehen als nächstes bei essendi it an?
"Die ISO 27001 ermöglicht es uns, Sicherheitsstandards zu verbessern, den Schutz sensibler Daten zu gewährleisten und letztendlich die Resilienz unserer Organisation gegenüber Sicherheitsbedrohungen zu erhöhen." - Denis Flegel, ISB
Was ist die ISO 27001 und was macht ein ISB?
Die ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie legt Anforderungen für die Einführung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines dokumentierten ISMS fest. Ziel ist es, die Informationssicherheit in Organisationen zu gewährleisten, indem Risiken identifiziert, bewertet und entsprechende Kontrollen zur Behandlung dieser Risiken implementiert werden.
Ein ISB, also ein Informationssicherheitsbeauftragter, ist die Schnittstelle zwischen allen internen und externen Bereichen. Er ist dafür verantwortlich, dass Sicherheitsrichtlinien entwickelt und umgesetzt werden. In der Risikoverwaltung bzw. im Risikomanagement bewertet er potenzielle Sicherheitsrisiken und ihre möglichen Auswirkungen auf die Organisation.
Oft übernimmt er auch die ISO 27001 Schulung und Sensibilisierung der Mitarbeitenden.
Wie geht man so eine Zertifizierung an?
Wir haben zuerst versucht, die Zertifizierung ohne Berater umzusetzen. Uns wurde schnell klar, dass das zwar machbar ist, es viel Zeit und Ressourcen benötigt. Ausserdem ist es anfangs ohne Beratung schwierig, identifizierte Massnahmen so umzusetzen und zu dokumentieren, wie es in den externen Audits gefordert wird.
Wir haben uns deshalb entschlossen, Kramer und Crew als externen Dienstleister hinzuzuziehen. Das hat von Anfang an sehr gut funktioniert. Wir wurden Schritt für Schritt an das ISO 27001 Audit herangeführt.
Im Grunde genommen sind es vier Schritte, die man umsetzen muss:
1) Den Prozess definieren
2) Den Prozess dokumentieren
3) Den Prozess leben
4) Nachweisen, dass man ihn lebt.
Wie seid ihr vorgegangen?
Wir haben zuerst die Anforderungen, die der internationale Standard vorgibt, identifiziert. Schon hier war die Zusammenarbeit mit dem Beratungsunternehmen von Vorteil. Die Norm ist zum Teil sehr allgemein geschrieben. Man weiss deshalb nicht immer, wie man die Anforderungen praktisch umsetzen soll.
Die Mitarbeitenden von Kramer & Crew kennen die ISO 27001 Anforderungen genau. Sie konnten uns deshalb wertvolle Tipps geben und massgeschneiderte Vorlagen bereitstellen.
Als nächstes wurde eine Ist-Analyse unseres Unternehmens durchgeführt. Viele Themen hatten wir vor der ISO 27001 aus Gründen des Datenschutzes und der Compliance schon umgesetzt und die Prozesse bereits gelebt.
Der nächste Schritt war dann die Gap-Analyse. Damit haben wir die Lücken zwischen dem Soll- und dem Ist-Zustand bestimmt:
- Stimmt das Level für alle Bereiche der Informationssicherheit?
- Was sind die Mindeststandards?
- Sind alle Prüfmechanismen und Informationssicherheitskontrollen vorhanden?
- Und vor allem: Ist alles ausreichend dokumentiert?
In unserem Fall war es tatsächlich eine der Hauptaufgaben, alles zu verschriftlichen.
Wie habt ihr die Zusammenarbeit organisiert?
Wir haben einen Projektplan mit allen offenen Themen aufgestellt und priorisiert. Dann gab es alle zwei Wochen eine Abstimmung mit Kramer & Crew. In denen wurden die Ergebnisse durchgesprochen und die nächsten Themen und Schritte festgelegt.
Was kostet die ISO 27001 Zertifizierung?
Das lässt sich leider nicht so einfach sagen.
Es kommt zuerst mal auf die Grösse des Unternehmens an. Oder ob man eine ISO 27001 Software verwendet. Und auch auf den Umfang der Beratung zur ISO 27001.
Es gibt Beratungsunternehmen, die alles für einen übernehmen. Dort kann man sozusagen ein „Komplettpaket ISO 27001“ kaufen. Allerdings muss das eigene Unternehmen die Prozesse leben, nicht der Berater. Spätestens beim Zertifizierungs-Audit merkt der Auditor sofort, wer das ISMS umgesetzt hat.
Daher ist es besser, wenn man die Prozesse selbst erarbeitet und sie zum Unternehmen passen.
Die Kosten für die Prüfung durch den externen Auditor und das ISO 27001 Zertifikat sind meist feste Sätze. Die kann man sich von den Zertifizierungsstellen anbieten lassen.
Wie findet man das richtige Beratungsunternehmen?
Wir haben Kramer & Crew über eine Empfehlung gefunden. Wir wollten einen pragmatischen Ansatz. Jemanden, der uns Wissen vermittelt, so dass wir mittelfristig nur noch punktuell Unterstützung in Anspruch nehmen müssen. Mein Tipp ist, einfach bei anderen Unternehmen nachzufragen, z.B. bei einem Kunden oder Lieferanten mit ISO 27001-Zertifizierung.
Auch über das BSI gibt es Anlaufstellen, bei denen Unternehmen entsprechende Beratung anbieten.
Und natürlich kann man sich auf Messen informieren, beispielsweise auf der it-sa in Nürnberg.
Welche Empfehlung hast du für Unternehmen, die eine international anerkannte Sicherheitszertifizierung anstreben?
Man sollte sich nach Möglichkeit einen Partner suchen, der schon eine ISO- oder BSI Grundschutz Zertifizierung gemacht hat. Oder einen Profi, der genau weiss, wie man die geforderten Prozesse einfach umsetzen kann.
Und das Ziel ist wichtig. Es führen immer viele Wege dorthin. Jeder muss für sich entscheiden, welcher Weg richtig ist und welche Massnahme zum Unternehmen passt.
Welche Vorteile hat eine Zertifizierung?
Die ISO gibt Massnahmenpakete vor, die Angreifern z.B. unbefugten Zugriff erschweren. Ausserdem müssen Abläufe und Zuständigkeiten dokumentiert werden. Das alles kann bei einem Sicherheitsvorfall hilfreich sein. Man bemerkt den Angriff früher.
Durch den obligatorischen Notfallplan sind das Vorgehen und die Sicherheitsmaßnahmen festgelegt. Man weiss also sofort, was zu tun ist. Das ist in einer Stresssituation eine grosse Hilfe.
Man kann belegen, dass alle für die Sicherheit wichtigen Richtlinien eingehalten werden. Das bedeutet Sicherheit für Kunden und andere interessierte Parteien, z.B. hinsichtlich des Datenschutzes, der Datensicherheit und der Vorgaben durch die DSGVO. Die Zertifizierung wird deshalb auch als Nachweis für Ausschreibungen immer wichtiger.
Welche Prozesse stehen als nächstes bei essendi it an?
Nachdem wir im Februar unsere Rezertifizierung noch nach dem alten Standard erhalten haben, steht die Umstellung auf ISO IEC 27001 2022 an. Das passiert im Laufe des Jahres, so dass wir 2025 für die neue Norm gerüstet sind. Vor allem im Serveradmin-Bereich sind viele neue Themen dazugekommen. Und die Nomenklatur des Anhang A hat sich komplett geändert, so dass wir bestehende Prozesse neu zuordnen müssen.