Wir sind ISO/IEC 27001-zertifiziert
Die ISO/IEC 27001 wurde entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Informationswerte eines Unternehmens sicherzustellen und bildet die methodische Grundlage für weitere Sicherheitsverfahren und -normen. Aber was bedeutet dieses Zertifikat nun für die itnetX und unsere Kunden? Ein Interview mit Dieter Gasser, COO bei der itnetX (Switzerland) AG.
Die ISO 27001 Zertifizierung hat das Ziel, Managementsysteme einheitlich und zentral gesteuert abzubilden und damit den Schutz von Kundendaten, Know-how und Intellectual Property sicherzustellen. Wir haben Dieter Gasser, unseren COO gefragt, wie wichtig es in der heutigen Zeit ist, ISO/IEC 27001-zertifiziert zu sein?
Cyberkriminalität ist allgegenwärtig und betrifft längst nicht mehr nur Grossfirmen, sondern auch den in der Schweiz weitverbreiteten Mittelstand. Mittlerweile sind selbst die Rechtsprechungen (z.B. DSGVO/GDPR, CH DSG) so weit, klare Verantwortlichkeiten an Geschäftsinhaber und -leiter zu definieren und diese mit hohen Strafen zu untermauern. Es geht nicht nur um den Schutz der eigenen Daten und damit den Fortbestand der Firma zu sichern. Es geht auch um den Schutz der Daten aller Mitarbeiter, Kunden und Partnern. Meines Erachtens ist es nicht nur fahrlässig, dieses Thema zu ignorieren. Datenschutzmassnahmen sind aus meiner Sicht eine ethische Grundverantwortung, welche in der heutigen digitalen und vernetzten Welt wahrgenommen werden muss. Mit ISO/IEC 27001 steht Firmen ein Rahmenwerk zur Verfügung, welches ein gesamtheitliches Informationssicherheits-Managementsystem (ISMS) voraussetzt. Für IT-Dienstleistungsunternehmen oder Firmen ab einer gewissen Grösse erachte ich diese Zertifizierung als Quasi-Standard, wobei für mittelständische Unternehmen der Umfang zu gross bzw. überwältigen sein kann. In diesem Fällen muss das Thema mit pragmatischeren Ansätzen umgesetzt werden. Wichtig ist dabei, sicherzustellen, dass nicht nur einzelne Massnahmen wie eine Art «Flickenteppich» umgesetzt werden, sondern diese Massnahmen aufeinander abgestimmt sind und einen effektiven sowie umfassenden Schutz vor Datensicherheitsrisiken bieten.
Dieter, wenn du zurückblickst, auf die Zeit, die wir in Vorbereitung auf die Zertifizierung verbracht haben, was waren die grössten Herausforderungen und welche Learnings konnte das itnetX-Team daraus ziehen?
Leider mussten auch wir die Schwierigkeiten der Einführung eines umfassenden ISMS selbst miterleben. Wir hatten 2018 die Stelle eines CISO geschaffen und uns – überspitzt ausgedrückt – blauäugig darauf verlassen, uns innerhalb einiger Monate nach erfolgreicher Rekrutierung für den Audit anmelden zu können. Die ganze Initiative mussten wir nach rund anderthalb Jahren aufrollen und neu starten. Uns hat damals ein Schlüsselelement gefehlt: Management Commitment und Support. Als Pionierin im Microsoft-Cloud-Umfeld mit hoch qualifizierten Spezialisten, die die neusten Sicherheitstechnologien kennen, war es für uns ein Leichtes, die technischen Massnahmen zu definieren und zu treffen. Die grosse Herausforderung war der Faktor Mensch. Commitment und insbesondere auch die Mitarbeit durch das Management, die Ernennung von sogenannten Security Officern in den Geschäftsbereichen und damit verbunden, das Einräumen von Arbeitszeit, um sich diesem Thema zu widmen und letzten Endes die Schulung und Awareness jedes einzelnen Mitarbeiters.
Ich kann mich noch daran erinnern, es war wirklich eine Herausforderung für die gesamte itnetX-Familie. Wie aufwendig sind die Vorbereitungen auf eine ISO/IEC 27001 Zertifizierung denn genau und wie viele Personen sind schlussendlich daran beteiligt?
Der zeitliche Aufwand ist nicht zu unterschätzen. Nebst dem CISO ist für den Betrieb des ISMS eine Organisation, bestehend aus mehreren Security Officern, aufzubauen. Diese Personen sollten im Idealfall bereits im Einführungsprojekt tatkräftig mitwirken können, um später das notwendige Wissen für den Betrieb des ISMS zu haben. Darüber hinaus sind sämtliche Entscheidungsträger der einzelnen Bereiche involviert. Es ist falsch, anzunehmen, dass ein derartiges Vorhaben ein reines IT-Projekt ist. Informationssicherheit betrifft alle, so beispielsweise auch die Personalabteilung (Mitarbeiterdaten), das Supplier Management und den Einkauf, um nur einige Beispiele zu nennen. Zu guter Letzt werden viele Massnahmen mit IT-technischen Mitteln umgesetzt. Je nach aktuellem Reifegrad der Informationssicherheit der IT-Systeme ist der Aufwand für die zu treffenden Änderungen eher gering oder kann sehr gross ausfallen. Die Versuchung ist gross, für eine Datenschutzinitiative den Ball an einen Dienstleister abzuschieben. Wichtig dabei ist aus meiner Sicht, niemals den «Driver Seat» zu verlassen und stets den Gesamtüberblick zu behalten, denn nach dem Projekt geht das ISMS in den Betrieb über. Wenn der Dienstleister die Bühne verlässt, muss gewährleistet sein, dass das Know-how und allen voran die Zeit für den Betrieb vorhanden sind und somit die Effektivität des ISMS aufrechterhalten werden kann. Natürlich gibt es auch für den Betrieb gute Möglichkeiten des Outsourcing beziehungsweise des Outtaskings (z.B. «CISO as a Service» oder «Security Operation Center (SOC)»).
Als Marketingmanagerin war ich nur ganz am Rand und in der Rolle der Mitarbeiterin in die Zertifizierung involviert. Dieter, erklärst du mir, wie der Zertifizierungsprozess gesamthaft abläuft?
Nachdem die bereits vorher geschilderte ISMS-Organisation definiert wurde, müssen die Beteiligten auf einen ausgewogenen Wissensstand hinsichtlich genereller Informationssicherheit und Wissen zum ISO-Rahmenwerk im spezifischen gebracht werden. Es folgt die Bestimmung des Umfangs der Initiative, d.h. welche Bereiche/Systeme/Niederlassungen und Controls werden berücksichtigt (Scope und Statement of Applicability). Danach werden die rund 120 Controls abgearbeitet und daraus unterschiedliche Aktivitäten ausgelöst, welche sich grob in die folgenden Arbeiten zusammenfassen lassen: Schreiben, Einführen und Schulen von Richtlinien und Arbeitsanweisungen; Einführen, Konfigurieren und Dokumentieren von IT-Systemen; Strukturieren, Klassifizieren und Schützen von bestehenden Daten; Modellieren, Einführen und «Leben» von Prozessen (z.B. Risikomanagement); Schulen und Unterstützen von Mitarbeitern und Partnern.
Ich kann mich erinnern, dass wir im Zusammenhang mit der Zertifizierung neue interne Sicherheitsrichtlinien ausgehändigt bekommen haben. Die klare Anweisung war: «aufmerksam durchlesen und stets zur Hand haben, falls Unklarheiten auftauchen». Ausserdem, und das fand ich eine tolle Art, Wissen abzufragen, wurde den Mitarbeitern ein kleiner «Prüfungsfragebogen» über die neuen Sicherheitsrichtlinien zugeschickt. Wie seid ihr auf die Idee gekommen, das erworbene Wissen so abzufragen und auf welcher Plattform wurde das noch gleich abgefragt?
Informationssicherheit ist für das Gros an Mitarbeitern ein sehr «trockenes» Thema. Das Lesen einer über 15-seitigen Sicherheitsrichtlinie ebenso. Es war uns ein Anliegen, das Thema spielerisch anzupacken. Wir waren uns sicher, Erfolgsquote dieser Initiative damit hochzuhalten. Wir haben dem itnetX-Team eine gewisse Zeit eingeräumt, sich einzulesen. An Mitarbeiterinformationsveranstaltungen sind wir wiederholt auf das Thema Informationssicherheit eingegangen und haben die Wichtigkeit anhand konkreter Beispiele untermauert. Zum Schluss haben wir einen Wissens-Check in Form eines Online-Spiels unter Zuhilfenahme der Plattform «Kahoot!» durchgeführt.
Stimmt Kahoot war die Plattform. Ich räume ein, es war wirklich sehr trocken die Sicherheitsrichtlinien zu lesen. Und doch auch spannend. Für mich als Mitarbeiterin ohne technischen Hintergrund war in den Richtlinien viel Neues, das es zu lernen gab. Nun sind wir also ISO 27001 zertifiziert und können nachweisen, dass wir alle notwendigen Voraussetzungen getroffen haben, um uns vor Sicherheitslücken effektiv zu schützen. Gibt es weitere besondere Vorteile?
Eine ISO-Zertifizierung darf nicht als Mittel zum Zweck betrachtet werden. Unsere Motivation, diese Initiative zu befolgen, war es, ein nachhaltiges Vertrauensverhältnis mit unseren Kunden und Partnern aufzubauen. In jedem Projekt werden uns teilweise sensitive Daten anvertraut, und Kraft unseres stetigen Wachstums im Managed Service-Umfeld sehen wir auch im Betrieb vermehrt hinter die Kulissen unserer Kunden und verwalten interne Daten. Da hat es für uns oberste Priorität, dass unsere Kunden Gewissheit haben, mit einem Partner zusammenzuarbeiten, der Ihre Daten vertrauensvoll behandelt und diese effektiv schützt. Die Zertifizierung war für uns lediglich die logische Krönung dieser Initiative.
Dieter, ich danke dir für deine Zeit und deine detaillierten Ausführungen. Abschliessend interessiert mich brennend, ob du sagen würdest, diese Zertifizierung hat sich gelohnt und vor allen Dingen, was kommt nach ISO 27001?
Für uns als IT-Dienstleister und -Betriebspartner stellte ISO 27001 ein ideales Rahmenwerk für die gesamtheitliche Einführung eines ISMS dar. Zwar war unser sicherheitstechnischer Footprint sowie auch die Awareness im Unternehmen bereits sehr hoch, mit der Zertifizierung konnten wir aber die unterschiedlichen bestehenden Mittel, Massnahmen und Prozesse zu einem gemeinsamen Ganzen zusammenführen, optimieren, und zertifizieren. Somit haben wir nun ein Gesamtsystem, welches in sich konsistent ist und die Zusammenhänge der einzelnen Aspekte (Richtlinien, technische Massnahmen, Prozesse, Daten etc.) klar und einleuchtend abbildet. Dies vereinfacht die kontinuierliche Pflege des ISMS und Sicherstellung der Effektivität enorm. Also: Ja, die Zertifizierung hat sich definitiv gelohnt.
Was jetzt folgt ist die Kür: sicherstellen, dass das Thema nach erfolgreicher Zertifizierung nicht vernachlässigt wird. Das Management stellt weiterhin die Mittel zur Verfügung, um das Thema aufrechtzuerhalten und stets den sich ändernden Bedingungen anzupassen.