ISO 27001 Norm schafft Vertrauen

Der Weg zur erfolgreichen Zertifizierung

| Autor / Redakteur: Petra Adamik / Florian Karlstetter

Die Kieler Vater-Gruppe hat ihre Cloud-Services durch den TÜV Rheinland für die Sicherheitsnorm ISO 27001 zertifizieren lassen.
Die Kieler Vater-Gruppe hat ihre Cloud-Services durch den TÜV Rheinland für die Sicherheitsnorm ISO 27001 zertifizieren lassen. (Bild: gemeinfrei (ArtsyBee / pixabay / CC0)

Im Zeitalter der Digitalisierung, sind Unternehmensprozesse ohne IT-Systeme nicht mehr denkbar. Das Internet, Rechenzentren und Cloud-Anwendungen gehören zum Alltag. Kunden, die sich für die Zusammenarbeit mit einem Cloud-Provider entscheiden, verlangen heute einen Nachweis über die Einhaltung von Sicherheitsstandard. Aus diesem Grund hat die Kieler Vater-Gruppe ihre Cloud-Services durch den TÜV Rheinland für die Sicherheitsnorm ISO 27001 zertifizieren lassen.

Hackerangriffe und Datendiebstahl, Offenlegung und Missbrauch vertraulicher Unternehmensinformationen oder Erpressungsversuche können in Unternehmen hohe Schäden verursachen. Geschäftsprozesse sind dadurch ebenso gefährdet, wie die geschäftliche Reputation. Unternehmen, die mit Cloud-Anbietern oder externen Rechenzentren (RZ) arbeiten, verlangen daher immer häufiger einen Nachweis dafür, dass ihr Kooperationspartner wichtige Regeln der IT-Sicherheit einhält.

Ein Beleg dafür ist ISO 27001, eine international führende Norm für Informationssicherheits-Managementsysteme. Sie definiert die Forderungen für die Einführung, Umsetzung, Überwachung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS). „Die Zertifizierung nach ISO 27001 ist zwar kein Muss für einen RZ-Betreiber, wird aber von Kunden immer häufiger nachgefragt“, berichtet Nils Klockmann, der in der Kieler Vater-Gruppe mitverantwortlich für die Sicherheit zeichnet. „Die Zertifizierung schafft nicht nur eine Vertrauensbasis, sondern ist heute eine Grundvoraussetzung für große Ausschreibungen.“

Die Infrastruktur der Vater Rechenzentren in Kiel und Hamburg ist bereits nach ISO 27001 und ISO 9001 für das Qualitätsmanagement zertifiziert. Die Services in der Vater BusinessCloud dagegen waren bislang nicht nach ISO 27001 zertifiziert. Hier bestand aufgrund der verstärkten Kundennachfrage Handlungsbedarf. Deshalb begann das norddeutsche Unternehmen ab Anfang 2016 mit der Vorbereitung für ein Audit, das die Voraussetzung für die Zertifizierung durch einen unabhängigen Sachverständigen ist. Auf der Basis des im Hause üblichen Projektvorgehens wurde auch die Zertifizierung vorbereitet. Dazu gehörte eine Bestandsaufnahme ebenso, wie ein Kickoff und ein detaillierter Projektplan. Der endgültige Startschuss fiel dann am 27. Mai 2016.

Gute Planung ist Alles

In die Vorbereitungen für den Zertifizierungsprozess waren neun verschiedene Mitarbeiter aus unterschiedlichen Geschäftsbereichen involviert. „Um herauszufinden, welche Forderungen auf uns zukommen und wie man das für die Zertifizierung notwendige Informationssicherheits-Management-System (ISMS) aufbaut, mussten wir zunächst die Norm intensiv durcharbeiten,“ erinnert sich Nils Klockmann. Da sich nicht jeder im Team in allen Bereichen auskennt, wurden die einzelnen Projektschritte auf die jeweiligen Spezialisten aufgeteilt. So leistete der Einkauf seinen Informationsbeitrag rund um die Beschaffungsprozesse sowie das Lieferantenmanagement. Die Geschäftsführung lieferte beim Risikomanagement zu, denn das Risiko muss der Risikoinhaber benennen – und Risikoinhaber ist nun einmal die Geschäftsleitung.

Für die ISO 27001-Zertifizierung ist auch eine oberste Leitlinie gefragt. Sie ist die Voraussetzung für ein funktionierendes ISMS. Die darunterliegende zweite Ebene sind die Richtlinien eines Unternehmens. Und in der dritten Ebene befinden sich alle anderen Arten von Dokumenten. Die Leitlinie für die Vater-Gruppe wurde von IT vorbereitet und dann von der Geschäftsführung verbindlich ausgegeben.

Eine weitere konkrete Anforderung für die Zertifizierung ist der Bereich „Netzwerk und Kryptographie“. Hier werden konkrete Fragen gestellt – beispielsweise: Wie sieht das Notfallkonzept aus? Um einen detaillierten Überblick über die internen Strukturen zu erhalten, wurde für das Projekt eine Prozesslandkarte erstellt. Die dafür notwendigen Diagramme und Prozessschritte brachte das Netzwerkmanagement Team ein.

Neue Tools und Systeme

Die IT-Abteilung entwickelte die für das ISMS notwendigen Tools und Systeme. Da man an Punkt Null anfing, wurde bei der Vater-Gruppe über Microsoft Sharepoint und One Note eine Online-Dokumentation realisiert. Die Entscheidung für eine Online-Version fiel, um den Zugriff auf die Dokumentation von jedem Standort und rund um die Uhr zu ermöglichen. Zudem ist durch einen Zeitstempel sichergestellt, dass sie stets auf dem aktuellsten Stand ist. „Papier-Versionen verschwinden zu schnell in irgendwelchen Schränken und werden nicht so häufig aktualisiert, wie es notwendig wäre“, begründet Frank Schröder, Geschäftsführer der Vater Unternehmensgruppe, die Entscheidung für eine Online-Version.

Das hat auch den Prüfer angesprochen, der bei seinem Audit feststellen konnte, dass jeder Mitarbeiter jederzeit den Online-Zugriff auf die relevanten Informationen hat – von jedem Standort und rund um die Uhr. Online-Updates werden im System heute sofort umgesetzt. Auch eine Nachverfolgung der Historie ist jederzeit möglich. Der in die Dokumentation integrierte Zeitstempel für Updates ermöglicht jederzeit den Nachweis, dass der Umgang mit der Cloud sowie ihren Sicherheits- und Qualitätsstandards bei Vater stets auf dem aktuellen Stand ist. Auch für ein Desaster Recovery ist die Vater-Gruppe gut gerüstet. Die Online-Dokumentation ist redundant in den beiden Rechenzentren an den Standorten Kiel und Hamburg gespeichert.

Klare Strukturen für den Aufbau der Dokumentation

Der Aufbau der Dokumentationen unterliegt einer vorab definierten Struktur. So kann jeder Vater-Mitarbeiter online einsehen, wie die Abläufe sind und warum sie in der vorgegebenen Form erfolgen, welche Ziele definiert wurden und welche Spielregeln gelten. Wichtig sind in diesem Zusammenhang auch die Schlüsselfaktoren. „Üblich sind zwischen drei bis sieben dieser „Key Performance Indicator“ (KPI)“, so Frank Schröder. „Wir haben uns jedoch entschieden, bei unseren Cloud-Services stärker zu differenzieren und 21 KPI festzulegen.“

Alle Kunden-Anfragen die heute eingehen, werden zentral im Ticket-Tool dokumentiert und klassifiziert. „Dabei kann es sich um eine Fehlermeldung handeln, aber auch um den Wunsch nach einer Veränderung oder Anpassung“, erklärt Schröder. Auch alle Meldungen aus dem Monitoring fließen hier ein, weshalb das Ticket-Tool zu einem Quell an Informationen geworden ist, der sich nach unterschiedlichen Kriterien auswerten lässt. Dadurch konnte die Transparenz gesteigert und der Service verbessert werden.

Aufgrund der Klassifizierung ist eine schnelle Auswertung der Informationen aus dem Ticket Tool möglich. Die Vater-Gruppe hat heute einen detaillierten Überblick über die Zahl der Anfragen und wie schnell diese bearbeitet werden. Das umfasst den gesamten Zeitraum vom Zeitpunkt, an dem ein Ticket entsteht, bis dieses geschlossen wird. Anhand der Auswertungen kann für viele Anfragen zeitnah angegeben werden, wie lang deren Bearbeitungszeit im Durchschnitt sein wird. Der Kunde kann sich auf eine entsprechende Wartezeit einstellen.

Auch das operative Geschäft lässt sich über die Tickets auswerten. So können dem Kunden beispielsweise spezifische Performance-Indikatoren bereitgestellt werden. Das schafft deutlich mehr Transparenz. Die Indikatoren für die Geschäftssteuerung erlauben eine klare Auswertung und sind für alle Beteiligten nachvollziehbar. Die Vater-Gruppe arbeitet in ihrer BusinessCloud aktiv mit diesen Indikatoren, um ihren Kunden eine performante und stabile Cloud-Infrastruktur zu bieten.

Von den neuen Strukturen profitieren die Mitarbeiter ebenso, wie die Kunden. Fehlerquellen werden heute schneller gefunden und behoben. Aufgrund der Auswertungen ist dem IT-Team häufig auch ein proaktives Handeln möglich, so dass Probleme behoben werden können, bevor sie Prozesse beeinflussen. Das erleichtert auch die Einhaltung von Service Level Agreements (SLAs).

Intensive Vorbereitung zahlt sich aus

Auch das Risikomanagement ist in Sharepoint abgebildet. Das Asset-Management mit einem Ticketing und einer Configuration Management Database (CDMB) baute Vater mit der IT-Service Software OTRS auf. Mit PTL 24 wurde ein Lizenzmanagement entwickelt, auf dem heute das Software-Inventory basiert. Es ermöglicht darüber hinaus ein detailliertes und tiefgehendes Reporting über die Infrastruktur aller Kunden. Bereits vorhandene Reporting- und Monitoring-Tools wurden im Zuge dieses Projektschrittes ebenfalls an die neue Umgebung angepasst und integriert.

Im Januar 2017 waren die intensiven Vorbereitungen abgeschlossen, so dass ein internes Pre-Audit durchgeführt werden konnte. „Zu diesem Zeitpunkt wollten wir sehen, wo die Vater-Gruppe mit ihren Dokumentationen und Richtlinien steht und ob alle Voraussetzungen für die nächste Zertifizierungsrunde erfüllt sind“, berichtet Nils Klockmann. Nachdem die Anforderungsliste der Zertifizierungsstelle abgehackt war, meldeten sich die Norddeutschen verbindlich für die Zertifizierung an.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45195552 / Recht und Datenschutz)