Etwas, worüber wir bislang noch nicht öffentlich gesprochen haben, aber das uns schon seit einiger Zeit beschäftigt: Wir sind dabei, uns nach ISO/IEC 27001:2022 zu zertifizieren. Wir sind seit Jahren nach ISO 9001 und ISO 14001 zertifiziert und wissen aus eigener Erfahrung, was es braucht, ein Managementsystem nicht nur auf dem Papier zu haben, sondern es auch wirklich zu leben. In diesem Beitrag erklären wir, warum wir diesen Schritt gehen, was er konkret bedeutet und was andere KMU, die sich mit dem gleichen Thema beschäftigen, daraus mitnehmen können.
Als Data-Protection-Spezialistin verwalten wir täglich Daten, die für unsere Kunden hochsensibel sind: Backups ganzer Infrastrukturen, Zugangsdaten zu geschäftskritischen Systemen, Wiederherstellungspunkte, die im schlimmsten Fall über den Fortbestand eines Unternehmens entscheiden können. Informationssicherheit ist für uns deshalb kein Thema, das wir bei Gelegenheit angehen, sondern das Fundament unserer gesamten Dienstleistung, und es war uns schon lange wichtig, dieses Fundament auch formal nachweisbar zu machen.
Der Markt hat sich in den letzten Jahren spürbar verändert: Kunden aus regulierten Branchen fragen zunehmend nach nachweisbarer Informationssicherheit, und seit dem revidierten Schweizer Datenschutzgesetz (nDSG) ist klar, dass strukturierte technische und organisatorische Massnahmen keine optionale Ergänzung mehr sind, sondern eine rechtliche Grundanforderung. Eine ISO 27001 Zertifizierung ist der direkteste Weg, diese Sorgfalt gegenüber Kunden, Partnern und Behörden zu dokumentieren, ohne sie jedes Mal von Neuem erklären zu müssen, weil das Zertifikat für sich spricht.
Genauso wichtig wie das Zertifikat selbst ist uns aber, dass wir Informationssicherheit als echten und gelebten Bestandteil unserer Unternehmensführung verankern und nicht als Papierprozess, der nach dem Audit in der Schublade bleibt.
ISO 27001 definiert Anforderungen an ein Information Security Management System, kurz ISMS, und dieser Unterschied zu einem einfachen Sicherheitskonzept ist entscheidend: Der Standard schreibt nicht vor, welche Firewall man einsetzen soll oder wie viele Zeichen ein Passwort haben muss, sondern er beschreibt, wie eine Organisation systematisch und nachvollziehbar mit Informationssicherheitsrisiken umgehen muss.
Konkret gefordert sind unter anderem eine klare Definition des Geltungsbereichs, also die Frage, welche Prozesse, Systeme und Standorte im Scope des ISMS liegen, eine systematische Risikobeurteilung aller relevanten Informationsassets, ein dokumentierter Risikobehandlungsplan sowie das sogenannte Statement of Applicability (SoA), das für alle 93 Controls aus Annex A der Norm festhält, ob und warum sie angewendet oder begründet ausgeschlossen werden. Dazu kommt die Anforderung, dass Führungsverantwortung explizit und nachweisbar ist: Das ISMS muss von der Geschäftsleitung aktiv getragen werden, nicht delegiert und dann nicht mehr angeschaut.
Wer denkt, ISO 27001 sei in wenigen Wochen erledigt, hat den Standard unterschätzt. Wer es richtig angeht, baut jedoch etwas auf, das dem Unternehmen über die Zertifizierung hinaus echten und dauerhaften Nutzen bringt.
Einen Vorteil, den wir von Anfang an bewusst genutzt haben, ist unser bestehendes integriertes Managementsystem, das Qualität und Umwelt unter einem Dach vereint und das wir nun um Informationssicherheit erweitern. Das bedeutet, dass Dokumentenlenkung, Versionierung, Prozessstruktur, Managementreviews, interne Audits und Nichtkonformitätsprozesse bei uns bereits etabliert und gelebt sind und nicht von Grund auf neu aufgebaut werden mussten, was einen erheblichen Unterschied macht.
Die Gap-Analyse hat aber auch gezeigt, dass vieles zwar existiert, aber nicht in dem formalen Rahmen, den ISO 27001 verlangt. Wir hatten Rechtemanagement, Personalmanagement und Notfall- sowie Krisenmanagement bereits als gelebte Prozesse, aber ohne den strukturierten ISMS-Kontext mit durchgängiger Asset-Klassifizierung, Risikobeurteilung und Kontrollzuweisung. Einzelne Bereiche wie Kryptographie, Kommunikationssicherheit und das Lieferantenmanagement aus Sicht der Informationssicherheit mussten wir spezifisch ausarbeiten, weil sie in unserem bisherigen IMS so nicht vorhanden waren.
Für KMU ohne bestehendes Managementsystem ist dieser Aufbauaufwand deutlich grösser, weshalb wir aus eigener Erfahrung sagen können: Wer bereits ISO 9001 lebt, hat einen echten Vorsprung beim Aufbau eines ISMS.
Von Anfang an war unser Ziel, kein Paralleluniversum neben dem bestehenden IMS aufzubauen, sondern das ISMS als integralen Bestandteil einzuweben und dort, wo möglich, bestehende Strukturen zu nutzen und zu erweitern, statt sie zu verdoppeln. Der IT-Betriebsprozess wird um ISMS-spezifische Anforderungen ergänzt, nicht ersetzt, und das Managementreview bleibt ein einziges Meeting, das alle Managementsysteme gemeinsam abdeckt, weil getrennte Meetings zu getrenntem Denken führen.
Für das Asset Management, die Risikobeurteilung, die SoA-Pflege und die Kontrollverwaltung setzen wir auf das IMS-Tool ELIZA, das wir seit Jahren produktiv betreiben und das ursprünglich für unsere ISO 9001 Prozesse entstanden ist. Kein Excel, keine verteilten Dokumente, keine Silos, sondern ein einziges System, das alle Informationen konsistent hält und die Nachvollziehbarkeit für den Auditor sicherstellt.
Unsere physische Infrastruktur läuft redundant in den Equinix-Rechenzentren CH-EAST und CH-WEST, beide nach ISO 27001 zertifiziert und mit nachgewiesenen Business-Continuity-Plänen, was uns auf der physischen Ebene eine sehr solide Basis gibt und gleichzeitig ein konkretes Beispiel dafür ist, wie wir Lieferantenmanagement aus Sicht der Informationssicherheit praktisch umsetzen, indem wir auf Partner setzen, die ihre Sicherheitsorganisation ebenfalls nachweisbar betreiben.
Drei Erkenntnisse aus dem laufenden Prozess, die für andere KMU auf dem gleichen Weg nützlich sein können.
Der häufigste Fehler, den wir bei anderen Unternehmen beobachten, ist das Abladen von ISO 27001 beim IT-Team, weil es ja um Informationstechnologie geht. Informationssicherheit betrifft aber jede Abteilung: HR, weil Personalakten und Löhne schützenswerte Daten sind, Marketing, weil Kundendaten verarbeitet werden, Operations, weil Infrastruktur und Backupprozesse direkt betroffen sind, und vor allem die Geschäftsleitung, weil ohne echtes Leadership-Commitment kein ISMS funktioniert, das seinen Namen verdient.
Das SoA zwingt dazu, für jeden der 93 Controls aktiv und dokumentiert zu entscheiden, ob er angewendet wird oder nicht und wenn nicht, warum nicht. Das ist keine bürokratische Formalie, sondern der Moment im Projekt, in dem man wirklich über die eigene Sicherheitslage nachdenkt, Lücken ehrlich benennt und Prioritäten setzt, die der Auditor im Stufe-2-Audit dann auf ihre Stimmigkeit prüft.
Wer kritische Dienstleistungen wie Rechenzentrum, Backup-Software oder Kommunikationsdienste auslagert, muss die Informationssicherheit dieser Lieferanten als Teil des eigenen Risikoprofils verstehen und beurteilen. ISO-Zertifikate von Lieferanten helfen dabei als erster Nachweis, sind aber kein Ersatz für eine eigene strukturierte Beurteilung, denn ein Zertifikat sagt nur, dass ein ISMS existiert, und nicht, ob es im Betrieb wirklich so gelebt wird wie auf dem Papier beschrieben.
Unser ISMS ist im Aufbau und wir sind weiter als es von aussen vielleicht wirkt, weil wir nicht bei null angefangen haben. Die Kernprozesse für Asset Management, Risikomanagement, Rechtemanagement, Incident Management und Operations Management sind strukturiert, dokumentiert und im ISMS Tool hinterlegt. Das Statement of Applicability ist ausgearbeitet: alle 93 Controls sind bewertet, mit Implementierungsstatus, Begründungen und Verlinkung zu den konkreten Massnahmen, die jeweils dahinterstehen.
Richtlinien wie die Acceptable Use Policy, die Security Configuration Guideline und die Datenschutzinformationspolitik sind entstanden oder befinden sich in der finalen Abstimmung. Als nächste Schritte stehen die vollständige Risikobewertung aller kritischen Assets, der ICT Business Continuity Plan und ein strukturierter Sicherheitsfragebogen für Lieferanten auf der Agenda.
Das Stufe-1-Audit, also die dokumentenbezogene Vorprüfung durch die Zertifizierungsstelle, rückt näher, und danach folgt das Stufe-2-Audit, bei dem die tatsächliche Umsetzung in der Praxis geprüft wird, also nicht nur ob die Dokumente vorhanden sind, sondern ob die Prozesse wirklich so gelebt werden wie beschrieben.
ISO 27001 ist kein Zertifikat, das man einmal macht und dann abhakt. Es ist ein Managementsystem, das man aufbaut, lebt und kontinuierlich weiterentwickelt, und für ein Unternehmen wie Backup ONE, das täglich mit kritischen Kundendaten arbeitet, ist das die logische Formalisierung von etwas, das wir inhaltlich schon immer versucht haben zu tun. Wer als KMU ernsthaft mit Kundendaten arbeitet, sollte sich früher oder später die gleiche Frage stellen, weil der Aufwand überschaubar ist, wenn man strukturiert vorgeht, der Nutzen aber dauerhaft ist.
Wir werden auf diesem Blog weiter über unsere Erfahrungen berichten und dabei so offen wie möglich sein, weil wir überzeugt sind, dass ehrliche Einblicke in einen laufenden Prozess mehr nützen als ein fertiger Erfolgsbericht im Nachhinein.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht