Wer hat Angst vorm Auditor?

Wer hat Angst vorm Auditor?

Wie ein mittelständisches Unternehmen die ISO 27001-Zertifizierung erlebte

 

Stuttgart, 19.04.2018:  Sie ist in aller Munde, die Norm ISO/IEC 27001, kurz ISO 27001 genannt. Betreiber kritischer Infrastrukturen lassen sich danach zertifizieren, um vor dem Gesetz ihre Compliance zu beweisen. Warum aber lässt sich ein kleines mittelständisches Unternehmen aus Stuttgart zertifizieren? Und welche Erfahrungen hat es dabei gemacht? Die ICS AG aus Stuttgart ist den Schritt gegangen. Drei beteiligte Mitarbeiter teilen ihre Erfahrungen. Die ICS AG hat allen Grund zu feiern: Das Stuttgarter IT-Engineering und Consulting-Unternehmen hat die Zertifizierung nach dem international anerkannten Sicherheitsstandard ISO 27001 erhalten. Für das mittelständische Unternehmen, das selbst seit über 50 Jahren in der Sicherheitsberatung tätig ist, haben unternehmenspolitische Erwägungen zu der Entscheidung geführt. Der Informationssicherheitsaspekt gewinnt durch das IT-Sicherheitsgesetz und verschärfte Vorschriften wie die Datenschutzgrundverordnung (DSGVO) zunehmend an Gewicht. Sie zwingen nicht nur global agierende Firmen und Betreiber kritischer Infrastrukturen zum Handeln sondern auch deren Zulieferer und Dienstleister. Rainer Gerhäuser, kaufmännischer Leiter und Beauftragter für das Qualitätsmanagement bei der ICS AG, sagt: „Mit einer Zertifizierung nach der ISO 27001 beweisen wir unseren Geschäftspartnern gegenüber, dass wir mit dem, was wir innerhalb des Unternehmens tun, nachweislich sicher umgehen.“

 

Für das ISMS werden die Kernkompetenzen in den Fokus gestellt

Die ISO 27001 stellt die Einführung eines Informationssicherheits-Managementsystems (ISMS) in den Mittelpunkt. Es definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen zu gewährleisten. Um überhaupt definieren zu können, welche Maßnahmen im jeweiligen Unternehmen ergriffen werden müssen, wird zunächst der Geltungsbereich definiert.

„Das Unternehmen muss klar seine Kernkompetenzen in den Fokus stellen und nicht Prozesse, die notwendigerweise sowieso getan werden müssen, wie beispielsweise die Buchhaltung“, rät Gerhäuser. „Der Fokus muss sein: Womit agieren wir am Markt?“ Nach Meinung von Andrian Dürr, IT-Sicherheitsberater bei der ICS AG, schafft dies auch erst Glaubwürdigkeit. „Der Geltungsbereich wird auf dem Zertifikat eingetragen. Und da das Zertifikat öffentlich einsehbar ist, stellt der Geltungsbereich nicht nur für die Zertifizierung einen wichtigen Teil dar. Er schafft auch Glaubwürdigkeit gegenüber unseren Geschäftspartnern.“

 

Zieldefinitionen sichern die Qualität der Maßnahmen

Ein weiterer Schritt zur Vorbereitung auf die Zertifizierung ist die Bestimmung der Informationssicherheitsziele. Dabei geht es um die Qualität der Sicherheitsmaßnahmen sowie deren Anwendbarkeit und Wirkung. Dürr erläutert: „Man definiert verschiedene Messgrößen anhand derer ich ablesen kann, ob das ISMS, das ich aufgesetzt habe, überhaupt funktioniert. Die Norm macht dazu zwar keine Vorgaben, sie stellt aber gewisse Qualitätsanforderungen an die KPIs (Key Performance Indicators). Wir können also relativ frei definieren, welche KPIs wir ansetzen wollen. Sie müssen für den Prüfer nur sinnvoll und nachvollziehbar sein.“

 

Keine Angst vor Daumenschrauben: ISO 27001 berücksichtigt Individualität

Die ISO 27001 hat den großen Vorteil, dass sie sich an die Organisation und Struktur der einzelnen Unternehmen anpasst. Gerhäuser bemerkt: „Es ist ganz wichtig zu verstehen, dass die Norm nicht etwas sein soll, was das Unternehmen in seinem Tun begrenzt. Man sollte immer erst analysieren, wie das Unternehmen agiert. Man muss sich fragen: Wie passt die Norm tatsächlich auf das Unternehmen? Was ist der Mehrwert davon?“ Für Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG, ist die ISO 27001 wie ein Rezept zu verstehen: „Die Norm bietet alle Zutaten, um die Informationssicherheit in einem Unternehmen zu überprüfen. Wenn alles stimmt, kann auch nichts mehr schief gehen“, weiß er.

Jede Firma kann Bereiche ausschließen, die für sie nicht von Belang sind. Das geht allerdings nur mit einer schlüssigen Begründung. Ursprünglich hatte die ICS AG das Sicherheitsmanagement der Lieferantenbeziehungen ausgeklammert, weil sie der Meinung war, dass dieser Bereich für eine Beratungsfirma nicht zutrifft. Doch als der Auditor vor Ort den Mitarbeiter eines Paketdienstes unbegleitet im Firmensitz antraf, war er wenig begeistert. Sein Einwurf war: Wie wird sichergestellt, dass der Lieferant nicht an Informationen kommt, an die er eigentlich nicht kommen darf? „Da war für uns klar, dass wir diesen Bereich doch betrachten müssen“, gesteht Gerhäuser.  

>> Der Homestory-Text ist leider zu lang für die Inddux-Plattform, bitte lesen Sie die Geschichte auf unserer Website weiter.

 

Es folgen noch die Abschnitte:

• Hauptabweichung, Nebenabweichung, Empfehlung? Nacharbeitung ist Pflicht
• Und täglich grüßt das Murmeltier: jährliche Überwachungsaudits zur Qualitätskontrolle
• Augen auf bei der Beraterwahl: Falsche Prognosen führen zu Mehraufwand
• Sensibilisierung der Mitarbeiter ist der beste Hacker-Schutz
• Zertifikat mit Außenwirkung liefert klare Wettbewerbsvorteile

>> ics-ag.de / presse