/ Corporate

Sicher ist sicher

ISO-27001-Zertifikat: Informationssicherheit bei infoteam

Seit dem 08. Januar 2021 haben es die infoteam Software AG mit ihren Standorten in Bubenreuth und Dortmund sowie die Tochtergesellschaft infoteam SET GmbH: das Zertifikat für Informationssicherheitsmanagement gemäß ISO 27001. Doch wofür ist das Zertifikat eigentlich gut, was bedeutet es für infoteam, seine Mitarbeitenden und die Kunden? Max Perner als Informationssicherheitsbeauftragter klärt auf.

Früher war es so einfach: Einen USB-Stick auf dem Parkplatz eines größeren Unternehmens „verlieren“ und abwarten, bis sich ein neugieriger Angestellter erbarmt und das Ding in seinen Arbeitsrechner gesteckt und gestartet hat. Schwupps war der Trojaner installiert und der pfiffige Hacker hatte Zugriff auf sensible Daten oder Systeme. Zwar sehen auch heutzutage weiterhin 75 Prozent der Security-Verantwortlichen den größten Schwachpunkt der eigenen Sicherheitsstrategie in den eigenen Mitarbeitenden, doch die erwarten von Hackern mittlerweile eine deutliche größere Show und vor allem soziale Interaktion, um sich auf einen unklugen Klick einzulassen. Gefälschte E-Mails von Kollegen, Geschäftspartnern oder Bekannten sind deshalb hoch im Kurs. Und noch ein Update hat der moderne Hacker von heute parat: Er greift nicht mehr gezielt eine große Firma an, sondern Dienstleister und Zulieferer, deren Software bei Kunden auf zigtausenden Geräten weltweit installiert ist.

Exakt dieses Szenario will infoteam verhindern – und seine Kunden selbstverständlich ebenso. Bevor sie eine Softwarelieferung bei infoteam beauftragen und später auch annehmen, fragen sie deshalb nach den Maßnahmen, die infoteam zum Schutz etabliert hat. Die Antwort von Max Perner als Informationssicherheitsbeauftragter ist in solchen Fällen: „Wir haben sowohl für die infoteam Software AG mit den Standorten Bubenreuth und Dortmund als auch für die infoteam SET GmbH ein zertifiziertes Informationssicherheitsmanagementsystem gemäß ISO 27001“. Dieses System stellt sicher, dass Unternehmen für alle geforderten Kategorien eindeutig definierte Prozesse aufgebaut haben und dokumentieren. Die Überprüfung durch Kunden, ob infoteam wirklich ein sicherer Dienstleister ist, kann somit einfacher, schneller und strukturierter als ohne Managementsystem erfolgen – weshalb es viele Unternehmen von ihren Dienstleistern mittlerweile standardmäßig einfordern.

Großartige Neuerungen musste das Team um Max für das Zertifikat gar nicht vornehmen, gesteht er: „infoteam besitzt seit vielen Jahr das ISO-9001-Zertifikat und darin sind einige Kapitel nahezu identisch zur ISO 27001.“ Das Team beschäftigte sich deshalb vorrangig damit, vorhandene Prozesse zu dokumentieren und bereits verfügbare Dokumentationen entsprechend den Vorgaben zusammenzutragen. „Dass bei infoteam abends die Türen abgesperrt und die Fenster zu sind, das müssen wir uns nicht erst ausdenken, sondern dafür gibt es längst etablierte Lösungen.“ Ähnlich liegt der Fall bei Fragestellungen der Datensicherheit – der zweite wichtige Aspekt für ein entsprechenden Managementsystem. „Insgesamt haben wir nur in paar wenigen Fällen die vorhandenen Prozesse noch zur Vollständigkeit ergänzt“.  

Besonders Mehraufwände versuchen Max und sein Team größtenteils zu vermeiden: „Informationssicherheit muss bequem sein, sonst stört sie und wird umgangen“, sind sie überzeugt. „Um die jährliche Informationssicherschulung zur altbekannten IT-Sicherheitsrichtlinie kommt niemand herum“, verspricht Max. Intern gibt es zudem eine direkte Anlaufstelle für Fragen oder Auffälligkeiten. Bei akuten Vorfällen empfiehlt Max jedoch den Anruf bei einem der Teammitglieder „oder in der IT-Abteilung oder bei unserer Datenschutzbeauftragen“. Überall dort ergreifen die Teams dann sofort erste Maßnahmen und tauschen sich mit den Informationssicherheitsbeauftragten aus.

Weitere interessante Themen gibt es hier in unserem Mitarbeitermagazin (PDF).

Max Perner, Informationssicherheitsbeauftragter und Leiter des Competence Centers Security bei infoteam.