Seit Jahresbeginn 2020 ist mgm technology partners ISO 27001-zertifiziert. Die Norm bestätigt ein funktionierendes Informationssicherheits-Managementsystem (ISMS), dessen Einführung alles andere als eine Nebenbei-Aufgabe ist. Das Kernteam der Planung und Umsetzung, das auch weiterhin aktiv ist, berichtet aus der Praxis.

Im Gespräch (geführt: Juni 2020): Hartwig (Hardy) Schneider (Projektleitung), Janina Huber (Projektmanagement) und Marcel Faber (IT-Leitung) – mehr Infos zu den Gesprächspartner hier. Eine News zur ISO 27001-Zertifizierung gibt es hier.

ISO 27001 und ISMS im Detail

Vielleicht ganz zum Anfang kurz: Was ist diese ISO 27001-Norm eigentlich? Und was steckt hinter ISMS?

Wo gibt es Dinge, die einer Firma schaden könnten? Gemeint sind Dinge im Zusammenhang mit Informationen.

Hardy Schneider: Die ISO 27001, in Wirklichkeit eine ganze Normenfamilie, geht davon aus, dass man sich nicht um alles kümmern sollte, sondern um das Thema der Risiken. Wo gibt es Dinge, die einer Firma schaden könnten? Gemeint sind Dinge im Zusammenhang mit Informationen. Das System dazu heißt ISMS, ein Informationssicherheit-Managementsystem beziehungsweise Information Security Management System im Englischen. Das System sollte sich also mit den Risiken beschäftigen, die in Firmen bestehen, wenn Informationen verlorengehen, wenn Informationen falsch verbreitet, also an nicht gewünschte Empfänger oder gar verfälscht werden. Und das System beschreibt, wie man damit umzugehen hat, dass das Ganze nicht eintritt sowie die Maßnahmen, wenn es doch mal passiert.

Warum hat mgm das gemacht, welche Vorteile, welchen Nutzen gibt es?

Janina Huber: Es gibt zwei Hauptgründe. Ein Grund ist, dass die Prozesse, die bei mgm zum Teil schon ganz lange gelebt worden sind, hierdurch einmal dokumentiert und festgehalten worden sind. Das ist nun für alle zugänglich, und jeder kann das zu jeder Zeit nachprüfen. Der zweite Grund ist, dass auch immer mehr Kunden und Firmen von uns gefordert oder nachgefragt haben, ob wir ISO 27001 zertifiziert sind oder uns zertifizieren lassen wollen. Dem sind wir nachgekommen. So können wir auch bei bestimmten Ausschreibungen teilnehmen, die wir davor nicht wahrnehmen konnten.

So können wir auch bei bestimmten Ausschreibungen teilnehmen,
die wir davor nicht wahrnehmen konnten.

Hardy: Wir haben tatsächlich einen Kunden letztes Jahr nur neu gewinnen können, weil wir in Aussicht stellen konnten, dass wir daran sind, das Zertifikat zu bekommen. Da war tatsächlich über die letzten drei Jahre ein deutlicher Trend zu erkennen, insbesondere in Branchen, die etwa von der Bafin überwacht werden, also Banken oder Versicherungsunternehmen.

Marcel, die direkte Frage an dich als IT-ler: Hast du dich gefreut, als du gehört hast, dass mgm sich zertifizieren lassen will?

Marcel Faber: In dem Punkt habe ich mich tatsächlich gefreut, weil ich persönlich ein Freund davon bin, dass Sachen klar geregelt sind und dass es gewisse Prozesse gibt, an die man sich halten soll. Ich freue mich auch im Nachhinein noch, dass wir es gemacht haben. Aber es war durchaus nicht ohne, das Dreivierteljahr, in dem wir daran gearbeitet haben.

Analoge und digitale Informationen im Blick

Steigen wir ein. Ich nehme an, ISMS meint die Information an sich, auf welchem Wege und auf welchem Medium ist egal. Liege ich da richtig?

Hardy: Da liegst du völlig richtig. Zur Information gehört das Notizbuch, als ein Beispiel aus dem praktischen Leben. Das trägst du mit dir und das kannst du aus Versehen in einer Bahn liegenlassen. Genauso wie digitale Informationen, die wir in den vielen Systemen haben. Also sämtliche Arten von Wissen über uns als mgm oder Wissen über das Wissen unserer Kunden. Und da sind das Medium und die Art der Repräsentation völlig unerheblich.

Aber lässt sich das denn überhaupt überblicken, die Informationsfülle in einer Organisation, analog wie digital?

Es ist nie eine Hundertprozent-Lösung. Das wird im Übrigen auch von keinem dieser Sicherheitsmanagement-Systeme erwartet.

Hardy: Nein. Wir können nicht in die Gehirne jedes Mitarbeiters reinschauen. Und wir können auch nicht in jeden Winkel der Unterlagen nachspüren, ob wir alles abgegrast haben. Aber es lässt sich natürlich schon kategorisieren. Es ist nie eine Hundertprozent-Lösung. Das wird im Übrigen auch von keinem dieser Sicherheitsmanagement-Systeme erwartet. Sondern man erwartet, dass möglichst viele der potentiellen Risiken abgedeckt sind. Man sollte sie vorgedacht und Maßnahmen im Plan haben.

Wie muss ich mir das vorstellen, wie ihr vorgegangen seid, wie habt ihr das Projekt aufgesetzt?

Hardy: Zunächst gab es auch in unserer Geschäftsleitung den einen oder anderen Vorbehalt. „Passt das überhaupt zu mgm?“ Oder: „Das ist doch alles Bürokratie, es ist bei uns doch noch nie etwas passiert.“ Wir mussten uns also ein bisschen damit auseinandersetzen und schauen, wie viel interner und externer Aufwand dazukommt. Letztlich haben wir uns dafür entschieden, das Projekt gegliedert, ein Kernteam definiert und haben dann mit Startworkshops losgelegt. Immer unter dauerhafter Begleitung durch unseren externen Berater. Der hat eine wesentliche Rolle gespielt. Ich würde auch keiner Firma empfehlen, einfach selbst loszulaufen.

Wie viele Kolleginnen und Kollegen musstest Du letztlich organisieren, Janina?

Janina: Das ist ganz abhängig gewesen von dem Thema. Das Kernteam waren eigentlich immer Hardy, Marcel und ich. Marcel hat natürlich einige Themen an sein Team weitergegeben, genauso haben wir einige Themen an die Projekte weitergegeben. Und wir hatten aus den drei großen Bereichsteams immer Personen, die uns unterstützt haben. Wir drei haben mit ungefähr zehn Leuten enger zusammengearbeitet und ich vermute, dass sie die Aufgaben auch nochmal an bestimmt fünf bis zehn weitere Personen weitergegeben haben.

Es war tatsächlich für mich schon der Hauptbestandteil meiner Arbeit. So nebenbei kannst du das nicht mitmachen.

Hat das in der Zeit für dich, Marcel, im täglichen Business den Hauptteil ausgemacht?

Marcel: Es war tatsächlich für mich schon der Hauptbestandteil meiner Arbeit. So nebenbei kannst du das nicht mitmachen. Da leiden also schon die einen oder anderen Themen, die du noch hast.

Musstet ihr denn viel ändern an der IT-Infrastruktur für die ganze Organisation?

Marcel: Es waren schon größere Dinge, die wir geändert haben. Es sind auch noch einige Sachen offen, die wir noch machen müssen. Der Vorteil daran ist, dass du ja nicht sofort alles strikt umstellen musst. Ich würde es als Lernprozess betiteln. Dafür kommt jährlich eine Re-Zertifizierung und alle drei Jahre nochmal eine große Nachzertifizierung.

Habt ihr besondere Learnings aus dem Projekt?

Janina: Ein ganz großer Vorteil von mgm war im Vorfeld schon, dass fast alle Projekte, egal ob intern oder Kundenprojekte, mit Wiki und Jira arbeiten und darin viel dokumentiert wird. Jedes Ticket ist eine Dokumentation, die wir den Auditoren vorlegen konnten. Das haben die uns ganz, ganz hoch angerechnet, und da mussten wir überhaupt nichts daran ändern. Das ist in anderen Firmen sicher ein grundlegendes Problem. Es ist bei uns einfach nicht möglich, dass du ein neues Notebook bekommst, ohne dass das in einem Ticket dokumentiert ist. Oder dass du einen Zugriff auf irgendein Verzeichnis bekommst, ohne dass es dazu ein Ticket gibt.

Alle Mitarbeiterinnen und Mitarbeiter müssen mitziehen

Ist das Bewusstsein schon bei allen geschärft worden?

Hardy: Ob bei allen, weiß ich nicht. Bei vielen sicher. Das ist auch das, was uns die Auditoren nahegelegt haben und was sie aus ihrer Praxis mitbringen: Man muss permanent Awareness neu herstellen. Es geht sonst einfach verloren. Wer kennt das von uns selber nicht, man wird nachlässiger im Laufe der Zeit. Wir brauchen deswegen immer wieder neue Wiederholungen und Aufmerksamkeiten. Sei es auch mal wieder ein spontan angesetzter Rundgang, bei dem wir rote Zettel verteilen.

Habt ihr denn auch schon einen Plan, Ideen, Tipps, wie genau diese Awareness unterjährig an den Standorten aufrechterhalten werden kann?

Alle Mitarbeiter an den zertifizierten Standorten müssen von uns einmal im Jahr geschult werden.

Janina: Jeder neue Mitarbeiter bei mgm technology partners und security partner bekommt mittlerweise eine Unterweisung am ersten Arbeitstag. Da bekommt er einen Foliensatz gezeigt und wird auf verschiedene Punkte hingewiesen, an die er oder sie sich halten muss. Es ist Pflicht, dass wir das bei jedem machen. Der zweite Punkt ist, dass alle Mitarbeiter an den zertifizierten Standorten von uns einmal im Jahr geschult werden müssen. Wir sind grade dabei, zusammen mit dem E-Learning-Team ein Video zu drehen und Folien dafür aufzusetzen

Daran merkt man, dass wahrscheinlich mit dem Zertifikat die Arbeit nicht getan ist. Würdet ihr sagen, dass jetzt die Arbeit eigentlich erst beginnt oder war tatsächlich die Zertifizierung der größte Teil?

Hardy: Der größte war, uns drauf vorzubereiten, was in der Zertifizierung gefordert wird. Aber nein, die Arbeit geht weiter. Wir haben auch im Rahmen der Zertifizierung ein paar Verbesserungsvorschläge durch die Auditoren bekommen, an denen wir noch arbeiten. Oder wir haben Dinge eingeführt, erst mit der oder kurz vor der Zertifizierung, die jetzt permanente Kontrollen, Überwachungen und Ergänzungen brauchen. Der eine oder andere Prozess ist etwas aufwändiger geworden, auch da wieder vor allen Dingen in der IT. Das Thema ist also nicht zu Ende.

Sind dabei die analogen Informationen oder die digitalen Informationen das größere Problem?

Tatsächlich sind natürlich üblicherweise die digitalen Informationen von der Menge her mächtiger und auch kritischer. Die Überwachung der analogen ist aufwändiger.

Hardy: Tatsächlich sind natürlich üblicherweise die digitalen Informationen von der Menge her mächtiger und auch kritischer. Die Überwachung der analogen ist aufwändiger. Das bekommt man nur durch Stichproben und immer wieder Hinweise hin.

Marcel, für dich als Herr der digitalen Informationen, wie siehst du das?

Marcel: Wir haben schon noch ein paar offene Baustellen, an denen wir arbeiten und die wir weiter verbessern. Ich denke, dass uns in dem Bereich so schnell die Arbeit beziehungsweise die Aufgaben nicht ausgehen werden. Ich gehe auch davon aus, dass in Zukunft diese Audits mehr in die technische Ebene hineingehen. Dass der Auditor sagt: „Okay, hier haben wir Prozess XY, zeigt mir das doch mal genau.“

Würde ja auch sonst keinen Sinn machen, oder?

Marcel: Ja, klar. Genau.

Nach dem Zertifikat ist vor dem Zertifikat

Ihr habt also einige Sachen vor. Wie sind jetzt für die Organisation die Planungen?

Wir werden versuchen, zum Jahresende hin die kompletten Standorte in Deutschland auch formal in die Zertifizierung einzubeziehen.

Hardy: Wir haben uns von vornherein damit beschäftigt, dass wir nicht nur die großen Standorte in Deutschland damit einschließen wollen. Tatsächlich werden wir in diesem Jahr auch weitere Standorte in Deutschland einbeziehen, wo dann auch die Auditoren entweder stichprobenmäßig oder komplett hingehen werden. Das heißt, wir werden versuchen, zum Jahresende hin die kompletten Standorte in Deutschland auch formal in die Zertifizierung einzubeziehen.

Wirklich alle?

Hardy: Alle, ja. Es gibt ein paar kleine Standorte, da lohnt sich das Hinfahren vielleicht nicht. Aber, wir wollen alle tatsächlich einbeziehen. Und zwar mit Wirkung von Ende dieses Jahres, sodass sie auf dem Zertifikat auch erscheinen und nicht nur im Moment die drei großen Standorte. Bei den consulting partners sind wir noch unsicher. Denn dort sind natürlich die Prozesse und die inhaltliche Arbeit anders, die unter Umständen andere Prozessbeschreibungen brauchen.

Dann würde ich sagen, kommen wir mal zum Schluss. Mit der Bitte, einen Satz zu vervollständigen. Also: ISO 27001 ist für mich …

Hardy: Eine weitere Entwicklungsstufe von mgm auf einer Reifegradskala.

Janina: Die ISO ist für mich ein sehr schönes mgm-Projekt gewesen, in dem ich gerne ein Teil war. Das sehr anstrengend war. Aber ich finde, dass es mgm sehr viel gebracht hat.

Marcel: Die ISO 27001 ist für mich ein Projekt, dass aufgezeigt hat, dass bei mgm doch schon einige Prozesse vorhanden waren, die durchaus sinnvoll sind und auch schon richtig gelebt wurden.

Das ist ein 1A-Schlusswort. Ganz herzlichen Dank an Euch für die vielen Informationen. Wie werden und sicher wieder für ein Update zu diesem Thema sprechen.

 

Die Gesprächspartner:

Marcel Faber ist bereits seit 2003 bei der mgm und verantwortet den gesamten IT-Bereich. In dieser Funktion gehörte er natürlich zum Kernteam des ISO 27001-Projekts.

Janina Huber ist seit 2014 bei mgm und Mitglied des übergreifenden Teams „Project Management Office“. Entsprechend hat sie im ISO-Projekt alle Fäden in der Hand gehalten, die Teilschritte und Umsetzungen koordiniert und zudem einige Anforderungen operativ umgesetzt.

Hartwig (Hardy) Schneider gilt als treibende Kraft, dass sich mgm auf den Weg einer ISO-Zertifizierung gemacht hat. Er gehört seit 2003 zu mgm, leitet das Thema Informationssicherheit und ist zugleich Datenschutzbeauftragter. Rolle bei „27k“: Projektleiter.