Nach rund einjähriger Vorbereitung, Planung und Umsetzung gehört mgm technology partners zu den ISO/IEC 27001-zertifizierten Unternehmen. Dafür wurden die wichtigsten Risiken der Informationssicherheit identifiziert, Schutzmaßnahmen definiert und Prozesse zur Beobachtung aufgesetzt. Das bringt auch Veränderungen für alle Mitarbeitende. Und es ist die Grundlage für weitere Umsetzungen und Ausweitungen.
- An den drei größten Standorten in Deutschland hat mgm ein Informationssicherheits-Managementsystem (ISMS) eingeführt.
- Erfolgreiche Zertifizierung nach ISO/IEC 27001 bestätigt die Implementierung und Anwendung, gültig ab 2020 für drei Jahre.
- Planungen: Ausweitung auf weitere deutsche Standorte und mgm-Unternehmen.
Ein Kernteam, ein knappes Jahr Aufbauarbeit, Support durch die Geschäftsleitung und weitere Abteilungen – ein Satz als Ziel für alle: „Hiermit wird bescheinigt, dass mgm technology partners gmbh (…) ein Informationssicherheits-Managementsystem eingeführt hat und anwendet.“ Nachzulesen im offiziellen Zertifikat des Auditierungs-Unternehmens DQS, das die Erfüllung des Regelwerks ISO/IEC 27001:2013 bestätigt. Ein wichtiger Meilenstein für mgm. „Wir hatten anfangs auch Zweifel und Bedenken zum Aufwand, sind jetzt aber voll überzeugt, dass diese ISO-Zertifizierung genau richtig und wichtig für mgm ist“, so Hamarz Mehmanesh, CEO und Gründer von mgm. „Ich freue mich sehr über die erfolgreiche Auditierung.“
Internationale Norm ISO 27001 mit Fokus auf individuelle Risiko-Faktoren
Die ISO 27001 – mgm-interner Arbeitstitel: „27k“ – zwingt anwendende Unternehmen dazu, sich intensiv mit einer Risikoanalyse zu beschäftigen. Risiken bedeutet: Wo gibt es in einer Organisation Stellen, die im Zusammenhang mit Informationen jeglicher Art Schaden anrichten könnten? Welche Informationen können wie verlorengehen, falsch verbreitet oder verfälscht werden? Und ganz zentral: Wie können ebendiese Fälle verhindert werden und welche Maßnahmen müssen greifen, wenn doch einmal ein Fall eintritt? Das ist durch das Informationssicherheits-Managementsystem (ISMS) für Auditoren nachprüfbar und intern transparent geregelt. Effiziente Grundidee der ISO 27001: Die Norm beinhaltet im Vergleich zu anderen Business-Normen gerade nicht den aufwändigen Aufbau und die Dokumentation von festgelegten Prozessen, die für die eigene Arbeit aber möglicherweise irrelevant sind.
Das ISMS adressierte dabei die Information an sich, Typ, Medium und Speicherort sind unerheblich.
Als Technologieunternehmen entwickelt mgm betriebswichtige Enterprise Software für Mittelständler, Konzerne und die öffentliche Verwaltung, die Informationssicherheit hat also schon immer einen sehr hohen Stellenwert. Das ISMS adressierte dabei die Information an sich, Typ, Medium und Speicherort sind unerheblich. Das Notizbuch, das liegengelassen werden kann, zählt ebenso dazu wie digitale Informationen in Systemen, im weitesten Sinn Wissen über mgm und Wissen von Kunden. Eine 100-Prozent-Lösung erwartet die Norm nicht. Es geht darum, dass möglichst viele potentielle Risiken abgedeckt sind, inklusive unsichere Betriebszustände, wie Feuer, Wassereinbruch und andere Elementarschäden.
Erfolgsfaktor der Einführung: externe Fachberatung für alle Veränderungen
Angesichts des zunächst unüberschaubaren Informationsbegriffs und der zu erwartenden Aufgaben hat ein externer Fachberater bei mgm den laufenden Prozess begleitet. Mit Projektstart haben sich ein Kernteam und eine Projektorganisation aus der Sicherheitsabteilung, der IT und anderen Querschnittsbereichen geformt. Hinzu kamen direkte und feste Projektteilnehmer aus den Haupt-Kundenbranchen Insurance, Public Sector und Commerce.
Aber nicht nur für die IT-Spezialisten und Sicherheitsexperten bei mgm hat sich einiges verändert. Ohne die Beachtung und Mitarbeit alle Mitarbeiter kann das ISMS nicht funktionieren. Einige Beispiele:
- Alle neuen Mitarbeitenden bei mgm technology partners und mgm security partners bekommen an ihrem ersten Tag eine Einweisung.
- Es gilt das Clean Desk-Prinzip: Notizen, Aufzeichnungen, Flipcharts und andere analogen Dokumente dürfen nicht herumliegen und müssen abends eingeschlossen werden.
- Falls der Einsatz nicht zu vermeiden ist, dürfen nur noch spezielle, verschlüsselte USB-Sticks verwendet werden.
- In den Powerpoint-Vorlagen muss eine Vertraulichkeitsstufe ausgewählt werden, die fest angezeigt wird.
- Im internen Unternehmens-Wiki sind rund 80 Dokumente für alle Mitarbeitenden mit Richtlinien und „Daily Life“-Infos.
Dabei zeigte sich immer wieder während des „27k“-Einführungsprojekts: Bei mgm gab es bereits vorher richtig gelebte Prozesse, nur die Notierung und die Festlegung fehlten. Das ISO-Kernteam musste also keine Prozesse erfinden, es musste viele lediglich strukturiert aufschreiben oder auch zunächst diskutieren und nachziehen. So war es ein großer Standortvorteil, dass bereits seit 2007 mittels Jira (Ticketsystem) und Confluence (Wiki) interne Dokumentationspflichten wie IT-Bestellungen, Zugriffsberechtigungen und Onboarding-Freigaben erfüllt werden. Aber auch relevante Zuständigkeiten, wiederkehrende Prozessketten und Informationsaustausche in Kundenprojekten funktionieren schon lange über diese Tools mit systemimmanenter Dokumentation.
ISMS für mehrere Standorte – und mit Ausbauplänen
Bis zum Jahresende 2020 sollen alle Standorte in Deutschland formal in die Zertifizierung eingeschlossen werden.
Im aktuellen Zertifikat gilt die Auditierung für mgm technology partners an den drei größten Standorten München, Hamburg und Leipzig in Deutschland sowie für mgm security partners am Standort München. Der Plan: Bis zum Jahresende 2020 sollen alle Standorte in Deutschland formal in die Zertifizierung eingeschlossen werden.
Zur Einordnung: Die ISO-27001-Statistik weist mit Stand Ende 2018 für Deutschland 1.057 gültige Zertifikate aus (2.003 Unternehmensstandorte), weltweit sind es 31.910 Zertifikate (für 59.934 Standorte).
ISO 27001: Verpflichtung für fortlaufende Verbesserungen
Das Erreichen der Auditierung ist nicht das Ende des Projekts, sondern der Anfang. Der Prozess endet nie – wie bei allen Auditierungen, die in einer Organisation Bestand haben und gelebt werden sollen. Dafür müssen intern immer wieder Aufmerksamkeit und Bewusstsein geschärft werden. Bei mgm werden beispielsweise bei unangemeldeten Stichprobenbesuchen rote Karten verteilt und erklärende Verbesserungshinweise gegeben. Zudem müssen alle mgm’ies an den zertifizierten Standorten einmal jährlich über zentrale Regelungen und neue Entwicklungen geschult werden. Dazu wird es verpflichtende Kurse auf der E-Learning-Plattform geben.
Das ISO-Zertifikat ist für drei Jahre ausgestellt, nur bei jährlicher Neuüberprüfung darf es weiter genutzt werden. An einigen Punkten und Stellen aus der ersten Prüfung wird noch transparent dokumentiert gearbeitet, um offene Punkte zu verbessen. Diese kommen dann im nächsten Turnus in die Überprüfung. In monatlichen Treffen des erweiterten Kernteams wird an diesen und weiteren Verbesserungen gearbeitet. Alle Beteiligten wissen: ISO 27001 ist eine Daueraufgabe, an der alle gemeinsam weiterarbeiten müssen.
Dieser Text basiert auf einem längeren Gespräch mit Janina Huber, Hartwig Schneider und Marcel Faber, die das Kernteam der ISO 27001-Einführung bei mgm bildeten. Das Interview ist hier zu lesen.