Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

INHALT

• Praxisbeispiel ISO 27001 – ENTERBRAIN setzt auf Zertifizierung
• Positive Erfahrungen mit ISO 27001 in der Praxis
• Informationssicherheit als Fundament für Erfolg und Vertrauen
• Interview mit Christian Körner
• Zukunftspläne und ISO 27001:2022
• ISO 27001 Erfahrungen bei ENTERBRAIN – Fazit

Praxisbeispiel ISO 27001 – ENTERBRAIN setzt auf Zertifizierung

Die ENTERBRAIN Software GmbH mit Sitz in Offenbach zählt zu den führenden Fundraising-Software-Anbietern in Europa. Die Softwarelösungen des Unternehmens unterstützen Non-Profit-Organisationen bei der Verwaltung ihrer Spenden und Mitglieder. Mit diesen Softwarelösungen werden unter anderem persönliche Daten und Zahlungsdaten verwaltet. Der Schutz dieser vertraulichen Informationen sowie deren Integrität und Verfügbarkeit stehen für den Softwareanbieter und seine Kunden an höchster Stelle – auch mit Blick auf rechtliche Aspekte.

Das seit 2019 nach DIN EN ISO 27001 zertifizierte Informationssicherheits-Managementsystem bietet dazu in der Praxis ein umfassendes Rahmenwerk. Es sichert die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – die drei Schutzziele der Informationssicherheit. Durch das etablierte Managementsystem sind Prozesse, Rollen und Befugnisse verbindlich festgelegt und Informationssicherheitsrisiken werden systematisch gesenkt, gleichzeitig wird Vertrauen gegenüber Kunden und Geschäftspartnern geschaffen.

Positive Erfahrungen mit ISO 27001 in der Praxis

Durch die aktive Nutzung des Managementsystems und die damit verbundene fortlaufende Analyse und Bewertung von Bedrohungen ist ENTERBRAIN im Bereich der Informationssicherheit und des Datenschutzes sehr gut aufgestellt. Es existiert eine umfassende Dokumentation aller Schutzobjekte im Unternehmen. Ergänzend hierzu sind anzuwendende Richtlinien, technische Anweisungen und organisatorische Regeln definiert, um Sicherheitslücken zu schließen.

Das systematische Vorgehen schafft eine gute Transparenz über die Bedrohungen und erforderlichen Prozesse zur Schließung von Sicherheitslücken. Regelmäßige Awareness-Schulungen sensibilisieren alle Mitarbeitenden im Unternehmen über die enorme Bedeutung der Informationssicherheit.

In der Praxis hat sich das Managementsystem für Informationssicherheit bereits mehrfach bewährt. Vor allem auch und gerade durch die regelmäßigen Schulungen der Mitarbeitenden. So konnte im Jahr 2020 die Ausbreitung einer neuen Virusversion von Emotet* in der Organisation verhindert werden.

* Emotet = Familie von Computer-Schadprogrammen (Makro-Viren), die per E-Mail versendet werden

Durch die frühzeitige Erkennung der Gefahr durch eine Servicemitarbeiterin konnte Schlimmes abgewendet werden. Die neue Virusvariante wurde damals von keiner am Markt verfügbaren Virenscanner-Software-Lösung entdeckt.

ENTERBRAIN hat bei dem Vorfall eine infizierte Mail von einem Kunden erhalten, die durch die Mitarbeiterin zunächst geöffnet wurde, aber den Vorfall umgehend gemeldet hat. Dadurch wurde das Notfallteam aktiviert und der Vorfall gemäß dem im Unternehmen vorhandenen Sicherheits-Notfallhandbuch abgearbeitet. Durch die schnelle und gewissenhafte Reaktion der Mitarbeiterin konnte der betroffene Rechner isoliert und eine Ausbreitung des Virus im internen Netzwerk verhindert werden. Ein hinzugezogenes IT-Forensik-Unternehmen hat die Virusvariante und das Netzwerk zusätzlich untersucht und unterstützend gewirkt.

Informationssicherheit als Fundament für Erfolg und Vertrauen

Für den Fundraising-Software-Anbieter und seine Kunden ist Regelkonformität ein essenzieller Bestandteil der Geschäftstätigkeit. Die Einhaltung des Datenschutzes und das regelkonforme Verhalten aller Unternehmensangehörigen sind die Basis für eine vertrauensvolle Zusammenarbeit mit Kunden und Partnern. Aufgrund dieser Anforderungen ist das Unternehmen für alle angebotenen Dienstleistungen nach der international anerkannten Norm ISO 27001 zertifiziert.

Obwohl die vollständige Zertifizierung für alle Dienstleistungen deutlich aufwändiger ist als eine Zertifizierung für einen einzelnen Geschäftsbereich, rechnet sich der höhere Grad an Informationssicherheit für das Unternehmen. Einerseits existiert dadurch für alle Geschäftsbereiche ein Informationssicherheitsmanagement mit allen Vorteilen, andererseits genießt ENTERBRAIN hierdurch einen Wettbewerbsvorteil gegenüber anderen Marktteilnehmern, die über keine ISO 27001 Zertifizierung verfügen.

Zudem gewinnt das Thema Compliance allgemein an Bedeutung, so dass in vielen Organisationen auch Vorgaben zur Zusammenarbeit mit einem nach ISO 27001 zertifizierten Unternehmen vorliegen.

Die gewonnene Transparenz bietet dem Unternehmen eine hervorragende Ausgangsbasis für Prozessoptimierungen zur Steigerung der Kundenzufriedenheit und der Effizienz im Unternehmen. Ebenso werden geschäftskritische Prozesse und Bereiche klar definiert und können durch zielgerichtete Risikominimierung sicherer aufgestellt werden.

Interview mit Christian Körner

Geschäftsführer operatives Geschäft der ENTERBRAIN Software GmbH

Der Nutzen eines Informationssicherheits-Managementsystems ist eine Sache. Für dessen Zertifizierung und die dazugehörigen jährlichen Überwachungsaudits sind Unternehmen jedoch auf die Zusammenarbeit mit einer akkreditierten Zertifizierungsstelle angewiesen. Im Gespräch berichtet Christian Körner über seine Erfahrungen mit ISO 27001.

DQS: Herr Körner, Sie sind damals mit einem eigens für KMU entwickelten System in die Informationssicherheit eingestiegen. Als es dann um den Umstieg auf die ISO-Norm 27001 ging, brauchte es ein umfassendes Upgrade – wäre dieser Weg angesichts der massiven Cyber-Bedrohung, der vor allem auch der Mittelstand ausgesetzt ist, heute überhaupt noch zu empfehlen?

Christian Körner: ENTERBRAIN hat schon sehr früh einen großen Fokus auf den Bereich Informationssicherheit gelegt und dadurch eine Vorreiterrolle übernommen. In unserer Branche ist das Thema Informationssicherheit das Fundament für Erfolg und Vertrauen. Im Zuge der beschleunigten digitalen Transformation gewinnt das Thema immer mehr an Bedeutung.

Aus unseren Erfahrungen in der Praxis und den gestiegenen Cyber-Bedrohungen empfehlen wir heute einen direkten Einstieg in die ISO 27001 Zertifizierung. Das Wertvolle an dem Zertifizierungsprozess ist die Aufdeckung von eventuellen Sicherheitsrisiken, die durch die gewonnene Transparenz geschlossen oder zumindest minimiert werden können. Dies trägt maßgeblich zur Informationssicherheit im Unternehmen bei.

DQS: Mit ISO 27001 haben Sie die Basis für ein anerkanntes Managementsystem gelegt – können Sie sich noch an das erste Zertifizierungsaudit mit der DQS erinnern?

Christian Körner: Bei unserem ersten ISO 27001 Audit im Jahr 2019 waren alle Mitarbeitenden im Unternehmen ziemlich angespannt. Zwar gab es damals bereits Erfahrungen aus den Zertifizierungen unseres ersten Informationssicherheitsmanagements, jedoch ging es bei der ISO 27001 um die Königsklasse.

Im Nachhinein müssen wir ein wenig schmunzeln, wenn wir an die erste Zertifizierung nach ISO 27001 zurückdenken. Einerseits waren wir damals schon sehr gut auf den ISO-Standard vorbereitet, andererseits konnten wir von dem Zertifizierungsprozess als Unternehmen nur profitieren, da uns jede Abweichung transparent Verbesserungspotenzial aufgezeigt hätte.

Die Gewährleistung und Steigerung der Informationssicherheit sind schließlich unser Ziel. Daher begrüßen wir jederzeit Hinweise und Empfehlungen zur Optimierung unserer Prozesse. Diesen Punkt kann ich auch jedem noch nicht zertifizierten Unternehmen ans Herz legen. Die ISO 27001 Zertifizierung sollte nicht aus dem Wunsch nach einem Zertifikat erfolgen, sondern aus einem Verständnis für die enorme Bedeutung der Informationssicherheit im Unternehmen in der heutigen Zeit.

DQS: Haben Sie in der Zeit der darauffolgenden Überwachungsaudits sinnvolle und umsetzbare Hinweise auf Verbesserungspotenzial von unserem Auditor erhalten?

Christian Körner: Für uns sind die Überwachungsaudits ein wichtiger Bestandteil der Zertifizierung und fortlaufenden Optimierung, da im direkten Austausch mit dem Auditor wertvolle Hinweise für die Umsetzung in der Praxis gewonnen werden, was eine große Bereicherung für uns ist. Gleichzeitig konnten wir von dem umfassenden IT-Wissen und Systemverständnis unseres Auditors in den letzten Jahren profitieren. Mit ihm haben wir einen erfahrenen Sparringspartner, der ein hohes Prozessverständnis mitbringt, und der unsere Unternehmensgröße im Blick hat.

DQS: Inzwischen haben Sie Ihre erste Rezertifizierung erfolgreich abgeschlossen, demnächst kommt die Umstellung auf die 2022er-Version der neuen ISO/IEC 27001:2022 auf Sie zu – stehen Sie mit der DQS diesbezüglich schon in Kontakt?

Christian Körner: Ja, wir sind bereits seit einigen Monaten im Austausch mit der DQS und bereiten uns auf die Umstellung vor. Auch befinden wir uns in der Abstimmung zu einer möglichen „Privacy Information Managementsystem“-Erweiterung.  

DQS: Gibt es etwas, das die DQS in der Zusammenarbeit noch verbessern könnte?

Christian Körner: Wir sind mit der Zusammenarbeit sehr zufrieden. Dies liegt zu einem großen Teil auch an dem erfahrenen Auditor, der uns bei der fortlaufenden Verbesserung unseres Systems mit seiner Beurteilung maßgeblich unterstützt.

DQS: Herr Körner, danke für das nette Gespräch und viel Erfolg bei der Umstellung auf die neue ISO/IEC 27001:2022!

Zukunftspläne und ISO 27001:2022

ISO 27001 ist eine international anerkannte Norm für Informationssicherheit, die erstmals im Jahr 2005 in englischer Sprache erschienen ist. Die Norm wurde im Jahr 2013 überarbeitet und als einer der ersten großen ISO-Managementsystemnormen auf die damals neue High Level Structure umgestellt, was die Integration in bestehende ISO-Managementsysteme inzwischen wesentlich erleichtert. Im Jahr 2022 erfolgte eine weitere Revision, bei der die Anpassung an den neuesten Stand der Informationstechnik im Vordergrund stand.

ENTERBRAIN erwartet für die Umstellung auf die neue ISO 27001:2022 keine Überraschungen, im Gegenteil: Das Unternehmen begrüßt die Revision, da besonders die Bereiche Datenschutz und Cybersicherheit gestärkt werden.

Zurzeit analysiert das Unternehmen die neuen Maßnahmen und Anforderungen und gleicht diese mit den unternehmensspezifischen Prozessen und Gegebenheiten ab. Im Anschluss wird eine Bewertung der Zwischenergebnisse vorgenommen werden, um den Umsetzungsbedarf – besonders mit Blick auf die 93, zum Teil neuen Controls in Anhang A – zu ermitteln.

ISO 27001 Erfahrungen bei ENTERBRAIN – Fazit

Die Implementierung eines Informationssicherheits-Managementsystems nach ISO 27001 hat sich bei ENTERBRAIN als ein entscheidender Schritt in der Stärkung der Sicherheitsstrategie des Unternehmens erwiesen. Die Erfahrungen mit der ISO 27001 Zertifizierung unterstreichen die Bedeutung einer ganzheitlichen Herangehensweise, die nicht nur technische, sondern auch organisatorische Maßnahmen umfasst. 

Durch die ISO 27001 Zertifizierung konnte nicht nur die Sicherheitsinfrastruktur verbessert, sondern auch das Vertrauen seiner Kunden und Partner signifikant gesteigert werden. Die Mitarbeitenden wurden stärker für die Bedeutung von Informationssicherheit sensibilisiert, was zu einer Kultur der Sicherheit im gesamten Unternehmen führte. Obwohl die Implementierung mit Herausforderungen verbunden war, überwiegen die positiven Auswirkungen deutlich. 

Das Fazit aus den Erfahrungen mit ISO 27001 ist klar: Die Zertifizierung ist mehr als nur ein Siegel – sie ist ein kontinuierlicher Prozess, der das Unternehmen resilienter gegenüber Bedrohungen macht und einen klaren Wettbewerbsvorteil bietet.

Expertise und Vertrauen

Der ganzheitliche, neutrale Blick unserer erfahrenen Auditoren auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Informationssicherheits-Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie die Zertifizierung nach der ISO-Norm nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen. 

Unsere Audits liefern Ihnen Klarheit. Unsere Kunden sehen darin eine Chance. Für sie ist das Feedback des unabhängigen Auditors zum Verbesserungspotenzial und möglichen Risiken ebenso wertvoll wie ein DQS-Zertifikat als Nachweis ihrer Qualitätsfähigkeit. Damit dies so bleibt, achten wir strikt auf Integrität und Objektivität – mehr dazu lesen Sie in unserer Auditphilosophie.

Wir fra­gen im Audit gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können. Nehmen Sie uns beim Wort.

Bitte beachten Sie: Unsere Beiträge werden ausschließlich von unseren Normexperten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an den Autor haben, nehmen Sie bitte Kontakt mit uns auf. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.