IT – aber sicher!

Das Unternehmen hat ein umfassendes Informationssicherheits-Managementsystem (ISMS) etabliert, um die Verfügbarkeit, Vertraulichkeit und Integrität von Kunden– und betrieblichen Daten zu gewährleisten. Das ISMS von IP Dynamics wurde im August 2021 durch die unabhängige Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS) nach der internationalen Norm ISO 27001 zertifiziert.

Neben der Zertifizierung nach ISO 27001 wurde im Rahmen des Audits auch die bereits seit 2018 bestehende Zertifizierung nach ISO 9001 durch die DQS bestätigt.

Hartmut Junge, Informationssicherheits– und Qualitätsmanagementbeauftragter bei IP Dynamics, blickt im Gespräch auf den Zertifizierungsprozess zurück und erläutert, warum kontinuierliche Informations– und Datensicherheit für das Unternehmen unverzichtbar ist.

Weshalb war die Zertifizierung nach ISO 27001 so wichtig für IP Dynamics?

Hartmut Junge: IP Dynamics arbeitet bereits seit 2018 mit einem Qualitätsmanagementsystem nach ISO 9001. Für die zusätzliche Zertifizierung nach ISO 27001 gab es im Wesentlichen zwei Gründe: Einerseits haben wir erkannt, dass verlässliche Informationssicherheit auf Dauer nur durch ein transparentes und gut steuerbares Managementsystem gewährleistet werden kann. Andererseits möchten wir dem hohen Sicherheitsanspruch unserer Kunden gerecht werden. Die Zertifizierung nach einem internationalen Standard durch einen externen Dienstleister zeigt unseren Kunden, dass sie sich auf unsere technischen und organisatorischen Maßnahmen sowie auf die vereinbarte Servicequalität zu jeder Zeit verlassen können.

Was versteht IP Dynamics unter dem Begriff „Informationssicherheit“ und worin besteht der Unterschied zum Datenschutz?

Hartmut Junge: Der Datenschutz konzentriert sich auf den Schutz von personenbezogenen Daten, also Daten von natürlichen Personen. Die Informationssicherheit hingegen ist viel weiter gefasst: Informationen bestehen ganz allgemein aus vorhandenem Wissen. Dieses Wissen kann elektronisch – also in Form von Daten – vorliegen, auf einem Papierdokument geschrieben stehen oder nur in den Köpfen von Menschen vorhanden sein. Durch das Informationssicherheitsmanagement können wir sicherstellen, dass dieses Wissen ausschließlich berechtigten Personen bei Bedarf in nutzbarer Form zur Verfügung steht.

War die Einführung des ISMS für IP Dynamics mit speziellen Veränderungen des Arbeitsalltags verbunden?

Hartmut Junge: Der Umgang mit Daten – insbesondere mit Kundendaten – ist seit über 15 Jahren unser tägliches Brot, daher bestand schon vor der Zertifizierung technisch ein sehr hohes Sicherheitsniveau. Organisatorisch konnten wir auf die bereits bestehende Prozesswelt aufbauen.

Um den Anforderungen der ISO 27001 zu genügen, haben wir unseren formalen Unterbau aber noch einmal erheblich erweitert. So haben wir zum Beispiel das Management von Risiken für die Informationssicherheit stärker formalisiert und viele der bewährten und bereits gelebten Vorgehensweisen in offiziellen Richtlinien dokumentiert. Allgemein gibt es jetzt mehr Geschäftsfälle, für die verbindliche Vorgaben existieren. Die Erweiterung der schriftlich dokumentierten Regeln bietet unseren Kolleginnen und Kollegen eine verlässliche Orientierungshilfe im Arbeitsalltag.
Und natürlich ist meine Rolle des Informationssicherheitsbeauftragten auch neu entstanden.

Gab es besondere Herausforderungen?

Hartmut Junge: Die zahlreichen neuen Richtlinien und Prozesse haben bei manchen Kolleginnen und Kollegen zunächst für etwas Verunsicherung gesorgt. Einige haben befürchtet, dass wir als Unternehmen zu bürokratisch handeln und die auch von unseren Kunden gewünschte Flexibilität verlieren. Durch zielgerichtete Schulungen und Einzelgespräche konnten wir diese Bedenken jedoch zerstreuen. Inzwischen stoßen beide Managementsysteme, also Qualitäts– und Informationssicherheit, im Unternehmen auf breite Akzeptanz.

Sowohl „politisch“ als auch technisch war der Umgang mit WhatsApp auf den Dienst-Smartphones ein viel diskutiertes Thema. Am Ende haben wir aber auch dafür eine überzeugende Lösung gefunden, die datenschutzkonform und anwenderfreundlich ist.

Wie lief die Zertifizierung ab und welches Fazit ziehst du persönlich daraus?

Hartmut Junge: Drei Standorte, acht Arbeitstage, zwei ebenso freundliche wie gewissenhafte Auditoren mit gefühlt 27001 Fragen – das Unternehmen wurde sehr gründlich durchleuchtet. Am Ende hat sich die gründliche Vorbereitung jedoch bezahlt gemacht.
Alles in allem war es eine anspruchsvolle und interessante Aufgabe, das 27001-Zertifikat zu erhalten. Jetzt müssen meine Kollegen und ich sicherstellen, dass die Maßnahmen rund um die Informationssicherheit auch angemessen und wirksam bleiben. Deswegen stecke ich bereits in den Vorbereitungen für interne Audits, auf deren Grundlage wir genau das regelmäßig überprüfen werden.