IT – aber sicher!

Sicher­heit für interne und externe Infor­ma­tio­nen ist für IP Dyna­mics ein wesent­li­cher Bestand­teil der Unter­neh­mens­kul­tur. Das Unter­neh­men hat ein umfas­sen­des Informationssicherheits-​Managementsystem (ISMS) eta­bliert, um die Ver­füg­bar­keit, Ver­trau­lich­keit und Inte­gri­tät von Kun­den– und betrieb­li­chen Daten zu gewähr­leis­ten. Das ISMS von IP Dyna­mics wurde im August 2021 durch die unab­hän­gige Deut­sche Gesell­schaft zur Zer­ti­fi­zie­rung von Manage­ment­sys­te­men (DQS) nach der inter­na­tio­na­len Norm ISO 27001 zer­ti­fi­ziert.

Neben der Zer­ti­fi­zie­rung nach ISO 27001 wurde im Rah­men des Audits auch die bereits seit 2018 beste­hende Zer­ti­fi­zie­rung nach ISO 9001 durch die DQS bestä­tigt.

Hart­mut Junge, Infor­ma­ti­ons­si­cher­heits– und Qua­li­täts­ma­nage­ment­be­auf­trag­ter bei IP Dyna­mics, blickt im Gespräch auf den Zer­ti­fi­zie­rungs­pro­zess zurück und erläu­tert, warum kon­ti­nu­ier­li­che Infor­ma­ti­ons– und Daten­si­cher­heit für das Unter­neh­men unver­zicht­bar ist.

Wes­halb war die Zer­ti­fi­zie­rung nach ISO 27001 so wich­tig für IP Dyna­mics?

Hart­mut Junge: IP Dyna­mics arbei­tet bereits seit 2018 mit einem Qua­li­täts­ma­nage­ment­sys­tem nach ISO 9001. Für die zusätz­li­che Zer­ti­fi­zie­rung nach ISO 27001 gab es im Wesent­li­chen zwei Gründe: Einer­seits haben wir erkannt, dass ver­läss­li­che Infor­ma­ti­ons­si­cher­heit auf Dauer nur durch ein trans­pa­ren­tes und gut steu­er­ba­res Manage­ment­sys­tem gewähr­leis­tet wer­den kann. Ande­rer­seits möch­ten wir dem hohen Sicher­heits­an­spruch unse­rer Kun­den gerecht wer­den. Die Zer­ti­fi­zie­rung nach einem inter­na­tio­na­len Stan­dard durch einen exter­nen Dienst­leis­ter zeigt unse­ren Kun­den, dass sie sich auf unsere tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie auf die ver­ein­barte Ser­vice­qua­li­tät zu jeder Zeit ver­las­sen kön­nen.

Was ver­steht IP Dyna­mics unter dem Begriff „Infor­ma­ti­ons­si­cher­heit“ und worin besteht der Unter­schied zum Daten­schutz?

Hart­mut Junge: Der Daten­schutz kon­zen­triert sich auf den Schutz von per­so­nen­be­zo­ge­nen Daten, also Daten von natür­li­chen Per­so­nen. Die Infor­ma­ti­ons­si­cher­heit hin­ge­gen ist viel wei­ter gefasst: Infor­ma­tio­nen beste­hen ganz all­ge­mein aus vor­han­de­nem Wis­sen. Die­ses Wis­sen kann elek­tro­nisch – also in Form von Daten – vor­lie­gen, auf einem Papier­do­ku­ment geschrie­ben ste­hen oder nur in den Köp­fen von Men­schen vor­han­den sein. Durch das Infor­ma­ti­ons­si­cher­heits­ma­nage­ment kön­nen wir sicher­stel­len, dass die­ses Wis­sen aus­schließ­lich berech­tig­ten Per­so­nen bei Bedarf in nutz­ba­rer Form zur Ver­fü­gung steht.

War die Ein­füh­rung des ISMS für IP Dyna­mics mit spe­zi­el­len Ver­än­de­run­gen des Arbeits­all­tags ver­bun­den?

Hart­mut Junge: Der Umgang mit Daten – ins­be­son­dere mit Kun­den­da­ten – ist seit über 15 Jah­ren unser täg­li­ches Brot, daher bestand schon vor der Zer­ti­fi­zie­rung tech­nisch ein sehr hohes Sicher­heits­ni­veau. Orga­ni­sa­to­risch konn­ten wir auf die bereits beste­hende Pro­zess­welt auf­bauen.

Um den Anfor­de­run­gen der ISO 27001 zu genü­gen, haben wir unse­ren for­ma­len Unter­bau aber noch ein­mal erheb­lich erwei­tert. So haben wir zum Bei­spiel das Manage­ment von Risi­ken für die Infor­ma­ti­ons­si­cher­heit stär­ker for­ma­li­siert und viele der bewähr­ten und bereits geleb­ten Vor­ge­hens­wei­sen in offi­zi­el­len Richt­li­nien doku­men­tiert. All­ge­mein gibt es jetzt mehr Geschäfts­fälle, für die ver­bind­li­che Vor­ga­ben exis­tie­ren. Die Erwei­te­rung der schrift­lich doku­men­tier­ten Regeln bie­tet unse­ren Kol­le­gin­nen und Kol­le­gen eine ver­läss­li­che Ori­en­tie­rungs­hilfe im Arbeits­all­tag.
Und natür­lich ist meine Rolle des Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten auch neu ent­stan­den.

Gab es beson­dere Her­aus­for­de­run­gen?

Hart­mut Junge: Die zahl­rei­chen neuen Richt­li­nien und Pro­zesse haben bei man­chen Kol­le­gin­nen und Kol­le­gen zunächst für etwas Ver­un­si­che­rung gesorgt. Einige haben befürch­tet, dass wir als Unter­neh­men zu büro­kra­tisch han­deln und die auch von unse­ren Kun­den gewünschte Fle­xi­bi­li­tät ver­lie­ren. Durch ziel­ge­rich­tete Schu­lun­gen und Ein­zel­ge­sprä­che konn­ten wir diese Beden­ken jedoch zer­streuen. Inzwi­schen sto­ßen beide Manage­ment­sys­teme, also Qua­li­täts– und Infor­ma­ti­ons­si­cher­heit, im Unter­neh­men auf breite Akzep­tanz.

Sowohl „poli­tisch“ als auch tech­nisch war der Umgang mit Whats­App auf den Dienst-​Smartphones ein viel dis­ku­tier­tes Thema. Am Ende haben wir aber auch dafür eine über­zeu­gende Lösung gefun­den, die daten­schutz­kon­form und anwen­der­freund­lich ist.

Wie lief die Zer­ti­fi­zie­rung ab und wel­ches Fazit ziehst du per­sön­lich dar­aus?

Hart­mut Junge: Drei Stand­orte, acht Arbeits­tage, zwei ebenso freund­li­che wie gewis­sen­hafte Audi­to­ren mit gefühlt 27001 Fra­gen – das Unter­neh­men wurde sehr gründ­lich durch­leuch­tet. Am Ende hat sich die gründ­li­che Vor­be­rei­tung jedoch bezahlt gemacht.
Alles in allem war es eine anspruchs­volle und inter­es­sante Auf­gabe, das 27001-​Zertifikat zu erhal­ten. Jetzt müs­sen meine Kol­le­gen und ich sicher­stel­len, dass die Maß­nah­men rund um die Infor­ma­ti­ons­si­cher­heit auch ange­mes­sen und wirk­sam blei­ben. Des­we­gen ste­cke ich bereits in den Vor­be­rei­tun­gen für interne Audits, auf deren Grund­lage wir genau das regel­mä­ßig über­prü­fen wer­den.