Da immer mehr Geschäfte digital abgewickelt werden, steht die digitale Sicherheit für jedes Unternehmen an vorderster Front. Aufsehenerregende Cyberkriminalität kostet größere Unternehmen Millionen oder sogar Milliarden von Euro, während kleinere Unternehmen sich oft nie davon erholen.
Aber Unternehmen lagern ihre digitale Transformation in der Regel aus, besonders wenn das Unternehmen nicht besonders IT-lastig oder groß genug ist, um eine eigene IT Abteilung aufzubauen.
Ob sie es wissen oder nicht (und sie sollten es alle wissen): Sie schenken diesen Drittfirmen massives Vertrauen. Wenn diese nicht auf die Datensicherheit achten, ist das Kundenunternehmen derjenige, der im Falle einer Datenpanne Verluste und sogar die Schließung riskiert.
Eine der besten Möglichkeiten für externe Dienstleister und Drittanbieter, das Vertrauen ihrer potenziellen Kunden zu gewinnen, ist eine ISO-Zertifizierung. Wir sprechen mit wichtigen Akteuren bei Bright IT, um ihre ehrliche Meinung über ihre Erfahrungen mit der ISO 27001-Zertifizierung zu erfahren.
Warum ISO 27001?
Seit 2017 gehört die Bright IT zu den ISO 27001-zertifizierten Agenturen in Österreich. "Das macht uns in den Augen der Kunden viel vertrauenswürdiger", betont Dr. Tomasz Strumiński, unser Head of Development.
Bei der Zertifizierung handelt es sich um die ISO/IEC 27001, eine internationale Norm für Informationssicherheitsmanagement, die von der International Organization of Standardisation (ISO) und der International Electrotechnical Commission (IEC) herausgegeben wird.
Laut Klaus Unterkircher, Bright IT, liegt die Bedeutung der ISO 27001-Zertifizierung darin, dass "aus einem unbewiesenen Versprechen eine objektive Sicherheit für Kunden und Partner wird."
Wie hält man den ISO-Standard ein?
Die Erfüllung des Standards erfordert die Erstellung, Implementierung und Wartung eines Informationssicherheitsmanagementsystems (ISMS), das Unternehmen und Organisationen dabei hilft, ihre wertvollen Informationsbestände und digitalen Aktivitäten zu schützen.
"Wenn wir in der IT über Informationssicherheit sprechen, sprechen wir in der Regel von Vertraulichkeit, Integrität und Verfügbarkeit. Denken Sie einen Moment an Ihre Online-Aktivitäten", erklärt Tomasz Strumiński weiter. "Würden Sie nicht erwarten, dass alle genannten Aspekte der Informationssicherheit vorhanden sind? Wenn Sie das erkennen, wird Ihnen klar, dass Informationssicherheit ein inhärenter Bestandteil von allem ist, was wir über das Internet starten."
Die ISO-Zertifizierung erfordert in der Regel ein Audit der aktuellen Kontrollen und die Integration dieser Kontrollen sowie aller erforderlichen zusätzlichen Kontrollen in ein ISMS, das dann von ISO und IEC einer Überprüfung der ISO 27001-Zertifizierung unterzogen wird.
Darum sollten Sie ein externes Beratungsunternehmen an Bord holen
Obwohl es sich bei Bright IT um eine Agentur mit einer erfahrenen IT-Abteilung handelt, entschieden wir uns dafür, ein externes Beratungsunternehmen zu beauftragen, das Experte auf dem Gebiet der ISO-Zertifizierung ist, um das Audit durchzuführen und Empfehlungen im Vorfeld der ISO 27001-Zertifizierungsprüfung abzugeben. Der ISO-Zertifizierungsprozess, der 2016 konzipiert und 2017 abgeschlossen wurde, erstreckte sich über mehrere Monate.
"Wir hatten eine Reihe von Schulungen, und wir haben die ISMS-Implementierung auch selbst in die Praxis umgesetzt", erinnert sich Tomasz Strumiński. "Zusätzlich haben wir während des gesamten Prozesses die Hilfe von spezialisierten Beratungspartnern in Anspruch genommen."
Das gesamte Team für die Umstellung zu gewinnen, stellte einige Herausforderungen dar. "Ich würde nicht erwarten, dass unsere ISO-Schulung die beliebteste Übung für irgendjemanden in unserem Team ist", gibt Klaus Unterkircher zu, "aber im Großen und Ganzen verstehen die meisten Leute, warum wir das tun und sehen die Vorteile."
"Anfangs sahen wir einige Gegenreaktionen, als wir den Zertifizierungsprozess ankündigten", fährt er fort, "aber wir haben darauf reagiert, indem wir ihn so transparent wie möglich gemacht haben."
Ein weiterer von Klaus Unterkircher erwähnter Aspekt: "Auf der Kundenseite macht es das Vertrauen in die Verarbeitung sensibler Informationen wirklich sehr viel einfacher."
ISO hilft bei der Einhaltung der DSGVO
2018 verabschiedete die Europäische Union die General Data Protection Regulation (GDPR), auch bekannt unter ihrem deutschen Namen Datenschutz-Grundverordnung (DSGVO).
"Eine der Anforderungen der ISO ist, dass man mit allen gesetzlichen Vorschriften im Einklang sein muss", betont Tomasz Strumiński.
Dieses Gesetz hat Unternehmen neue Datenschutzstandards auferlegt ... aber dank des ISO-Zertifizierungsprozesses befanden wir uns bereits in Übereinstimmung mit den neuen Regeln.
"Wir waren bereits zertifiziert, als die DSGVO als ein mögliches Thema auftauchte", bemerkt Klaus Unterkircher. "Wir haben schnell gemerkt, dass wir durch die ISO-Zertifizierung voll und ganz auf die DSGVO vorbereitet sind, und Sie können sich vorstellen, wie froh wir waren, dass wir die Investition schon früher getätigt haben."
"Dadurch haben wir unseren Umgang mit personenbezogenen Daten gründlich überprüft — egal ob es sich um unsere Mitarbeiter, unsere Kunden oder die Kunden unserer Kunden handelt", ergänzt Tomasz Strumiński.
Die Bemühungen erwiesen sich auch als eine erfolgreiche Investition in das Markenvertrauen, als die neue EU-Vorschrift ein Licht auf das Thema warf. "Insbesondere die DSGVO hat das Bewusstsein geschärft, und die Endnutzer sind seit ihrer Einführung sensibler für Datenschutz und Datensicherheit", erklärt Klaus Unterkircher.
ISO erfordert Anpassungen Ihrer Geschäftsprozesse
Wir mussten kleinere Unterbrechungen im normalen Geschäftsablauf hinnehmen, einschließlich der Herausforderung, die Unternehmenskultur an das neue Regime anzupassen.
"Wir versuchen, die Dinge so informell wie möglich zu halten", sagt Klaus Unterkircher, "daher muss die Übernahme neuer Regeln und Prozesse auf eine Weise erfolgen, die unserer Organisation nützt, aber ihren Geist nicht zerstört."
Außerdem veränderte die Herausforderung der ISO-Zertifizierung die Art und Weise, wie wir mit unseren Kunden interagieren.
Anna Machalska, ISO-Beauftragte bei Bright IT, stellt klar: "ISO verlangt, dass die Regeln der Informationssicherheit sowohl von uns als auch von unseren Kunden eingehalten werden. Also müssen wir manchmal nicht nur uns selbst kontrollieren, sondern auch überprüfen, ob unsere Kunden ISO- und DSGVO-konform sind und sie bitten, dem mehr Aufmerksamkeit zu schenken."
"Es ist zwar etwas Arbeit hinzugekommen, aber wenn es einmal regelmäßig gemacht wird, ist es kein so großer Aufwand", versichert Anna Machalska.
Der Lohn: Erschließung neuer Kundensegmente
Und die Belohnung war es wert. Wir begannen das interne Gespräch über die ISO-Zertifizierung, nachdem auch immer mehr potenzielle Kunden diese zusätzliche Kompetenz in Sachen Datensicherheit benötigten.
"Theoretisch sollte das für alle Kunden gleich wichtig sein", sagt Klaus Unterkircher. In der Praxis sind größere Unternehmen, B2C-Unternehmen und staatlich regulierte Branchen am meisten daran interessiert, mit ISO-zertifizierten Anbietern zusammenzuarbeiten.
Die Einführung neuer Regeln und Prozesse birgt immer das Risiko, dass sie den kreativen Prozess verlangsamen - vor allem, wenn Unternehmen auf die beliebte agile Methode der schnellen, iterativen Entwicklung und Bereitstellung setzen.
Die Vorteile eines ISMS
Für uns erwiesen sich diese Bedenken als unbegründet. Das neu eingeführte ISMS stellte kein Hindernis für ihren agilen Prozess dar.
"Kluge Menschen mögen es, in Bereichen, die nicht in ihrer 'kreativen Zone' liegen, gut organisiert zu sein", bestätigt Klaus Unterkircher. "Gute Prozesse können helfen, sich auf das Wesentliche zu konzentrieren."
"Es ist wie mit guten Manieren", fährt er fort. "Es kommt nie aus der Mode und man kann trotzdem “cool” sein."
Das ISMS erwies sich auch als ein wertvolles Schulungsinstrument. Die Firma hatte in seinem Wachstum eine Phase erreicht, in der es einen rationalisierten Prozess für die Einarbeitung neuer Mitarbeiter benötigte. Ein klares ISMS war von unschätzbarem Wert, um neue Mitarbeiter in den Datensicherheitspraktiken zu schulen, die erforderlich waren, um ISO-konform zu bleiben.
Ein weiterer Bereich, in dem uns der ISO-Zertifizierungsprozess geholfen hat, ist das Risikomanagement. Unser ISMS führte eine Methodik zur Risikobewertung und -behandlung ein, einschließlich eines Tools zur Risikoüberwachung, der Einrichtung eines Risikoteams, das sich regelmäßig trifft, und der Delegation einiger Verantwortlichkeiten an spezielle Risikoverantwortliche.
Das ISMS legt auch einen klaren Arbeitsablauf für sich wiederholende, und weniger spannende Aufgaben fest, die dennoch für die Datensicherheit unerlässlich sind.
Tipps für Ihren Weg zur ISO-Zertifizierung
Welche Tipps haben wir für Unternehmen, die eine ISO-Zertifizierung in Erwägung ziehen?
"Machen Sie es aus den richtigen Gründen und machen Sie es ordentlich. Ansonsten lassen Sie es", rät Klaus Unterkircher. "Und stellen Sie sicher, dass Sie sich auf die Lösung von Problemen konzentrieren und nicht auf die Schaffung eines formalen “Prozessmonsters” für Ihr Team. Suchen Sie sich die richtigen Leute aus, die Sie bei der Zertifizierung unterstützen."
"Überstürzen Sie nichts bei der Implementierung", ergänzt Tomasz Strumiński. "Versuchen Sie, den Prozess zu entwickeln, der am besten zu Ihrem Unternehmen passt."
Letztendlich sind wir jedoch - nicht nur aufgrund der geschäftlichen Vorteile - froh, dass wir die ISO-Zertifizierung erhalten haben.
„Wir haben bei unserer Arbeitsweise und den Services die wir anbieten, schon immer größten Wert auf Qualität und Vertrauen gelegt.“, fasst Klaus Unterkircher zusammen.