Der Weg zur ISO 27001:2017 – Einblicke in eine aufregende Reise von NETHINKS

Mit der fortschreitenden Digitalisierung und der globalen Vernetzung ist in den letzten Jahren auch das Risiko von Hackerangriffen und Cyber-Attacken gestiegen. Beinahe täglich ist in den Schlagzeilen von neuen Datenlecks, koordinierten Angriffen auf bekannte Unternehmen und Datenklau zu lesen. Gerade im unternehmerischen Kontext müssen sensible Daten und vertrauliche Informationen deshalb immer besser vor Missbrauch und Diebstahl geschützt werden. NETHINKS ist einer der führenden ITK-Dienstleister in Osthessen. Wir sind uns der großen Verantwortung, die der digitale Transport von Daten in unseren Kernbereichen Standortvernetzung und VoIP-Telefonie mit sich bringt, sehr bewusst. Um künftig noch sicherer und vertrauensvoller mit unseren Kunden arbeiten zu können, haben wir uns deshalb in einer aufregenden Reise nach ISO-Norm 27001:2017 zertifizieren lassen. Denn der international normierte Standard zum Informationssicherheitsmanagementsystem (ISMS) kann einen entscheidenden Beitrag dazu leisten, um maximale Sicherheit, großes Vertrauen und ein hohes Maß an Integrität im Umgang mit Daten zu erlangen. Doch alles der Reihe nach…

Der Beginn unserer ISO-Reise

ISO – fast jeder hat diese Abkürzung irgendwo schon einmal gehört oder gelesen. Dabei handelt es sich um die International Organization for Standardization (‚Internationale Organisation für Normung‘), einer Institution mit Sitz im schweizerischen Genf, die weltweit gültige Normen in nahezu allen Bereichen festlegt. Die internationalen Normen werden von den 169 Mitgliedsländern in nationale Vorgaben wie die deutsche DIN-Norm übernommen. Die Umsetzung einer ISO-Norm ist also gleichbedeutend mit einem verlässlichen und global geltenden Qualitätsstandard. Im Jahr 2021 haben wir uns bei NETHINKS dazu entschlossen, uns einem solchen Qualitätsstandard im Bereich der Informations- und Datensicherheit zu stellen. Aus strategischer Sicht war es uns ein wichtiges Anliegen, die bestehenden Prozesse zu formalisieren und unsere Sicherheitsmaßnahmen an einen internationalen Standard anzupassen, der die hohen Anforderungen unserer Zielgruppe erfüllt. Viele unserer Kunden sind Organisationen und Einrichtungen der kritischen Infrastruktur (KRITIS), die einerseits besondere Aufgaben beim Erhalt des staatlichen Gemeinwesen ausüben und andererseits genau deshalb besonders durch Angriffe – insbesondere von außen – gefährdet sind. Im Jahr 2022 ist unser Unternehmen den nächsten Schritt im Rahmen der ISO-Zertifizierung gegangen, indem wir mit der Viridicon AG einen erfahrenen Partner in der Funktion des externen Informationssicherheitsbeauftragten (ISB) gewinnen konnten.

Erfolgreiche ISO-Audits

Im Frühjahr 2023 führten wir bei NETHINKS nach der Einrichtung des ISMS zunächst ein internes Audit durch. Ziel dieser Maßnahme war es, mögliche Schwachstellen und Optimierungspotentiale bereits vor der Begehung der externen Auditoren zu erkennen. Die Ergebnisse des internen Audits haben wir anschließend in einen detaillierten Projektplan überführt, der uns als Grundlage für die Vorbereitung auf die ISO-Zertifizierung diente. Und im November und Dezember 2023 war es dann schließlich so weit: Unser Unternehmen musste sich der akribischen Prüfung der externen Auditoren stellen – mit großem Erfolg! NETHINKS erhielt das ISO-Zertifikat 27001 gleich im ersten Versuch und mit einem besonders positiven Feedback der Prüfer. Dieses äußerst erfreuliche Ergebnis hätten wir ohne das hohe Engagement unser gesamtes Teams kaum geschafft. Denn ein solcher Prozess ist ein enormer Kraftakt, der eine zusätzliche Belastung im Alltagsgeschäft darstellt.

Hürden & Herausforderungen im Audit-Prozess

Um die Auditierung nach ISO 27001 erfolgreich abschließen zu können, mussten wir einige Hürden überwinden. Eine unserer größten Herausforderungen war die Implementierung eines Systems für das Mobile Device Management (MDM) zur zentralisierten Verwaltung von mobilen Endgeräten. Für viele Teammitglieder war diese Umstellung mit einer Änderung der individuellen Arbeitsweise und Routinen verbunden. Und häufig ist es eben nicht ganz so einfach, gewohnte Abläufe zu verändern und sich auf neue Prozesse einzulassen. Doch mit Aufklärung, viel Geduld auf allen Seiten und der gemeinsamen Erarbeitung eines grundlegenden Verständnisses für die hohe Relevanz des MDM-Systems haben wir es schlussendlich geschafft, alle Mitarbeiter von der Umstellung zu überzeugen.

Fazit

Das Audit nach ISO 27001 ist ein wichtiges Verfahren zur standardisierten Verbesserung der Informationssicherheit auf allen Ebenen. Als Ergebnis unserer aufregenden Reise auf dem Weg zum ISO-Zertifikat sind die Prozesse und Systeme bei NETHINKS noch viel sicherer geworden, als sie es vorher bereits waren. So haben wir beispielsweise unsere Passwortrichtlinien angepasst und stärkere Passwörter in allen Bereichen implementiert. Abweichungen von der Vorgabe „sicheres & starkes Passwort“ werden künftig nicht mehr zugelassen. Und auch unsere Lieferanten sind zur Einhaltung dieser neuen Standardprozesse für die Erhöhung der Informationssicherheit verpflichtet. Der erfolgreiche Abschluss des ISO 27001-Verfahrens ist für uns mehr als nur ein Stück Papier – mit dem Zertifikat haben wir uns jetzt und in Zukunft zu höchsten Sicherheitsstandards und der vertrauensvollen Zusammenarbeit mit unseren Kunden im Bereich der Informationssicherheit verpflichtet.