Wolfgang
Informationssicherheitsbeauftragter
Sich Sorgen zu machen ist wie im Schaukelstuhl zu sitzen, es beschäftigt einen, bringt einen aber nirgendwo hin.
Standort
Leibnitz
Bei uns seit
1999
Projekt
Wolfgang
Informationssicherheitsbeauftragter
ISO 27001 Zertifizierung
Endlich, seit August ist es auch schriftlich - wir, die Boom Software, haben ein nach ISO27001:2013 zertifiziertes Informationssicherheitsmanagementsystem (kurz ISMS) im Einsatz, das nachweislich einem hohen Sicherheitsanspruch gerecht wird. Nun mag sich so manch einer denken, tolles Zertifikat, aber was bringts? Und warum schreibe ausgerechnet ich diesen Beitrag?
Ich muss zugeben, dass noch vor einigen Jahren, aus meiner Sicht, die Notwendigkeit eines umfangreichen ISMS in einem Software Unternehmen unserer Größe nicht wirklich gegeben war. Allerdings war zu dieser Zeit meine "Awareness" wohl noch nicht ausreichend vorhanden. Diverse Vorfälle in meinem persönlichen Umfeld und Berichterstattungen über umfangreiche Datenpannen aus den Medien, machten das Thema für mich Jahr um Jahr präsenter und wichtiger. Diese Entwicklung galt nicht nur für mich, sondern auch für die Geschäftsführung der Boom, weshalb auch das Projekt „ISO-Zertifizierung“ initiiert wurde. Im Laufe des Projekts wurde mir klar, dass meine Interessen mit der Rolle des Informationssicherheitsbeauftragten (kurz ISB) sehr gut übereinstimmen, da dieser den Aufbau und die laufende Weiterentwicklung des ISMS verantwortet, was in Folge auch zu meiner Bestellung zum ISB führte.
Die Tatsache, dass das gesamte ISMS auf das Mitwirken aller Mitarbeiter aufbaut und quasi im Kopf eines jeden einzelnen beginnt, machte das ganze Projekt noch viel interessanter. Es ist dabei unerlässlich, dass sich jeder in seinem direkten Umfeld für seine verarbeitenden Informationen eine hohe Vertraulichkeit, Integrität und Verfügbarkeit als Ziel setzt. Wie diese Ziele in der Praxis erreicht werden können, beschreiben unsere Leit- und Richtlinien, die für alle Mitarbeiter gelten und in gesonderten Schulungen auch direkt vermittelt werden.
Wenn man dieses Verhalten auf sein privates Umfeld umlegt, wird man schnell erkennen, welche Auswirkungen sich daraus auf sich selbst und sein Umfeld ergeben. Eine verbreitete Meinung vieler privater IT-Anwender ist, dass sie nichts zu verbergen haben und somit auch kein großes Risiko sehen, wenn einmal etwas passieren sollte. Das denken auch ganz gerne Anwender von Social-Media Plattformen die z.B. „nur Bilder“ vom letzten Ausflug für die Familie posten und vielleicht ab und zu mit ein paar Freunden chatten. Erlangt aber ein Unbekannter den Zugang zum eigenen Konto, geht es plötzlich nicht nur um die Bilder und Chats, sondern um die eigene - wenn auch nur virtuelle - Identität. Der Unbekannte kann sich nun mit der gekaperten Identität das Vertrauen zu den vorhandenen Freunden zu Nutze machen und z.B. Geld auf sein eigenes Konto durch eine erprobte Masche erbetteln. Natürlich gibt es noch viel mehr unangenehme Dinge die er anstellen könnte, aber das würde diesen Rahmen sprengen. ;-)
Das ISMS setzt nun an verschiedenen Stellen an, um die Auswirkungen eines solchen Vorfalls signifikant zu reduzieren bzw. ihn erst gar nicht zu ermöglichen. Zum einen muss sich der Anwender selbst darüber Gedanken machen, wie schützenswert seine Informationen sind. Abhängig davon sollten die Auswahl der Tools und Anbieter erfolgen. So kann z.B. eine vom Anbieter bereitgestellte Mehrfaktorauthentifizierung einen einfachen Passwort-Diebstahl sehr wirkungsvoll entgegenwirken. Zum anderen kann der Anwender durch sicheren Umgang mit den Endgeräten und seinen Zugangsdaten das Risiko eines Passwortdiebstahls stark reduzieren. Das ist natürlich nur ein Bruchteil der Maßnahmen, die zu einer erhöhten Informationssicherheit führen. Es soll aber das Prinzip dahinter verdeutlichen, dass nicht nur Technik sondern auch der bewusste Umgang mit Informationen „das A & O“ eines funktionierenden ISMS ist.
Für uns als Mitarbeiter und nicht zuletzt für die direkten Projektbeteiligten war die Zusammenführung der vorhandenen Prozesse mit dem normgerechten ISMS durchaus mit etwas Aufwand und einer gewissen Umstellung verbunden. Allerdings möchte ich bei dieser Gelegenheit auch erwähnen, dass die durchgeführten Änderungen von der Mehrheit aller Kolleginnen und Kollegen aus Überzeugung mitgetragen und mitgestaltet wurden. Das spricht für das Projekt und das gesamte Boom-Team.
Unsere Kunden profitieren nun davon, weil unsere Software und die Abwicklung der Projekte noch sicherer hergestellt und abgewickelt werden. D.h. neben technischen Verbesserungen der gelieferten Software werden auch kritische Unternehmensdaten sowie -prozesse in den Applikationen im gemeinsamen Interesse frühzeitig identifiziert und dadurch vorbeugende Maßnahmen im Projekt ermöglicht. Und falls einmal etwas passieren sollte, so gibt es Vorkehrungen die den Schaden möglichst geringhalten.
Abschließend möchte ich meine Ausführungen zur einleitenden Frage "was bringts?" auf den Punkt bringen. Es bringt sehr viel, speziell für die Vertrauensbildung innerhalb der Boom und in der Beziehung zu unseren Kunden und Lieferanten. Auch wenn es noch einiges zu tun gibt, freut es mich, dass wir gemeinsam diesen Weg verfolgen - Danke an alle Mitwirkenden!