Seit Oktober 2024 sind wir offiziell nach ISO 27001 zertifiziert. In einem umfangreichen Audit hat TÜV Austria unsere internen Prozesse zur Informationssicherheit geprüft und mit einem konstant hohen Schutzniveau ausgezeichnet. Das ISMS umfasst technische und organisatorische Maßnahmen, die es ermöglichen, Bedrohungen frühzeitig zu erkennen, Cyberangriffe zu verhindern und auf diese angemessen zu reagieren.
Jan, was ist deine Aufgabe als Informationssicherheitsbeauftragter bei G DATA?
Meine Hauptaufgabe als Informationssicherheitsbeauftragter (ISB) besteht darin, unser Informationssicherheitsmanagementsystem (ISMS) aufzubauen, zu betreiben und kontinuierlich zu verbessern. Denn das ISMS muss den geforderten Standards entsprechen und wird kontinuierlich weiterentwickelt. Natürlich agiere ich nicht allein. In meiner Arbeit ist die enge Zusammenarbeit mit unserem sogenannten „InfoSec Board“ sehr wichtig, in dem Vertreterinnen und Vertreter aller relevanten Abteilungen sitzen. Dieses Gremium ist für die Implementierung und Überwachung der Sicherheitsaspekte in den jeweiligen Bereichen verantwortlich. Ich berichte direkt an unseren Vorstand und wir haben monatlich einen Termin, in dem wir Fortschritte und Veränderungen besprechen, die anstehen.
Wer im Unternehmen war an dem Zertifizierungsprozess beteiligt?
Der Zertifizierungsprozess nach ISO-27001 war eine teamübergreifende Aufgabe. Neben mir als ISB und Kevin Paarmann, der die Projektsteuerung übernahm, war der TÜV TRUST beratend tätig. So konnten wir sicherstellen, dass wir uns auf die relevanten Themen fokussieren und keine unnötigen Umwege machen. Darüber hinaus waren verschiedene Abteilungen wie IT, Human Ressources, Einkauf, Facility Management, Support und Research & Development involviert. Aus jeder Abteilung gab es mindestens eine oder zwei verantwortliche Personen, die uns unterstützt haben. Der Vorstand war ebenfalls aktiv eingebunden, insbesondere wenn es um die strategischen Vorgaben und Schutzziele des Unternehmens ging.
Wie sah der zeitliche Rahmen aus?
Der gesamte Zertifizierungsprozess erstreckte sich über etwa ein Jahr und zwei Monate. Die ersten Schritte, wie die Auswahl eines Beraters und die Durchführung von Gap-Analysen, begannen im März 2023. Mitte des Jahres wurden dann die konkreten Arbeiten für die Zertifizierung aufgenommen. Während dieses Zeitraums haben wir schrittweise das ISMS entwickelt und die notwendigen Dokumente sowie Richtlinien erstellt. Da ist dann mit der Zeit schon ganz schön was an Dokumenten zusammengekommen, die auch regelmäßig aktualisiert werden müssen.
Welche Inhalte waren Gegenstand der Auditierung?
Im Rahmen der Auditierung wurde geprüft, wie wir im Unternehmen Informationen verarbeiten, welche Schutzziele wir verfolgen (wie Vertraulichkeit, Integrität und Verfügbarkeit) und wie gut diese in den Prozessen umgesetzt sind. Dabei standen vier Kernprozesse im Mittelpunkt, die zur Bereitstellung folgender unserer Lösungen beitragen: G DATA 365 | Managed Extended Detection and Response (MXDR), G DATA Endpoint Security, die Lernlösungen der G DATA academy und dem G DATA Virenschutz für Privatanwender. Diese Prozesse waren zentral, da sie einen großen Teil unserer Geschäftstätigkeit abdecken. Nicht alle Bereiche unseres Unternehmens wurden zertifiziert, da einige wie etwa unser Bistro oder bestimmte interne Events nicht zertifizierungsrelevant waren.
Was war die größte Herausforderung?
Am Anfang standen wir vor einem riesigen Berg von Dokumenten und Prozessen, die es zu erstellen und zu implementieren galt. Die größte Herausforderung bestand und besteht darin, die Prozesse des ISMS vollständig in unseren Alltag zu integrieren und sie zu leben. Also die Prozesse nicht nur auf Papier zu bringen, sondern auch sicherzustellen, dass sie im täglichen Betrieb von allen gelebt werden. Ein Beispiel: Wenn eine Person intern das Team bei uns wechselt, müssen wir dafür sorgen, dass sie keinen Zugriff mehr auf die Daten und Systeme ihres vorherigen Teams hat. Wir arbeiten daran, diesen Rechteentzug im Relocation-Prozess klar zu regeln und konsequent umzusetzen und dem Offboarding-Prozess anzugleichen.
Welche unerwarteten Themen wurden im Rahmen der Zertifizierung bearbeitet?
Ein unerwartetes Thema war der Notfalltest, bei dem wir beispielsweise einen kompletten Stromausfall simulierten. Dadurch haben wir Schwachstellen identifiziert, die in einer echten Krisensituation problematisch gewesen wären. Generell kamen einige technische Details ans Licht, die im normalen Betrieb nicht sofort sichtbar sind. Allerdings gab es keine allzu großen Überraschungen, da viele der Themen bereits in unseren internen Diskussionen aufgetaucht waren.
Was habt ihr während der ISO-Zertifizierung Überraschendes gelernt?
Eine interessante Erkenntnis war, wie viele Prozesse wir bereits informell umgesetzt hatten, die aber nie offiziell dokumentiert wurden. Ein Beispiel ist unser Offboarding-Prozess, wenn Personen unser Unternehmen verlassen: Wir hatten bereits klare Abläufe, aber sie waren nie formell festgehalten. Das ISO-Audit hat uns gezeigt, wie wichtig es ist, diese Prozesse nicht nur zu leben, sondern auch ordnungsgemäß zu dokumentieren.
Welche Personen wurden geprüft und wie sah die Prüfung aus?
Während der Zertifizierung wurden nicht nur Abteilungsleiter, sondern auch der Vorstand und andere Schlüsselpersonen geprüft, wie Personen aus den Abteilungen sowie technisches Personal für die Prozesse. Der Fokus lag weniger auf theoretischem Wissen, sondern vielmehr darauf, ob die festgelegten Prozesse tatsächlich gelebt werden. Die Auditoren stellten gezielte Fragen, um sicherzustellen, dass die Dokumentation mit der Praxis übereinstimmt. So mussten wir beispielsweise im HR-Bereich nachweisen, dass der Onboarding-Prozess auch in der Realität so abläuft, wie er dokumentiert ist.
Was ist in Zukunft ein zentrales Thema, das bei uns weiter angegangen wird?
Ein zentrales Thema für die Zukunft ist die Implementierung der neuen NIS-2-Vorgaben. Diese beinhalten unter anderem die Rollendefinitionen innerhalb des Unternehmens und die Verbesserung unserer Compliance-Prozesse. Natürlich ist auch der Cyber Resilience Act (CRA) von Bedeutung für weitere Projekte.
Was war für dich persönlich das größte Learning in dem Prozess?
Für mich war die Arbeit an der ISO-Zertifizierung ein völlig neuer Tätigkeitsbereich, der sich stark von meinen bisherigen Aufgaben unterscheidet. Für mich war der ganze Zertifizierungsprozess mehr als nur die Arbeit an formalen Dokumenten. Die Arbeit und der Austausch mit den anderen Abteilungen macht Spaß und ich habe die Möglichkeit, in meiner Rolle aktiv Veränderungen im Unternehmen anzustoßen, welche die Sicherheitskultur nachhaltig prägen.
Was war ausschlaggebend dafür, dass die Zertifizierung erfolgreich war?
Ein entscheidender Erfolgsfaktor war das Engagement der beteiligten Abteilungen. Ohne die enge Zusammenarbeit und den Willen, bestehende Prozesse zu hinterfragen und zu verbessern, wäre die Zertifizierung nicht möglich gewesen. Auch die Unterstützung des Vorstands und die klare Fokussierung auf die ISO-Anforderungen spielten eine entscheidende Rolle. Der Blick von außen, von einem TÜV-Berater, war dabei sehr wertvoll. Von dieser Erfahrung haben wir profitiert.
Welche Bedeutung hat die Zertifizierung für uns als Unternehmen?
Die ISO-Zertifizierung hat eine immense Bedeutung für uns. Sie ermöglicht uns nicht nur die Teilnahme an Ausschreibungen, die eine Zertifizierung voraussetzen, sondern stärkt auch das Vertrauen unserer Kunden in unsere Sicherheitsprozesse. Vor allem im B2B-Bereich und bei Behörden ist eine solche Zertifizierung oft Voraussetzung für eine Zusammenarbeit durch die neue NIS-2-Richtlinie.
