CEO Erich Steiner zur ISO27001: Scope, Aufwand und was es wirklich gebracht hat

Vor vier Jahren entschieden wir uns, die ISO27001 Zertifizierung zu machen. Unser Ziel: Eine wasserfeste und standardisierte Informationssicherheit in unserem Unternehmen zu etablieren. In diesem Beitrag beleuchte ich unser Vorgehen, beziffere Aufwand und ziehe mein Fazit, was es tatsächlich gebracht hat.

Der Datenschutz war uns schon immer sehr wichtig. Vor allem auch, weil wir mit den first365 Cloud-Services eine eigene Cloud betreiben und uns viele Unternehmen ihre Daten anvertrauen. Immer mehr Anforderungen unserer Kunden haben regelrecht nach einer ISO27001 Zertifizierung «geschrien». Wir haben die Beweggründe für und gegen die 27001 abgewogen und dabei auch deutliche interne Statements bekommen: «Wenn wir es nicht tun, sind wir morgen tot».

Die Entscheidung fiel zugunsten der Zertifizierung. Aber wir wollten nicht nur einen Teilbereich zertifizieren – wenn schon, dann richtig. 

Wenn schon, dann gleich alle 114 Controls

Statt nur einen Teilbereich abzudecken (bspw. Risikomanagement oder das Zugriffsmanagement) entschieden wir uns für einen umfassenden Scope, der alle Prozesse einbezieht. Das bedeutete: 114 Controls mussten umgesetzt werden. Dieser umfassende Ansatz stellte sicher, dass unsere gesamte IT- und Datenschutzstrategie auf höchstem Niveau abgesichert wurde. Doch es bedeutete auch, dass der Arbeitsaufwand enorm war.

Bedeutung Fachbegriff «Controls»: ISO27001 sieht eine Reihe von Sicherheitskontrollen vor, um Risiken zu minimieren. Diese decken organisatorische, technische und physische Sicherheitsaspekte ab und sind im sogenannten «Anhang A» definiert. Ab der ISO27001:2013 belief sich die Anzahl Controls auf 114, diese waren in 14 Handlungsbereiche eingeteilt.

Mit der Revision der Norm wurden die Controls überarbeitet und in der ISO27001:2022 wurde die Anzahl auf 93 reduziert, welche sich auf nur noch 4 Handlungsbereiche verteilen:

Die first frame networkers AG hat im Rezertifizierungsaudit 2024 erfolgreich die Zertifizierung nach der neuen ISO27001:2022 erlangt.

12 Personen, 1'100h Aufwand, externe Kosten im 5-stelligen Bereich

Den Aufbau unsers ISMS nach ISO27001 sowie die Implementierung sämtlicher Controls haben wir parallel zum Tagesgeschäft durchgeführt. Nachfolgend die Eckdaten zum Zertifizierungsprojekt:

• Geplante interne Aufwände: 1'100 Stunden
  Die Planung war präzise und deckte sich mit dem tatsächlichen Aufwand

• Externe Kosten: mehrere Zehntausend Franken

• Projektstart: Januar 2020

• Projektabschluss: August 2020

• Zertifizierung erhalten: September 2020
  Hier gelangt ihr zum Newsbeitrag der Zertifikatsübergabe

• Direkt involvierte Mitarbeitende: 12

Aufwand für die laufenden Überwachungsaudits

Jedes Jahr fallen Überwachungsaudits an, in denen die Konformität des ISMS Informationssicherheitsmanagementsystems gemäss ISO27001 überprüft wird.

Dazu halten wir jeweils vorgängig ein internes Audit ab, welches auch bereits von «echten» externen Auditoren begleitet wird, anschliessend führen wir das richtige Überprüfungsaudit durch.

Für die Vorbereitungen, das interne und das tatsächliche Überprüfungsaudit fallen ca. 150 Personenstunden pro Jahr an. Hier ist jedoch anzumerken, dass wir die ISO9001 und ISO27001 jeweils gleichzeitig machen.

Stolpersteine und kritische Erfolgsfaktoren aus meiner Sicht

1. Ungleiche Lastenverteilung beachten

Wir hatten erwartet, dass sich die 1'100 Aufwandstunden gleichmässig auf die 12 involvierten Personen verteilt. Dem war jedoch überhaupt nicht so. Einerseits hatte unser CISO viel zu tun, doch das war schon vorgängig klar und keine Überraschung. Unerwartet war die Belastung eher im Bereich der internen IT, hier haben wir es unterschätzt, welch grosser Teil der Arbeitslast anfallen würde.

2. Die Wahl des richtigen Zertifizierers

Nicht jedes ISO27001 Zertifikat ist gleich viel wert. Ein seriöser Zertifizierer ist meines Erachtens essenziell, um ein wirklich belastbares Zertifikat zu erhalten. Wir arbeiten mit der etablierten Schweizerische Vereinigung
für Qualitäts- und Management- Systeme SQS zusammen.

3. Scope ist nicht gleich Scope

Einige Unternehmen lassen ganz bewusst nur Teilbereiche zertifizieren. Dadurch lässt sich nach aussen eine ISO27001 Zertifizierung ausweisen, obwohl grosse Teile nicht abgedeckt sind. Die Kunden fragen aber nur nach ISO27001, was viele ausweisen können. Der Scope selber wird aber nicht explizit abgefragt.

Somit bemerken die meisten Kunden gar nicht, dass sie zwar mit einem ISO27001 zertifizierten Anbieter zusammenarbeiten, aber dass die von den Anbietern bezogenen Services gar nicht in der ISO Zertifizierung enthalten sind.

4. Change Management und interne Akzeptanz

Die ISO27001 Zertifikation berührt praktisch alle Abteilungen und Prozesse und zieht viele Veränderungen nach sich. Nicht alle Mitarbeitenden kommen mit den neuen Strukturen klar. Tatsächlich hat uns ein Mitarbeiter verlassen, weil die Prozesse für ihn zu einschränkend wurden. Das Change Management ist entscheidend: Es muss früh und klar kommuniziert werden, warum bestimmte Massnahmen notwendig sind und auf welcher Mission wir uns alle zusammen befinden.

5. Aufwand und Komplexität nicht unterschätzen

Ich gebe es zu: Teilweise haben wir es unterschätzt, genau weil wir uns selber als Affin für Datenschutz eingestuft hatten. Bei der Erarbeitung der Normanforderungen sind dann unerwartete Lücken aufgetaucht.

Ein konkreter Blick auf das ISMS-System der first frame networkers

ISO-Normen machen keine Vorgaben dazu, mit welchen Tools die Vorgaben und Controls umgesetzt werden sollen. Im Bereich Risikomanagement und Prozessmanagement haben wir uns für die folgenden beiden Tools entschieden:

Risikomanagement: Im Bereich Risikomanagement setzen wir Athereon GRC ein. Auf dem Dashboard haben wir sofort alle Risiken mittels einer Heatmap in der Übersicht. Wir können Wahrscheinlichkeiten und die Schweregrade der Risiken einsehen und die nötigen Massnahmen dazu managen.

Prozessdokumentation: Im Prozessmanagement setzen wir die Lösung Q.wiki ein. Alle unsere Unternehmensprozesse sich dokumentiert und visualisiert (tabellarisch und auch nach BPMN 2.0), die mitgeltenden Dokumente sind erfasst und werden versioniert. Auf den Einzelprozessen sind die Prozessbesitzer erfasst, die Prozesszuordnung ist klar, etc.

Vier Jahre danach kann ich das Fazit ziehen: Es hat sich gelohnt. «Holz aalänge», wie wir in Mundart dazu sagen.

Einerseits stelle ich fest, dass die Unternehmung noch affiner für das Thema Informationssicherheit geworden ist. Ein riesiger Vorteil in der heutigen Zeit. Andererseits erhöht es unsere Glaubwürdigkeit und unsere Leistungsfähigkeit als IT-Unternehmen. Denn unsere Kundinnen und Kunden fordern mehr und mehr auch Services im Bereich Cybersecurity. Entweder als «built-in» Features beispielsweise im Bereich Network Services, aber auch als eigener Leistungsbereich Security Services. 

Als Scope nur einen Teilbereich zu zertifzieren, das macht für mich keinen Sinn, da bei einem Teilbereich eben nur ein Teil abgedeckt ist. Bei einer Full Scope Betrachtung sind alle Aspekte enthalten.

Natürlich haben wir auch mit der 27er Zertifizierung keine Garantie, dass niemals etwas passieren wird. Der Mensch ist meines Erachtens nach wie vor das grösste Risiko.