Zum Inhalt springen

»Zwangsläufige Inkonsistenzen«

Autor:Markus Bereszewski • 16.10.2008 • ca. 2:40 Min

Inhalt
  1. Ganz oder gar nicht
  2. »Zwangsläufige Inkonsistenzen«
  3. Niemals fertiggestellt

Höchste Datensicherheit zu gewährleisten und die wertvollen Kundendaten systematisch und nachhaltig vor Verlust, Manipulation und unerlaubten Zugriffen zu schützen, gehört zu den Grundprinzipien jedes Internet-Serviceproviders. Insofern befand sich Spacenet beim Startschuss im Vergleich mit anderen Unternehmen bereits in einer Art Pole Position, denn viele der geforderten Standards wurden im Unternehmen bereits gelebt. Die Herausforderung war eher, die internen Reglements und Prozesse, die in den 15 Jahren seit der Firmengründung aufgestellt worden waren, zu sichten, zu ordnen, zu selektieren und zu ergänzen. »Mit der Zeit entwickeln sich in einem Unternehmen eigenständige Prozesse und in sich geschlossene Systeme, die nichts miteinander zu tun haben und nicht ineinander greifen. Damit treten zwangsläufig Inkonsistenzen auf«, berichtet Sebastian von Bomhard, Vorstand von Spacenet. Am Anfang jeder ISO-Zertifizierung steht damit die Bestandsaufnahme des Ist-Zustands von Prozessen und Standards. Diese Analyse ohne externe Unterstützung durchzuführen, ist jedoch eine etwas unrealistische Vergehensweise. »Wenn Sie Ihre Techniker und anderen Mitarbeiter auffordern, einzuschätzen, wo das Unternehmen auf einer Skala von eins bis 100 bezüglich der Prozesse für Sicherheitsmanagement steht, ist Amüsement garantiert«, schmunzelt von Bomhard. »Spontan vergaben unsere Fachabteilungen zum Beispiel volle 100 Punkte. Nach kurzer Diskussion waren sie allerdings bei null angekommen, geeinigt hat man sich auf zwei.« Danach ist klar, dass externe Unter­stützung nötig ist. Spacenet holte sich die Berater von atsec information security ins Haus, die dem Unternehmen nach einer Analyse letztendlich einen Erfüllungsgrad von 70 Prozent bestätigten. Eine maßgebliche und tragende Rolle bei der Zertifizierung spielt das Projektteam. Es rekrutiert sich aus fähigen Mitarbeitern, die sorgfältig ausgewählt sein wollen. Dabei sollte sich die Geschäftsleitung bewusst sein, dass diese Personen während der Zertifizierungsvorbereitung für ihre Aufgaben im Tagesgeschäft fast vollständig ausfallen und ersetzt werden müssen. Dies ist auch der größte Kostenblock solch einer Zertifizierung. Die Teammitglieder sind dafür verantwortlich, dass ­alle Maßnahmen und Prozesse im Unternehmen protokolliert werden. Das bedeutet, sie müssen diese Aufgaben an die Kollegen herantragen und sie dazu motivieren, mitzuarbeiten. Die Mitglieder des Projektteams müssen deshalb ganz bestimmte fachliche, aber auch soziale und kommunikative Fähigkeiten mitbringen: Projekt­er­fahrung ebenso sowie sprachliche und Führungskompetenz – und zwar nach unten, auf gleicher Ebene zu Kollegen und nach oben. Denn auch dem Management gegenüber ist das Projektteam weisungsbefugt! »Man machte sich nicht immer unbedingt beliebt«, erzählt denn auch Projektteam-Mitglied Scherer. »Schließlich verlangten wir von unseren Kollegen zusätzliches Engagement über ihre alltäglichen Aufgaben hinaus.« Neben dem Projektteam müssen in einem Unternehmen, das sich auf ISO 27001 vorbereitet, noch andere Gremien und Positionen geschaffen werden. So beispielsweise der Chief Information Security Officer (CISO), der die Rolle des Verantwortlichen für Informationssicherheit in einer Organisation übernimmt; unterstützt vom Local Information Security Officer (LISO) an den einzelnen Firmenstandorten, oder ein Security-Forum im Unternehmen. Alle zusammen arbeiten daran, eine Organisationseinheit aufzubauen, die Sicherheitsziele dokumentiert und umsetzt, die Sicherheitsvorschriften ausarbeitet und verfeinert, aber das auch durch Trainings und Kampagnen für das ­nötige Sicherheitsbewusstsein der Mitarbeiter sorgt. Als dritte aktive Einheit kommen die externen Berater ins Spiel, die ebenfalls daran mitarbeiten, das gesamte Unternehmen auf die Zertifizierung vorzubereiten. Sie steuern Erfahrungen aus anderen Projekten bei, schulen die Mitglieder des Projektteams und stehen diesen auch während des gesamten Prozesses zur Seite. Das Angebot von externen Beratern, bei der Dokumentation nicht nur zu helfen, sondern sie komplett zu verfassen, empfiehlt von Bomhard jedoch abzulehnen. »Denn nur wenn der Löwenanteil der Dokumentation im eigenen Hause von den eigenen Mitarbeitern und dem Projektteam selbst geschrieben wird, ist gewährleistet, dass sich alle Beteiligten auch wirklich mit der Thematik befassen, sich damit identifizieren und die Zertifizierung zur eigenen Sache machen.«

Nächste Seite
1 2 3
Das könnte Sie auch interessieren
Infinigate OT-Team
OT-Sicherheit Infinigate erhält erste Fortinet OT-Zertifizierung in Deutschland
KI
ISO-42001-Zertifizierung für Mimecast Engagement für vertrauenswürdige KI ausgebaut
Finger-Print-Scanner
Fingerabdruckscanner von HID Identifizieren mit BSI-Zertifizierung
Nachhaltigkeit Rechenzentrum
Climate Neutral Data Centre Pact Leaseweb erhält Zertifizierung des CNDCP
LL2003 Titel_LL7
Aruba: EdgeConnect Enterprise erhält ICSA-Labs-Secure-SD-WAN-Zertifizierung Funktionen machen dedizierte Firewalls für Zweigstellen überflüssig
LL2003 LL-SH2_Titel
Prior1 ist TSI-Partner des TÜViT Neben RZ-Bau und -Betrieb nun auch deren Zertifizierung
LL2103 SP2 LL1505 Titel Messtechnik und Monitoring
Optionen für den Verkabelungstest Die richtige Verkabelung zur Ethernet-Geschwindigkeit
LL2010-03
Adiabatische Freikühlmaschinen Liebert AFC und EFC entsprechen neuen Hygieneanforderungen RZ-Kühlung von Vertiv erhält Zertifizierung nach VDI 2047-2
Mehr passende Artikel
Jörg Hartmann
Konica-Minolta- und Fujitsu-Manager IT-Branche trauert um Jörg Hartmann
PayPal Omaha
Deutsche Banken stoppen Zahlungen Sicherheits-Panne bei Paypal
GfK-Distributionsexpertin Tatjana Wismeth
NIQ/GfK-Analystin im Interview „Distribution bleibt letztendlich ein People Business“
Die Gründerinnen von Topi: Estelle Merle und Charlotte Pallua
Finanzspritze für Berliner Fintech Finanzdienstleister PEAC schluckt Topi
T-Syste,s
Christine Knackfuß-Nikolic mit neuer Aufgabe Chief Sovereignty Officer: T-Systems schafft neue Stelle
Weiter zur Startseite