ISO 27001-Zertifizierung – oder: wie es uns gelang, den Papiertiger zu bezwingen

Eine ISO 27001-Zertifizierung – „Was ist das eigentlich?“ habe ich mich zu Recht vor Projektstart gefragt. Noch bevor mir vollumfängliches Wissen über eine sehr bekannte Suchmaschine zuteil werden konnte, erreichten sie mich auch schon, die vielen unaufgeforderten und gutgemeinten Ratschläge von „echten“ Experten auf diesem Gebiet. Allesamt berichteten sie mir von regelrechten „Papiermonstern“ und „Papiertigern“, die in verstaubten Ordnern in Compliance-Abteilungen dahinschlummerten, von unbeliebten Informationssicherheitsbeauftragten, denen die schier unmögliche Aufgabe zuteil wird, ihren von Siechtum befallenen Papiertigerchen für regelmäßige Audits Leben einzuhauchen und von Büros, die einer Festung glichen. Meine Neugierde wuchs und mit ihr die Vermutung, dass die Realität wie immer irgendwo dazwischen liegen muss.

Intensiv und arbeitsreich waren sie, die letzten 4 Monate, bis wir – das „ISMS-Team“ – endgültig unser Ziel eines zertifizierten Informationssicherheitsmanagementsystems erreicht haben. Wenn Ihr wollt, nehme ich Euch mit auf unseren gemeinsamen Weg zur ISO27001-Zertifizierung – oder sollte ich besser sagen: wie es uns gelang, den Papiertiger zu bezwingen.

Kapitel 1: Weil Sicherheit für uns eben kein Zufall ist

Dass wir für unsere Kunden und Geschäftspartner die maximale Sicherheit in puncto Informationssicherheit wollen, war spätestens mit dem Start unserer Metal Stack Cloud Plattform klar. Ein ambitioniertes, aber durchaus machbares Unternehmensziel. Und weil unserer Meinung nach Sicherheit eben nicht einfach zufällig passiert und unsere Proaktivität erfordert, bot sich uns der Aufbau eines Informationssicherheitsmanagementsystems – kurz ISMS – an. Zertifiziert soll es werden. Und alle Unternehmensbereiche soll es abdecken. So lautete also der Auftrag, den ich als angehende Informationssicherheitsbeauftragte von x-cellent auf meiner persönlichen Checkliste vermerkte. Zu diesem Zeitpunkt hat mir meine stets freundlich zugewandte Suchmaschine auch bereits mehr Wissen über Informationssicherheit offenbart, wenngleich unschwer erkennbar ist, dass es noch gewaltig in den Kinderschuhen steckte: Wir arbeiten mit Informationswerten, die in angemessener Weise geschützt werden müssen. Keine Raketenwissenschaft, oder?

Kapitel 2: Zutaten für eine erfolgreiche Implementierung eines ISMS

Nun war es an der Zeit, sich der Frage nach den wichtigsten „Zutaten“ für eine erfolgreiche Implementierung unseres ISMS zu widmen. Man nehme: Ein ausreichend großes Projektteam, ausgestattet mit einer gehörigen Portion gesunden Menschenverstand, Empathie- und Kommunikationsfähigkeit, zudem technischem Know-How, einer gewissen Affinität für Compliance-Themen und, auch das sei ehrlicherweise erwähnt: Die Wunschkandidaten sollten möglichst dem eloquenten Schreiben nicht ganz abgeneigt sein. Nach und nach hat sich unser Team also gesammelt, bis wir im Februar 2024 in der endgültigen Besetzung mit 4 motivierten und unterschiedlich talentierten Leuten optimal aufgestellt waren.

Kapitel 3: Wir wollen die ISO27001-Zertifizierung – aber bitte „lean“!

So lautete ein weiteres Ziel, das wir Anfang 2024 sogar in unseren Unternehmenszielen formuliert haben. Den Kennern unter uns wird es nicht entgangen sein: Ein vollumfängliches ISMS gemäß den ISO27001-Anforderungen in einem Unternehmen zu implementieren und dabei einen pragmatischen und „leanen“ - Ansatz zu wählen, birgt meistens den Widerspruch bereits in sich. Einen Auftrag hatte ich also, den ich wieder auf meiner persönlichen Checkliste vermerkte, während mir gleichzeitig bewusst wurde, welch Schmankerl da wohl auf mich wartete. Schließlich bin ich tiefgründige Spezialistin – oder auch anders gesagt: eine elendige Umstandskramerin. Umdenken, Du eben wirst müssen, liebe Tina!

Kapitel 4: Kollektive Synapsensprünge

Viel gab es zu Beginn des Projektes zu diskutieren. Vorrangig über das Framework ISO27001, das da in voller Pracht vor uns lag. Die Betonung liegt wohlgemerkt auf „voll“. Wir standen de facto vor einem Berg an Anforderungen, die uns zugegebenermaßen anfangs nur schwer zugänglich waren. Zudem hatten wir Prozesse und Organisationsstrukturen im Unternehmen, denen wir uns im Detail erst einmal bewusst werden mussten. Nun erforderte es einen möglichst „leanen“ Ansatz, um beides in Einklang zu bringen und eine maßgeschneiderte Lösung für uns zu finden. Dabei auch noch die passende Reihenfolge bei der Bearbeitung zu wählen, um Zusatzarbeiten zu einem späteren Zeitpunkt zu vermeiden, empfand ich als enorme Herausforderung. Schließlich hat das ISO-Framework doch gefühlt biblische Ausmaße.

Damit das lange Kopfzerbrechen nicht doch noch bei allen zu zerebralen Verschleißerscheinungen führt, haben wir beschlossen, einfach mal zu starten und die Dinge ins Rollen zu bringen. Dabei haben wir uns für eine eher unkonventionelle Reihenfolge bei der Bearbeitung entschieden, die in etwa so lautete: Man erstelle zuerst Richtlinien gemäß den Anforderungen, erkenne und entnehme potenzielle Sicherheitslücken, definiere daraus umzusetzende Gegenmaßnahmen, definiere übergeordnete Risiken, füge noch weitere ggf. hinzu und erstelle ein umfängliches Risikomanagement usw. Wir haben praktisch das Pferd ein bisschen von hinten aufgezäumt, wenn man so will. Diese Vorgehensweise mag durchaus nicht immer empfehlenswert sein, für uns aber war es der erfolgreiche Startschuss in die ISO – der Urknall unseres ISMS quasi - mit dem ein plötzliches und dynamisches Verständnis komplexer Zusammenhänge einherging. Das interne Audit im Juli brachte dann noch die letzten aber sehr wichtigen Aha-Effekte zu Tage. Herrlich, wenn eine Explosion von Neurotransmittern urplötzlich kollektive Synapsensprünge hervorruft!

Kapitel 5: Lebt er schon, unser Papiertiger?

Im Juli stand er also vor uns. Wohlgenährt und prächtig war er schon - aber lean: Unser kleiner Papiertiger. Irgendwie wirkte er regungslos, fast leblos auf mich. Was könnte ihm fehlen? Awareness war das Zauberwort! Und da Awareness, wie alles rund um die ISO27001, wieder mal nichts von der Stange ist, mussten wir uns was Adäquates überlegen. Die Bereitschaft, sich persönlich für Neues zu öffnen und darauf einzulassen, so wie wir es im ISMS-Team auch bereits getan haben, um dem Unternehmen neue Chancen und Möglichkeiten zu eröffnen, die wollten wir bei allen wecken. Dass mit Informationssicherheit zudem auch eine gewisse Regulatorik einhergehen muss, die an manchen Stellen die individuelle Komfortzone einschränken kann, ist leider nicht immer vermeidbar. Das, denke ich, haben wir spätestens im Juli alle verstanden.

Wurde zu Projektstart noch viel diskutiert und minutiös dokumentiert, verriet spätestens jetzt ein Blick auf den voranschreitenden Terminkalender und unsere noch offenen To-Do´s: Leute, es wird knapp! Schlimm? Nicht wirklich. Sind es doch erfahrungsgemäß häufig die unter Zeitdruck entstandenen Lösungen, die am pragmatischsten sind und oft jahrelang im Unternehmen Bestand haben. Mittlerweile habe ich geradezu ein Faible dafür entwickelt, alles pragmatisch und „lean“ lösen zu wollen. Von gelegentlichen Ausrutschern abgesehen. Wieder konnte ein Punkt auf meiner persönlichen Checkliste abgehakt werden. Herrlich, wenn sich die Dinge dann wie von selbst fügen!

Und jetzt, nach dem bestandenen Audit? Noch lebendiger soll er werden, unser Papiertiger. Er muss gehegt und gepflegt werden, verändern darf er sich, aber schlank soll er bleiben. Mit anderen Worten: Von nun an befinden wir uns auf der nächsten spannenden Etappe unserer gemeinsamen Reise, nämlich der hoffentlich erfolgreichen Weiterführung unseres ISMS.

Fazit

Ein ISMS gemäß den Anforderungen der DIN/ISO27001 zu implementieren, klingt nicht nur nach formalen Prozessen, Sicherheitsanforderungen, Regulatorik und Unmengen an Dokumentation – das ist es auch. Ein ISMS zu etablieren, bedeutet viel Arbeit und Energie, wenn es Teil des Unternehmens werden soll, sich dort in die Prozesse einbetten und von allen Beteiligten gelebt werden soll. Doch wer es mag, sich selbst und sein Unternehmen in puncto Informationssicherheit ständig weiterzuentwickeln, um für sich, seine Kunden und Geschäftspartner in vielerlei Hinsicht maximale Sicherheit vorweisen zu können, zudem eine gewisse Begeisterung dafür entwickeln kann, deren Funke vielleicht auf andere überspringt, der wird mit einem zertifizierten ISMS genau richtig liegen.

Einen neuen und wichtigen Meilenstein haben wir bei x-cellent gelegt. Viele fleißige Helferinnen und Helfer haben uns auf dem Weg dahin begleitet und intensiv unterstützt. Kollegen, die uns und Auditoren zwischen Kundenterminen geduldig Fragen beantwortet, Linux-Checklisten für uns abgearbeitet und kurzerhand einfach mehr Aufgaben übernommen haben, um Personalausfälle abzudecken oder ein Geschäftsführer, der sich mit uns gemeinsam sehr intensiv der Abarbeitung von Maßnahmen gewidmet und damit signalisiert hat: Informationssicherheit ist Chefsache und wir leben es. Immer das große gemeinsame Ziel fest im Blick: Unsere ISO27001-Zertifizierung.

Tja, liebe x-cellent, das war „teamwork at its best“, weiter so!