Informationssicherheit bei Basilicom – unser Jahr mit den 12 Schritten der ISIS12-Zertifizierung

von Oliver Röpke

Mit der digitalen Transformation sind Daten ins Zentrum der allermeisten Unternehmensaktivitäten gerückt. Vor allem der rasant gewachsene Austausch von Daten macht Informationssicherheit immer bedeutsamer. In vielen Unternehmen ist dies mit Compliance-Richtlinien verbunden. Um den Herausforderungen gerecht zu werden, bauen auch mittelständische Unternehmen immer öfter ein Informationssicherheits-Management-Systems (ISMS) auf. Auch wir bei Basilicom.

Im Sommer 2019 haben wir uns gesagt: Als verantwortungsvolle Digitalagentur wollen wir unser vorhandenes Sicherheitsmodell und unsere etablierten Standards mal alle auf den Prüfstand stellen. Denn schließlich möchten wir uns selbst kontinuierlich verbessern und unseren Kunden auch nachweislich größtmögliche Sicherheit bieten. Ein Jahr später, kurz vor Jahresende 2020, haben wir erfolgreich und ziemlich stolz unsere erste Zielmarge erreicht, nämlich die ISIS12-Zertifizierung absolviert – trotz der komplizierteren Bedingungen durch die Corona-Pandemie.

In einem kleinen Rückblick möchten wir unsere Erfahrungen teilen und damit sowohl Mut für eigene solche Initiativen machen als auch Tipps aus der Praxis geben – denn natürlich ist so ein alle Bereiche betreffender interner Prozess eine nicht zu unterschätzende Herausforderung für alle Mitarbeitenden. Doch Stück für Stück belohnt wird er auch: Wie wir feststellen, fördert die Arbeit nach den nun komplett einheitlichen hohen Qualitätsstandards neben all den Sicherheitsaspekten auch unsere Effizienz – nicht immer für alle sofort sichtbar und spürbar, aber nachhaltig.

ISIS12 als Basis für mehr

Auf der Suche nach einem für uns passenden ISMS haben wir uns 2019 für ISIS12 entschieden. Denn es ist praxisorientiert, gibt mit einem konkreten 12-Schritte-Plan klare Anweisungen zur Umsetzung vor und eignet sich insbesondere für kleine und mittelständische Unternehmen. So konnten wir sofort starten. Im Blick haben wir aber noch mehr …

Der Auftakt war leicht: Wir sind den Empfehlungen gefolgt und haben uns externe Unterstützung durch einen ISIS12-erfahrenen Consultant geholt. Nach eingehender Recherche haben wir hierfür zwei Kandidaten zum gegenseitigen Kennenlernen eingeladen. Da wir die fachliche Expertise und Erfahrung bei beiden schätzten, hat uns der eine als Berater im weiteren Vorgehen begleitet, und der andere wurde Auditor.

Rahmen festgelegt, Parameter definiert, Leitlinie zur Informationssicherheit aktualisiert

Im September gingen dann mit einem Kick-off-Workshop die ersten Schritte los. Wir haben intern ein Team aus vier Mitarbeitenden des IT- und Service-Bereichs plus unserem Geschäftsführer Arndt Kühne gebildet. Für die Zertifizierung haben wir das 4. Quartal 2020 anvisiert.

Wir haben den Rahmen für das ISMS festgelegt, die Parameter definiert und unsere Leitlinie zur Informationssicherheit auf den Prüfstein gestellt. Gerade hatten wir uns ins Zeug gelegt, da kam Corona. Ein halbes Jahr lief gar nichts mehr in Sachen 12-Punkte-Plan. Im Juni 2020 haben wir daher ein neues Kick-off anberaumt. Jetzt drängte die Zeit. Wir wollten aber selbstmotivierend auf Risiko setzen und haben daher einen klaren Zertifizierungstermin zum Jahresende festgelegt.

Prozesse analysiert, Strukturen definiert, Maßnahmen dokumentiert

Was haben wir gemacht? Zunächst einmal die vorhandenen internen Prozesse geprüft. Dazu gehörte es beispielsweise, IT-Infrastruktur und IT-Prozesse kritisch auf mögliche Risiken abzuklopfen, sie anhand der praxisorientierten ISIS12-Kriterien zu bewerten und gemeinsam mit unserem Berater Verbesserungspotenziale zu ermitteln. Letztlich ging es um das aktuelle Sicherheitsniveau in der gesamten Agentur: von den Grundlagen zu Dokumentationen, Prozessen und Maßnahmen. Daraus entwickelten sich konkrete Hinweise und Handlungsempfehlungen.

Hierbei näher ins Detail zu gehen, ist müßig. Denn tatsächlich sind die Einzelheiten der Umsetzung der 12 Schritte individuell auf die jeweiligen Unternehmen zugeschnitten. Von den rund 400 katalogmäßig aufgezählten Maßnahmen wurden etwa 280 als relevant für unsere Agentur identifiziert und nach und nach umgesetzt.

Die Zertifizierung ist Teamarbeit

Interessanter ist es, unsere Herangehensweise noch einmal kritisch zu hinterfragen. Wir haben rückblickend nämlich festgestellt: Wir hätten unser Team von Anfang an breiter aufstellen sollen. Zum einen natürlich wegen des Arbeitsaufwandes, der sich so neben dem Tagesgeschäft leichter hätte bewältigen lassen. Zum anderen aber vor allem, um die Teams nicht nachträglich an Ergebnisse zu gewöhnen, sondern sie von Beginn an intensiver in den Prozess einzubeziehen.

Denn das ganze Prozedere betrifft jedes Team und jeden Einzelnen in seinem Arbeitsalltag. Auch wenn wir als strategisch beratende Digitalagentur ganz gut aufgestellt waren – also bereits eine Informationssicherheitsleitlinie und funktionierende eigene digitale Strukturen hatten, die „nur“ zu optimieren waren –, war die Detailarbeit größer als erwartet. Denn natürlich, wie es soll es anders sein, kamen auch bei uns einige „gewachsene Strukturen“ zutage, denen es an den Kragen ging.

Alle in die Entwicklungsprozesse einbinden

Nicht zuletzt geht es dabei auch um die Arbeitsatmosphäre der Mitarbeitenden: Denn natürlich ist das Plus strenger, einheitlicher Richtlinien für alle auf der anderen Seite auch ein Verlust individueller Arbeitsorganisation und Arbeitskultur in den Teams. Manchen fällt eine solche Veränderung leicht, andere hadern innerlich noch eine Weile mit den manchmal als zu abstrakt, zu aufwändig und zu bürokratisch empfundenen Normen und Richtlinien. Wir können daher nur raten, alle beteiligten Teams von Anfang an in die Entwicklungsprozesse einzubinden und gegebenenfalls auch durch Schulungen zu „empowern“. Doch letztlich hat alles geklappt, unser Audit für die Zertifizierung verlief reibungslos.

Dokumentation der Informationsabläufe für nachhaltig verbesserten Arbeitsalltag

Das ist jetzt ein halbes Jahr her. Mittlerweile verinnerlicht sich das Verständnis für die strengen Anforderungen an unsere Informationssicherheit mehr und mehr. Unsere neue Dokumentation der Informationsabläufe gehört, wie wir feststellen, zu den wirksamsten internen Ergebnissen der ISIS12-Zertifizierung.

Wir hatten zwar schon lange fast alles digital über unser Jira-Ticketing-System geregelt, das wir auch für unser Projektmanagement einsetzen. Jetzt ist aber alles echt perfekt dokumentiert und strukturiert. Und so wissen alle bei uns immer, wo Informationen zu finden sind und wie Prozesse ablaufen (sollen). Das hilft auch bei Entscheidungsfindungen, im Einkauf oder beim Onboarding neuer Kolleginnen und Kollegen.

 

Kontinuierlicher Verbesserungsprozess

Doch kaum haben sich bei uns allen die Arbeitsprozesse im Alltag eingespielt, da geht es auch schon weiter mit neuen Herausforderungen. Denn zum einen schlummert so ein Zertifikat ja nicht einfach als Wandschmuck vor sich hin – sondern es will jährlich geupdated werden. Und zum anderen wollen wir auch selbst unseren kontinuierlichen Verbesserungsprozess (KPV) intensivieren.

Seit der Zertifizierung wenden wir bei Basilicom rund einen Personentag für die Pflege der Systeme auf. Denn permanent ist zu prüfen, ob alle Maßnahmen auf dem höchsten Stand der Technik sind. Das meiste davon mache ich selbst, als offizieller Beauftrager für Informationssicherheit bei Basilicom, neben meiner Position als Service-Manager. In größeren Unternehmen sollte man eventuell die Schaffung einer Vollzeitstelle für die neuen Prozesse und Aufgaben einplanen.

Fazit

Die ISIS12-Zertifizierung hat uns dazu gebracht, all unsere Prozesse in der Agentur kritisch unter die Lupe zu nehmen. Wir haben sie noch klarer und sicherer dokumentiert, strukturiert und optimiert. Mehr denn je ist IT-Sicherheit für uns nicht nur ein aktueller Zustand, sondern ein Prozess im Qualitätsmanagement, an dem wir weiterhin kontinuierlich arbeiten. Wir sind der Überzeugung: Stabile Prozesse und gute Dokumentation führen zu zuverlässigem Service, sowohl im Betrieb als auch bei Change-Prozessen. Und das unabhängig von Mitarbeiter-spezifischem Insel-Wissen. Das sichert unsere Zusammenarbeit mit unseren Kunden und deren Projekten und erzeugt Vertrauen.