14. Juni 2024
Blogbeitrag | ISO 27001 – ENTERBRAIN setzt auf Zertifizierung
ISO 27001 – ENTERBRAIN setzt auf Zertifizierung – Auszug aus Blogbeitrag bei DQS
Die ENTERBRAIN Software GmbH mit Sitz in Offenbach zählt zu den führenden Fundraising-Software-Anbietern in Europa. Die Softwarelösungen des Unternehmens unterstützen Non-Profit-Organisationen bei der Verwaltung ihrer Spenden und Mitglieder. Mit diesen Softwarelösungen werden unter anderem persönliche Daten und Zahlungsdaten verwaltet. Der Schutz dieser vertraulichen Informationen sowie deren Integrität und Verfügbarkeit stehen für den Softwareanbieter und seine Kunden an höchster Stelle – auch mit Blick auf rechtliche Aspekte.
Das seit 2019 nach DIN EN ISO 27001 zertifizierte Informationssicherheits-Managementsystem bietet dazu in der Praxis ein umfassendes Rahmenwerk. Es sichert die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – die drei Schutzziele der Informationssicherheit. Durch das etablierte Managementsystem sind Prozesse, Rollen und Befugnisse verbindlich festgelegt und Informationssicherheitsrisiken werden systematisch gesenkt, gleichzeitig wird Vertrauen gegenüber Kunden und Geschäftspartnern geschaffen.
Positive Erfahrungen mit ISO 27001 in der Praxis
Durch die aktive Nutzung des Managementsystems und die damit verbundene fortlaufende Analyse und Bewertung von Bedrohungen ist ENTERBRAIN im Bereich der Informationssicherheit und des Datenschutzes sehr gut aufgestellt. Es existiert eine umfassende Dokumentation aller Schutzobjekte im Unternehmen. Ergänzend hierzu sind anzuwendende Richtlinien, technische Anweisungen und organisatorische Regeln definiert, um Sicherheitslücken zu schließen.
Das systematische Vorgehen schafft eine gute Transparenz über die Bedrohungen und erforderlichen Prozesse zur Schließung von Sicherheitslücken. Regelmäßige Awareness-Schulungen sensibilisieren alle Mitarbeitenden im Unternehmen über die enorme Bedeutung der Informationssicherheit.
In der Praxis hat sich das Managementsystem für Informationssicherheit bereits mehrfach bewährt. Vor allem auch und gerade durch die regelmäßigen Schulungen der Mitarbeitenden. So konnte im Jahr 2020 die Ausbreitung einer neuen Virusversion von Emotet* in der Organisation verhindert werden.
* Emotet = Familie von Computer-Schadprogrammen (Makro-Viren), die per E-Mail versendet werden
Durch die frühzeitige Erkennung der Gefahr durch eine Servicemitarbeiterin konnte Schlimmes abgewendet werden. Die neue Virusvariante wurde damals von keiner am Markt verfügbaren Virenscanner-Software-Lösung entdeckt.
ENTERBRAIN hat bei dem Vorfall eine infizierte Mail von einem Kunden erhalten, die durch die Mitarbeiterin zunächst geöffnet wurde, aber den Vorfall umgehend gemeldet hat. Dadurch wurde das Notfallteam aktiviert und der Vorfall gemäß dem im Unternehmen vorhandenen Sicherheits-Notfallhandbuch abgearbeitet. Durch die schnelle und gewissenhafte Reaktion der Mitarbeiterin konnte der betroffene Rechner isoliert und eine Ausbreitung des Virus im internen Netzwerk verhindert werden. Ein hinzugezogenes IT-Forensik-Unternehmen hat die Virusvariante und das Netzwerk zusätzlich untersucht und unterstützend gewirkt.
Unsere ISO 27001-Zertifizierung bietet einen wirksamen Schutz unserer Informationen, Daten und Geschäftsprozesse. Gleichzeitig wird durch die Analyse und Bewertung aller Geschäftsprozesse und Schutzobjekte Transparenz in diesen unternehmensrelevanten Bereichen geschaffen. | Christian Körner Leiter operatives Geschäft der ENTERBRAIN Software GmbH
Informationssicherheit als Fundament für Erfolg und Vertrauen
Für den Fundraising-Software-Anbieter und seine Kunden ist Regelkonformität ein essenzieller Bestandteil der Geschäftstätigkeit. Die Einhaltung des Datenschutzes und das regelkonforme Verhalten aller Unternehmensangehörigen sind die Basis für eine vertrauensvolle Zusammenarbeit mit Kunden und Partnern. Aufgrund dieser Anforderungen ist das Unternehmen für alle angebotenen Dienstleistungen nach der international anerkannten Norm ISO 27001 zertifiziert.
Obwohl die vollständige Zertifizierung für alle Dienstleistungen deutlich aufwändiger ist als eine Zertifizierung für einen einzelnen Geschäftsbereich, rechnet sich der höhere Grad an Informationssicherheit für das Unternehmen. Einerseits existiert dadurch für alle Geschäftsbereiche ein Informationssicherheitsmanagement mit allen Vorteilen, andererseits genießt ENTERBRAIN hierdurch einen Wettbewerbsvorteil gegenüber anderen Marktteilnehmern, die über keine ISO 27001 Zertifizierung verfügen.
Zudem gewinnt das Thema Compliance allgemein an Bedeutung, so dass in vielen Organisationen auch Vorgaben zur Zusammenarbeit mit einem nach ISO 27001 zertifizierten Unternehmen vorliegen.
Die gewonnene Transparenz bietet dem Unternehmen eine hervorragende Ausgangsbasis für Prozessoptimierungen zur Steigerung der Kundenzufriedenheit und der Effizienz im Unternehmen. Ebenso werden geschäftskritische Prozesse und Bereiche klar definiert und können durch zielgerichtete Risikominimierung sicherer aufgestellt werden.
Interview mit Christian Körner – Leiter operatives Geschäft der ENTERBRAIN Software GmbH
Der Nutzen eines Informationssicherheits-Managementsystems ist eine Sache. Für dessen Zertifizierung und die dazugehörigen jährlichen Überwachungsaudits sind Unternehmen jedoch auf die Zusammenarbeit mit einer akkreditierten Zertifizierungsstelle angewiesen. Im Gespräch berichtet Christian Körner über seine Erfahrungen mit ISO 27001.
DQS: Herr Körner, Sie sind damals mit einem eigens für KMU entwickelten System in die Informationssicherheit eingestiegen. Als es dann um den Umstieg auf die ISO-Norm 27001 ging, brauchte es ein umfassendes Upgrade – wäre dieser Weg angesichts der massiven Cyber-Bedrohung, der vor allem auch der Mittelstand ausgesetzt ist, heute überhaupt noch zu empfehlen?
Christian Körner: ENTERBRAIN hat schon sehr früh einen großen Fokus auf den Bereich Informationssicherheit gelegt und dadurch eine Vorreiterrolle übernommen. In unserer Branche ist das Thema Informationssicherheit das Fundament für Erfolg und Vertrauen. Im Zuge der beschleunigten digitalen Transformation gewinnt das Thema immer mehr an Bedeutung.
Aus unseren Erfahrungen in der Praxis und den gestiegenen Cyber-Bedrohungen empfehlen wir heute einen direkten Einstieg in die ISO 27001 Zertifizierung. Das Wertvolle an dem Zertifizierungsprozess ist die Aufdeckung von eventuellen Sicherheitsrisiken, die durch die gewonnene Transparenz geschlossen oder zumindest minimiert werden können. Dies trägt maßgeblich zur Informationssicherheit im Unternehmen bei.
DQS: Mit ISO 27001 haben Sie die Basis für ein anerkanntes Managementsystem gelegt – können Sie sich noch an das erste Zertifizierungsaudit mit der DQS erinnern?
Christian Körner: Bei unserem ersten ISO 27001 Audit im Jahr 2019 waren alle Mitarbeitenden im Unternehmen ziemlich angespannt. Zwar gab es damals bereits Erfahrungen aus den Zertifizierungen unseres ersten Informationssicherheitsmanagements, jedoch ging es bei der ISO 27001 um die Königsklasse.
Im Nachhinein müssen wir ein wenig schmunzeln, wenn wir an die erste Zertifizierung nach ISO 27001 zurückdenken. Einerseits waren wir damals schon sehr gut auf den ISO-Standard vorbereitet, andererseits konnten wir von dem Zertifizierungsprozess als Unternehmen nur profitieren, da uns jede Abweichung transparent Verbesserungspotenzial aufgezeigt hätte.
Die Gewährleistung und Steigerung der Informationssicherheit sind schließlich unser Ziel. Daher begrüßen wir jederzeit Hinweise und Empfehlungen zur Optimierung unserer Prozesse. Diesen Punkt kann ich auch jedem noch nicht zertifizierten Unternehmen ans Herz legen. Die ISO 27001 Zertifizierung sollte nicht aus dem Wunsch nach einem Zertifikat erfolgen, sondern aus einem Verständnis für die enorme Bedeutung der Informationssicherheit im Unternehmen in der heutigen Zeit.
DQS: Haben Sie in der Zeit der darauffolgenden Überwachungsaudits sinnvolle und umsetzbare Hinweise auf Verbesserungspotenzial von unserem Auditor erhalten?
Christian Körner: Für uns sind die Überwachungsaudits ein wichtiger Bestandteil der Zertifizierung und fortlaufenden Optimierung, da im direkten Austausch mit dem Auditor wertvolle Hinweise für die Umsetzung in der Praxis gewonnen werden, was eine große Bereicherung für uns ist. Gleichzeitig konnten wir von dem umfassenden IT-Wissen und Systemverständnis unseres Auditors in den letzten Jahren profitieren. Mit ihm haben wir einen erfahrenen Sparringspartner, der ein hohes Prozessverständnis mitbringt, und der unsere Unternehmensgröße im Blick hat.
DQS: Inzwischen haben Sie Ihre erste Rezertifizierung erfolgreich abgeschlossen, demnächst kommt die Umstellung auf die 2022er-Version der neuen ISO/IEC 27001:2022 auf Sie zu – stehen Sie mit der DQS diesbezüglich schon in Kontakt?
Christian Körner: Ja, wir sind bereits seit einigen Monaten im Austausch mit der DQS und bereiten uns auf die Umstellung vor. Auch befinden wir uns in der Abstimmung zu einer möglichen „Privacy Information Managementsystem“-Erweiterung.
DQS: Gibt es etwas, das die DQS in der Zusammenarbeit noch verbessern könnte?
Christian Körner: Wir sind mit der Zusammenarbeit sehr zufrieden. Dies liegt zu einem großen Teil auch an dem erfahrenen Auditor, der uns bei der fortlaufenden Verbesserung unseres Systems mit seiner Beurteilung maßgeblich unterstützt.
DQS: Herr Körner, danke für das nette Gespräch und viel Erfolg bei der Umstellung auf die neue ISO/IEC 27001:2022!
Zukunftspläne und ISO 27001:2022
ISO 27001 ist eine international anerkannte Norm für Informationssicherheit, die erstmals im Jahr 2005 in englischer Sprache erschienen ist. Die Norm wurde im Jahr 2013 überarbeitet und als einer der ersten großen ISO-Managementsystemnormen auf die damals neue High Level Structure umgestellt, was die Integration in bestehende ISO-Managementsysteme inzwischen wesentlich erleichtert. Im Jahr 2022 erfolgte eine weitere Revision, bei der die Anpassung an den neuesten Stand der Informationstechnik im Vordergrund stand.
ENTERBRAIN erwartet für die Umstellung auf die neue ISO 27001:2022 keine Überraschungen, im Gegenteil: Das Unternehmen begrüßt die Revision, da besonders die Bereiche Datenschutz und Cybersicherheit gestärkt werden.
Zurzeit analysiert das Unternehmen die neuen Maßnahmen und Anforderungen und gleicht diese mit den unternehmensspezifischen Prozessen und Gegebenheiten ab. Im Anschluss wird eine Bewertung der Zwischenergebnisse vorgenommen werden, um den Umsetzungsbedarf – besonders mit Blick auf die 93, zum Teil neuen Controls in Anhang A – zu ermitteln.
Das aktuelle ISO 27001 Zertifikat können Sie hier herunterladen: ISO 27001 Zertifikat
Den original Beitrag finden Sie unter: DQS
Teilen auf