Blog

You are currently viewing Informationssicherheitsaudit nach ISO / IEC 27001 – warum das für Sie interessant sein könnte.

Informationssicherheitsaudit nach ISO / IEC 27001 – warum das für Sie interessant sein könnte.

  • Beitrags-Autor:
  • Beitrags-Kategorie:Allgemein

Informationssicherheitsaudit nach ISO / IEC 27001 – warum das für Sie interessant sein könnte.

Unser IT-Team hat das Unternehmen kürzlich durch ein Audit zur Informationssicherheit geführt. Patryk Kozłowski (IT-Leiter) und Krzysztof Jaworecki (IT-Fachmann) erzählen uns jetzt, worum es bei einem solchen Audit geht und worauf man bei den Vorbereitungen achten sollte.

Aircom Automotive Data Security Audit

Mariusz Maćkowiak: Hallo. Zuerst möchte ich Sie bitten uns zu erklären, was ein Informationssicherheitsaudit nach ISO /IEC 27001 im Grunde genommen ist.

Patryk Kozłowski: Zunächst einmal wird ein Informationssicherheitsaudit oft als IT-Audit verstanden. Das ist aber nicht korrekt. Informationssicherheit bedeutet, sich um alle Informationen zu kümmern, nicht nur um die Daten auf Computern oder Servern. Das sind auch alle Arten von Dokumenten, Marketingunterlagen, Mitarbeiterdaten, Finanzdaten, Konstruktionspläne – kurzum alle Daten, die in den einzelnen Abteilung des Unternehmens verarbeitet werden.

Dieses Unternehmenswissen muss gewissenhaft geschützt werden, damit kein Fremder darauf zugreifen und für sich nutzen kann, so zum Beispiel von Aircom entwickelte Produkte.

Es handelt sich auch nicht um ein IT-Audit. Der Zweck dieses Audits ist es, zu prüfen, ob die Unternehmensdaten ausreichend gegen Fremdzugriff geschützt sind.

Der Auditor überprüft jede Abteilung und kann hierbei auch Mitarbeiter befragen, die er zufällig auf dem Gang trifft.

M.M.: Nachdem was Sie sagen, wird das Informationssicherheitsaudits oft missverstanden. Was genau ist hierbei das Problem?

P.K.: Ja, es ist ein Irrtum zu glauben, dass die Norm uns etwas aufzwingt und wir bestimmte Richtlinien erfüllen müssen. Richtig ist nur, dass die ISO / IEC 27001-Norm sagt, dass wir die Informationen schützen müssen, aber in welchem Umfang und wie wir diese Informationen schützen bleibt uns überlassen. Jedes Unternehmen bestimmt individuell den sogenannten Grad des akzeptablen Risikos.

Aber wie gesagt, die Norm listet Punkte auf, die auf abzusichernde Bereiche hinweisen, aber sie gibt nicht vor, wie das zu tun ist.

Aircom IT department audit

M.M.: Die Norm lässt uns so viele Freiheiten, wie wählt man also eine geeignete Methode des Datenschutzes?

P.K.: Zunächst führen wir eine Risikoanalyse durch. Wir identifizieren Bedrohungen und versuchen, sie zu minimieren oder uns so gegen sie zu schützen, dass die Wahrscheinlichkeit ihres Auftretens gering ist.

Vor dem Audit habe ich einen Fragenkatalog zum Informationssicherheitsbewusstsein an die Mitarbeiter verschickt. Die überwiegende Mehrheit der Antworten war richtig, aber eine solche Umfrage zeigt uns auch, woran die Mitarbeiter nicht denken, was sie nicht wissen und worauf wir bei der Erst- und Wiederholungsschulung mehr achten sollten.

M.M.: Wir können also sagen, dass die IT-Abteilung eine Sicherheitsstrategie für das Unternehmen entwickelt?

K.J.: Wir erstellen ein Anforderungsprofil an Sicherheitsstandards, in dem wir die spezifischen Maßnahmen zum Schutz der Informationen festlegen.

Das Audit selbst basiert darauf, dass die durchführende Person regelmäßig prüft ob alle festgelegten Maßnahmen auch tatsächlich eingehalten werden. Hierbei ist erwähnenswert, dass in vielen Unternehmen ISO-Standards nur eingeführt werden, um später das Zertifikat den Kunden vorzulegen.

Aircom Group

P.K.: Zum Beispiel kommt ein Wirtschaftsprüfer zu uns und fragt: „In der Vereinbarung haben Sie geschrieben dass Sie die Datenträger vernichten, also haben Sie die Datenträger registriert. Dann würde ich gerne dieses Formular sehen.“ Wir legen ihm dann ein solches Dokument vor und der Auditor gibt an, dass das was wir vereinbart haben auch zutrifft.

K.J.: Ja, können wir den Vorgang nicht korrekt nachweisen, so bedeutet das eine Nichteinhaltung der Anforderung. Und dieses Nichteinhalten ist für die Einhaltung der von uns gesetzten  Qualitätsstandards nicht förderlich. Wir klassifizieren Abweichungen als klein und groß (kritisch).

Aircom Automotive IT department

M.M.: Möchten Sie uns noch weitere interessante Fakten über das Audit selbst mitteilen?

K.J.: Das diesjährige Audit war anders als die vorherigen, weil die Person die es durchführte zuvor als Programmierer gearbeitet hatte. Aufgrund dieser Tatsache, dass er umfangreiche Erfahrungen in der IT-Branche hatte, war das Audit sehr intensiv. Wir haben am ersten Tag etwa 7 Stunden und am zweiten Tag 3-4 Stunden mit dem Auditor verbracht.

P.K.: Normalerweise dauert ein solches Treffen zwischen unserer Abteilung und dem Auditor etwa drei Stunden. Dieses Mal wurde die Einhaltung jedes Punktes und jedes Unterpunktes der oben genannten Vereinbarung gründlich überprüft.

M.M.: Das Audit selbst erwies sich also recht zeitaufwändig. Auch die Vorbereitung darauf war sicherlich sehr arbeitsintensiv. Bitte erzählen Sie uns mehr darüber, was die größte Herausforderung bei den Vorbereitungen war.

P.K.: Wie jedes Jahr mussten wir die Daten vervollständigen und die Mitarbeiter schulen, aber dieses Mal haben wir uns zum ersten Mal selbst um die gesamte formale Seite des Audits gekümmert. Die Nutzungserklärung und die Sicherheitsmaßnahmen an sich sind für uns kein Problem, weil wir in der IT arbeiten und uns damit auskennen, aber die korrekte Erstellung der Dokumente und Revisionen sicherzustellen, war ein Novum und eine Herausforderung.

K.J.: Wir konnten dadurch ein breiteres Bild vom Audit bekommen und so wertvolle Erfahrungen im Zusammenhang mit der unabhängigen Bewertung unserer Organisation sammeln.

P.K.: Krzysiek und ich waren für das Audit verantwortlich, aber auch Marek Żak (Junior IT-Fachmann) war eine große Hilfe für uns. Marek ist eigentlich für die Beratung zuständig und wir haben ihn vorab nicht über die Auditanforderungen informiert. Als wir jedoch mit der Dokumentation und Vorbereitung des Audits beschäftigt waren, hat Marek uns viele tägliche Aufgaben abgenommen und uns die Möglichkeit gegeben, uns auf eine gute Vorbereitung zu konzentrieren.

K.J.: Darüber hinaus half er uns bei der Einführung vieler neuer Lösungsansätze wie zum Beispiel  Festplattenverschlüsselung, VPN. Wir arbeiten harmonisch miteinander und teilen unser Wissen und unsere Erfahrungen.

M.M.: Sie haben bereits erwähnt, dass der Auditor selbst neu war, seine Erkenntnisse und seine engagierte Zeit in dieser Situation neu waren. Wie sieht es mit der Pandemieproblematik aus – hat sich dies in irgend einer Weise auf das Informationssicherheitsaudit ausgewirkt?

K.J.: Zunächst einmal fand das Audit per Fernzugriff statt, was vorher noch nie vorgekommen war. Wir nutzten die im Unternehmen eingesetzte Software um die Dokumente sicher zu teilen. Die Vorführung der IT-Anwendungen wurde durch die gemeinsame Nutzung von Server-Desktops live durchgeführt. Diese Form des Audits erwies sich als sehr effektiv.

Aircom IT department

M.M.: Jetzt werden alle möglichen Arbeiten über Fernbedienung gemacht. Beobachten Sie nach dem Audit irgendwelche Veränderungen in der Firma?

K.J.: Das Bewusstsein für die Informationssicherheit unter den Mitarbeitern wächst jedes Jahr. Ein solches System funktioniert in unserer Firma schon seit vielen Jahren und die Mitarbeiter merken, dass einige Mechanismen nicht nur eine Erfindung der IT-Abteilung sind die das Funktionieren behindern, sondern mit dem Gedanken gemacht werden, einen Datenverlust zu verhindern.

P.K.: Die Firma Aircom will ein zuverlässiger Geschäftspartner und Arbeitgeber sein, daher wird alles, was wir erklären in der Firma sorgfältig umgesetzt. Eine der Voraussetzungen ist die kontinuierliche Weiterentwicklung, sodass wir uns jedes Jahr nach dem Audit nicht auf unseren Lorbeeren ausruhen. Wir fangen danach sofort wieder an, an noch effektiveren Sicherheitsmaßnahmen zu arbeiten.

M.M.: Haben Sie seit dem letztjährigen Informationssicherheitsaudit neue Lösungen bei Aircom eingeführt?

P.K.: Ja. Vor einem Jahr hatten wir noch keine Laptop-Verschlüsselung. Jetzt sind alle Laptops im Unternehmen verschlüsselt.

K.J.: In der Praxis bedeutet das, dass eine fremde Person keine Daten von einem Laptop runterziehen kann, wenn dieser verloren geht oder gestohlen wird. Selbst wenn ich die Festplatte entferne und an einen anderen Computer anschließe, kann er keine Information ausgelesen werden

M.M.: Können wir abschließend sagen, dass das Audit wieder einmal die sehr gute Qualität unserer Sicherheitsstrategie bestätigt hat?

P.K.: Ja, ich habe Firmen kennengelernt die viel niedrigere Datenschutzstandards hatten, daher steht Aircom in diesem Bereich im Vergleich zu anderen wirklich gut da.

K.J.: Wir sollten nicht vergessen, dass gestohlene oder beschädigte Geräte zurückgekauft werden können, aber Firmendaten in den meisten Fällen unwiederbringlich verloren sind. Bei Aircom können wir dank der eingeführten modernen Werkzeuge mit hoher Wahrscheinlichkeit verlorene Daten wiederherstellen, die versehentlich oder absichtlich gelöscht wurden.

M.M.: Vielen Dank für das ausführliche Gespräch und dafür, dass wir dank Ihnen sicher sein können, das unsere Daten bei Aircom sicher sind.

P.K.: Ich danke Ihnen!