Complimant

Erfolgreiche Zertifizierung für Informationssicherheit

Die complimant AG hat den Frankfurter Rechenzentrumsbetreiber First Colo GmbH auf dem Weg zur ISO 27001 begleitet

„Sicherheit und Zuverlässigkeit – das vor allem erwarten unsere Kunden“, sagt Adam Lakota von der First Colo GmbH. Das Frankfurter Unternehmen vermietet und betreibt für seine Kunden Server in einem hochmodernen Rechenzentrum auf rund 1.800 Quadratmetern Fläche. „Die Kunden verlassen sich darauf, dass ihre wertvollen Daten bei uns geschützt und rund um die Uhr verfügbar sind“, erklärt der technische Leiter. Um das sicherzustellen, hat die oberbayerische complimant AG die Frankfurter bei der Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 begleitet.

„Technisch gab es bei der First Colo von Anfang an nicht viel zu beanstanden. Auch das Wissen und Können der Mitarbeiter ist top“, sagt Dominik Seifert von der complimant AG. Das Rechenzentrum von First Colo erfüllt höchste Anforderungen von der Zutrittskontrolle angefangen, über den Rechenzentrumsbetrieb und das technische Monitoring bis zur Klimatisierung und ausfallsicheren Stromversorgung mit Notstromaggregat. Europaweit führend sind die Frankfurter in der Abwehr von DDoS-Attacken auf die Server ihrer Kunden. Die technischen Voraussetzungen alleine reichen aber nicht, um ein Zertifikat nach der internationalen Norm ISO 27001 für Informationssicherheit zu bekommen.

Dazu werden neben der Dienstleistung auf Basis einer hochausfallsicheren IT-Infrastruktur alle Vorgänge und Prozesse in einem Unternehmen beleuchtet, die ebenso positiven wie negativen Einfluss auf die Informationssicherheit haben können. „Neben dem Rechenzentrum ging es bei uns zum Beispiel auch um das Personalwesen und die Buchhaltung“, sagt Adam Lakota.

„Das sind Themen, wo gerade technisch versierte Mitarbeiter erst einmal gar nicht ansetzen würden. Doch auch in diesen Bereichen gibt es Schwachstellen bzw. Risiken, die zu einem konkreten Sicherheitsproblem werden können“, so Seifert.

Eine klassische ISO-27001-Einführung („native“), wie es bei First Colo der Fall war, startet mit dem Einstiegsprodukt der complimant AG, dem sog. „Basis-Check ISO27001“. Dabei wird eine Bestandsaufnahme aller sicherheitsrelevanten Prozesse durchgeführt und geprüft, inwieweit diese Abläufe bereits standardisiert und dokumentiert sind. „Daran hapert es in der Praxis sehr oft: Auch wenn alles (technisch) gut läuft, ist sehr wenig dokumentiert, es sind keine Verantwortlichen benannt und zumeist auch keine Stellvertreter. Demnach steht und fällt das ganze System oft mit dem Wissen einzelner Personen“, erläutert Seifert. Der Basis-Check entlang der ISO27001-Vorgaben fördert daher in der Regel 60 bis 100 offene Punkte zu Tage.

In regelmäßigen Workshops zum Ziel

In der Folge macht sich das Unternehmen daran, die Punkte abzuarbeiten. Die complimant AG begleitet und berät dabei. Im Rhythmus von etwa vier Wochen führt sie einen Workshop mit dem Kunden durch, bei dem der bis dahin geleistete Fortschritte begutachtet wird sowie neue Meilensteine und konkrete Vorgehensweisen definiert werden. „Wir waren echt begeistert“, sagt Lakota. „Die Leute von der complimant standen uns immer mit Rat und Tat zur Seite. Nicht nur bei den Prozessen, sondern auch technisch konnten die uns so richtig weiterhelfen.“

Je nach Umfang steht nach sechs bis 15 Monaten dann das Simulationsaudit zur Zertifizierung des ISMS an. Ein ausgebildeter Auditor der complimant AG, der bislang noch nicht mit dem Kunden beschäftigt war, prüft den Stand erneut und kann dabei völlig unabhängig und objektiv den Ist-Stand prüfen. Dieses Audit entspricht exakt dem später folgenden Zertifizierungsaudit. Eventuelle Mängel werden hierbei noch abgestellt und das ISMS „ins Leben gerufen“. „Bevor die Zertifizierungsstelle vor der Tür steht, sollte dem Managementsystem idealerweise eine gewisse Zeit im Unternehmensalltag gegeben werden. Auch dabei treten oft noch Optimierungsmöglichkeiten zu Tage“, erklärt Seifert. Ein bis zwei Monate später steht das Zertifizierungsaudit am Ende des Einführungsprojektes an.

Kernprozesse analysieren

Im Rahmen der ISO27001-Einführung wurde bei First Colo auch eine sog. Business-Impact-Analyse (BIA) durchgeführt. „Dabei untersuchen wir zunächst, welche Konsequenzen es hätte, wenn bestimmte Prozesse des Unternehmens ausfallen, welche Prozesse und die damit verbundenen Systeme und Daten also die elementaren für das Unternehmen sind“, sagt Thomas Eberl von der complimant AG. Was passiert nach vier Stunden, nach einem Tag und nach drei Tagen? Wie sind die Auswirkungen auf Finanzen und Image, auf die Vertrags- und Gesetzestreue, können Personen Schaden nehmen und insgesamt die Funktionsfähigkeit des Unternehmens? Die Auswirkungen werden von unkritisch bis katastrophal klassifiziert und entsprechende Maßnahmen abgeleitet. Bei einem Rechenzentrumsbetreiber wie First Colo kommt zum Beispiel zu Tage, dass ein Stromausfall innerhalb kürzester Zeit existenzbedrohliche Auswirkungen hätte – das versteht sich von selbst. „Da sprechen wir aber nicht mehr von 4 Stunden, sondern landen im Minutenbereich“, so Eberl. Dieselgeneratoren, die sofort anspringen, wenn das Netz zusammenbricht, bieten hier die nötige Absicherung bzw. Überbrückungszeit.

Individuell statt von der Stange

„Uns ist wichtig, dass wir jedes Unternehmen wirklich individuell analysieren und beraten“, betont Dominik Seifert. „Wir wollen kein ISMS von der Stange liefern, das aus der Schublade gezogen und dann nur mit dem Firmennamen des Kunden versehen wird. Auch wenn dies in der Einführungsphase mehr Arbeit mit sich bringt, gestalten wir so ein lebendiges und effektives System mit Zukunft.“

Das Resultat gibt den Anstrengungen für mehr Informations- und Betriebssicherheit recht: „Wir haben jetzt deutlich mehr als ein weiteres Zertifikat an der Wand. Der ganze Einführungsprozess hat bei uns tatsächlich zu mehr Informationssicherheit sowie Bewusstsein für dieses Thema geführt. Interne Prozesse, Abläufe und Zuständigkeiten sind viel klarer und transparenter geregelt. Das erleichtert die tägliche Arbeit“, sagt Adam Lakota, der bei der complimant AG auch die Fortbildung zum Informationssicherheitsbeauftragten absolviert hat. „Wir arbeiten mit complimant sehr gerne weiter zusammen. Die Leistung hat uns voll überzeugt.“


www.complimant.de
www.first-colo.net