ISO 27001 – wie Vertec in Sicherheit investiert

Die Sicherheit von (Kunden-)Daten ist gerade für IT-Firmen von zentraler Bedeutung. Bei Vertec legen wir sehr hohen Wert auf Informationssicherheit und nutzen dafür ein Informationssicherheits-Managementsystem nach ISO 27001, im Folgenden auch ISMS genannt. Doch welcher Nutzen entsteht für unsere Kunden durch ein solches System? Wie Vertec die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS handhabt, beschreibt der Artikel aus Sicht des IT-Verantwortlichen.

Was bedeutet ISO 27001?

Die Norm ISO/IEC 27001 hat unter anderem zum Ziel, dass Organisationen Risiken der Informationssicherheit vorbeugen, indem sie geeignete Sicherheitsmassnahmen treffen. Ein Kernpunkt der Norm ist die Identifizierung aller betriebsinterner Werte (so genannte Assets). Dazu gehören bei Vertec so unterschiedliche Dinge wie die Cloud-Abo Infrastruktur, das Image der Vertec Gruppe, das Personal und der Source-Code unserer Software. Viele der Assets haben wir in Unterkategorien (Sub-Assets) unterteilt, so gibt es z. B. ein Asset für die Client-Rechner und Unterkategorien für Laptops sowie Desktoprechner. Übergeordnete Assets bekommen einen verantwortlichen Mitarbeiter zugewiesen.

Die Wichtigkeit der Assets wird anhand verschiedener Kriterien beurteilt und für alle Assets werden in einem zweiten Schritt die Risiken erhoben und bewertet. Wir machen das szenariobasiert: Typische Risiken sind beispielsweise nicht lesbare Backups oder die Infektion eines Rechners mit einem Verschlüsselungstrojaner.

Welche konkreten Massnahmen gehören zur Norm?

Um den Risiken wirksam zu begegnen, beschliessen wir entsprechende Massnahmen. Nicht lesbare Backups wollen wir verhindern, indem wir regelmässig Daten aus Backups zu Testzwecken wiederherstellen. Gegen Verschlüsselungstrojanern schützen wir uns unter anderem mit dem Einsatz von Antiviren-Software sowie der regelmässigen Aktualisierung der auf Clients und Servern eingesetzten Software-Komponenten.

Diese Risiken sind sehr real: Ich habe es schon mehrfach erlebt, dass Kunden ihre Backups nicht nutzen konnten, weil sie entweder nicht gemacht wurden oder nicht lesbar waren. Auch haben sich einige Firmen aus unserem Umfeld Trojaner eingefangen mit dem Resultat, dass sämtliche auf Serverlaufwerken gespeicherten Daten verschlüsselt waren und aus Backups wiederhergestellt werden mussten.

Restrisiken bleiben auch nach dem Umsetzen von Massnahmen bestehen. Hin und wieder muss man kleine Risiken auch bewusst in Kauf nehmen, weil entsprechende Massnahmen viel zu teuer oder zu aufwändig wären. Einmal jährlich werden sämtliche vorhandenen Risiken neu bewertet und die Asset-Verantwortlichen müssen sich explizit dazu äussern, ob sie ihre Risiken so tragen wollen oder ob allenfalls Anpassungen nötig sind.

Natürlich gibt es laufend Veränderungen bei Assets und Risiken. Auch verlangt die Norm, dass man sein System ständig weiterentwickelt, überprüft und verbessert. Dazu ist es wichtig, dass alle Mitarbeiter Vorfälle betreffend die Informationssicherheit melden. Weiter gibt es für Mitarbeiter verbindliche Richtlinien, die unter anderem den Umgang mit Kundendaten regeln oder den Zugriff auf Kundensysteme.

Einmal jährlich erhalten wir Besuch von einem externen Auditor, der während eines ganzen Tages prüft, ob wir das Managementsystem den Vorgaben entsprechend umsetzen und alle Anforderungen zur Aufrechterhaltung des Zertifikats erfüllen.

Was nützt uns das als Firma?

Unser Zertifikat sorgt dafür, dass ich als IT-Verantwortlicher gut schlafen kann. Viele der gängigen Attacken haben bei uns von Beginn weg keine Chance, weil wirksame Massnahmen in Kraft sind. Der Wanna-Cry-Verschlüsselungstrojaner im Mai 2017 war für uns nur wenig gefährlich, weil wir seit langem sicherstellen, dass auf den Clients keine eingehenden Verbindungen möglich sind und ausserdem sorgen wir dafür, dass Updates von Microsoft und anderen Programmen zeitnah gemacht werden.

Wie profitieren unsere Kunden davon?

Durch das international gültige ISO-27001-Zertifikat können wir unseren Kunden einen sorgsamen Umgang mit ihren Daten garantieren. Es ist kein Zufall, dass das entsprechende Asset «Kundendaten» bei uns zu den wichtigsten überhaupt gehört.

Ein weiteres signifikantes Asset ist für uns die Sicherheit der Vertec-Applikation selber. Wir lassen die Sicherheit regelmässig durch Penetration Tests überprüfen und haben eine Vielzahl von Massnahmen umgesetzt, um unser Produkt – auch im Hinblick auf das Cloud Abo – abzusichern.

Sehr wertvoll war und ist unser ISMS auch beim Aufbau der Cloud-Abo-Infrastruktur. Da die Daten hier extern lagern und die Server einem externen Dienstleister gehören, gibt es eine Vielzahl von Risiken, Massnahmen und Fragen, die geklärt und umgesetzt werden müssen. Das ISMS hilft uns dabei, diese Fragen strukturiert und konsequent anzugehen.

Wir haben uns bewusst für Hostingpartner entschieden, die ebenfalls ISO 27001 zertifiziert sind.

Erfolgsfaktor Mitarbeiter-Bewusstsein

Auch die raffiniertesten technischen Security-Lösungen nützen nicht viel, wenn Themen rund um die Sicherheit im Bewusstsein der Mitarbeiter nicht verankert sind und sie das ISMS nur als lästige Pflicht wahrnehmen. Sehr bewährt hat sich, dass wir das Thema ISMS einmal monatlich zum Thema einer Sitzung mit allen Mitarbeitern machen und dabei aktuelle Entwicklungen und Handlungsempfehlungen besprechen.

Weiter versuchen wir auch beim Umsetzen von Massnahmen immer darauf zu achten, dass diese die Mitarbeiter nicht zu sehr einschränken und sie in ihrer täglichen Arbeit nicht zu stark behindern.

Haben Sie Fragen oder Anregungen zum Thema Sicherheit? Wir freuen uns über Kommentare sowie tweets an @Vertec_Gruppe.
Auch in unserem Vertec Newsletter gehen wir auch immer wieder auf Sicherheitsthemen ein.