·
06.05.2024
In eigener Sache

Stabile Systeme und Schutz vor Cyber-Angriffen – Noch mehr Sicherheit für PROMOS Kunden dank ISO 27001 Zertifizierung

Zum Jahreswechsel 2023 / 2024 hat PROMOS einen bedeutenden Meilenstein erreicht: Die Zertifizierung nach ISO 27001, einem international anerkannten Standard für Informationssicherheit. Für einen tieferen Einblick in den Zertifizierungsprozess führten wir ein Interview mit Information Security Officer (ISO) von PROMOS, Viktoria Sorgalla. Sie ist eine erfahrene Expertin auf dem Gebiet der Informationssicherheit und spielte eine maßgebliche Rolle beim Aufbau des Information Security Management Systems (ISMS). Im Interview gibt Sorgalla Aufschluss darüber, wie der zertifizierte Sicherheitsstandard von PROMOS Kunden eine größere Stabilität und Ausfallsicherheit bietet. Sie gewährt uns zudem exklusive Einblicke in den Zertifizierungsprozess und erläutert, warum die Arbeit an einem guten ISMS nie abgeschlossen ist.
ISMS bei PROMOS consult

IT&I: Frau Sorgalla, können Sie uns erklären, was es mit der ISO 27001 Zertifizierung auf sich hat und warum diese für Kunden von besonderer Bedeutung ist?


Viktoria Sorgalla: Natürlich. Die ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). Mit dieser Zertifizierung zeigen wir, dass wir verlässliche und normgerechte Sicherheitsmaßnahmen treffen. Für unsere Kunden bedeutet das, dass sie sich auf ein kontrolliertes und stetig steigendes Sicherheitsniveau verlassen können. Die erfolgte Zertifizierung ist nicht nur ein reiner Status quo. Wir verpflichten uns damit, unsere Prozesse und Infrastruktur kontinuierlich zu verbessern und das auch zu dokumentieren sowie in regelmäßigen Audits nachzuweisen.


IT&I: Inwiefern können Kunden von diesen Sicherheitsmaßnahmen profitieren?


Sorgalla: Ganz einfach: Ihre Systeme sind bei uns bestmöglich geschützt. Mit unseren Prozessen und Maßnahmen reduzieren wir die Risiken durch Cyber-Angriffe und erhöhen somit die Verfügbarkeit ihrer Systeme. Und dahinter steckt noch ein anderer wichtiger Aspekt. Von Cyber-Angriffen betroffene Unternehmen mussten im Jahr 2022 durchschnittlich eine Lösegeldsumme von fast 280.000 USD zahlen. Es lohnt sich also wirklich, auf ein hohes Sicherheitsniveau zu setzen.


Abgesehen davon ermöglichen wir unseren Kunden bei Bedarf auch individuelle Sicherheitsmaßnahmen. Diese personalisierten Maßnahmen bauen auf den ohnehin schon sehr hohen Standards auf, die wir bieten.


IT&I: Welche Rolle spielt die kontinuierliche Verbesserung im Rahmen der ISO 27001?


Sorgalla: Ein zentraler Bestandteil der ISO 27001 ist die Verpflichtung zur ständigen Verbesserung des ISMS. Das bedeutet, dass wir unsere Sicherheitsprozesse und -richtlinien kontinuierlich evaluieren und verbessern, um mit den sich wandelnden Bedrohungen und der zunehmenden technischen Komplexität Schritt zu halten. Das schließt auch interne Schulungen und Awareness-Kampagnen mit ein, um sicherzustellen, dass unsere Mitarbeiterinnen und Mitarbeiter immer auf dem neuesten Stand sind.


IT&I: Sie haben sich für den Aufbau des ISMS viel Zeit gelassen und sind sehr sorgfältig vorgegangen. Das ist auch den Prüfern positiv aufgefallen. Wie kann man sich den Aufbau vorstellen? Was musste konkret verändert und welche Themen in Angriff genommen werden?


Sorgalla: Wir starteten vor rund drei Jahren damit, in Zusammenarbeit mit unserem spezialisierten Dienstleister HiSolutions ein ISMS aufzubauen. Die Maßnahmen erstrecken sich über nahezu alle Bereiche von PROMOS. Sie betreffen einerseits wichtige Investitionen in unsere Hardware. Andererseits mussten Richtlinien und Prozesse geschaffen und umgesetzt werden. Dazu zählt eine neue Richtlinie zur sicheren Softwareentwicklung, an die sich unsere Programmiererinnen und Programmierer halten müssen. So steigern wir die Qualität unserer Produkte, wovon wiederum unsere Kunden profitieren. Außerdem haben wir einen Change-Management-Prozess etabliert. Das bedeutet, dass Anpassungen auf den Systemen, wie z. B. SAP®-Transporte, vor der Produktivsetzung zunächst einen Prüfprozess durchlaufen und durch ein Gremium genehmigt werden müssen.

Auswertung der Schadenssummer durch Erpressung und Cyber-Kriminalität

Abbildung 1: Die Auswertungen der letzten Jahre zeigen, dass gestohlene Daten ein lukratives Geschäft sind.

IT&I: Sie sagen, die Schaffung eines ISMS betraf oder betrifft das gesamte Unternehmen. Wie haben die Mitarbeitenden von PROMOS auf die Veränderungen reagiert?


Sorgalla: Unsere Mitarbeiterinnen und Mitarbeiter sind ein entscheidender Faktor in unserem ISMS. Nur dank ihrer Mitwirkung, Wachsamkeit und Sensibilität für sicherheitsrelevante Vorfälle können wir das Qualitätsniveau einhalten, das mit den Anforderungen aus der ISO 27001 einhergeht. Das war uns von Anfang an bewusst. Deshalb sind wir gleich zu Beginn mit einer kleinen Awareness-Kampagne in das Projekt gestartet. Die Mitarbeitenden haben per Post kleine Kryptonizer zur sicheren Passworterstellung von uns erhalten. Außerdem haben wir Türschilder für unsere Büros mit Sicherheitshinweisen produziert und spezielle Sperrbildschirme zur Verfügung gestellt.


Das war natürlich nur ein kleiner Kick-off. Die Mitarbeitenden werden jährlich von uns geschult. Außerdem haben wir einen speziellen Kanal in MS Teams, in dem wir über aktuelle Vorfälle informieren und die Veröffentlichung von Prozessen oder Richtlinien kommunizieren. Diese Art von Umgang mit MS Teams war selbst für unsere Auditoren neu und wurde sehr wohlwollend zur Kenntnis genommen.


IT&I: Wie kann man sich denn so ein Audit vorstellen? Und wie gestaltet sich die Zusammenarbeit mit den Prüfern und deren Feedback?


Sorgalla: Wir hatten bis zur endgültigen Zertifizierung drei Auditzeitpunkte. Der letzte erstreckte sich über fünf Tage an drei Standorten – Berlin, Kassel und Leipzig – mit insgesamt drei Prüfern. Solche Audittage sind sehr strukturiert und intensiv. Sie beginnen in der Regel mit einem Eröffnungsgespräch, gefolgt von verschiedenen Prüfungssitzungen und Begehungen der Standorte. Die Audits sind nicht nur auf die Überprüfung der Einhaltung der Norm beschränkt, sondern beinhalten auch die Bewertung der Wirksamkeit der implementierten Maßnahmen. Es sind Tage voller Diskussionen, Präsentationen und der detaillierten Analyse unserer Prozesse und Richtlinien. Beispielsweise stand unser Compliance Officer den Auditoren insgesamt fast vier statt der angesetzten zwei Stunden Rede und Antwort. Die Prüfer haben versucht, Punkte zu finden, die nicht umgesetzt wurden. Er konnte aber alles hervorragend argumentieren. Die Prüfer waren schlussendlich sehr beeindruckt von der hohen Qualität, die wir in dieser Erstzertifizierung an den Tag legen konnten.


IT&I: PROMOS ist nun offiziell ISO 27001 zertifiziert. Welche weiteren Schritte sind geplant, um den Sicherheitsstandard zu halten oder zu verbessern?


Sorgalla: Wie schon gesagt, ist die kontinuierliche Weiterentwicklung unseres ISMS Teil der Verpflichtung, die wir mit der Zertifizierung eingehen. Neben der regelmäßigen Überprüfung und Anpassung unserer Sicherheitsmaßnahmen planen wir weitere Awareness-Maßnahmen und Schulungen für unsere Mitarbeiterinnen und Mitarbeiter. Ziel ist es, das Bewusstsein für Sicherheitsrisiken kontinuierlich zu schärfen und die Sicherheitskultur innerhalb unseres Unternehmens weiter zu stärken. Gleichzeitig müssen wir auch auf äußere Faktoren schauen.

Informationstechnologie und Immobilien (IT&I) Ausgabe Nr. 37 / Mai 2024

Möchten Sie unser Magazin regelmäßig erhalten?


Unsere halbjährlich erscheinende Fachzeitschrift „IT&I – Informationstechnologie und Immobilien“ informiert Sie über Hintergründe und Grundlagen zu aktuellen Themen und neuesten IT-Entwicklungen verbunden mit Fachthemen der Immobilienwirtschaft. Bestellen Sie unsere Online- oder Printausgabe hier.

IT&I: Gibt es neue gesetzliche oder ökonomische Entwicklungen, die wir im Blick behalten müssen?


Sorgalla: KI ist hier ein schönes Beispiel. Mit dieser neuen Technologie kommen auch auf uns neue Anforderungen zu. Gerade haben wir erst Auftragsdatenverarbeitungsverträge (AVVs) mit einem entsprechenden Unternehmen geschlossen, um auch hier die Sicherheit der Daten zu garantieren. Da haben wir immer ein wachsames Auge drauf. Unser CIO, Volker Schulz, und ich, besprechen uns dazu regelmäßig und prüfen verschiedene Sachverhalte. Zudem sind wir aktuell nach der ISO 27001:2013 durch den TÜV Rheinland zertifiziert. Bei der Rezertifizierung in zwei Jahren gilt für uns bereits die neue Norm aus 2023. Da werden auch einige neue Punkte dabei sein. Es bleibt also spannend!


IT&I: Das klingt nach einer interessanten Herausforderung. Danke für das Interview!


Sorgalla: Sehr gern.

redaktion@openpromos.de

Bitte warten