Weniger Schwachstellen, mehr Sicherheit – die ISO 27001 Zertifizierung macht’s möglich

Vor einiger Zeit berichteten wir in unserem Artikel „Sicher und compliant: medizinische Daten in der Cloud“ von der Cloud-Plattform zur Verwaltung medizinischer Daten, die unser Kunde Carl Zeiss Meditec AG (CZM) entwickelt hat. Damals stand man vor der Frage, wie man für diese hochsensiblen Daten Informationssicherheit in einer Cloud-Umgebung herstellen, dauerhaft aufrechterhalten und nachweisen kann. Die Lösung bestand in der Implementierung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001. Doch damit ist die Arbeit nicht getan: 2021 steht die Re-Zertifizierung an. In diesem Beitrag berichten wir darüber, wie CZM sich darauf vorbereitet.

Die Zertifizierung ist erst der Anfang

Seit dem Aufbau des Informationssicherheitsmanagementsystems (ISMS) im Jahr 2018 und der anschließenden Erstzertifizierung sind zwei Jahre vergangen. Das damals erteilte Zertifikat hat eine Gültigkeit von drei Jahren. In diesem Zeitraum, auch Zertifizierungszyklus genannt, finden jährliche Überwachungsaudits in Form von Überprüfungen der Prozessoptimierung und der Normkonformität statt. Vor Ablauf der drei Jahre erfolgt dann die erneute Zertifizierung. Nach der Einführung des ISMS und der Zertifizierung nach ISO 27001 begleitet direkt gruppe auch den Zertifizierungszyklus und die Re-Zertifizierung.

Audit- und Zertifizierungsablauf bei der ISO 27001

Audit- und Zertifizierungsablauf bei der ISO 27001

Bild: www.tuv.com/iso27001 

Sukzessive Erweiterung des ISMS-Geltungsbereichs

Die Zertifizierung eines ISMS nach ISO 27001 ist ein umfangreiches Unterfangen. Daher entschied man sich dafür, den Geltungsbereich des Managementsystems für Informationssicherheit zunächst überschaubar zu halten. Um das Ziel – die erfolgreiche Zertifizierung 2018 – sicher erreichen zu können, wurden nur ausgewählte Produkte und Prozesse in den Geltungsbereich aufgenommen. Auf dieser Basis kann das ISMS stetig wachsen und in der strategischen Planung langfristig alle Cloud-Computing-Produkte der Carl Zeiss Meditec aufnehmen.

Im ersten Überwachungsaudit wurde der Geltungsbereich des ISMS um ein weiteres Cloud-Computing-Produkt erweitert. Neben der erfolgreichen Prüfung der Prozessoptimierung und Normkonformität wurde auch diese Erweiterung in die Zertifizierung aufgenommen.

Wirkung im Konzern

Die erfolgreiche Zertifizierung bei der Carl Zeiss Meditec hat weitreichende Wirkung gezeigt: Die strategische Planung der Gesellschaft etabliert Informationssicherheit nicht nur innerhalb der eigenen Strukturen, sondern auch im Konzern, der Carl Zeiss AG. Dieser hat Informationssicherheit über die Jahre 2019 und 2020 strukturiert weiterentwickelt und als festen Bestandteil in der Unternehmensführung verankert. Das wirkt sich wiederum positiv auf das ISMS von CZM aus: Ein gemeinsamer Management-Rahmen unterstützt das Erreichen der Schutzziele der Informationssicherheit vollumfänglich.

Aufstockung der Ressourcen und Unterstützung durch das Top-Management

Die Wahrnehmung in der Carl Zeiss Meditec AG bezüglich Informationssicherheit hat sich ebenso verändert. Der wachsende Geltungsbereich des ISMS erfordert zwangsläufig die Bereitstellung weiterer Ressourcen. Während Jörg Marzel, Chief Information Security Officer bei CZM, seine Funktion bisher neben anderen Aufgaben wahrnahm, führt er diese jetzt in Vollzeit aus und agiert als erste Anlaufstelle für alle relevanten Themen der IT-Security. Das Top Management der Carl Zeiss Meditec AG stand seit der strategischen Entscheidung vollständig hinter dem Projekt. Auch bei der Entwicklung, der Einführung und der kontinuierlichen Verbesserung des ISMS. Das zeigte sich in sämtlichen Audits, ob intern oder extern, in der durchgängigen Präsenz und der eindeutigen Positionierung in den Interviews.

Themen in den Audits wurden ernst genommen und führten sofort zu Reaktionen und Maßnahmen. Die Mitarbeitenden und Verantwortlichen im ISMS erhielten die notwendigen Ressourcen, ob Budget oder Personal. Ein Tool für die wachsenden Anforderungen an das Risikomanagement wurde eingeführt, um das ISMS effizient betreiben zu können. Der Erfolg des Managementsystems zeichnet sich nicht nur durch den Einsatz der Betriebsverantwortlichen, sondern besonders durch die Unterstützung des Top-Managements aus. Die eindeutige Motivation hat einen erheblichen Einfluss auf das Unternehmen und den Erfolg des ISMS.

Audit Findings und ihr Stellenwert

Regelmäßige Überprüfungen des ISMS sind notwendig, um Schwachstellen zu identifizieren und zu beheben. Denn ein Managementsystem ist nur so gut, wie es betrieben, gepflegt und kontrolliert wird. Die jährlichen Audits decken aber nicht nur Nichtkonformitäten des Managementsystems mit den Anforderungen der Norm ISO 27001 auf. Sie zeigen auch seine Wirksamkeit und ob es den firmeninternen Ansprüchen gerecht wird. Letztlich finden sich bei einem Audit oft auch Chancen zur Optimierung. Eine große Rolle spielen dabei unkritische Findings, also Befunde, die nicht zwangsläufig ein Sicherheitsrisiko darstellen. Sie liefern Ansatzpunkte für fortlaufende Verbesserungen des ISMS.

Dass dies auch vom Top-Management der Carl Zeiss Meditec AG erkannt wurde, spiegelt sich in der Aussage von Falk Hartwig, dem Standortleiter bei CZM, wider. Zu unkritischen Findings im diesjährigen Überwachungsaudit äußerte er gegenüber der Zertifizierungsstelle: „Hätte die Auditorin nichts gefunden, hätte ich mir auch echt Sorgen gemacht.“


Unabhängig von einer Zertifizierung hilft eine fortwährende Überwachung der IT- Architektur. Regelmäßige Audits minimieren das Risiko von unerkannten Sicherheitslücken und können zugleich verborgene Potenziale aufdecken. Erfahren Sie mehr dazu in unserem kostenlosen Webinar:

expertHUB online: AWS Well-Architected Review – In der Cloud den Durchblick behalten
Am 24.11.2020 um 11 Uhr


Ein Überwachungsaudit ohne Präsenztermine, geht das?

Natürlich unterlag das Überwachungsaudit in diesem Jahr auch den Auswirkungen der Corona-Pandemie: Um im Zertifizierungszyklus nicht in zeitlichen Verzug zu geraten, wurde es durch die Zertifizierungsstelle remote durchgeführt. Eine neue Audit-Erfahrung für alle Beteiligten, die jedoch durchweg positiv erlebt wurde. Es gab einen Auditplan im gewohnten Format, nach dem das Audit mit den einzelnen Ansprechpersonen durchgeführt wurde. Die Termine wurden jeweils durch die direkt gruppe begleitet. Das Abschlussgespräch fasste Jörg Marzel mit den Worten zusammen: „Die Bewertung der Auditorin war eine 1 mit Sternchen!“ Das macht uns, als begleitende Berater, sehr stolz.

Das Urteil des EuGH über die Ungültigkeitserklärung des Privacy-Shield-Abkommens wurde in diesem Jahr in der Vorbereitung auf das Überwachungsaudit ebenfalls diskutiert. Immerhin bewegt sich die Carl Zeiss Meditec AG mit ihrer Cloud-Plattform in einem hochsensiblen Umfeld, das stark reguliert ist. Es wurde dabei festgestellt, dass die Entscheidung des EuGH keine Auswirkungen auf die Produkte im Geltungsbereich des ISMS hat, da die Standardvertragsklauseln weiterhin bei effektiver Anwendung (Nachweispflicht) als Rechtsgrundlage für eine Datenverarbeitung in den USA dienen, wenn personenbezogene Daten von EU-Bürgern in den USA verarbeitet werden.

 

Fazit und Ausblick

Alle Beteiligten bestätigen: Ein konsequent und optimal an den Bedarf angepasstes ISMS ist letztendlich nicht nur wichtig für ein werbewirksames Zertifikat, sondern vor allem ein wirkungsvolles Instrument der Unternehmenssicherheit. Die Investition führt dank systematisch entwickelter und verbesserter Methoden und Standards nachweislich zu weniger Störungen im Betrieb. Außerdem werden Sicherheitsvorfälle reduziert und neue Produkte und Prozesse schneller etabliert. Am Ende zeigen die vorab definierte KPIs, dass der Return of Invest gegeben ist.

Die Corona-Pandemie hat die sukzessive Erweiterung des Geltungsbereichs des ISMS der Carl Zeiss Meditec AG 2020 zwar etwas verzögert, doch die langfristigen Ziele haben sich dadurch nicht geändert. Die Planung für die 2021 anstehende Re-Zertifizierung umfasst die Erweiterung des Geltungsbereichs um weitere Cloud-Computing-Produkte sowie den Aufbau autarker Informationssicherheitsmanagementsysteme in weiteren Ländern. Wir freuen uns darauf, das Unternehmen auch hierbei beratend zu unterstützen.


Nehmen Sie Kontakt auf, für ein unverbindliches Gespräch mit unseren Security-Experten!


 

Diesen Artikel teilen: