HEC Blog: Aus der HEC
Ein Mann klettert aus einem Laptop
Verfasst von Annekathrin Gut am 30. August 2021
Agilität und Normen - passt das?

ISO 27001: Mehr Schutz für Informationswerte

Normen und Stan­dards gelten gemein­hin als das Gegen­teil von Agili­tät und Flexi­bi­li­tät. Wie kann also ein Unter­neh­men wie die HEC, das nach agilen Metho­den Indi­vi­du­al­soft­ware entwi­ckelt, den Anfor­de­run­gen einer inter­na­ti­o­na­len Sicher­heits­norm wie der ISO 27001 entspre­chen? Daran hat Martin Dolhs, Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter der HEC, rund ein Jahr lang getüf­telt. Unter­stützt haben ihn weitere HEC Kolleg:innen und der zerti­fi­zierte ISO-27001-Audi­tor Andreas Kirch­ner von der abat AG. Das Ergeb­nis ist ein Infor­ma­ti­ons­si­cher­heits-Mana­ge­ment­sys­tem (ISMS), das das agile Vorge­hen möglichst genau beschreibt und verbind­lich in die Entwick­lungs­a­r­beit inte­griert.

Wofür sorgt die ISO 27001?

Seit Juli 2021 ist die HEC von der DEKRA für die ISO 27001 zerti­fi­ziert. Diese Norm hat das Ziel, die „Informationswerte“ eines Unternehmens zu schützen. „Dazu gehört jegliche Information, die für das Unternehmen einen Wert hat“, erklärt Martin Dolhs. „In unserem Falle ist das die von uns erstellte Software, unsere Daten sowie die Daten unserer Kunden, das Wissen in unseren Köpfen usw.“

Die ISO 27001 beschreibt Maßnah­men, die Unter­neh­men ergrei­fen können, um die Infor­ma­ti­ons­si­cher­heit zu verbes­sern. Zentra­ler Bestand­teil ist der Betrieb eines ISMS. Damit ist kein Soft­ware-System gemeint, sondern eine Syste­ma­tik, die Unter­neh­men anwen­den, um die Infor­ma­ti­ons­si­cher­heit zu gewähr­leis­ten und zu verbes­sern.

Schaubild des Integrierten Managementsystems der HEC

Warum ist die Norm so wich­tig?

Miss­brauch oder Dieb­stahl von Infor­ma­ti­o­nen – dieses Risiko will kein Unter­neh­men einge­hen. Deren Sicher­heit zu gewähr­leis­ten ist gerade für Dienst­leis­ter wie die HEC ein wich­ti­ges Ziel. „Zusätz­lich haben wir beschlos­sen, unser ISMS auszu­bauen und zerti­fi­zie­ren zu lassen“, sagt Martin Dolhs.

Mitt­ler­weile fragen immer mehr Kunden in Ausschrei­bun­gen nach der Zerti­fi­zie­rung gemäß ISO 27001. „Wir gehen davon aus, dass solche Anfra­gen zukünf­tig weiter anstei­gen werden“, so Dolhs. „Außer­dem hoffen wir, dass die Kunden unse­rer Arbeit ein höhe­res Vertrauen schen­ken werden, zum Beispiel in Bezug auf unse­ren Umgang mit Kunden­da­ten, die Sicher­heit der von uns erstell­ten Soft­ware oder die Verläss­lich­keit unse­rer Arbeit.“

Die Umset­zung: Vertrauen vs. Über­wa­chung

Für die HEC als agiles Unter­neh­men ist Vertrauen eine wich­tige Grund­lage bei der Zusam­me­n­a­r­beit. „Ung­lü­ck­li­cher­weise erwähnt die ISO 27001 das Wort Vertrauen an keiner Stelle“, muss­ten Dolhs und sein Kollege Leroy Stocker, der ihn bei dem Vorha­ben unter­stütze, fest­stel­len. „Statt­des­sen ist die Rede von Über­wa­chung, Messung, Analyse und Bewer­tung.“

Die ISO 27001 benennt recht viele – genau gesagt: 114 – Maßnah­men, die ein Unter­neh­men umset­zen oder zumin­dest behan­deln muss. Die HEC bewer­tete dahin­ge­hend Risi­ken, leitete Maßnah­men ab und verfasste verbind­li­che Richt­li­nien. Das alles mit der Idee, dass kein admi­nis­tra­ti­ver Wasser­kopf entste­hen sollte, der jede agile Flexi­bi­li­tät zunich­te­macht.

So wurden – und werden auch weiter­hin – beste­hende Prozesse erwei­tert, um die gefor­der­ten Nach­weise erbrin­gen zu können. Ein Beispiel ist die „Defi­ni­tion of Project Initia­tion“ (DOPI), der einheit­li­che Quali­täts­s­tan­dard, nach dem Soft­wa­re­ent­wick­lungs­pro­jekte in der HEC gest­ar­tet werden. Hinzu kommt die Abstim­mung mit den Expert:innen für den Daten­schutz und für die Quali­täts­richt­li­nie ISO 9001, um doppelte Arbeit und wider­sprüch­li­che Anfor­de­run­gen zu vermei­den.

Die ISO mag den Team­ge­dan­ken!

Beson­ders freuen sich Martin Dolhs und Leroy Stocker darüber, dass die Audi­to­ren die agilen Prozesse und den Gedan­ken der Team­ver­ant­wor­tung unter­stütz­ten. „Wir wurden sogar aufge­for­dert, dies in unse­rem Leit­bild noch deut­li­cher hervor­zu­he­ben. Das finde ich bemer­kens­wert, weil Verant­wor­tung gerade in Normen als nicht teil­bar ange­se­hen und daher auf eine Person fokus­siert wird.“ Die Wirk­sam­keit des ISMS wird dazu künf­tig in regel­mä­ßi­gen Audits über­prüft. Noch mehr als bislang müssen Projekt­teams Prozesse doku­men­tie­ren und Nach­weise erbrin­gen, also rele­vante Ereig­nisse und Entschei­dun­gen proto­kol­lie­ren. „Das zieht eini­ges an admi­nis­tra­ti­vem Aufwand nach sich“, so Dolhs. „Unser Ziel ist es aber, diesen Aufwand möglichst gering zu halten und auf vorhan­de­nen Prozes­sen aufzu­bauen.“

     

Mehr Informationen über Informationssicherheitsmanagement:

Beratung Energieversorger