deZem System: Bestens geschützt durch ISO 27001
Im Gespräch mit unserer Verantwortlichen für Informationssicherheit, Dr. Cornelia Kappler
Seit Juli 2024 ist die deZem GmbH nun ISO 27001 zertifiziert. Was bedeutet diese Zertifizierung konkret, wie lief der Prozess ab und welche Herausforderungen ergaben sich dabei? Darüber haben wir mit unserer Verantwortlichen für Informationssicherheit, Dr. Cornelia Kappler, gesprochen.
"Die ISO 27001-Zertifizierung bescheinigt, dass deZem ein umfassendes Managementsystem für Informationssicherheit betreibt."
deZem:
Betrachten wir jetzt einmal genauer, was es mit “Managementsystem für Informationssicherheit” auf sich hat und nehmen den Begriff etwas auseinander. Es geht um “Informationssicherheit”. Was umfasst das eigentlich?
Cornelia Kappler:
Grundsätzlich geht es, klar, darum “Informationen” zu schützen, z.B. gegen Hackerangriffe, Naturkatastrophen, oder auch gegen versehentliche Manipulationen. Es geht dabei sowohl um Daten - also z.B. die Messwerte in unserem System (immerhin 35 Millionen neue Werte pro Tag!) als auch die Systeme, in denen die Daten behandelt werden - also unsere Edge Computer, die deZem Plattform und unsere Energiemanagement Software, die deZem DataSuite - dahinter stecken über 100 Virtuelle Maschinen, die wir in mehreren Rechenzentren betreiben. Also da ist ganz schön was zu schützen!
Unsere “Schutzziele” sind dabei genau festgelegt: Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen sollen geschützt werden. Das bedeutet: nur berechtigte Personen oder Systeme dürfen Daten einsehen oder ändern; die Daten sind korrekt, und die Systeme laufen, so dass Nutzer jederzeit darauf zugreifen können. Die englische Abkürzung der Schutzziele Confidentiality, Integrity und Availability ist übrigens CIA. Sehr einprägsam und praktisch.
deZem:
Auch wir in der Marketingabteilung waren bei der Einführung von ISO 27001 involviert – unter anderem mit verschärften Vorgaben zum Umgang mit unseren PCs und Passwörtern. Du hast dazu mehrere Schulungen durchgeführt. Könntest du kurz erklären, wie ein solches “Managementsystem für Informationssicherheit“ in der Praxis funktioniert?
Cornelia Kappler:
Es geht um den systematischen Ansatz. Wir haben alle Daten und Systeme nach einem Schema erfasst und mit den immer gleichen Maßnahmen belegt, z. B. zu den Themen Verantwortlichkeiten, Zugangskontrolle, Aktualisierung, Überwachung, Umgang mit Störungen usw.
Ein weiterer wichtiger Punkt ist die ständige Verbesserung der Informationssicherheit (der bekannte PDCA Zyklus), zum Beispiel durch Lernen aus Fehlern - die sind sozusagen eine willkommene Quelle von Hinweisen, wie das System verbessert werden kann. In der Praxis bedeutet das zum Beispiel nicht nur eine laufende Überwachung der Systemgesundheit, die schnelle Reaktion auf Probleme und ein promptes Beheben von Schwachstellen - sondern immer auch eine Analyse aller dieser Auffälligkeiten, um daraus weitere Verbesserungen abzuleiten.
Und daran sieht man einen weiteren interessanten Punkt: Informationssicherheit ist kein Zustand, den man einmal erreicht und dann ist man fertig. Vielmehr muss man ständig daran arbeiten: Es gibt neue Technologien, neue Angriffsmethoden, das deZem System entwickelt sich ständig weiter - und die Informationssicherheit muss sich mitentwickeln, um “CIA” sicherzustellen. Das ist genauso wie bei Energiemanagement oder (unser prosaisches deZem-Lieblingsbeispiel) beim Staubwischen. Kaum hat man einmal durchgewischt, kann man vorne wieder anfangen…..
deZem:
Die Informationssicherheit war bei deZem ja schon immer ein wichtiges Thema, nun kam mit der ISO 27001-Zertifizierung noch der systematische Ansatz hinzu. Was waren denn die interessantesten Erkenntnisse aus der intensiven Arbeit der letzten Monate?
Cornelia Kappler:
Ich bin ja, unabhängig von deZem, viel als externe Auditorin für die ISO 27001 unterwegs und kenne die Kraft, die die Umsetzung dieser Norm entfalten kann. Und auch bei deZem war nochmal großartig zu sehen, wie viel Potential in dem systematischen Ansatz steckt - und das, obwohl wir, wie gesagt, Informationssicherheit schon lange im Fokus haben. Wir haben alle Ecken ausgeleuchtet und noch das eine oder andere gefunden, das verbessert werden kann - und wurde! Wir haben jetzt einen sehr guten Überblick über alle Risiken, die unsere Informationssicherheit bedrohen - und sind natürlich dabei, sie weiter zu reduzieren.
Zusammengefasst: Wir und die deZem Kunden können jetzt begründet darauf vertrauen, dass unsere Systeme den Missetätern dieser Welt die Stirn bieten und alle Daten darin geschützt sind - und auch, wenn sich die Sicherheitssituation weiter verschärft - wir behalten die Lage im Griff!
deZem:
Das ist doch ein großartiges Schlusswort, Cornelia. Vielen Dank für deine Zeit und die interessanten Einblicke.
deZem:
Cornelia, wir haben bei deZem nun ein ISO 27001 Zertifikat für ein “Managementsystem für Informationssicherheit” - ein etwas sperriger Begriff. Ich frage gleich noch einmal genauer, was es damit auf sich hat. Aber erst einmal: die Vorarbeit für die Zertifizierung war ja immens. Der Stresspegel des verantwortlichen Teams ist über die letzten Monate kontinuierlich gestiegen und irgendwie war jeder bei deZem von der Einführung betroffen. Warum noch gleich haben wir uns diese Arbeit gemacht?
Cornelia Kappler:
Richtig, der Aufwand war heftig! Wir haben uns über ein Jahr auf die Zertifizierung vorbereitet, an der Stelle ein großer Dank an das deZem Informationssicherheitsteam - und das deZem-Team insgesamt, das immer mitgezogen hat! Und: es hat sich gelohnt! Denn unsere Kunden übergeben uns ihre Daten und müssen darauf vertrauen können, dass die Daten in unserer Cloud-Plattform sicher sind und dass unser System Hackerangriffen und anderen Widrigkeiten trotzt. Wir sorgen natürlich schon seit Jahren intensiv für Informationssicherheit in unseren Systemen. Aber der offizielle Stempel, also eine ISO 27001 Zertifizierung, wird immer mehr zur “licence to do business” (Der Ausdruck ist nicht von mir - vielen Dank an den geschätzten Urheber).
"Wir haben uns über ein Jahr auf die Zertifizierung vorbereitet, an der Stelle ein großer Dank an das Informationssicherheitsteam"
