Risiken minimieren

„Wir schützen unsere Produkte und unser Know-how vor Missbrauch, Verlust und unerlaubter Änderung.“ Für Otto F. W. Herrmann, Managementbeauftragter der HDP GmbH steht Datensicherheit ganz oben auf seiner Liste. Das hat er jetzt auch schriftlich. Im April 2023 ist HDP nach eineinhalb Jahren Vorbereitung nach DIN ISO 27001 zertifiziert worden. Die Norm bescheinigt dem Unternehmen, dass es bei der Informationssicherheit internationale Standards erfüllt. „Das Zertifikat gilt für die gesamte HDP mit allen Cusa-Produkten und unserem Rechenzentrum“, sagt Herrmann. Es ist zunächst für drei Jahre gültig und wird jährlich überprüft.

Um dieses Ziel zu erreichen, muss eine ganze Reihe an Anforderungen erfüllt sein. Heiko Haas ist Teamleiter IT Infrastruktur & Technik bei HDP. „Das Regelwerk gibt 14 Referenzmaßnahmenziele und 114 Referenzmaßnahmen vor“, erklärt er. „Das beginnt bei organisatorischen Maßnahmen wie der Zutrittskontrolle und reicht bis hin zur Datensicherheit durch Verschlüsselung.“

Abläufe dokumentieren

Eine Zertifizierung nach ISO 27001 dient der Minimierung von IT-Risiken sowie als Sicherheitsnachweis gegenüber Kunden, Lieferanten und letztlich auch dem Gesetzgeber. „Dazu gehört natürlich auch das Thema Cyber-Sicherheit“, sagt Otto F. W. Herrmann mit Blick auf die jüngsten internationalen Entwicklungen. „Mit der Zertifizierung weisen wir nach, dass wir das Thema beherrschen und professionell handeln.“

In der Vorbereitungsphase gab es zwölf interne Audits, in der die zuvor erstellten Regelwerke Schritt für Schritt abgearbeitet wurden. Im April dieses Jahres nahmen schließlich zwei Auditoren diese Arbeit dreieinhalb Tage lang unter die Lupe.

„Wir nutzen die Norm, um unsere Abläufe sauber aufzubauen und zu dokumentieren“, sagt Heiko Haas.“ Wir nutzen diesen Katalog auch, um nichts zu vergessen.“ Das Thema Sicherheit werde ganzheitlich betrachtet und schließt auch Risikobewertungen zu eher unwahrscheinlichen Ereignissen wie Erdbeben oder Flugzeugabstürzen ein. Das sei Teil eines ganzheitlichen Risikomanagements, sagen Herrmann und Haas übereinstimmend. 

Qualität als Programm

„Wir wollen immer besser werden“, beschreibt Herrmann das dahinterstehende Ziel. Dazu dienen auch die weiteren Zertifizierungen, die HDP bereits durchlaufen hat. Das Qualitätsmanagementsystem nach ISO 9001 (seit 2001) gehört ebenso dazu wie das TÜV-Gütesiegel „Geprüfter Datenschutz“ (seit 2012), das Energieaudit nach DIN EN 16247-1 (seit 2019) oder die Produktprüfungen nach dem Prüfstandard des Instituts der Wirtschaftsprüfer IDW PS 880 für Cusa MuB und Cusa RuL (seit 2016). (Siehe dazu auch „Vertrauenswürdigkeit mit Zertifikat“ im SIGUV-Newsletter 1.2023)