Informationssicherheit als Wettbewerbsvorteil – Praxisbeispiel 07

Modul: IT-Sicherheit

© Indevo GmbH, Rostock

Das Problem

Die Marine- und Automatisierungstechnik Rostock GmbH (MAR) ist seit 1996 mit innovativen und wirtschaftlichen Lösungen für ihre Kunden tätig. Als weltweit agierendes Unternehmen im High-Tech-Bereich verfolgt MAR verschiedene Digitalisierungsvorhaben, um wettbewerbsfähig zu bleiben und Kunden langfristig zu binden. Im Rahmen dieser Digitalisierungsstrategie nimmt der gezielte Aufbau eines zertifizierten Informationssicherheits-Managementsystems (ISMS) einen besonders hohen Stellenwert ein, da der Geschäftserfolg von MAR maßgeblich von einem sicheren IT-Betrieb abhängig ist.
In Verantwortung gegenüber Mitarbeitern und Kunden verfolgte das Unternehmen daher das Ziel, die firmeneigene IT-Infrastruktur auszuweiten und gemäß ­ISO 27001 zertifizieren zu lassen. Zur fachgerechten und finanziellen Unterstützung dieser Maßnahme entschied sich das Unternehmen für das Förderprogramm go-digital.

Die Lösung

Mithilfe des autorisierten go-digital-Beraters Indevo GmbH wurden die internen Daten und Werte des Unternehmens identifiziert und hinsichtlich der IT-Sicherheit an den marktseitig gestiegenen Kundenansprüchen ausgerichtet. Des Weiteren wurde bei der Vorbereitung der Zertifizierung nach ISO 27001 (Einführung eines ISMS) und nach ISO 27002 (Implementierung detailierter Kontrollmechanismen) unterstützt.
Im ersten Schritt fand eine umfassende Erstberatung zur Strategie- und Organisationsplanung statt. Diese umfasste die Definition des Anwendungsbereichs für das zu etablierende ISMS sowie eine Analyse zur Anwendbarkeitsprüfung und Bewertung bestehender Abläufe, Dokumente und Regelungen. Als nächstes erfolgte die Durchführung des IT-Sicherheitschecks sowie die Identifikation der relevanten Infrastruktur und des unternehmenseigenen Know-hows, wie beispielsweise Fachkenntnisse der Mitarbeiter in bestimmten technischen Bereichen oder spezifische Arbeitsprozesse. Nach der anschließenden Risikobetrachtung wurden die erkannten und bewerteten Risiken in einen Maßnahmenplan überführt. Darauf basierend erfolgte der Systemaufbau, indem die Normanforderungen dokumentativ und organisatorisch umgesetzt und durch erforderliche Schulungen begleitet wurden. Schwerpunkte bildeten hierbei die Erstellung eines ISMS-Handbuchs sowie die Einführung interner Verfahrensanweisungen und Kontrollmechanismen. Auch hierbei erhielt das Unternehmen Unterstützung durch den autorisierten Berater. Im letzten Schritt erfolgte die Prüfung des ISMS durch interne Audits der relevanten Prozesse.

Wir haben das Unternehmen dabei unterstützt, ein gesundes – also wirtschaftlich vertretbares – Maß an Informationssicherheit zu definieren und die eigenen Mitarbeiter sensibel und zugleich bestimmt auf diese Reise ­mitzunehmen.
Dr. Gerd Grytsch, Geschäftsführer Indevo GmbH

Das Ergebnis

Die Lösung bildet die Einführung eines ISMS, das durch den TÜV Süd erfolgreich nach ISO 27001 zertifiziert wurde. Das begünstigte Unternehmen profitiert von einer deutlich höheren Qualität der Informationssicherheit und der ausgeprägten Sensibilisierung beim Umgang mit Daten. Auch andere Bereiche des Unternehmens ziehen einen positiven Nutzen daraus, da ein ISMS eine breite und vor allem über die IT hinausreichende positive Auswirkung auf sämtliche organisatorische Prozesse hat.
Der Nachweis eines gültigen Zertifikats nach ISO 27001 sichert dem Unternehmen MAR das Aufrechterhalten langfristig bestehender Geschäftsbeziehungen. Zudem gilt dieses Zertifikat als Voraussetzung bei zukünftigen Auftragsvergaben. Eine Stabilisierung der Unternehmensziele und das stetige Wachsen des begünstigten Unternehmens ist somit gewährleistet. Schon während der Laufzeit des Projekts konnte das Unternehmen Verträge mit Kunden abschließen, die im wesentlichen kritische Infrastrukturen (Wasserver- und Abwasserentsorgung, Energieversorgung) aufweisen.
Auch zukünftig soll das ISMS als fester Bestandteil in den Unternehmensstrukturen verankert und in die Arbeitsprozesse der Mitarbeiter integriert werden. Dabei werden kritische Stellen, die im Rahmen der erfolgten Zertifizierung identifiziert wurden, beseitigt und der Prozess des ISMS mit einem Betreuungsaudit kontinuierlich fortgeführt. Außerdem werden alle Mitarbeiter im Rahmen der erarbeiteten Schulungsinitiativen in jedem Kapitel des gesamten ISMS-Handbuchs geschult und zusätzlich in regelmäßigen Arbeitsberatungen auf aktuelle, konkrete Bedrohungslagen vorbereitet.

Wir wurden während des gesamten Prozesses theoretisch und praktisch ausgezeichnet betreut. Dabei wurde uns nichts 'von der Stange' aufgezwungen, sondern punktuelle Akzente, angepasst auf unser Unternehmen, gesetzt.
Roman König, Geschäftsführer MAR