Nach einer intensiven Arbeitsphase hat Yellowstar diesen Sommer die ISO-27001-Zertifizierung für Informationssicherheit erhalten. Sicherheitsbeauftragter Pablo Girardi erläutert die Bedeutung für sowohl das eigene Unternehmen als auch insbesondere für Kunden. „Für uns ist das mehr als nur ein Blatt Papier.“
Wie würden Sie das Wesentliche von ISO 27001 beschreiben?
„Das Bewusstsein für potenzielle Sicherheitsrisiken, das man damit erzeugt. Sowohl bei uns von Yellowstar selbst als auch bei unseren Kunden. Als Unternehmen haben wir uns selbst und unseren Kunden gegenüber die Verantwortung, für Cybersicherheit zu sorgen. Vor allem in der Welt, in der wir heute leben. In der vergangenen Corona-Zeit sind noch mehr Hintertürchen entstanden, die von Hackern genutzt werden können. Bei achtzig Prozent der Sicherheitsprobleme ist der Mensch die Ursache. Häufig durch ganz banale Dinge, wie das Anklicken von verdächtigen E-Mails, unsorgfältigen Umgang mit Passwörtern etc. ISO 27001 legt den Fokus auf Informationssicherheit und hilft dabei, die richtige Einstellung zu erzeugen, sich immer weiter darin zu verbessern. Damit beweisen wir dem Kunden, dass wir sicheres Arbeiten wichtig finden und uns der Risiken bewusst sind. Aber es hilft auch, unsere eigenen Lieferanten auf dieses Thema anzusprechen.“
Wie setzt Yellowstar ISO 27001 ein?
„ISO 27001 sorgt dafür, dass man als Unternehmen noch kritischer auf sich selbst schaut. Das machen wir sehr praxisorientiert. Zum Beispiel, indem wir vor der Inbetriebnahme einer Anwendung erst eine Checkliste mit Sicherheitsaspekten durchgehen. Oder indem wir bei der Bitte eines Kunden nach einer neuen Anwendung sofort kritisch überprüfen, welche eventuellen Folgen diese für Sicherheit oder Leistung haben könnte. Indem wir die Kunden dafür sensibilisieren, finden wir vielleicht andere, sicherere Lösungen.“
Wie garantieren Sie, dass ISO 27001 wirklich umgesetzt wird?
„Zuerst einmal würde ich sagen, durch die Art und Weise, wie wir den Erhalt von ISO 27001 angegangen sind. Wir haben uns für eine Bottom-up-Herangehensweise entschieden, von der Praxis hin zur Strategie. Wie arbeiten wir bei Yellowstar und welche Risikomanagementmaßnahmen passen dazu, sodass diese auch wirklich einen Effekt haben. Durch dieses Vorgehen hat es länger gedauert, als normalerweise bei einer ISO-Implementierung, aber innerhalb des Unternehmens wurde wirklich Aufmerksamkeit für das Thema geschaffen und die Strategie wird breit unterstützt. Von dem abschließenden Audit haben wir für die Herangehensweise ein großes Kompliment bekommen.“
Wie geht es weiter, jetzt wo das ISO-27001-Zertifikat erhalten wurde?
„Auf allen Ebenen innerhalb von Yellowstar richten wir ständig die Aufmerksamkeit auf Sicherheit und Sicherheitsrisiken. Das Thema steht regelmäßig in Blogs im Fokus, kommt bei internen Sitzungen zu Sprache und steht jede Woche beim Managementteam auf der Tagesordnung. Außerdem prüfen wir die alltägliche Praxis. Zum Beispiel durch Penetrationstests, die auf die Sicherheit der Infrastruktur ausgerichtet sind. Aber wir verschicken auch ab und zu gefälschte Phishing-Mails, um zu sehen, was passiert. Dadurch wird das Thema wirklich konkret. Sicherheit ist nicht irgendwas Abstraktes.“
Ist das ISO-27001-Zertifikat von Yellowstar einzigartig?
„Für Unternehmen von der Größe von Yellowstar ist der Erhalt von ISO 27001 nichts, was jedem Unternehmen einfach so gelingt. Es ist eines der schwierigeren ISO-Zertifizierungsprojekte. In dieser Hinsicht ist es wirklich etwas Besonderes. Zugleich wird es von den Kunden immer mehr zur Voraussetzung gemacht. Ich persönlich finde es großartig, dass wir uns die Zeit genommen haben, die Zertifizierung wirklich gut anzupacken. Das ist wohl einzigartig. Es zeigt, dass wir Informationssicherheit als Unternehmen wirklich ernst nehmen. Für uns ist das mehr als nur ein Blatt Papier.“