Sicherheitsthemen spielen im Umgang mit Daten eine zentrale Rolle. Daher hat sich ORAYLIS nach ISO 270001, dem internationalen Standard für Informationssicherheit, zertifizieren lassen. Michael Althaus, Principal Project Manager und Informationssicherheitsbeauftragter bei ORAYLIS, erläutert die Hintergründe und Vorteile für Kunden.
Du bist zentraler Ansprechpartner für die Informationssicherheit bei ORAYLIS. Was bedeutet das? Welche Aufgaben umfasst deine Rolle?
Michael: Der Begriff „Informationssicherheit“ bringt bereits zum Ausdruck, dass es nicht nur um Virenschutz oder Anti-Phishing-Kampagnen geht. Unternehmen wie wir müssen in ganzheitlichen Konzepten denken, die jede Art von Daten und deren Nutzung absichert, egal ob analog oder digital. Dabei stehe ich auf der technischen Ebene im laufenden Kontakt mit unserer IT, die die betreffenden Systeme, Services und Prozesse bereits gut überwacht und kontinuierlich verbessert – immer mit dem Ziel, potenziellen Angriffen und Verstößen wirksame Barrieren entgegenzusetzen.
Zudem tausche ich mich mit unserem Datenschutzbeauftragten aus, um Informationssicherheit und Datenschutz in Einklang zu bringen. Nicht zuletzt bin ich direkter Ansprechpartner und Ratgeber für Abteilungen wie Marketing, Personal oder Delivery.
Warum ist Informationssicherheit für ein Unternehmen wie ORAYLIS überhaupt so wichtig?
Michael: Als Beratungshaus im Bereich Daten und KI ist Informationssicherheit für uns eine „intrinsische“ Motivation. Unsere Kunden müssen jederzeit darauf vertrauen können, dass ihre Daten bzw. Informationen bei uns in den besten Händen sind. Ein solches Vertrauen baut sich nur langsam auf. Bei einem Sicherheitsvorfall leidet es hingegen extrem. Vor diesem Hintergrund gilt es für uns, die bestmöglichen Vorkehrungen zu treffen.
Deshalb hat sich ORAYLIS nun nach ISO 27001 zertifizieren lassen?
Michael: Genau. Hinzu kommt: Einige Kunden sind in der Situation, dass sie vor dem Gesetzgeber ein gewisses Sicherheitsniveau bei sich sowie eingesetzten Dienstleistern wie uns nachweisen müssen. Dabei ist die ISO 27001 sozusagen der Gold-Standard unter den Zertifizierungen – ein unabhängiger Nachweis, der größtmögliche Qualität und kontinuierliche Verbesserung in Sicherheitsfragen garantiert. Uns hingegen bot die Zertifizierung die Möglichkeit, unsere Systeme und Prozesse noch einmal nach strengen Regeln und Vorgaben auf den Prüfstand zu stellen.
Sind die Anforderung der ISO 27001 tatsächlich so hoch?
Michael: Auf jeden Fall. Die ISO ist als Managementsystem zu betrachten, nicht nur als „einfache“ Zertifizierung. Für alle Bereiche im Unternehmen sind klare Vorgaben definiert, die nach der Umsetzung weiter geprüft und überwacht werden. Daraus ergibt sich schließlich ein Zyklus der kontinuierlichen Verbesserung, bei dem hohe Sicherheitsstandards, effektive Kontrolle und proaktive Fehlerbehebung Hand in Hand gehen.
Das komplexe Regelwerk einzuführen und mit Leben zu füllen, ist ein anspruchsvoller Weg, der auch künftig mit höheren Aufwänden einhergeht. Aber die Mühe lohnt sich: Bereits mit der initialen Implementierung haben wir spürbare Verbesserungen erzielt, obwohl wir bei ORAYLIS seit jeher zwei wachsame Augen auf das Thema haben.
Wie geht es nun weiter? Was muss getan werden, um die Zertifizierung auch künftig aufrecht zu erhalten?
Das gesamte Unternehmen ist jetzt gefordert, die eingeführten Regeln im Tagesgeschäft gemeinschaftlich zur Selbstverständlichkeit werden zu lassen. Das verlangt auch weiterhin nach ständiger Sensibilisierung und dem Engagement jedes Einzelnen. Sicherheit ist halt keine einmalige Leistung, sondern ein Dauerlauf. In einem Jahr werden wir erneut überprüft. In drei Jahren steht dann eine komplette Rezertifizierung an. Fest steht jedenfalls: Potenzielle Angreifer schlafen nicht. Deshalb dürfen auch wir niemals ruhen – für unser Geschäft und das unserer Kunden.
Kommentare (0)