ISO 27001: Im Interview mit Oliver Schwarz, CISO & GRC Manager

Sie gehört für Rechenzentren zu den wichtigsten Normen überhaupt – die ISO 27001. Die entsprechende Zertifizierung ist für Kunden nicht nur ein Qualitätsmerkmal, sondern auch zentrales Entscheidungskriterium für oder gegen den Anbieter. Was hinter der Norm und dem umfangreichen Zertifizierungsprozess steckt, sehen wir uns heute zusammen mit Oliver Schwarz, Chief Information Security Officer (CISO) und Governance Risk und Compliance (GRC) Manager bei der EMC Home of Data, genauer an.

Oliver, als GRC Manager bist du die hauptverantwortliche Instanz, wenn es um die Einhaltung von Normen und regulatorische Vorgaben wie z.B. die ISO 27001 geht, - aber nicht nur. Erklär uns doch bitte, welche Funktionen du in unserem Unternehmen erfüllst.

Oliver Schwarz: Klar, gerne. Als GRC Manager bei EMC Home of Data bin ich für die Entwicklung, Implementierung und Überwachung unseres Informationssicherheitsmanagementsystems (ISMS) verantwortlich. Dazu gehören die Durchführung von Risikoanalysen, die Erstellung und Implementierung von Sicherheitsrichtlinien und die Sicherstellung, dass unsere Prozesse den idealen Ansatz zwischen Praktikabilität und Sicherheit bieten. Ich arbeite eng mit allen Abteilungen zusammen, um sicherzustellen, dass unsere Sicherheitsmaßnahmen eingehalten werden und ich bin als CISO auch der Hauptansprechpartner für interne und externe Audits. Es gibt eine Reihe an Zertifizierungen, die unser Rechenzentrum regelmäßig/jährlich durchläuft und die ich verantworte – die ISO 27001 Zertifizierung ist zwar eine der wichtigsten, aber nicht die einzige.

Warum ist die ISO 27001 Norm ein wichtiger Standard in der IT-Branche und somit auch für uns als Betreiber eines Rechenzentrums?

Oliver Schwarz: Die ISO 27001 bietet für Rechenzentren einen sehr guten Ansatz für Themenbereiche aus der Informationssicherheit wie z.B. die physische Sicherheit. Das beinhaltet unter anderem Zutrittsmethoden, Zonenkonzepte aber auch allgemeine Überwachungsthemen. Des Weiteren ist sie am Markt ein bekannter und besonders in der IT-Welt, ein anerkannter und geschätzter Standard, was wiederum eine gute Vertrauensbasis schafft – nicht nur national, sondern auch international.

Welchen Normen haben wir uns noch verpflichtet und wie ordnet sich die ISO 27001 ein?

Oliver Schwarz: Wir haben uns mehreren für uns wichtigen Standards verpflichtet, um unseren Kunden einen Service in maximaler Qualität bieten zu können. Neben der ISO 27001 gehören hierzu unter anderem die ISO 9001 (für Qualitätsmanagement), die DIN EN 50600 (eine spezifische Norm für Rechenzentren, die Design, Bau und Betrieb regelt) und auch die ISO 50001 (Energiemanagement für nachhaltigen und effizienten Betrieb)

Diese Normen oder auch Standards ergänzen sich recht gut und schaffen für uns ein sehr kompatibles und abgestimmtes Fundament für Sicherheit, Qualität und Nachhaltigkeit in unserem Rechenzentrumsbetrieb.

Wie oft wird die ISO 27001 Zertifizierung durchgeführt und welche Rolle spielst du dabei?

Oliver Schwarz: Die ISO 27001 Zertifizierung erfolgt immer in einem Dreijahres-Schedule. Sollte man hier ganz von Null starten, beginnt dies mit einer Erstzertifizierung. Da wir bereits seit mehr als 14 Jahren nach ISO27001 zertifiziert sind, trifft das auf uns nicht mehr zu. Stattdessen werden bei uns sogenannte Rezertifizierungsaudits und Überwachungsaudits durchgeführt und diese eben in einem Dreijahresrhythmus. Auf zwei Überwachungsaudits folgt im dritten Jahr eine Rezertifizierung.

Meine Rolle dabei? Kurz gesagt: Ich achte darauf, dass wir auch das einhalten und belegen können, wozu wir uns verpflichtet haben und darauf, uns und unseren Kunden ein möglichst hohes Maß an Sicherheit, Verfügbarkeit und Vertraulichkeit gewährleisten zu können.

Was sind die wesentlichen Schritte während des Zertifizierungsprozesses?

Oliver Schwarz: Platt gesagt ist das Audit ein Frage- und Antwortspiel. Natürlich gibt es einen formalen Ablauf mit klaren Schritten - von der Vorbereitung, über die interne Prüfung bis hin zum eigentlichen Audit. Wenn man sich aber nur darauf reduziert, macht man in meinen Augen etwas grundlegend falsch. Ein „Auditprozess“ darf nicht mit einem „Ach, bald ist Audit, schauen wir mal“ ins Rollen kommen. Es geht hier vielmehr um einen permanenten Ansatz, der dauerhaft in der Organisation verankert sein soll.

Welche Herausforderungen hast du während des diesjährigen Zertifizierungsprozesses erlebt?

Oliver Schwarz: Eine gewisse Komplexität und damit einen größeren Mehraufwand hatte das diesjährige Audit – aus zwei Gründen: Einerseits aufgrund der Tatsache, dass wir einen Versionssprung in der Norm hatten – und zwar von ISO 27001:2013 auf die neueste Version ISO 27001:2022.

Zum anderen war es die Thematik, dass wir unsere beiden neuen Rechenzentrumseinheiten (MUC II inkl. MuCon-X) in München sowie das neue Rechenzentrum in Rosenheim (RO I) in den ISO Scope mitaufgenommen haben. Das bedeutet dann doch einiges an Aufwand.

Über welche Teilbereiche des Unternehmens erstreckt sich die ISO 27001?

Oliver Schwarz: Bei uns ist diese Frage relativ simpel zu beantworten. Wir haben uns dazu entschieden, keine Abgrenzungen zu setzen. Soll heißen: der Scope ist vollumfänglich. Oder anders gesagt: die ISO 27001 umfasst alle Unternehmensbereiche, Abteilungen, Standorte und Mitarbeiter.

Was sind die Voraussetzungen, die ein Rechenzentrum erfüllen muss, um die ISO 27001 Zertifizierung zu erhalten?

Oliver Schwarz: Der wichtigste Schritt ist ein funktionierendes ISMS zu leben, das alle definierten MUSS-Anforderungen der Norm erfüllt. Ein solches ISMS enthält unter anderem: eine umfassende Risikoanalyse, diverse Sicherheitsrichtlinien, technische und organisatorische Maßnahmen, interne Audits und – das aus meiner Sicht wichtigste – ein klares Commitment aus dem Top-Management sowie ein hohes Maß an Transparenz gegenüber den Mitarbeitern, damit eben nicht nur Papier erzeugt wird, sondern auch alles gelebt werden kann, was darin festgelegt wird. Dieses Regelwerk bzw. ISMS wird dann im Rahmen von externen Audits durch eine unabhängige Zertifizierungsstelle überprüft.

Welche Vorteile bringt die ISO 27001 Zertifizierung für unsere Kunden?

Oliver Schwarz: Die ISO 27001 Zertifizierung ist ein international anerkanntes „Gütesiegel“, welches durch eine neutrale Zertifizierungsstelle ausgestellt wird - ähnlich wie wenn man sein Auto zum TÜV bringt. Unsere Kunden können damit sicher sein, dass ihre Daten bei uns nach den höchsten Sicherheitsstandards geschützt sind. Die Zertifizierung bietet ihnen ein hohes Maß an Vertrauen und kann so das Risiko von Sicherheitsvorfällen minimieren. Außerdem können unsere Kunden durch die Zusammenarbeit mit einem zertifizierten Rechenzentrum auch ihre eigenen Compliance-Anforderungen besser erfüllen. Insgesamt trägt die ISO 27001 Zertifizierung dazu bei, die Beziehungen und das Vertrauen zwischen uns und unseren Kunden zu stärken.

Wie stellst du sicher, dass die Anforderungen der ISO 27001 kontinuierlich erfüllt werden?

Oliver Schwarz: Da gibt es nur einen – wie ich meine – sinnvollen Ansatz:

• das Thema dauerhaft im Auge behalten und permanent daran arbeiten, sich zu verbessern,
• bei allen Kollegen ein Bewusstsein dafür schaffen, wieso und weshalb wir diese Dinge machen
• sowie ein regelmäßiger und offener Austausch mit dem Top-Management.

Wenn das gelingt, macht das Normen-Spiel sogar viel Spaß.

Gibt es noch etwas, das du unseren Lesern zum Thema ISO 27001 Zertifizierung mitteilen möchtest?

Oliver Schwarz: Wer sich den Aufwand macht, eine ISO 27001 Zertifizierung zu erlangen, sollte diese auch leben. Wer das nur für den Stempel und Zettel an der Wand macht, lässt es lieber sein.

Vielen Dank für das Gespräch und die wertvollen Einblicke, Oliver!