Achermann ICT-Services erlangt Gütesiegel für Informationssicherheit

Die Zertifizierungsstelle des Swiss Safety Center hat dem IT-Dienstleister Achermann ICT-Services bescheinigt, dass sein "Information Security Management System" (ISMS) nun nach ISO 27001:2013 zertifiziert ist. Und zwar nicht nur ein Teil des Unternehmens, sondern das ganze Dienstleistungsportfolio.

Die Zertifizierung weise aus, dass Arbeiten standardisiert ablaufen und die technische Umsetzung, Wartung und Pflege der Systeme klar geregelt sei. Die Organisation sei nun optimiert und die Sicherheitsrisiken minimiert, sagt Achermann ICT-Services.

"Die grösste Herausforderung im dreijährigen Vorbereitungsprozess lag darin, die zahlreichen informellen Prozesse visibel zu machen, zu analysieren und nachvollziehbar zu dokumentieren", sagt Sven Stillhardt, Leiter Projektmanagement & Business Development. Achermann ICT-Services habe dafür eine Geschäftsprozess-Landkarte entwickelt und so die Betriebsverfahren allen Mitarbeitern zugänglich gemacht.

Quelle: achermann.swiss

"Informationssicherheit bedeutet manchmal auch, Sicherheit über Effizienz zu stellen", sagt Stillhardt. "Um hierfür die nötige Sensibilität im Unternehmen zu schaffen, wurden verschiedene Workshops und Sensibilisierungskampagnen durchgeführt."

Die Redaktion wollte mehr wissen und hat Geschäftsführer Gregor R. Naef gefragt, was die Zertifizierung für die Firma bedeutet. Achermann ICT-Services beantwortete die Fragen schriftlich.

Was bedeutet die ISO-Zertifizierung für Achermann ICT-Services?

Gregor R. Naef: Für Achermann ist die erfolgreiche Zertifizierung ein wichtiger Meilenstein in der Firmengeschichte und unterstreicht den hohen Stellenwert, den das Thema Informationssicherheit innerhalb der Unternehmung geniesst. Neue Verordnungen wie die EU-DSGVO und die bevorstehende Revision des Schweizer Datenschutzgesetzes zeigen, dass im sicheren Umgang mit Daten in Unternehmen dringender Handlungsbedarf besteht. Dieser Verantwortung wollen wir uns stellen.

In der Schweiz gibt es nur wenige Betriebe, die diese Zertifizierung erlangen. Warum?

Als IT-Dienstleister mit rund 50 Mitarbeitern ist die Implementierung eines ISMS mit grossem personellen und finanziellen Aufwand verbunden. Das ist einer der Gründe, warum schweizweit nur wenige Betriebe dieser Grösse mit diesem Gütesiegel ausgezeichnet sind. Achermann identifizierte und quantifizierte in der dreijährigen Vorbereitungsphase zahlreiche Risiken. Anschliessend mussten die nötigen Massnahmen getroffen werden, um diese Risiken systematisch zu behandeln. Bereits dieser Prozess schafft Transparenz und Sicherheit im Umgang mit Informationen und Daten und damit auch Wettbewerbsvorteile.

Für welche Kunden ist diese Zertifizierung wichtig?

Eine ISO-27001-Zertifizierung stellt ein wichtiges Differenzierungsmerkmal dar. Einen IT-Dienstleister zu wählen, der eine ISO-27001-Zertifizierung vorweisen kann, ist grundsätzlich für all jene Kunden wichtig, die einen hohen Wert auf Datensicherheit legen. Hierzu zählen zum Beispiel Finanzdienstleister, die bereits heute Vorgaben der Regulatoren unterworfen sind – genauso wie Rechtsanwälte, Treuhänder, Ärzte oder Öffentliche Verwaltungen, die grosse Mengen vertraulicher Daten verarbeiten. Gleichzeitig wird bei der Auftragsvergabe – insbesondere beim Sourcing – immer häufiger ein Nachweis der Informationssicherheit verlangt, der mit ISO 27001 erbracht werden kann. Eine Zertifizierung des ISMS bestätigt, dass der Betrieb bezüglich Informationssicherheit höchste Standards erfüllt und Kundendaten technisch und organisatorisch gegen unbefugte Verarbeitung, Veränderung, Zerstörung und Verlust ab-gesichert werden. Auch für Kunden, die selbst auditiert werden bedeutet das einen entscheidenden Vorteil: Die IT-Sicherheit kann bequem an den Dienstleister ausgelagert werden.

Gregor R. Naef, Geschäftsführer von Achermann ICT-Services (Bild: Achermann ICT-Services)

Am 25. Mai ist die EU-DSGVO wirksam geworden. Was hat sich seither für Ihr Unternehmen verändert?

Bereits vor Inkrafttreten der EU-DSGVO hat sich die Geschäftsleitung intensiv mit dem Thema befasst und rechtliche Abklärungen getroffen, um zu eruieren inwiefern Achermann von der Verordnung betroffen ist und welche Massnahmen es zu ergreifen gilt. Auch wenn Achermann primär in der Schweiz domizilierte Unternehmen betreut, wurde es als notwendig erachtet, eine hohe EU-DSGVO-Compliance zu gewährleisten. Nicht zuletzt auch deshalb, weil mit der DSG-Revision ähnliche Anforderungen zu erwarten sind.

Wie haben Sie sich auf die neuen Datenschutzbestimmungen der EU vorbereitet?

Im Kontext mit der neuen Gesetzgebungen ist ISO 27001 als Grundlage für IT-Sicherheit relevant. Die Zertifizierung deckt einen wichtigen Teilbereich des Datenschutzes ab. Was den datenschutzkonformen Umgang mit personenbezogenen Daten im Marketing betrifft wurden diverse Sofortmassnahmen ergriffen, wie zum Beispiel die Aktualisierung der Datenschutzerklärung, Abschluss von Datenverarbeitungs-Verträgen und die Umgestaltung von Webformularen. Weitere Anpassungen stehen uns in den nächsten Monaten noch bevor.

Was waren die grössten Herausforderungen, die Sie überwinden mussten?

Die erste Herausforderung war, sich im Dschungel der Regelungen - und vor allem den teils wiedersprechenden Empfehlungen - zurecht zu finden. Die Umsetzung der EU-DSGVO und deren Auswirkungen führten teilweise zu absurden Diskussionen, wie zum Beispiel, ob die EU-DSGVO auch auf Namensschilder an Hauseingängen anwendbar ist. Für Schweizer Unternehmen kommt hinzu, dass die Revision des Schweizer Datenschutzgesetztes noch nicht abgeschlossen und somit der finale Gesetzestext noch nicht bekannt ist. Eine weitere Herausforderung war, die eigenen Datenverarbeitungen festzulegen und im Anschluss zu beurteilen, ob die EU-DSGVO und/oder das Schweizer Datenschutzgesetz anwendbar sind. Für all dies müssen personelle und finanzielle Ressourcen bereitgestellt und entsprechendes Know-how aufgebaut werden. Für ein mittelgrosses Unternehmen wie Achermann ein enormer Aufwand, dem wir uns jedoch stellen müssen.

Wo liegen heute noch Stolpersteine, wenn es um Compliance mit der EU-DSGVO geht?

Die Definition von organisatorischen Massnahmen und die Dokumentation von Datenverarbeitungsprozessen sind das Eine, die Umsetzung im Tagesgeschäft das Andere. Die Compliance im Tagesgeschäft ist viel wichtiger und nach unserer Erfahrung auch schwieriger zu erreichen. Die Sensibilisierung der Mitarbeiter ist dabei eine grosse Herausforderung, zum einen da Achermann 2018 ein starkes Wachstum verzeichnet hat und viele neue Mitarbeiter einstellen durfte, zum anderen, weil die datenschutzrechtlichen Reglungen für viele Mitarbeitende ein abstraktes rechtliches Thema darstellen. Eine einfache und verständliche Vermittlung der Regeln und korrekten Verhaltensweisen ist somit zentral. Gleichzeitig entstehen seitens der Mitarbeiter immer wieder Fragen, wie der Datenschutz in konkreten Situationen umgesetzt werden kann. Diese Fragen erlauben uns, neue Risiken zu entdecken und uns stetig zu verbessern.

Hat sich die Verordnung auf das Tagesgeschäft ausgewirkt?

Datenschutz und Informationssicherheit spielt generell eine wichtigere Rolle im Unternehmen. Hierzu musste zuerst ein Umdenken stattfinden, denn der effizienteste Weg ist nicht immer der Richtige. Es gab auch einzelne Fälle, bei denen Produkte (zum Beispiel Spamfilter) bei Kunden ersetzt werden mussten, da sie mit der neuen Datenschutzverordnung nicht mehr vereinbar waren. Zudem wurden auch neue Produkte ins Sortiment aufgenommen – und auch intern eingeführt – die helfen, Datenschutzverstösse zu verhindern. So ermöglicht beispielsweise Hosted Citrix Files den sicheren Datenaustausch von A nach B oder Hosted Secure E-Mail sorgt für die Verschlüsselung und Signierung von E-Mails.

Ist die EU-DSGVO für Unternehmen mehr Fluch oder Segen?

Datenschutz sehen wir als Pflicht, nicht als Option. IT-Dienstleister die nachlässig mit Ihren Daten umgehen oder Kunden verärgern werden früher oder später von der Bildoberfläche verschwinden. Aus diesem Grund sehen wir die EU-DSGVO und die Revision der Datenschutzgesetzgebung in der Schweiz als Chance, die Maturität im Unternehmen zu erhöhen. ISO 27001 war der erste Schritt dazu. Analog zur ISO-27001-Zertifizierung stellt die frühzeitige Umsetzung der gesetzlichen Vorgaben ein Differenzierungsvorteil gegenüber den Wettbewerbern dar.