ekom21 hält BSI-Zertifizierung aufrecht

Überwachungsaudit erneut erfolgreich bestanden

Freuen sich über das erfolgreiche Bestehen des zweiten Überwachungsaudits: Gabriele Büsse (Unternehmensbereichsleiterin IT-Operations,  Bildmitte), ekom21-Geschäftsführer Bertram Huke (rechts) und der Sicherheitsbeauftragte Bastian Schäfer

Besonderheiten

Die aktuelle Situation in Deutschland hinsichtlich des Corona-Virus erforderte in diesem Jahr einige veränderte Arbeitsabläufe. Um den Vorgaben von Bund und Land zu entsprechen und die bestmögliche Sicherheit für alle Beteiligten zu schaffen, fand das BSI-Überwachungsaudit im Rahmen der Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz vom 27. bis 29. April 2020 per Fernzugriff bzw. Videokonferenz statt.

Diese Art des Audits war durchaus mit den bisherigen Vor-Ort-Audits vergleichbar. Die angeforderten Dokumentationen und Nachweise zu technischen und organisatorischen Sicherheitsmaßnahmen konnten – trotz digitaler Durchführung – ohne Einschränkungen umfassend geprüft werden. Die Interviews mit Mitarbeitenden wurden per Videokonferenz standortübergreifend durchgeführt.

Auch wenn der digitale Prüfungsablauf einige Vorteile mit sich brachte, weil etwa Rüst- und Reisezeiten entfallen sind, so verlangte diese Art der Prüfung von allen Beteiligten ein hohes Maß an Achtsamkeit und Konzentration.

Prüfung und Ergebnis

Der Untersuchungsgegenstand umfasste in Summe die informationstechnischen Anlagen, Prozesse und Lösungen der ekom21 an den Standorten Darmstadt, Gießen und Kassel, die zur Erbringung der ASP-Dienstleistungen erforderlich sind. Aufgrund der durchgeführten Prüfungen wurde im Ergebnis festgestellt, dass der Untersuchungsgegenstand die Anforderungen der ISO 27001-Zertifizierung auf Basis von IT-Grundschutz erfüllt. Damit hält die ekom21 das begehrte BSI-Zertifikat mit einer Gültigkeitsdauer bis zum Jahr 2021 aufrecht.

Dementsprechend positiv äußerte sich der Auditor: „Die ekom21 besitzt weiterhin ein effektives Sicherheitsmanagement, welches für die optimale Anwendung der etablierten Prozesse im Tagesgeschäft sorgt. Alle Richtlinien und Handlungsanleitungen werden in den Fachabteilungen im Tagesgeschäft befolgt. Dies wurde in den Interviews nachgewiesen. In allen Interviews wurde der Eindruck vermittelt, dass die aufgestellten Regularien und etablierten Prozesse von den Mitarbeitern als sinnvoll und hilfreich erachtet werden. … Alle Interviewpartner in den Einzelgesprächen sind auch in diesem Audit fachlich äußerst kompetent aufgetreten. Alle Fragen des Auditors konnten sofort oder zeitnah beantwortet werden. Alle vorgezeigten im Einsatz befindlichen Tools waren sinnvoll eingesetzt. Der Gesamteindruck ist äußerst professionell“.

Langer Weg

Im Jahr 2009 wurde zum ersten Mal der ekom21 das ISO 27001-Zertifikat durch das BSI verliehen. Seit dieser Zeit ist sie berechtigt, das anerkannte Siegel durchgängig zu führen. Hierfür wurden drei Re-Zertifizierungen und jährliche Überwachungsaudits erfolgreich absolviert. Aber auch der IT-Grundschutz hat schon einen langen Weg hinter sich: Seit inzwischen mehr als 25 Jahren beleuchtet das BSI neue Themen und Entwicklungen in der Informationssicherheit und entwickelt mit dem sogenannten Grundschutz-Kompendium praktikable Sicherheitsempfehlungen für Unternehmen. Die Edition 2020 enthält mittlerweile insgesamt 96 IT-Grundschutz-Bausteine mit jeweils durchschnittlich 20 Anforderungen, die sich nicht nur mit technischen, sondern auch mit infrastrukturellen, organisatorischen sowie personellen Aspekten der IT-Sicherheit befassen.

Wie dynamisch sich die Prüfinhalte des BSI entwickeln, lässt sich durch den Vergleich zur vorherigen Edition auch quantitativ messen: Alleine bei den Anforderungen in den einzelnen thematischen Bausteinen gab es 1.700 Änderungen. Dazu stehen die Digitalisierungsprojekte von Beginn an im Fokus, um neue Technologien sicher betreiben zu können, die gerade jetzt mehr denn je Anwendung finden. Auch grundlegende Bereiche, wie Netzsicherheit, werden um Schutzmaßnahmen gegen Cyber-Angriffe ergänzt und wichtige Themen, wie die Sensibilisierung der Mitarbeitenden zu Sicherheitsfragen, adressiert.

Ausblick

Im kommenden Jahr läuft das bestehende Zertifikat der ekom21 aus, was eine erneute Re-Zertifizierung auf Basis des modernisierten Grundschutzes notwendig macht. Somit erwarten den hessischen IT-Dienstleister tiefgehende Prüfungen, auf die sich bereits jetzt intensiv und fachübergreifend vorbereitet wird.

Bereits im letzten Jahr hat die ekom21 einen ersten Schritt zur Migration auf das neue IT-Grundschutz-Kompendium vorgenommen, indem einige Bausteine bereits auf dem neuen Niveau bearbeitet wurden. Ziel in diesem Jahr ist, die Anforderungen der neuen Edition vollständig umzusetzen.

Damit gehört die ekom21 nach wie vor zu den ersten öffentlichen Rechenzentren deutschlandweit, die diesen Standard realisieren.

 Zusatzinformationen

 Bedeutung der Zertifizierung

Die international anerkannte Norm ISO/IEC* 27001 ist ein sicheres Zeichen für vertrauenswürdige IT-Dienstleister (*IEC steht für International Electrotechnical Commission und ist die Bezeichnung für die international publizierte Norm. Normen, die gemeinsam mit der „Internationalen Organisation für Normung“, kurz ISO, entwickelt werden, erhalten daher die Präfixe beider Organisationen.)

Zuständig für die Vergabe des ISO 27001-Zertifikats auf der Basis von IT-Grundschutz in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI stellt mit seinen strengen Richtlinien mittels der IT-Grundschutzkataloge inzwischen einen De-Facto-Standard für IT-Sicherheit dar.

Das dauerhafte Erreichen der Zertifizierungsziele bedeutet für die ekom21 eine enorme Anstrengung: Seit mehreren Jahren werden bauliche und organisatorische Maßnahmen an allen Standorten durchgeführt, um den steigenden Sicherheitsanforderungen der IT-Infrastrukturen zu entsprechen.

Mit den komplexer werdenden Prozessen und wachsenden Bedrohungen von außen auf sensible Datenbestände steigen auch die Anforderungen an die Ressource „Mensch“: Denn nur durch Wissen und Engagement der Belegschaft können effektive Steuerungsmechanismen vorangetrieben werden, um den höchsten Schutz der Informationen in allen Phasen der Datenverarbeitung zu bieten.