20.11.2020
Die bluesource – mobile solutions GmbH ist seit Oktober 2020 nach ISO/IEC 27001:2013 zertifiziert und damit nach dem weltweit anerkannten IT-Sicherheitsstandard bewertet. Finanzielle Unterstützung gab es durch eine Förderung des Landes Oberösterreich. Dank des Netzwerks des IT-Clusters fiel auch die Wahl der externen Auditoren leicht. Wir haben mit Roland Sprengseis, Geschäftsführer von bluesource und Beiratssprecher-Stellvertreter im IT-Cluster, über Hürden, Augenöffner und neue Chancen auf dem Weg zur Zertifizierung gesprochen.
Welche Gründe waren ausschlaggebend, um die ISO-Zertifizierung anzustreben?
Unsere Firma hat sich in den letzten Jahren von einer App-Entwicklungsfirma, spezialisiert auf die Speicherung von Kundenkarten und Auftragsarbeiten, zu einem Fintech gewandelt, das hochspezialisierte Anwendungen im Bankenbereich bis hin zur Kontaktloszahlung anbietet. Da wir somit hochsensible Daten verarbeiten, ist uns Datenschutz und ein sensibler Umgang mit Daten ein absolutes Anliegen. Auch seitens der Kunden sind die Anforderungen an Datensicherheit entsprechend groß.
Wo lagen die größten Herausforderungen, um fit für die Zertifizierung zu werden?
Wir haben das ISM (Informationssicherheitssystem) von Grund auf neu aufgebaut. Sehr viele Prozesse in unserem Unternehmen wurden bereits gelebt, waren aber nicht dokumentiert. Einige Dinge haben uns allerdings gezeigt, dass wir noch ordentliche Schwachstellen hatten.
Wie hilfreich war die Förderung des Landes Oberösterreich auf dem Weg zur Zertifizierung? Welche Unterstützung gab es und welche Voraussetzungen benötigte es dafür?
Wir hatten uns das Projekt bereits im Jahr 2018 in den Kopf gesetzt. Bei der Digitalkonferenz SHFT des IT-Clusters habe ich dann Christina Haas von TogetherSecure kennengelernt, die uns durch diesen Prozess begleitet hat. Somit hat das Netzwerk schon einmal einen absolut positiven Effekt gehabt, da es Kontakt zum Dienstleister hergestellt hat. Ein internes Audit wurde von der Firma Limes-Security gemacht, die uns wiederum durch den Softwarepark Hagenberg empfohlen wurde. Wir konnten somit die handelnden Personen vorab kennenlernen und haben aus unserer Sicht eine tolle Entscheidung in der Auswahl der Dienstleister getroffen. Die Förderung selbst haben wir vollumfänglich genutzt. Wir benötigten Software-Lizenzen (HITGuard), mussten in Eigenentwicklungen und in so manche Hardware (Schließsystem) investieren. Außerdem konnten wir einen Teil der Auditkosten mit der Förderung abwickeln. Fairerweise müssen wir sagen, dass wir die Zertifizierung auch ohne Förderung gemacht hätten, jedoch hat es den (finanziellen) Schmerz ein wenig gelindert.
Welche Maßnahmen wurden gesetzt, um das Sicherheitsmanagement zu verbessern und die Qualität der eingesetzten Systeme zu optimieren?
Das auszuführen würde den Rahmen sprengen. Der Umzug in das neue Gebäude – Business Campus One in Hagenberg – hat aber die Zertifizierung um ein Vielfaches erleichtert. Durch das Produkt HITGuard werden wir in regelmäßigen Abständen daran erinnert, welche Systeme zu prüfen sind und was wir ausführen müssen, um ein erfolgreiches Re-Audit absolvieren zu können.
Was sind rückblickend die größten IT-Sicherheitsrisiken oder - Schwachstellen, die durch eine Zertifizierung aufgedeckt und behoben werden können?
Der Mensch. Die Zertifizierung sieht vor, dass Mitarbeiter bezüglich Informationssicherheit regelmäßig geschult werden. Jedes Papier, und sei es noch so golden, bringt nichts, wenn IT-Sicherheit nicht gelebt wird. Das ist in unserem Unternehmen der Fall, das von der Geschäftsführung bis zur Verwaltungsangestellten das Thema IT-Sicherheit mitträgt.
Gibt es bereits Vorteile, die Sie durch die Zertifizierung beobachten konnten?
Ja natürlich gibt es diese. Im schlimmsten Fall hätten alle unsere Bankkunden ihre eigenen Audits bei uns durchgeführt. Durch das Siegel können sich viele Banken ein eigenes Audit ersparen. Auch bei Ausschreibungen tun wir uns leichter, da die Systeme dokumentiert sind und wir viele Antworten auf sicherheitsrelevante Fragen direkt aus unserer Dokumentation herauskopieren können.
Wie wirken sich die neuen IT-Sicherheitsstandards auf den täglichen Betrieb aus?
Abseits von der Awareness haben wir auch eine neue Position geschaffen – die des Information Security Managers. Dieser kümmert sich um Sicherheitsfragen als auch Prozessthemen. Speziell das Prozessthema wird auch in der ISO 27.001 detailliert behandelt. Unsere Entwicklungsabteilung hat rege an der Zertifizierung und den Weg dorthin mitgearbeitet. Viele Dinge wurden ohnehin schon gelebt, da es Anforderungen unserer sicherheitskritischen Kunden waren. Die Entwicklung hat sich dahingehend verändert, als dass es nicht mehr gestattet ist, jegliche Software zu installieren oder Bibliotheken einfach in ein Kundenprojekt einzubinden, auch wenn sie eine Public-License haben. Hier muss inzwischen genau darauf geachtet werden, ob die Anforderungen unserer Sicherheitsstandards erfüllt werden. Auch werden Dokumente nicht mehr blind verteilt, sondern müssen gemäß einem Prozess klassifiziert und entsprechend der Klassifikation dann entsprechend verteilt werden. In Summe sehen wir den Nutzen vor den Einschränkungen, die sich durch die Zertifizierung ergeben haben.
Welche Learnings nehmen Sie aus dem Zertifizierungsprozess mit? Welche Tipps würden Sie den oberösterreichischen KMU mitgeben?
Datensicherheit ist ein brennendes Thema, mit dem man sich vom Mitbewerb abheben kann. Ob sich eine Zertifizierung dann tatsächlich für ein Unternehmen lohnt, muss man individuell entscheiden. Durch Umsetzung der DSGVO ist ohnehin jedes Unternehmen verpflichtet, sich dem Datenschutz zu unterwerfen. Wir müssen es halt schaffen, dass die strengen Datenschutzrichtlinien in Europa ein Asset und keine Bremse sind.
Welchen Unternehmen würden Sie die Zertifizierung empfehlen?
Allen, die mit sensiblen Daten arbeiten und deren Lösungen hochverfügbar sein müssen. Wir waren aufgrund der ISO Zertifizierung technisch sehr gut auf die Covid-19-Pandemie vorbereitet und der Wechsel ins Teleworking erfolgte reibungslos. Viele unserer Kunden, auch im Dienstleistungs- und Digitalbereich waren in dieser Situation extrem gefordert. Wichtig ist trotzdem gut abzuwägen, was einem Vorteile bringt und was einen eher behindert.
Über bluesource
bluesource – mobile solutions gmbh wurde 2001 gegründet und hat sich mittlerweile auf die App-Entwicklung für Banken, Finanzdienstleister, Versicherungen und Handel spezialisiert. Das Unternehmen arbeitet an Tools in den Bereichen Mobile Marketing, Mobile Payment und Mobile Commerce.
Das könnte Sie auch interessieren:
Rudolf Trauner Preis
für FH-Professor
Gleichbleibende Qualität
durch Big Data
FHOÖ Studierende gewinnen
WTUN-Hackathon 2023