Die Entscheidung, wie weit die eigene IT in die Cloud ausgelagert werden soll, stellt Unternehmen vor eine echte Vertrauensfrage. Eine Partnerwahl mit Tücken: Welchem IT-Dienstleister überträgt man die Verantwortung für die sensiblen Unternehmensdaten? Ein Sicherheits-Kriterium ist die Norm DIN ISO 27001. Mit dieser Zertifizierung ihres Informationssicherheits-Managementsystems nimmt die Reutlinger Terrabit in der IT-Systemhaus-Landschaft nun eine Vorreiterrolle ein. „Für uns ein weiterer Schritt zu mehr Transparenz und Qualität im IT-Sektor“, sagt Geschäftsführer Tobias K.N. Hahn.
„Mit der Zertifizierung nach DIN ISO 27001 unternimmt die Terrabit weit mehr, als es die gesetzlichen Standards Stand heute erfordern“, sagt Gregory Bertsch. Als Leiter Informationssicherheit ist er für die Einführung des Informationssicherheits-Managementsystems verantwortlich, dem zentralen Bestandteil dieser Norm. Während Qualitätsmanagement nach DIN ISO 9001 bei Unternehmen durchaus verbreitet ist, nimmt die Zertifizierung nach DIN ISO 27001 derzeit noch eine Sonderstellung ein.
Wie lässt sich Vertrauen messen?
Vor allem im Mittelstand seien definitiv Unsicherheiten vorhanden. Viele Unternehmen suchten nach einer Art Vertrauens-Siegel, bevor sie ihre Daten in die Hände eines IT-Partners gäben, erklärt Gregory Bertsch: „Weil wir in Bereichen wie Cloud-Computing, Managed Services und der ganzheitlichen Betreuung digitaler Infrastrukturen unterwegs sind, setzen wir mit der Zertifizierung ein deutliches Zeichen: Uns ist das Vertrauen unserer Kunden äußerst wichtig.“
Gerade in Zeiten der NSA-Affäre und Daten-Hacks spüre man die Bedenken hinsichtlich der Datensicherheit, stellt Bertsch fest: „Im Life-Science-Bereich, zum Beispiel bei der Impfstoffforschung, steht millionenschweres Wissen auf dem Spiel.“ Für KMU wird der IT-Dienstleister somit zum vertrauensvollen Geschäftspartner, er muss für die Sicherheit der Daten garantieren.
Schon seit einigen Jahren verbürgt sich die Terrabit mit der Auszeichnung „Cloud Services Made in Germany“ für die Einhaltung der vergleichsweise hohen Datenschutzstandards, wie sie in Deutschland gelten. Mit DIN ISO 27001 wurden die Anforderungen nochmals erheblich angehoben.
Geschäftsführer Tobias K.N. Hahn verweist auf die Strategie der Terrabit: „Ein logischer Schritt für transparente IT-Sicherheit: Anfang des Jahres haben wir mit der Übernahme der SecuLAN weiteres qualifiziertes Personal unter das Dach der Terrabit geholt. Jetzt haben wir nachgelegt und uns extern und unabhängig auditieren lassen.“
Ein Managementprinzip aus dem Flugzeug-Cockpit
Konkret werden bei ISO 27001 vergleichbare Prinzipen angewandt, wie sie auch Piloten bei der Gefahreneinschätzung im Cockpit nutzen: Plan, Do, Check, Act. Sprich: Nach einer umfangreichen Gefahrenanalyse werden Risiken bewertet, Maßnahmen eingeleitet und anschließend geprüft, ob die Situation entschärft wurde. Wenn nicht, ist nachjustieren angesagt. Informationssicherheit ist ein kontinuierlicher Prozess, wie Gregory Bertsch betont: „Die Zertifizierung ist keine einmalige Angelegenheit, sondern wird fortgeschrieben, quasi ein Kreislauf. Das ist gelebte IT-Sicherheit. Und zwar nicht nur vom Verantwortlichen für Informationssicherheit, sondern insbesondere vom gesamten Management und allen Mitarbeitern in ihren jeweiligen Bereichen.“
Die Umsetzung der Norm hat neben der umfangreichen Dokumentation auch weitreichende Folgen, darunter bauliche Maßnahmen: So wurden am Hauptsitz der Terrabit in Reutlingen sowie den Zweigstellen in Hamburg und Ulm Sicherheitsbereiche ausgewiesen, die nur speziell befugte und geschulte Mitarbeiter betreten dürfen.
Weitere Informationen zu Terrabit sind im Lösungskatalog verfügbar.