"Unsere großen Kunden legen sehr viel Wert auf IT-Sicherheit"

Das Thema IT-Sicherheit spielt für PROSTEP nicht erst seit dem NSA-Skandal eine wichtige Rolle. Um das nach außen noch deutlicher zu machen, lässt sich das Unternehmen nach ISO 27001 zertifizieren. Dr. Rainer Bugow, technischer Leiter von PROSTEP, erläutert den Nutzen der Zertifizierung für die eigene Organisation und für die Kunden.

Frage: Herr Bugow, warum brauchen wir eigentlich eine Norm zur IT-Sicherheit? Ist das nicht schon durch die Qualitätsnormen abgedeckt?

Bugow: In der ISO 27001 steht relativ konkret drin, was ein Unternehmen zu tun hat, um die Informationssicherheit zu garantieren, z. B. dass das es einen Verantwortlichen haben muss, der sich um die Informationssicherheit einschließlich der IT Security kümmert und der auch Möglichkeiten hat, in das Geschäft einzugreifen. Es wird überprüft, wie man mit vertraulichen Informationen umgeht und ob man dabei die Bestimmungen zum Datenschutz einhält. Im Unterschied dazu bescheinigt die IOS 9001 nur, dass ich meine Prozesse so lebe wie ich sie definiert habe, aber nicht ihre Sinnhaftigkeit.

Frage: PROSTEP wird wohl im Herbst die Zertifizierung erhalten. Was genau bescheinigt sie dem Unternehmen?

Bugow: Dass unsere Organisation den Anforderungen der Norm entspricht, nicht nur was die aktuellen und stetigen Verbesserung in puncto Sicherheit der IT-Systeme, sondern auch was das Verhalten der Mitarbeiter angeht. Wenn sie ihr Büro verlassen, dürfen z. B. keine personenbezogenen Daten mehr auf dem Schreibtisch liegen. Das hat weniger mit IT-Sicherheit, als mit der Awareness der Benutzer zu tun. Und wenn Kunden uns vertrauliche oder geheime Informationen zur Verfügung stellen, müssen wir sie entsprechend klassifizieren und gegebenenfalls verschlüsseln bzw. im Falle von geheimen Papierdokumenten in einen separaten Tresor aufbewahren.

Frage: Die Regeln betreffen also nicht nur die IT-Systeme, sondern die gesamte Organisation bis hin zur Papierablage? Was ist mit Ihren Produkten?

Bugow: Unsere Produkte werden insofern betrachtet, als wir eine Richtlinie für die sichere Entwicklung haben und unsere Software zum Teil durch externe Auditoren überprüfen lassen. Wenn es sich um kundenindividuelle Lösungen handelt, dann gehört auch dazu, dass wir zum Beginn der Entwicklung eine Sicherheitsbetrachtung machen. Der Prozess der Projektsoftware-Entwicklung ist also Bestandteil der Zertifizierung. Wir schützen unsere Software, aber wir können natürlich nicht die Verantwortung für den Betrieb und die IT-Sicherheit beim Kunden übernehmen.

Frage: Warum legt PROSTEP so viel Wert auf die ISO 27001-Zertifizierung? Ist das eine Kundenanforderung?

Bugow: So ist es. Der Zertifizierungsprozess hat gezeigt, dass wir vorher schon sehr sicher unterwegs waren, aber wir müssen das gegenüber unseren Kunden auch nachweisen können. Dafür brauchen wir das Zertifikat.

Frage: Ist das im Wesentlichen eine Kundenanforderung aus der Automobilindustrie?

Bugow: Es sind in der Regel die großen Automobilhersteller, die das von uns erwarten. Sie wollen in der Zulieferkette das gleiche Sicherheitsniveau beim Umgang mit vertraulichen Daten erreichen wie im eigenen Haus. Das geht so weit, dass wir auch unsere Lieferanten verpflichten müssen, entsprechenden Sicherheitsrichtlinien zu folgen. Die Zertifizierung ist für ein Unternehmen unserer Größe noch ungewöhnlich und eigentlich nur deshalb erforderlich, weil wir mit so großen Kunden zusammen arbeiten.

Frage: Wie viele deutsche Unternehmen sind überhaupt nach ISO 27001 zertifiziert?

Bugow: Im Jahr 2012/13 waren es hierzulande nicht mehr als 600 Unternehmen, was im internationalen Vergleich nicht viel ist. Mittlerweile dürfte ihre Zahl aber deutlich höher liegen, weil immer mehr Großunternehmen von ihren Partnern die Zertifizierung verlangen, um die IT-Sicherheit bei der Zusammenarbeit zu gewährleisten.

Frage: Ist die Automobilindustrie hier besonders anspruchsvoll oder wird die Forderung auch in anderen Branchen laut?

Bugow: Die Anforderungen kommen im Wesentlichen aus dem Automobilbau und der Luftfahrtindustrie. Airbus hat hier ganz ähnliche Ansprüche, wenn man als Zulieferer in der ersten Liga mitspielen will. Die Unternehmen in anderen Branchen hingegen sind noch nicht soweit - sie können eher von unseren Erfahrungen bei der Umsetzung von ISO 27001 profitieren.

Frage: Wie aufwendig ist der Zertifizierungsprozess? Was mussten Sie alles verändern?

Bugow: Da wir operativ schon gut vorbereitet waren, bedeutete die Zertifizierung für uns vor allem viel Formalkram. Wir mussten mehr als 20 neue Sicherheitsrichtlinien schreiben. Unsere recht kleine IT-Mannschaft muss jetzt viel genauer dokumentieren, was sie an den Systemeinstellungen verändert, beispielsweise wenn sie einen neuen Port in der Firewall aufmacht. Es geht nicht mehr, dass solche Dinge mal eben auf Zuruf gemacht werden. Der Grund muss festgehalten und bei schwerwiegenden Änderungen noch durch eine zweite Person bestätigt werden. Wir müssen in der Lage sein, Vorgänge ohne aufwendige Suche in zig Logfiles nachzuvollziehen, um bei Sicherheitsproblemen den Brand möglichst schnell löschen zu können.

Frage: Wer bescheinigt Ihnen die IT-Sicherheit und wie wird sie überprüft?

Bugow: Es gibt verschiedene Organisationen, die zertifizieren dürfen - in unserem Falle ist es die DQS. Deren Experten kommen ins Haus und schauen sich nicht nur die IT-Systeme an, sondern überprüfen auch bestimmte organisatorische Abläufe. Wir müssen zeigen, wie wir die IT-Sicherheit leben, z. B. dass wir ein Backup machen, dass es funktioniert und dass wir überprüfen, ob es funktioniert. So steht das nämlich in unseren Sicherheitsrichtlinien drin. Oder es wird geschaut, ob auf unseren Rechnern Software installiert ist, die nicht in der Whitelist aufgeführt ist. Die Experten überprüfen aber auch die Schlüsselverwaltung bei der Einstellung und Entlassung von Mitarbeitern.

Frage: Die ISO 27001 wurde im Jahr 2013 verschärft. Welche sind da die wesentlichen Veränderungen

Bugow: In der Version 2013 wurde unter anderem das Risikomanagement weiter ausgearbeitet. Es geht darum, dass man sich der Risiken bewusst wird, um entweder etwas dagegen zu tun oder um sie bewusst in Kauf zu nehmen, weil das Gefahrenpotenzial begrenzt ist. Man klassifiziert also die potenziellen Schäden bestimmter Gefahren und entscheidet auf Vorstandsebene, ob weitere Sicherheitsmaßnahmen getroffen werden sollen oder nicht. Man muss sich damit abfinden, dass man bestimmte Risiken z. B. für die Gebäudesicherheit in gemieteten Objekten nicht vollständig ausschließen kann.

Frage: Die größte Gefahr für die Informationssicherheit ist der Mensch. Wie haben sie Ihre Mitarbeiter "geimpft"?

Bugow: Die ISO 27001 verlangt, dass man einen Plan für die kontinuierliche Schulung und Unterweisung von neuen und bestehenden Mitarbeiter haben muss. Da sind wir mittendrin, wir machen gerade die Awareness-Schulungen und konfrontieren die Mitarbeiter auch im laufenden Betrieb ständig mit Sicherheitsfragen. Wir müssen bei ihnen Verständnis dafür wecken, dass das Need-to-Know-Prinzip kein Ausdruck des Misstrauens ist, sondern dazu dient, die Angriffsfläche von außen zu minimieren.

Frage: Sowohl die Gefahren für die Informationssicherheit als auch die Normen ändern sich ständig. Wie oft muss man sich zertifizieren lassen?

Bugow: Die Norm wird hoffentlich nicht so schnell angepasst, weil das immer mit Aufwand verbunden ist. Es gibt aber nach der erstmaligen Zertifizierung jährliche Überwachungsaudits und in drei Jahren ein erneutes Zertifizierungsaudit. Dazwischen überwachen wir uns selber, sowohl in regelmäßigen als auch in anlassbezogenen Audits. Die Norm schreibt vor, dass wir unsere IT-Sicherheit kontinuierlich überprüfen. Das macht den eigentlichen Zeit- und Kostenaufwand für die ISO 27001-Zertifizierung aus.

Herr Dr. Bugow, vielen Dank für das Gespräch.

(Das Interview führte Michael Wendenburg)