Wir haben unsere Informationssicherheit nach ISO 27001 zertifiziert

02. Februar 2024 - von Martin Mattli

Seit Dezember 2023 ist Apps with love ISO/IEC 27001:2022 zertifiziert. Wir festigen damit unsere Sicherheits- und Qualitätsstandards. Es ist unsere dritte ISO Zertifizierung nebst der ISO 9001 für unser Qualitätsmanagementsystem und der ISO 14001 für unser Umweltmanagementsystem. 

Eine Zertifizierung wie die nach ISO 27001 sagt in erster Linie etwas darüber aus, wie, oder wie sehr sich ein Unternehmen mit Aspekten der Informationssicherheit auseinandersetzt. Eine Zertifizierung an sich schafft nämlich nur sehr bedingt Sicherheit: Die zentrale Frage ist, wie Prozesse, Richtlinien und Best Practises im Alltag tatsächlich umgesetzt werden. Ein ISO Zertifikat ist also in erster Linie ein Indikator dafür, dass wir uns als Unternehmen mit Fragen der Informationssicherheit beschäftigen. Das haben wir natürlich auch schon früher getan, aber die Zertifizierung zwingt uns, alle relevanten Aspekte systematisch und prozessorientiert unter die Lupe zu nehmen. Dieser Blogpost beschreibt, welche Aspekte das sind, wie der Prozess der Zertifizierung funktioniert und was wir dabei gelernt haben.

Was ist die ISO 27001 Norm?

Die ISO/IEC 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Die Norm legt die Anforderungen für die Einführung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung des dokumentierten ISMS fest. 

Das Hauptziel der ISO 27001 Norm besteht also darin, Organisationen oder Unternehmen dabei zu helfen, ein systematisches Vorgehen zur Verwaltung von Informationssicherheitsrisiken einzuführen und aufrecht zu erhalten. 

Bei Apps with love kommen wir mit sensiblen Projekt-, Personen- und Kundeninformationen in Kontakt, die es vor unbefugtem Zugriff, Diebstahl, Manipulationen oder Verlust durch geeignete Sicherheitsmassnahmen zu schützen gilt. ISO 27001 hilft uns dabei, diesen Schutz systematisch und prozessorientiert sicherzustellen.

Warum brauchen wir die ISO 27001?

Über die letzten Jahre wurden die Softwareprojekte, die wir umsetzen dürfen, tendenziell grösser und komplexer. Dies bedeutet, dass wir oftmals bereits bei der Angebotserstellung und -einreichung gewisse Sicherheitsanforderungen der Auftraggebenden sicherstellen und bestätigen müssen. 

Durch die Verschärfung des Datenschutzgesetzes im September 2023, die Verpflichtung zur Einhaltung des IT-Grundschutzes in bestimmten Projekten und aufgrund jüngster Vorkommnisse von Cyberattacken war für uns klar, dass wir unsere bereits erarbeiteten Sicherheitsmassnahmen und Prozesse weiter standardisieren und auf das nächste Level bringen möchten. Darum haben wir uns Anfang 2023 dazu entschieden, uns ISO 27001 zertifizieren zu lassen. 

Unsere Hauptgründe für die ISO 27001 Zertifizierung:

  1. Wir schützen sensible Informationen: ISO 27001 hilft dabei, sensible Informationen wie Personen-, Kunden- und Projektdaten, aber auch Geschäftsinformationen vor unbefugtem Zugriff, Diebstahl, Manipulation oder Verlust zu schützen. 

  2. Wir erfüllen gesetzliche Anforderungen: Wir sind gesetzlich dazu verpflichtet, angemessene Massnahmen zum Schutz interner Daten und Daten von unseren Kund*innen und Partner*innen zu ergreifen. Die in der ISO 27001 verankerten Prozesse und Richtlinien ermöglichen uns, diese Anforderungen zu erfüllen.

  3. Wir identifizieren Risiken: Der ISO Standard ermöglicht es uns, Sicherheitsrisiken und Bedrohungen standardisiert zu identifizieren, zu bewerten und konkrete Massnahmen abzuleiten, um diese zu behandeln.

  4. Wir erhöhen das Vertrauen in der Zusammenarbeit mit unseren Kund*innen: Mit der ISO 27001 Zertifizierung zeigen wir unseren Kund*innen, Geschäftspartner*innen und Stakeholdern, dass wir uns als Unternehmen aktiv um die Sicherheit von Informationen kümmern.

  5. Wir garantieren unsere Geschäftskontinuität und die unserer Kund*innen: ISO 27001 hilft uns als Unternehmen, Geschäftsprozesse und IT-Systeme gegen Störungen und Katastrophen abzusichern und dadurch die Geschäftskontinuität sicherzustellen.

Wie lief der Prozess der ISO 27001 Zertifizierung ab? 

Der Weg zur ISO 27001 Zertifizierung ist ein strukturiertes Vorgehen, welches sicherstellt, dass das zu erarbeitende ISMS die Anforderungen der ISO Norm erfüllt. Der Zertifizierungsprozess läuft in verschiedenen Schritten ab.

Risiken identifizieren und bewerten

Als erstes haben wir die Relevanz der BSI-Risiken* für unser Unternehmen identifiziert und bewertet. Die ISO Norm 27001 orientiert sich an den vom BSI identifizierten Risiken. Für sämtliche BSI-Risiken haben wir die Relevanz für unser Unternehmen festgelegt. Anschliessend haben wir die Eintrittswahrscheinlichkeit und das Schadenausmass für alle relevanten BSI-Risiken bewertet.

Die Risiko-Matrix von Apps with love und daraus hervorgehenden top 10 Risiken (Stand Sommer 2023)

*BSI Risiken: BSI steht für das Bundesamt für Sicherheit in der Informationstechnik in Deutschland. BSI-Risiken beziehen sich auf potenzielle Gefahren oder Bedrohungen im Bereich der Informationssicherheit, die von diesem Amt identifiziert werden. Das BSI hat die Aufgabe, die IT-Sicherheit in Deutschland zu gewährleisten und zu fördern. Das BSI bietet mit dem BSI-Standard eine anerkannte Methode, die es Unternehmen ermöglicht, ihre Informationssicherheitsrisiken effektiv und gezielt zu managen. Diese Methode stützt sich auf die grundlegenden Gefährdungen, die im IT-Grundschutz Kompendium beschrieben sind und die als Grundlage für die Erstellung der IT-Grundschutz-Bausteine dienen. Das BSI hat aus den vielen spezifischen Einzelgefährdungen für ein Unternehmen die wichtigsten Punkte ausgearbeitet und in 47 elementare Risiken überführt, die bewertet werden müssen. Die ISO Norm 27001 orientiert sich ebenfalls an den von BSI identifizierten Risiken.

Das Statement of Applicability definiert den Scope

Das Statement of Applicability (SoA) ist ein wesentlicher Bestandteil des ISMS gemäss der ISO 27001. Das SoA Dokument ist das wichtigste Instrument zur Erreichung der ISO Norm und umfasst konkrete Anforderungen, Kontrollpunkte, Massnahmen und Entscheidungen von Sicherheitsmassnahmen gemäss den Normanforderungen.

Die Schlüsselelemente des SoA sind:

  • Identifizierung von Kontrollen: Das SoA listet die Informationssicherheitskontrollen auf, die ein Unternehmen für relevant und anwendbar hält, um die identifizierten Risiken zu behandeln. Diese Kontrollen können technischer, organisatorischer oder rechtlicher Natur sein.

  • Anwendbarkeitserklärung: Für jede aufgelistete Kontrolle gibt das SoA an, ob die Kontrolle im Unternehmen angewendet wird oder nicht. Es wird deutlich gemacht, ob die Kontrolle "anwendbar" oder "nicht anwendbar" ist.

  • Begründung für Nichtanwendbarkeit: Falls eine Kontrolle als "nicht anwendbar" eingestuft wird, müssen wir dies als Unternehmen begründen und dokumentieren können.

  • Dokumentation von Ausnahmen: Wenn es Ausnahmen von den festgelegten Sicherheitskontrollen gibt, werden diese im SoA dokumentiert, zusammen mit den Gründen für die Ausnahme.

Das SoA ist ein dynamisches Dokument und wird bei jeder Änderungen in der Organisation aktualisiert. Es dient als Referenzdokument für interne und externe Audits und bietet einen klaren Überblick darüber, welche Sicherheitskontrollen bei uns implementiert sind und welche nicht.

Während rund 10 Workshops haben wir zusammen mit Thomas Frischknecht von der Consulting Firma abrima-consulting die SoA Kontrollpunkte und zugehörigen Massnahmen besprochen.

Sicherheitsmassnahmen entwickeln

Basierend auf den Ergebnissen der Risikobewertung und den Kontrollpunkten des SoA haben wir für alle Themen, die für unser Unternehmen relevant sind, Sicherheitsmassnahmen entwickelt und dokumentiert. Alle Massnahmen fliessen in den Kontinuierlichen Verbesserungsprozess (KVP) und sind nach folgenden Kategorien geordnet:

  • Organisatorische Kontrollen

  • Personenkontrollen

  • Physische Kontrollen

  • Technische Kontrollen

Dokumentation der Massnahmen und Erfüllung der SoA Anforderungen

Für den Erhalt und die Aufrechterhaltung der Zertifizierung ist die Dokumentation des ISMS der wichtigste Bestandteil. Entsprechend müssen die notwendigen Dokumentationen, wie zum Beispiel das ISO 27001 Handbuch, die Risikobewertung, das SoA Dokument, definierte Informationssicherheitsziele, die Sicherheitspolitik oder Risikobehandlungsplan erstellt und gepflegt werden.  

Jede definierte Massnahme zu den Kontrollpunkten des SoA braucht schlussendlich einen Umsetzungsnachweis. Das heisst, die definierten Massnahmen mussten im Rahmen der 1. Zertifizierung umgesetzt werden. Der Fokus lag darauf, die Sicherheitsmassnahmen in den Alltag unserer Organisation und in die Prozesse zu integrieren. 

Eine nicht-abschliessende, ungefähre Übersicht über den Dokumentationsumfang:

  • ISO 27001 Handbuch welches u.a. die Sicherheitspolitik und die Anwendbarkeit definiert 

  • IT-Informationssicherheitsrichtlinien für Mitarbeitende

  • Dokumentation von technischen und organisatorische Massnahmen (sog. TOMs): Checklisten, Datenschutzkonzept, Backup-Strategie, Personendatenbearbeitungsverzeichnis, Datenklassifizierung und Vertraulichkeitsstufen und so weiter.

  • Prozess-Anpassungen: Prozesse für Service-Portfolio und Service-Katalog,  Incident Management- und Response Prozess, Update von Coding-Guidelines, Prozess für das On- und Offboarding von Mitarbeiter*innen, Anpassung von standardisierten nicht funktionalen Anforderungen, etc.

  • Audit- und Schulungsplan

Interne & externe Audits

Interne sowie externe Audits werden durchgeführt, um sicherzustellen, dass unser ISMS wirksam ist und den relevanten Standards entspricht. 

Es wird überprüft, ob Compliance Richtlinien und spezifische Richtlinien wie die Informationssicherheitsrichtlinie für Mitarbeitende und Lieferanten sowie die Richtlinie zum Datenschutz und dem Umgang mit Personendaten eingehalten werden. 

Im Rahmen eines externen Audits führt eine unabhängige Zertifizierungsstelle eine Bewertung des ISMS durch. Dies beinhaltet oft eine Überprüfung der Dokumentation, Interviews mit Mitarbeitenden und eine Überprüfung der implementierten Sicherheitsmassnahmen.

Aufrechterhaltung und Verbesserung

Es ist wichtig zu betonen, dass die ISO-Zertifizierung keine einmalige Geschichte ist. Sie erfordert regelmässige Überprüfung und kontinuierliche Verbesserung. Um dies sicherzustellen, setzen wir auf einen kontinuierlichen Verbesserungsprozess (KVP), der regelmässige Überprüfungen und die Implementierung von Massnahmen zur Optimierung vorsieht. 

Diese beinhaltet auch die jährliche Risikobewertung, um sicherzustellen, dass die Informationssicherheitsziele im Einklang mit den strategischen Unternehmenszielen stehen. Der KVP hilft uns zudem, die Sicherheitsmassnahmen und Sicherheitsprinzipien Stück für Stück in unserer Unternehmenskultur zu verankern.

Martin Mattli, Fabienne Meister und Olivier Oswald mit ISO 27001 Zertifikat
Der Blog Autor sowie Fabienne Meister vom Quality Management Team präsentieren gemeinsam mit CTO Olivier Oswald die erhaltene ISO 27001 Zertifizierung

Voraussetzungen, Rahmenbedingungen und Massnahmen im Fokus

  • Wir stellen die Zugangs- und Zugriffskontrolle zu Systemen, Servern, Büroräumlichkeiten und Standorten sicher und gewähren nur autorisierten Personen Zugang zu sensiblen Daten und Informationen.

  • Wir haben eine Datenschutzbeauftragte- und CISO-Organisationsrolle

  • Wir entwickeln unsere IT-Sicherheitsrichtlinien- und Verfahren und das Datenhaltungskonzept stetig weiter

  • Wir führen interne und externe Audits durch, um sicherzustellen, dass die Datenschutz-und Sicherheitsmassnahmen die wir implementiert haben, effektiv sind

  • Wir schulen unsere Mitarbeitenden zu den Themen Datensicherheit und -schutz

  • Wir stellen unseren Incidentmanagement - und Responseprozess sicher, um auf Sicherheitsvorfälle schnell und effektiv reagieren zu können.

Grundlegenden technische Aspekte, die immer gewährleistet sind

  • Firewalls

  • Sicherheits-Patches und Updates: Regelmässige Aktualisierung von Betriebssystemen, Anwendungen und anderen Softwarekomponenten

  • SSL/TLS Verschlüsselung 

  • Monitoring unserer Systeme und Applikationen

  • Zugangssteuerung und Berechtigungsmanagement (Server, Applikationen, Passwörter)

  • Backups sowie die getestete Wiederherstellung

  • Trennung von produktiven und Test-/ Staging-Entwicklungsumgebungen

Mit der ISO 27001 haben wir die Basis für eine sichere Zukunft gefestigt

Mit der ISO 27001 Zertifizierung haben wir einen wichtigen Meilenstein erreicht. Wir schaffen damit mehr Sicherheit in unserer Geschäftstätigkeit, indem wir diese mit umfassenden Informationssicherehitsmassnahmen schützen. Wir stellen sicher, dass Gesetze und Compliance-Richtlinien eingehalten werden, um sowohl Kund*innen-, Personen- und Projektdaten als auch unsere Unternehmens-Reputation zu wahren. 

Unsere Sicherheitspraktiken sind in allen Unternehmensprozessen integriert, um interne und externe Risiken zu minimieren und das Vertrauen unserer Kund*innen in die Zusammenarbeit zu stärken. 

Indem wir die Sicherheit und den Datenschutz ernst nehmen und laufend überwachen und verbessern, gewährleisten wir nicht nur den Schutz sensibler Informationen und Daten, sondern auch die langfristige Integrität unseres Unternehmens. 

Wir haben grad gemerkt, dass du mit Internet Explorer surfst. Unsere Webseite sieht damit leider nicht so schön aus.

Du willst erfahren warum das so ist?
Wir haben darüber geschrieben.

Zum Blog

Du brauchst Hilfe bei der Umstellung?
Melde dich. Wir helfen gern.

Kontakt

Einen neuen Browser installieren?
Hier gibt es Auswahl.

Browser