(PM) Ludwigshafen, 11.12.2016 - Peter Miller, der als Experte für IT-Sicherheit Unternehmen im Auftrag der QM-Beratung Rhein S.Q.M. GmbH im Bereich IT-Sicherheitsgesetz und ISO 27001 berät, warnt alle Organisationen vor Schadenersatzansprüchen im Fall von Industriespionage und Cyberattacken. Für einige Unternehmen drängt mittlerweile die Zeit: Bis 31.1.2018 müssen zahlreiche Strom- und Gasnetzbetreiber, die unter die sog. KRITIS-Verordnung fallen, der Bundesnetzagentur ein ISO-27001-Zertifikat vorlegen, das die Umsetzung des IT-Sicherheitskataloges dokumentiert. Die verbleibende Frist, weiß QM-Berater und Lead Auditor Miller, sei vor allem dann knapp, wenn ein zertifizierungsfähiges Informations-Sicherheits-Management-System (ISMS) komplett neu eingeführt werden müsse. Die drei Schritte zur ZertifizierungDie Vorbereitung auf die ISO-27001-Zertifizierung startet stets mit einem Workshop, der der Bestandsaufnahme beim Kunden dient und für den etwa drei Tage veranschlagt werden müssen. Mittels dieser GAP-Analyse wird aufgenommen, was schon da ist – schließlich ist das Ziel immer, auf einer bestehenden Systematik aufzubauen – und mit den Anforderungen der Norm abgeglichen. In einem zweiten Step, der sechs bis neun Monate in Anspruch nimmt, werden die identifizierten Lücken nach und nach geschlossen. Möglich ist das Ganze nur, wenn das Management voll dahintersteht, daher muss die Zertifizierung auf oberster Ebene aufgehängt sein. Schließlich sind Aspekte wie Unternehmenspolitik, Unternehmensleitlinien oder Freigabe durch die Geschäftsführung nicht nur "nice to haves", sondern inhaltliche Bestandteile der Zertifizierung nach der ISO 27001. "Die oberste Führungsebene trägt also ganz offiziell die Verantwortung für das ISMS.", stellt Miller klar. Auch kann die Zertifizierungsvorbereitung nicht komplett an einen externen Partner outgesourced werden. Denn beim dritten Schritt, dem Audit, reicht nur die Theorie nicht aus. Im Vergleich zu anderen Zertifizierungen kann die Norm nicht nur formal, also mit einer Dokumentenprüfung, abgebildet werden, sondern beim Audit wird explizit auch die Umsetzung, also die Praxis, geprüft. Vertragliche statt gesetzliche VerpflichtungFreiwillig ist die gesamte ISO 27001 momentan noch für alle nicht in der KRITIS-Verordnung benannten Organisationen. Allerdings ergibt sich eine Verpflichtung manches Mal auch gar nicht über den Gesetzgeber, sondern durch kundenspezifische Forderungen, die beispielsweise Automobilhersteller mit ihren Zulieferern vertraglich vereinbaren. Außerdem gilt: Ausfälle bei den IT-Systemen kann sich in einer modernen Gesellschaft heute kaum jemand leisten. Deshalb gehören zur ISO-27001-Zielgruppe nicht nur die Unternehmen, die von Gesetzeswegen oder wegen vertraglicher Verpflichtungen müssen, sondern im Prinzip alle Unternehmen weltweit. Denn kann ein Unternehmen im Falle einer IT-Störung nicht nachweisen, im Vorfeld strukturiert potenzielle Risiken identifiziert und Sicherungsmaßnahmen entwickelt zu haben, kann ihm schuldhaftes Handeln vorgeworfen werden. Und erfolgreiche Klagen auf Schadenersatzansprüche werden dann unter Umständen viel teurer als es die ISO-27001-Zertifizierung gewesen wäre.



Weg zur ISO-27001-Zertifizierung: Aufbau & Zusammenwirken von sich ergänzenden Sicherheitsaspekten. (PDF, 96,40 KB)


Rhein S.Q.M. GmbH
Herr Wolfgang Rhein
Ebereschenweg 2a
67067 Ludwigshafen
+49-6061-967415
presse@qm-projects.de
www.qm-projects.de



Die Organisationsberatung Rhein S.Q.M. wurde 2004 in Ludwigshafen gegründet und 2013 in eine GmbH umgewandelt. Der Schwerpunkt liegt bis heute im Bereich des Qualitätsmanagements für die Automobilindustrie sowie die Luft- und Raumfahrtbranche, auch wenn das Team rund um Gründer und Geschäftsführer Wolfgang Rhein zwischenzeitlich international in über 40 Branchen mit einer Abdeckung von mehr als 50 Regelwerken und Standards tätig ist. Die Leistungen in der klassischen Qualitätsmanagement-Beratung sowie im integrierten Management erstrecken sich dabei auch auf angrenzende Bereiche wie Umweltmanagement, Energiemanagement, Arbeitsschutzmanagement, Hygienemanagement sowie die Integration branchenspezifischer Standards. Neben der Beratung und operativen Unterstützung beim Aufbau und der Zertifizierung von Managementsystemen werden über die eigene Qualitätsakademie Seminare, Trainings und Workshops angeboten. Die Rhein S.Q. M. GmbH begleitet Unternehmen außerdem dabei, die Einhaltung von Forderungen in der gesamten Lieferkette sicherzustellen. Mehr Informationen zum Unternehmen sowie seinen Dienstleistungen im Internet unter www.qm-projects.de.