Über unsMediaKontaktImpressum
Frank Fleissgarten & Antje Golbach 22. Januar 2019

Managementsystem für Informationssicherheit nach ISO 27001

– Borussia Mönchengladbach legt die Basis für eine sichere IT-Landschaft

Gegenüber dem Geschäftsgebäude und dem Stadion von Borussia Mönchengladbach erhebt sich ein neuer Gebäudekomplex. Das Unternehmen Borussia Mönchengladbach expandiert und erschließt weitere neue Geschäftsfelder. Das moderne Gebäude mit Glasfassade beherbergt zukünftig den "FohlenShop", Borussias interaktives Museum "FohlenWelt", ein Rehazentrum, ein Hotel sowie neue Büroräume für Mitarbeiter. Die Mitarbeiteranzahl des Fußballclubs hat sich seit 2001 – als der Fußballclub sein Spiel- und Geschäftsdomizil mit etwa 20 Mitarbeitern am Bökelberg hatte – mehr als verzehnfacht. Mittlerweile zählt der Verein 270 Mitarbeiter. Unter der Leitung von Frank Fleissgarten stellt ein achtköpfiges IT-Team sicher, dass die eingesetzte Informationstechnik die Geschäftsprozesse entsprechend ihren Anforderungen unterstützt. IT-Sicherheit spielt dabei eine große Rolle, denn der unternehmerische Erfolg hängt zunehmend auch von der Qualität und Sicherheit der Unternehmensinformationen ab.

Natürlich ist die Fußballmannschaft die treibende Kraft für den Erfolg des Clubs. Aber sämtliche Geschäftsprozesse laufen mit IT-Unterstützung und Ausfälle können wir uns nicht leisten.

Professionelles Datenschutzmanagement

Angefangen vom Online-Ticketverkauf über die elektronische Zutrittsanlage, die Logenverwaltung, Spielerdaten und -verträge bis hin zum Online-Verkauf der Fanartikel: Die Grundlage für die Eingabe, Verarbeitung, Steuerung und das Aufbewahren von Daten ist die Informationstechnik. Allein bei einem Champions-League-Spiel können innerhalb kurzer Zeit fünf Millionen Ticket-Anfragen generiert werden. Diesem Ansturm müssen die Systeme ausfallsicher standhalten. Auch in einer normalen Spielsaison werden etwa eine Million Tickets verkauft – der größte Teil davon online. Mit dem steigenden Serviceangebot, das der Fußballclub bereitstellt, sind die IT und insbesondere auch die Informationssicherheit gefordert. Sie leisten einen maßgeblichen Beitrag für eine reibungslose und sichere Realisierung der Kunden-, Partner- und Sponsorenservices und tragen erheblich dazu bei, dass die Unternehmensziele erreicht werden.

Der Verein legte daher früh die Basis für eine sichere IT-Infrastruktur, die den aktuellen und zukünftigen Anforderungen gerecht wird. Borussia Mönchengladbach ließ den Datenschutz bereits im Jahr 2011 durch TÜV Rheinland prüfen und zertifizieren. Anschließend folgte der Aufbau des Informationssicherheits-Managementsystems nach ISO 27001. Das Informationssicherheits-Managementsystem nach ISO 27001 umfasst die Gebäude- und Datensicherheit einschließlich sämtlicher Geschäftsprozesse der Verwaltung. Aufgrund des enormen Umfangs des Geltungsbereichs und der Wichtigkeit der IT in den jeweiligen Geschäftsbereichen, kam nur die Norm ISO/IEC 27001 in Betracht. Sie war die konsequente Entwicklung, nachdem der TÜV Rheinland bereits 2011 den Datenschutz geprüft und zertifiziert hat.

Die Arbeitsschritte bei der ISO 27001-Einführung

Beim Aufbau des Informationssicherheits-Managementsystems (ISMS) konnte Borussia Mönchengladbach – neben den grundlegenden Erfahrungen aus dem Aufbau einer selbst geführten IT-Abteilung – auch auf die bereits seit Jahren etablierten Risikomanagementprozesse und Datenschutzkonzepte zurückgreifen. In diesen Bereichen gab es schon definierte Abläufe und Verantwortlichkeiten, die auch beim Erfüllen der ISO-27001-Anforderungen hilfreich waren. Darüber hinaus betrachtete das IT-Team noch einmal sämtliche IT-Prozesse, erstellte die zugehörigen Dokumentationen und sorgte für eine transparente und eindeutige Definition der Verantwortlichkeiten sowie Ansprechpartner. Ein wichtiger Punkt bei der Einführung der ISO 27001 und bei der Vorbereitung auf die Zertifizierung war das Ausarbeiten von Abläufen und Maßnahmenplänen im Falle eines Sicherheitsrisikos. Dafür wurden alle potentiellen Sicherheitsrisiken wie zum Beispiel Stromausfall, Hackerangriffe, Datendiebstahl, Sicherheit des Rechenzentrums analysiert und bewertet. Es ging dabei um Fragen wie: Wo liegen die wichtigsten und in hohem Maße schützenswerten Daten für den Club? Wie hoch ist hier die Eintrittswahrscheinlichkeit eines Vorfalls und wie werden die Daten angemessen geschützt? Was ist im Falle eines Sicherheitsvorfalls zu tun? Als eines der Ergebnisse erarbeitete das IT-Team Maßnahmenpläne für Notfälle wie Serverausfälle und Zutrittsprobleme.

Schulen und Einbinden der Mitarbeiter

Auch die Mitarbeitersensibilisierung für das Thema Informationssicherheit ist bei der Einführung der ISO 27001 und der anschließenden Zertifizierung sehr wichtig. Denn oftmals sind es nicht technische Ursachen, die Sicherheitsvorfälle verursachen, sondern menschliches Verschulden. Regelmäßige interne Audits und Schulungen stellen sicher, dass alle Mitarbeiter im Bereich Informationssicherheit stets auf dem neuesten Stand sind und verantwortungsvoll mit Kundeninformationen umgehen. In der täglichen Arbeit der Mitarbeiter sind Maßnahmen wie zum Beispiel die Einführung eines verstärkten Passwortschutzes, Entsorgung von Alt-Daten, Gebäudesicherheit und Arbeitsplatzsicherheit fester Bestandteil des täglichen Geschäftes. Einmal im Jahr erhalten die Mitarbeiter eine Schulung. Diese befasst sich neben dem Thema Arbeitsplatzsicherheit auch mit Aspekten wie Entsorgung von Unterlagen und Daten, das Einhalten von Aufbewahrungs- sowie Löschfristen. Richtlinien wie jene für den Umgang mit Medien und eine Entsorgungsrichtlinie dienen ebenfalls dazu, den Mitarbeitern konkrete Anleitungen an die Hand zu geben. Diese Leitlinien geben Verfahren vor, wie Mitarbeiter beispielsweise Medien und Daten vor unbefugtem Zugriff oder Verlust schützen oder welche Verfahren sie für die Entsorgung von Papierdokumenten oder Datenträgern wie CDs oder USB-Sticks nutzen sollen. Auch Frank Fleissgarten absolvierte bei der TÜV Rheinland-Akademie einen Lehrgang als Lead Auditor und erweiterte sein ISO 27001-Wissen. Die Schulung hat konkret geholfen, ein besseres Verständnis für die Struktur der ISO 27001 zu entwickeln. Außerdem müssen – entsprechend den ISO 27001-Forderungen – regelmäßig interne Audits durchgeführt werden. Auch hierbei helfen die Auditorenkenntnisse.

TÜV-Rheinland-Auditoren für den neutralen Blick von außen

Das externe Prüfverfahren für die ISO-27001-Zertifizierung führten TÜV-Rheinland-Auditoren durch. Aufgrund der langjährigen positiven Erfahrungen mit dem Prüfdienstleister wurde TÜV Rheinland auch für die ISO-27001-Prüfung und -Zertifizierung beauftragt. Darüber hinaus war es dem IT-Leiter wichtig, eine zweite Kontrollinstanz über die Schulter blicken zu lassen, welche die Normkonformität und die Wirksamkeit des Informationssicherheits-Managementsystems prüft. Bei dem Auditverfahren schauen sich die Auditoren die Grundlagen des Managementsystems vor Ort an und inwiefern Prozesse sowie Dokumentationen wie beispielsweise Sicherheitskonzepte den ISO-27001-Anforderungen entsprechen. Im Anschluss erfolgt die Begehung der verschiedenen Abteilungen. Hierbei stehen unter anderem Aspekte wie der Zugang zu Gebäuden und Serverräumen und die Sicherheit von Türen sowie Fenstern zum Gebäude im Fokus der Betrachtung. Nach dem erfolgreichen Abschluss des Prüf- und Zertifizierungsverfahrens erfolgt in jährlichen Intervallen das Überwachungsaudit. Im Rahmen dieses Verfahrens prüfen die Auditoren, inwiefern Borussia Mönchengladbach die Normanforderungen weiterhin erfüllt und die Wirksamkeit des Managementsystems aufrechterhält. Die regelmäßigen externen Audits durch TÜV Rheinland helfen auch dabei, mögliche Schwachstellen auszuloten und zu schließen. Der Verein konnte so den Reifegrad des Informationssicherheits-Managementsystems sowie die Zugangskontrolle, das Dokumentenlenkungssystem und die IT Security mit den Jahren deutlich verbessern.

ISO 27001 für einen strukturierten Rahmen

Die Einführung und Zertifizierung der Informationssicherheits-Managementsystems hat sich für Borussia Mönchengladbach in vielerlei Hinsicht gelohnt. Die ISO 27001 gibt dem Thema Informationssicherheit einen strukturierten Rahmen. Dieser erleichtert es den Mitarbeitern, sich zu orientieren und Leitlinien zu verinnerlichen. Zusätzlich wird das Thema Informationssicherheit von der Geschäftsleitung getragen.

Umsetzung der DSGVO vereinfacht

Die ISO 27001 ebnet zudem den Weg für das Erfüllen neuer gesetzlicher Anforderungen, wie beispielsweise der Datenschutzgrundverordnung (DSGVO). Ein Anforderungskriterium der ISO 27001 ist eine Risikoklassifizierung. Daten und Prozesse werden im Rahmen der Einführung der ISO 27001 hinsichtlich ihres Risikopotenzials betrachtet, bewertet und bestimmten Risikoklassen zugeordnet. Ähnliches fordert die DSGVO ebenfalls, wobei hier sämtliche Prozesse betrachtet werden, in denen personenbezogene Daten in irgendeiner Weise verarbeitet werden. Dazu zählen bei Borussia Mönchengladbach in erster Linie Spieler-, Mitarbeiter- und Kundendaten. Durch die Einführung der ISO 27001 verfügte der Klub bereits über eine Risikoklassifizierung, die auch zum größten Teil die DSGVO-Anforderungen abdeckte. Insgesamt konnten schon im Vorfeld etwa 60 Prozent der DSGVO-Kriterien erfüllt werden. So brauchte man statt zwei Jahren nur ein Jahr, um sich auf die DSGVO einzustellen. Auch das etablierte Plan-Do-Check-Act-Prinzip, das durch die ISO-27001-Einführung bei den IT-Mitarbeitern bereits verinnerlicht war, half bei den neuen Anforderungen. Die Methode legt die Grundlage für ein systematisches Abarbeiten von Aufgaben. Sie hilft dabei, ein Managementsystem zu leben und kontinuierlich zu verbessern, egal, ob es dabei um ein Daten- oder Informationssicherheits-Managementsystem geht.

Informationssicherheits-Managementsystem unterstützt Veränderungen und Wachstum

Für zukünftige Projekte des Fußballvereins ist es außerordentlich wichtig, ein Informationssicherheits-Managementsystem einzusetzen, das Informationssicherheit professionell managt und mit den zukünftigen Änderungen Schritt hält. So sollen Besucher flächendeckend elektronischen Zugriff haben und schnell auf alle gebotenen Services zugreifen können.

Die Kunden erwarten, dass sie vom Parkplatz, Hotel oder vor dem Stadion Tickets via Smartphone bestellen können und direkt mit dem Online-Ticket ins Stadion gehen.

Für diese neuen Serviceangebote ist ein zentrales System gefragt, das entsprechend gesichert sein muss. Die Anzahl der Services steigt und bringt mehr Informationstechnik mit sich. Je unkomplizierter die Leistungserbringung für den Kunden nach außen aussieht, desto anspruchsvoller ist die Informationstechnik, die dem zugrunde liegt. Durch das Informationssicherheits-Managementsystem verfügt der Club bereits über Grundlagen, die es einfacher machen, die dafür notwendigen Prozesse zu integrieren und diese sicherer zu gestalten.

Die IT-Landschaft verändert sich kontinuierlich durch den technologischen Fortschritt in Verbindung mit den Anforderungen an neue Serviceangebote. Ein Informationssicherheits-Managementsystem nach ISO 27001 hilft Borussia Mönchengladbach dabei, die Informationssicherheit bei diesen Veränderungsprozessen aufrechtzuerhalten und professionell zu managen.  

Autoren

Frank Fleissgarten

Seit dem Jahr 2000 ist Frank Fleissgarten als IT-Leiter und CIO bei Borussia Mönchengladbach tätig. In seiner Position als Dozent und Prüfer der IHK mittlerer Niederrhein führt er zudem Zertifikatslehrgänge durch.
>> Weiterlesen

Antje Golbach

Antje Golbach arbeitete in den Marketing- und Kommunikationsabteilungen verschiedener IT-Unternehmen und ist seit 2009 als Pressesprecherin für den Bereich Systeme bei TÜV Rheinland tätig.
>> Weiterlesen
Das könnte Sie auch interessieren
botMessage_toctoc_comments_9210