Das Thema Sicherheit hat für uns als Telekommunikationsunternehmen natürlich seit jeher einen hohen Stellenwert. Allerdings ist die allgemeine geopolitische Risikolage in den letzten Jahren rasant gestiegen und damit einhergehend auch das Gefahrenpotenzial in Bezug auf Informationssicherheit. Deshalb haben wir es uns vor rund anderthalb Jahren zur Aufgabe gemacht, das Thema Informationssicherheit im Unternehmen weiter systematisch voranzutreiben.

Denn wir wollen auch nach außen zeigen, was wir im Inneren längst leben und uns darüber hinaus immer wieder selbst reflektieren: Tun wir eigentlich genug? Dazu wollen wir euch heute ein paar Einblicke geben.

Teamfoto Netguardprojekt (v.l.n.r.: Martin Schulze, Sascha Gebhardt, Kristina Boms, Stefan Keuken)

Was bedeutet ISO 27001 für uns?

Die ISO ist eine internationale Norm für Informationssicherheit, die festlegt, wie ein Unternehmen systematisch und sicher mit Informationen umgehen soll, um diese vor Missbrauch, Verlust oder Diebstahl zu schützen. Dabei ist Sicherheit selbstverständlich keine One-Man-Show und kann nur dann wirklich gewährleistet werden, wenn Alle an einem Strang ziehen. Natürlich gibt es trotzdem Mitarbeitende, die dieses NetGuard-Projekt bei uns federführend geleitet haben: Da ist allen voran unser interner Auditor Stefan Keuken, der gemeinsam mit unserem Informationssicherheitsbeauftragten Sascha Gebhardt Prozesse baut, die die Anforderungen der ISO-Norm erfüllen. Besonders wichtig ist dabei die ständige Rückkopplung – denn Informationssicherheit ist nicht einfach ab irgendeinem Punkt final erreicht. Hier muss immer wieder reflektiert und kritisch hinterfragt werden: Sind die Prozesse wirklich sicher? Können wir möglicherweise weitere Automatismen implementieren, um potenzielle Risiken weiter einzudämmen? An welchen Stellschrauben können wir noch drehen?

Unsere Maßnahmen für mehr Sicherheit

Für uns stehen dabei vor allem sämtliche Prozesse und Techniken im Fokus, mit der wir unsere Kund:innen betreuen. Unser ISMS (Information Security Management System) analysiert, wo Informationssicherheitsprobleme auftreten und wie wir prozessual damit umgehen können. Unsere ISO 27001 Zertifizierung zeigt, dass wir bereits einen sehr hohen Grad an Sicherheit erreicht haben, auf dem wir uns aber natürlich nicht ausruhen: Informationssicherheit ist schließlich ein stetig fortwährender Prozess. Mittlerweile haben wir ein lückenloses Managementsystem etablieren und konsequent auf sämtliche IT-Systeme und Prozesse, die wir zur Bereitstellung und zum Betrieb der Kundendienste benötigen, ausbauen können.

Ganz konkrete Maßnahmen, die wir in diesem Zuge beispielsweise auf der Technikebene implementiert haben, sind die verpflichtende Einführung der Multifaktor-Authentifizierung oder das regelmäßige Durchführen von Penetrationstests. Dadurch können wir unser System, zusätzlich zum obligatorischen jährlichen Überwachungsaudit, immer wieder mit Blick auf echte Risiken auf die Probe stellen. Auf der Ablaufebene haben wir ein lückenloseres Onboarding mit Sicherheits- und Datenschutzunterweisungen eingeführt, darüber hinaus werden die Mitarbeitenden durch regelmäßige Awarenesstrainings und Schulungen immer wieder für das Thema sensibilisiert.

Warum Informationssicherheit Teamarbeit ist

Auch an diesen Beispielen zeigt sich, dass Informationssicherheit ein Prozess ist, an dem Alle mitwirken müssen – bei uns nennen wir das liebevoll MiteiNAnder. So ein System läuft nicht allein, sondern lebt nur mit und von den Menschen dahinter. So spricht Stefan Keuken, wenn er auf das NetGuard-Projekt zurückblickt, von einem „Teamspirit, der sich aus dem kleinen Projektbüro in das ganze Unternehmen entwickelt hat“ und berichtet außerdem von einer tiefen Dankbarkeit für seinen Auditoren-Job, der ihm einen neuen Blick auf die Philosophie und Wertigkeit des Fehlerfindens ermöglicht hat: „Wir haben nicht nur Dokumente erstellt, sondern es auch geschafft, das Mindset unserer Mitarbeitenden zu ändern, insbesondere in Bezug auf Fehlerkultur: Denn Fehler sind keine Katastrophen, sondern Chancen, immer wieder besser zu werden.“

Mit dem abgeschlossenen NetGuard-Projekt haben wir den Grundstein gelegt, aber echte Informationssicherheit entsteht jeden Tag aufs Neue. Gemeinsam. MiteiNAnder.