DextraData führt ISMS nach ISO/IEC 27001 ein und managt die Sicherheit seiner DevOps-Umgebung mit der selbstentwickelten IRM-Lösung GRASP
Sichere Software-Entwickler-Umgebung auf Knopfdruck
Unternehmen
Seit 1995 unterstützt DextraData Unternehmen bei der Planung und Realisierung von IT-Projekten bis hin zur Verantwortung für den Regelbetrieb. Weitreichendes technologisches Know-how, umfassende Consulting-Erfahrung und Expertenwissen in den Bereichen Data Center und Prozessautomatisierung machen DextraData zum gefragten Partner für Unternehmen, die sich den aktuellen Herausforderungen der digitalen Transformation stellen. Als Independent Software Vendor entwickelt DextraData innovative Industrielösungen, die Transparenz schaffen, Prozesse optimieren sowie Entscheidungshilfe und Mehrwerte für das Business liefern.
Herausforderung
Als Entwickler der Software-Lösungen CIO COCKPIT, Dex7, Logipad, VIBS9 und GRASP benötigt DextraData eine ISO 27001-Zertifizierung als Nachweis, dass im Unternehmen effektive Sicherheitsmaßnahmen zum Schutz von Informationen und Daten implementiert sind. Die ISO 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS), die ein Rahmenwerk für den Aufbau, die Implementierung, Überwachung, Bewertung und Verbesserung von Informationssicherheitsmaßnahmen in Organisationen bietet. Eine ISO/IEC 27001-Zertifizierung zeigt Kunden, Partnern und anderen Stakeholdern, dass ein Unternehmen angemessene Schritte unternimmt, um Informationen und Daten zu schützen, was ein wichtiger Wettbewerbsvorteil sein kann.
Als Software-Entwickler ist Informationssicherheit für DextraData von entscheidender Bedeutung, da das Unternehmen oft mit der Verarbeitung vertraulicher Daten und sensibler Informationen umgehen muss. „Als Trusted Adviser ist eine ISO 27001-Zertifizierung für uns alternativlos gewesen, um die Sicherheit unserer Software-Entwicklungsprozesse zu gewährleisten und das Vertrauen unserer Klienten und Partner in die Sicherheit unserer Produkte und Dienstleistungen zu stärken“, sagt Thomas Ulrich, Director Software & Business Applications & Analytics bei DextraData.
Umsetzung
Für die Umsetzung kam nur ein Produkt in Frage: Die von DextraData selbst entwickelte Integrated Risk Lösung GRASP. GRASP steht für Governance, Risk, Audit, Security Platform und ist in der Lage, alle notwendigen Schritte der Umsetzung zu digitalisieren und zu managen.
Eine ISO 270001-Zertifizierung hatte bei DextraData eine Vorgeschichte. Bevor die eigene Lösung GRASP gelauncht wurde, gestaltete sich der Prozess, ein ISMS einzuführen lang und zäh. Thomas Ulrich erinnert sich: „Es wurden immer wieder Initiativen gestartet, die Vorarbeit leisteten. Zum Abschluss kam es nicht. Zu viele manuelle und analoge Schritte entwickelten sich zu einem ausgewachsenen Zeitfresser. Die Idee und schließlich Umsetzung von GRASP resultiert also auch aus unseren eigenen Erfahrungen.“
Zwar wuchs mit GRASP auch die eigene Expertise, doch um herauszufinden, wie DextraData in puncto Informationssicherheit aufgestellt sind, wurde durch externe Berater eine Audit- und GAP-Analyse durchgeführt. „Auf Basis dieser Analyse konnten wir festlegen, was wann getan werden muss, um sichere Software-Entwicklung zu gewährleisten“, erzählt Thomas Ulrich bei DextraData. Ab diesem Moment benannte das Team das Projekt intern nach dem Sicherheitsoffizier der USS Enterprise „WORF“.
Mit GRASP können Audits effektiv und stressfrei geplant werden.
Die Erkenntnisse dieser Analyse wurden direkt mit GRASP dokumentiert. Zudem wurden in einem Plenum Risiken identifiziert und Mustervorlagen besprochen. Die nun folgende eigentliche Implementierung des ISMS bedingte dann eine umfangreiche Definition von Verantwortlichkeiten, die Entwicklung von Sicherheitsrichtlinien und -verfahren, die Durchführung von Schulungen und Sensibilisierungsmaßnahmen sowie die Einführung von Sicherheitskontrollen und Überwachungsmaßnahmen. Hier kamen nun die Stärken der Inhouse-Lösung GRASP voll zum Tragen. Normalerweise würden Maßnahmen, Dokumente, Verantwortlichkeiten und Termine in mehreren Dokumenten, Spreadsheets oder gar ausgedruckt in Schubladen oder Ordnern verteilt bei mehreren Personen. Das Risiko, Dinge zu übersehen, zu vergessen oder unzureichend dokumentieren zu können, ist groß und würden den Erhalt und die Aufrechterhaltung einer ISO 27001- Zertifizierung gefährden.
Durch eine einmalige Inventarisierung und Digitalisierung von Strukturen, Prozessen, Assets, Systemen und Dokumenten minimiert GRASP dieses Risiko und schafft durch seinen Single-Point-of-Truth-Ansatz vollen Durch- und Überblick. Eine Person war nun in der Lage, alle ISO 27001-Richtlinien und Prozesse zu managen. DextraData kam in diesem Prozess der selbstgewählte Low-Code zu Gute, denn so waren Mitarbeiterinnen und Mitarbeiter auch ohne Programmierkenntnisse in der Lage, GRASP an ihre spezifischen Rollen anzupassen.
Erhalt der Zertifizierung – Projekt WORF kurz vor Abschluss
Der spanneste Teil einer ISO/IEC 27001-Zertifizierung ist letztlich die externe Überprüfung durch ein Zertifizierungsunternehmen. Ein Auditplan legte fest, welche Bereiche des ISMS untersucht werden sollten, wie lange die Überprüfung dauern würde, wer beteiligt sein wird, welche Dokumente bereitgestellt werden müssen und welche Prüfmethoden verwendet werden. Im Falle von DextraData besuchten zwei Auditoren des Zertifizierungsunternehmens E-Security-CERT GmbH die DextraData Standorte Essen und Hamburg und führten eine Vor-Ort-Überprüfung durch. Dabei bewertete der Auditor die Implementierung und Anwendung des ISMS, indem er Dokumente überprüfte, Interviews mit Mitarbeiterinnen führte und physische und technische Sicherheitskontrollen überprüfte.
Die Belegschaft von DextraData war aufgrund der effektiven Organisation des ISO-Teams sehr gut vorbereitet. Durch GRASP konnten effektive Maßnahmen ergriffen werden, die vor allem die Sensibilität der Kolleginnen und Kollegen gegenüber Informationssicherheit steigerte. In Kooperation mit dem E-Learner myBreev wurden Mitarbeiterinnen und Mitarbeiter beispielsweise verpflichtend geschult und regelmäßige Newsletter zum Thema Informationssicherheit versendet.
Nach Abschluss der Überprüfung erstellte E-Security-CERT GmbH einen Bericht, das DextraDatas ISMS die Forderungen gemäß DIN EN ISO/IEC 27001:2017-06 erfüllt. Der Klingone hatten seinen Job bestens erfüllt.
Ergebnis
GRASP unterstützt DextraData dabei, das implementierte ISMS zu treiben und zu managen. „Erst durch den Einsatz unserer eigenen Lösung waren wir als mittelständisches Unternehmen in der Lage, alle Notwendigkeiten für die Zertifizierung effizient zu organisieren und das Projekt zu einem Abschluss zu bringen.
Das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in der Entwickler-Umgebung der Software-Lösungen CIO COCKPIT, Dex7, Logipad, und GRASP zu gewährleisten und damit Geschäftsrisiken zu minimieren, wurde Dank GRASP erreicht. Außerdem wurde die Wahrscheinlichkeit von Cyberangriffen, Datenschutzverletzungen und anderen Sicherheitsproblemen deutlich reduziert.
Durch unsere Bemühungen in der sicheren Software-Entwicklung und der Schulung unserer Kolleginnen und Kollegen, sind wir in der Lage, unsere Arbeitsabläufe zu optimieren und gleichzeitig die Sicherheit unserer Klienten und Mitarbeitenden zu gewährleisten.