Austausch der IT und ISO 27001-Zertifizierung im Bereich erneuerbare Energien für die Lampe Equity Management GmbH (Best Practice)

Unternehmen, die im Bereich der erneuerbaren Energien bzw. der Energie-Infrastruktur tätig sind, freuen sich seit Jahren über ein schnelles Wachstum. Da kann es schnell passieren, dass die Unternehmens-IT nicht mehr den höchsten Anforderungen entspricht. Wie man mit Hilfe eines externen Sicherheitsbeauftragten die gesamte IT austauscht und eine Sicherheitszertifizierung nach ISO 27001 meistert, zeigt das Best Practice der Lampe Equity Management GmbH.

Die Herausforderung bei der Kunden-IT

Zum Portfolio der Hamburger CEE Group gehören zahlreiche Photovoltaik- und Windparks in Deutschland. Und es werden immer mehr. Um die Prozesse der vielen Unternehmen der CEE Group zu optimieren, bündelte man die IT-Tätigkeiten der Gruppe in der Lampe Equity Management GmbH. Als dort nach einigen Jahren ein Informationssicherheits-Managementsystem (ISMS) eingeführt werden sollte, um die Zertifizierung nach ISO 27001 zu erreichen, wurde Handlungsbedarf sichtbar:

„Unsere IT-Infrastrukturen sind in großem Umfang und sehr organisch gewachsen. Doch dies ist nicht endlos skalierbar, dafür sind die Anforderungen unseres Unternehmens an Effizienz und Sicherheit zu hoch“, erläutert CEE Operations-Geschäftsführer Christian Bertsch-Engel, verantwortlich für die Umstrukturierung der IT-Landschaft der Lampe Equity Management.

Umsetzung 1: Austausch der gesamten IT

Um die Herausforderungen zu meistern, wurde ein Experte der activeMind AG als externer Sicherheitsbeauftragter bestellt. Zudem besetzte man die Position des technischen Leiters neu, um interne und externe Kompetenzen zu bündeln. In einem ersten Arbeitsschritt ging es dann darum, den vollständigen Austausch der vorhandenen Hardware zu realisieren. Christian Bertsch-Engel: „Im laufenden Geschäftsbetrieb die Unternehmens-IT zu ändern, davor scheut man sich ja eher. Für uns war es daher besonders angenehm, dass unser Team während des gesamten Prozesses durch die activeMind AG begleitet wurde.“

So übernahm der externe Sicherheitsbeauftragte die Ausschreibung des Hardware-Austauschs, die Erstellung des Anbieterkatalogs und den Entwurf des technischen Lösungsvorschlags. Auch die Angebotsprüfung und Auswahl des Anbieters wurde durch die activeMind AG durchgeführt. Parallel dazu konnte durch den neuen technischen Leiter ein internes Störungsmanagement entwickelt und implementiert werden.

„Wir setzen vorwiegend auf eigene IT und lagern nicht in Rechenzentren aus. Daher brauchten wir nicht nur neue Workstations, sondern auch Server bzw. die gesamte Storage-Struktur. Das Ergebnis sollte eine prozessorientierte und hochverfügbare Umgebung sein“, so Christian Bertsch-Engel. „Die juristischen, organisatorischen und IT-Kenntnisse der activeMind AG waren hierbei sehr wertvoll. Auch in die Vertragsverhandlungen und die Überprüfung des Anbieters nach § 11 Bundesdatenschutzgesetz (BDSG) hat sich unser externer Sicherheitsbeauftragter wertstiftend eingebracht.“ Insgesamt begleitete die activeMind AG die Lampe Equity Management GmbH bei der technischen Integration bis zur Abnahme.

Umsetzung 2: Vorbereitung zur ISO-Zertifizierung

Auf Basis der neuen Infrastruktur konnte nun die Zertifizierung nach ISO 27001 durch den TÜV angestrebt werden. Der Ausbau des notwendigen IT-Monitorings wurde intern verwirklicht. Der externe Sicherheitsbeauftragte unterstützte währenddessen bei der Risikoanalyse, der datenschutzrechtlichen Prüfung und bei der Erstellung der IT-Dokumentation. Interne Audits bereiteten optimal auf das Zertifizierungsaudit vor.

„In weniger als anderthalb Jahren seit der Erfassung des technischen Ist-Zustands erlangten wir gemeinsam mit der activeMind AG die erfolgreiche Zertifizierung nach ISO 27001 ohne Abweichungen“, freut sich Christian Bertsch-Engel. „Überzeugt hat uns dabei vor allem der Rundum-Service und die pragmatische Herangehensweise der Experten. Mit der activeMind AG an unserer Seite und mit unserer neuen IT sind wir sicherheitstechnisch und datenschutzrechtlich bestens für zukünftiges Wachstum gerüstet!“

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Medizinischer Datenschutz bei iPrax Systems [Best Practice]

Unternehmen, die im Gesundheitssektor aktiv sind, können sich derzeit über zwei sehr interessante Megatrends freuen: Zum einen ermöglicht die Individualisierung medizinischer Bedürfnisse und gesundheitlicher Vorsorge eine Vielzahl neuer Geschäftsmodelle. Zum anderen hilft die Digitalisierung dabei, Interessierte immer gezielter anzusprechen und Kunden – Patienten ebenso wie Ärzte und Therapeuten – jederzeit mit passenden Dienstleistungen zu versorgen. Eine besonders große Herausforderung stellt jedoch der Datenschutz im medizinischen Bereich dar. Denn Daten über Diagnosen von Ärzten, Medikamente und Therapien sind besonders sensibel. Warum es sich für Gesundheitsunternehmen daher besonders lohnt, einen externen Datenschutzbeauftragten beratend hinzuzuziehen, erklärt Dirk Becker, Geschäftsführer von iPrax Systems im Best Practice Interview.

Welches Produkt bietet Ihr Unternehmen im Gesundheitsbereich an?

Wir vertreiben eine Praxis-Software für Physiotherapeuten, Ergotherapeuten, Logopäden und Podologen. Mit iPrax können Sie alle wichtigen Verwaltungsaktivitäten einer Praxis digital abwickeln: Terminplanung und -vergabe, Patientenmanagement, Rezepte und Abrechnung. Dabei ist es egal, ob Sie gerade in der Praxis sind oder unterwegs, denn mit iPrax haben Sie online wie offline mit Ihrem iPad oder Mac immer Zugriff auf alle relevanten Daten. Mehrere Endgeräte lassen sich einfach synchronisieren, wodurch auch die Zusammenarbeit im Team erleichtert wird.

Wie relevant ist der Datenschutz bei Ihrer Software?

Bei Praxissoftware spielt der Datenschutz natürlich eine sehr große Rolle. Schon die gesetzlichen Vorgaben sind hier besonders streng, weil ja sensible Daten von Patienten verarbeitet werden. Darüber hinaus gebietet unser unternehmerisches Selbstverständnis, alles organisatorisch und technisch Mögliche zu unternehmen, um den Schutz der über unsere Software verarbeiteten Daten zu gewährleisten.

Welche sensiblen Daten werden bei iPrax verarbeitet?

Neben den Stammdaten der Patienten speichern die anwendenden Therapeuten alle relevanten Gesundheitsdaten wie den ärztlichen Befund, die Behandlungsdokumentation und die Rezepthistorie.

Warum haben Sie sich für einen externen Datenschutzbeauftragen entschieden?

Über das Wissen für die Erstellung, Implementierung und Einhaltung eines Datenschutzkonzepts verfügt unserer Meinung nach nur ein Profi als externer Datenschutzbeauftragter. Dies trifft insbesondere auf kleinere Unternehmen zu, die ihre Personalressourcen sehr gezielt einsetzen müssen. Außerdem kann ein „professioneller Datenschützer“ die ganzen Prozesse viel schneller abwickeln – schließlich macht er das ja den ganzen Tag und verfügt über entsprechende Erfahrung.

Was hat sich durch die Beratung der activeMind AG in Ihrem Unternehmen verändert?

Wir konnten bei allen betroffenen Mitarbeitern das Bewusstsein zum Schutz von personenbezogenen Daten stark erhöhen.

Können Sie das erreichte Datenschutzniveau nutzen, um besser Neukunden zu gewinnen?

Indirekt hilft der bei iPrax umgesetzte Datenschutz sicherlich. Unsere Kunden prüfen uns zwar in der Regel nicht im Sinne einer Auftragsdatenverarbeitung. Sie gehen aber davon aus, dass alles technisch und organisatorisch Mögliche durch uns als Anbieter unternommen wird, um die gesetzlichen Vorgaben zum Schutz der Daten zu gewährleisten. Unser Datenschutzmanagement gewährleistet bestmöglich, dass wir dieses Vertrauen niemals aufs Spiel setzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Zertifizierung nach ISO 27001 und ISO 9001 für MediaKom (Best Practice)

Wenn Unternehmen einen Dienstleister für Business-Process-Outsourcing (BPO) suchen, sollten die Faktoren Informationssicherheit, Datenschutz und Qualitätsmanagement eine ausschlaggebende Rolle spielen. Immerhin werden dem Anbieter meist sensible Geschäfts- und Kundendaten anvertraut. Dazu kommt, dass die DSGVO die Sicherstellung der Integrität, Verfügbarkeit und Sicherheit von Daten verlangt. Genau diese Anforderungen werden auch bei einer ISO 27001-Zertifizierung geprüft. Wie diese mithilfe der activeMind AG zu erlangen sind, erklärt Thomas Dittmar, Technischer Leiter der MediaKom GmbH & Co. KG – Gesellschaft für Informations- und Dialogmanagement im Best Practice Interview.

Warum spielen IT-Sicherheit und Datenschutz für Ihr Unternehmen eine besonders große Rolle?

Als Mailing- und BPO-Dienstleister verarbeiten wir täglich sensible personenbezogene Daten unserer Kunden, z. B. Krankenkassen, Gewerkschaften, Versicherungen, Kirchen oder Banken. Insofern stellen die Themen Datenschutz und Datensicherheit unternehmensweit eine übergeordnete Anforderung dar. Hierbei spielt die Einhaltung der strengen Vorgaben der Datenschutzgesetze sowie des Sozialgesetzbuches für uns die zentrale Rolle.

Welche Vorteile einer IT-Sicherheitszertifizierung nach ISO 27001 sehen Sie im B2B-Bereich?

Die ISO 27001 ist zwar keine gesetzliche Forderung, jedoch erfüllt sie umfangreiche gesetzliche Auflagen und bietet viele Vorteile. Gerade bei der Verarbeitung von sensiblen personenbezogenen Daten, die ein hohes Maß an Datenschutz und Datensicherheit erfordern, lässt sich mit ihr eindeutig nachweisen, dass beispielsweise Sicherheitsanforderungen nach § 11 BDSG erfüllt sind. Und in den letzten Jahren stellen wir fest, dass die ISO 27001 bei vielen unserer Kunden eine Mindestvoraussetzung für die Auftragsvergabe ist, was wir natürlich sehr begrüßen.

Wieso entschieden Sie sich bei der Vorbereitung für die Zertifizierung auf einen externen Dienstleister wie die activeMind AG zu setzen?

Zwar haben Datenschutz und IT-Sicherheit und die damit verbundene Einhaltung von gesetzlichen Anforderungen für uns schon immer eine sehr hohe Bedeutung, der Umgang mit den Anforderungen einer ISO-Norm war jedoch zum damaligen Zeitpunkt für uns neu. Als wir uns im Jahr 2010 für die Zertifizierung nach DIN ISO/IEC 27001 entschieden, suchten wir also einen Dienstleister, der uns vollumfänglich beim Aufbau unseres Informationssicherheits-Managementsystems (ISMS) unterstützt und dementsprechend auch über ausreichend Erfahrung verfügt – die activeMind AG.

Wie verlief die Zertifizierung vom Erstkontakt bis zum finalen Audit?

Im Dezember 2010 beauftragten wir die activeMind mit der Durchführung einer Erstaufnahme im Bereich Informationssicherheit und Qualitätsmanagement. Auf Basis der bestehenden Unterlagen wurde uns im Januar/Februar 2011 der umfangreiche Dokumentenrahmen – angepasst auf die Bedürfnisse unseres Unternehmens – durch die activeMind zur Verfügung gestellt.

Im Rahmen einer Kick-Off-Veranstaltung für alle Mitarbeiter und die Geschäftsführung wurde das Unternehmen auf die kommenden Schritte bis zur Zertifizierungsreife vorbereitet. Schulungen durch die activeMind AG für Qualitätsmanagement- und Sicherheitsbeauftragte halfen bei der Einarbeitung in die anspruchsvollen Themengebiete der Normen.

Bereits im März 2011 wurde eine umfangreiche Risikoanalyse durchgeführt. Auf Basis der Ergebnisse konnten zusätzliche Schwachstellen erkannt und bestehende Maßnahmen priorisiert werden. Im Mai 2011 erfolgte eine vollständige interne Auditierung nach ISO/IEC 27001 und DIN ISO 9001 unter Zertifizierungsbedingungen durch activeMind. Dieses Audit zeigte den aktuellen Status der Umsetzung und bereitete die Mitarbeiter optimal auf das kommende Zertifizierungsaudit vor.

Ende Juni 2011 erfolgte dann die Auditierung durch den TÜV Hessen. Das Ergebnis war die uneingeschränkte (!) Empfehlung der Auditoren für beide Zertifikate ohne Abweichungen.

In welchem Zeitrahmen konnten Sie Ihr ISO 27001-Zertifikat erlangen?

Vom Zeitpunkt der Entscheidung uns nach ISO/IEC 27001 und zusätzlich DIN ISO 9001 zertifizieren zu lassen bis zur Zertifizierung durch den TÜV Hessen benötigte es ca. sechs Monate.

Die erste Re-Zertifizierung haben Sie bereits erfolgreich absolviert. Inwiefern konnten Sie Ihr Informationssicherheits-Managementsystem noch verbessern?

Die wesentliche Verbesserung sehen wir darin, dass die Anforderungen der Norm mittlerweile vollständig in unsere Geschäftsprozesse integriert sind und vor allem auch bei den Mitarbeiterinnen und Mitarbeitern das Bewusstsein für Datenschutz und Datensicherheit noch einmal deutlich gesteigert werden konnte. Aber natürlich wurden in den letzten Jahren auch viele Sicherheitsmechanismen überarbeitet, denn ein ISMS ist ein dynamischer Prozess und lebt von der regelmäßigen Auditierung. Die activeMind AG unterstützt uns dabei kontinuierlich, indem Sie jährlich interne Audits zur Vorbereitung auf die Zertifizierungsaudits durchführt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

ISO 27001 Zertifizierung von E-Mail-Marketing- und Lead Management-Anbieter SC-Networks (Best Practice)

E-Mail-Marketing und die (teil-)automatisierte Vertiefung von Kundenbeziehungen mit Inhalten (Lead-Management) erfordern aufgrund ihrer Komplexität ausgereifte technische Lösungen. Außerdem sollte bei solchen Angeboten als Software as a Service (SaaS) in besonderem Maße auf IT-Sicherheit und Datenschutz geachtet werden. So ist es etwa datenschutzrechtlich spätestens seit dem Ende von Safe Harbor schwierig, auf US-amerikanische Anbieter zu setzen. Stattdessen lohnt es sich, E-Mail-Marketing-Anbieter aus Deutschland in Erwägung zu ziehen. Einer davon ist die SC-Networks GmbH mit dem Produkt Evalanche. Bereits seit einigen Jahren ist ein Experte der activeMind AG bei SC-Networks als externer Datenschutzbeauftragter bestellt. Nun begleiteten wir das Unternehmen als externer IT-Sicherheitsbeauftragter auch zur erfolgreichen ISO 27001 Zertifizierung. SC-Networks Geschäftsführer Martin Philipp erklärt im Best Practice Interview, welche Anforderungen und Maßnahmen gemeinsam mit der activeMind AG umgesetzt werden konnten.

Welche besonderen Anforderungen hat SC-Networks an Datenschutz und Datensicherheit?

Grundsätzlich sind Datenschutz und IT-Sicherheit ja für jedes Unternehmen, das personenbezogene Daten verarbeitet, speichert und nutzt, äußerst relevante Aufgaben. Für unser Unternehmen gilt zusätzlich, dass beim E-Mail-Marketing und Lead-Management besonders sensible Daten erhoben werden. So kombinieren wir beispielsweise Nutzungsdaten und Identifikationsmerkmale der Kunden unserer Kunden. Hierfür gibt das Bundesdatenschutzgesetz (BDSG) sehr strenge Richtlinien vor.

Unsere größten Anliegen sind in der Folge der Schutz der Vertraulichkeit, Verfügbarkeit und Integrität dieser Daten, so dass unsere Kunden stets in Übereinstimmung mit dem Gesetz und bestmöglich gefeit vor Missbrauch der Daten sind. Zu den spätestens seit dem NSA-Skandal gestiegenen Sicherheitsansprüchen bei den Kunden kommen aktuelle Entwicklungen wie das Ende des Safe-Harbor-Abkommens und damit verbunden verstärkte Prüfungen durch die Datenschutz-Aufsichtsbehörden.

Generell sehen wir uns als Dienstleister in der Verantwortung, die Daten unserer Kunden mittels modernster Technologie und optimiertem Management zu schützen. Denn nur dann können unsere Kunden das auch ihren Kunden anbieten. Das sehr erfolgreiche Ergebnis ist Evalanche – eine datenschutzkonforme Software, die jedem Anwender umfangreiche Funktionalitäten und Konfigurationsmöglichkeiten für rechtssicheres E-Mail-Marketing und Lead-Management bietet.

Wenn IT-Sicherheit einen solchen Stellenwert in Ihrem Unternehmen hat, warum haben Sie die Implementierung der ISO 27001 Anforderungen nicht durch eigene Mitarbeiter realisiert, sondern extern beauftragt?

Wer IT-Sicherheit gewährleisten will, muss nicht nur über technologische Expertise verfügen, sondern auch viele rechtliche Vorgaben beachten. Da ist es durchaus schwer, den Überblick zu behalten, auch weil der Gesetzgeber etwa mit dem neuen IT-Sicherheitsgesetz nicht gerade zur Klarheit beiträgt.

Die Unterstützung durch einen professionellen Dienstleister lag also nahe. Die activeMind AG kennen wir als langjährigen Partner aus dem Bereich Datenschutz und konnten demnach gut einschätzen, was uns erwartet. Ein weiterer Vorteil ist, dass Datensicherheit und Datenschutz kaum zu trennen sind und ein Partner, der beides beherrscht, demzufolge die optimale Lösung darstellt. Außerdem ist SC-Networks so für die ab ca. 2018 zu erwartenden, strengeren gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung bestens gerüstet.

Welche konkreten IT-Sicherheits-Maßnahmen konnten Sie gemeinsam mit der activeMind AG umsetzen?

Wir lassen den TÜV alle datenschutz- und datensicherheitsrelevanten Unternehmensbereiche von SC-Networks – vom Rechenzentrum bis hin zu den einzelnen Mitarbeitern – prüfen. Um uns auf die Zertifizierung nach ISO/IEC 27001:2013 vorzubereiten, fanden zunächst mehrere interne Auditierungen statt. Hierbei erwies es sich aus unserer Perspektive als sehr hilfreich, dass Klaus Foitzick von der activeMind AG selbst berufener Auditor des TÜV ist und somit genau wusste, was zu tun war.

Es folgte die Umsetzung organisatorischer und technischer Maßnahmen, um alle Anforderungen der ISO 27001 zu erfüllen. Der Erfolg war dann unmittelbar sichtbar: Beim Zertifizierungs-Audit verzeichneten die Prüfer für SC-Networks keine einzige Abweichung von den Vorgaben für das Informationssicherheits-Managementsystem (ISMS).

Wie haben die Mitarbeiter und Kunden von SC-Networks auf die Zertifizierung reagiert?

Wir haben die ISO 27001-Zertifizierung über Pressemeldungen, Newsletter, unseren Corporate-Blog und soziale Netzwerke kommuniziert. Viele Erfahrungen flossen sogar direkt in ein E-Book zum rechtssicheren E-Mail-Marketing ein.

Das Feedback war natürlich durchweg positiv. Für unsere Kunden hat das ja auch nur Vorteile, weil hohe Verfügbarkeit unserer IT-Systeme, sichere Integrität aller betrieblichen Informationen und optimaler Schutz von vertraulichen Daten nun offiziell nachgewiesen wurden.

Die ISO 27001 bestätigt aber nicht nur die aktuelle Qualität und Sicherheit der IT-Systeme und Geschäftsprozesse, die wir unseren Kunden und Partnern zur Verfügung stellen. Sie gewährleistet darüber hinaus auch regelmäßige und fortlaufende Kontrollen durch den TÜV.

Würden Sie activeMind weiterempfehlen?

Unbedingt! Ich denke jedes Unternehmen kann vom umfassenden Know-how der Mitarbeiter von activeMind profitieren. Hier werden juristischer Sachverstand und technisches Wissen kombiniert. Man lernt also nicht nur was man tun muss, um dem Gesetz zu genügen, sondern auch noch wie das am besten geht. Ein weiterer Pluspunkt: Bei der activeMind AG hat man seinen ganz persönlichen Ansprechpartner, der nicht erst in einer Akte nachsehen muss, wer man überhaupt ist. Stattdessen kennt er das Unternehmen und seine speziellen Anforderungen an Datenschutz und Datensicherheit. Das ist für mich als Kunden sehr sympathisch!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: