Posted on May 13, 2019

IT-Security first – Textkernel erhält ISO-27001-Zertifizierung

Textkernel hat in einem strengen Sicherheitsaudit seine Sicherheitsvorkehrungen noch weiter verbessert und wurde erfolgreich gemäß der Norm ISO 27001 zertifiziert. Für die überwiegende Mehrheit der Kunden sind Datensicherheit und -schutz von höchster Bedeutung und ein Thema, bei dem sie keine Kompromisse eingehen. Während Textkernel den Themen Sicherheit und Datenschutz seit jeher einen hohen Stellenwert einräumt, verpflichten wir uns mit der ISO-Zertifizierung dazu, dieses hohe Level an Datensicherheit als Standard zu wahren.

Wir haben mit Johan van der Zel, Information Security Officer von Textkernel, und Maciej Hoch, Chief Technology Officer, darüber gesprochen, was die ISO-Norm beinhaltet und warum sie für unser Unternehmen so einen wichtigen Schritt bedeutet. Erfahren Sie das Wichtigste in diesem 3-Minuten-Video oder lesen Sie weiter, um genauere Informationen zu erhalten:

Der Hintergrund

ISO 27001 ist eine von der International Organization for Standardization vorgegebene Norm. Sie legt die Anforderungen an ein effektives IT-Security-Management fest. Dieser Standard bietet Unternehmen einen Rahmen, um die eigene Datensicherheit und Datenschutzqualität zu bewerten und auf gleichbleibendem Niveau zu halten.

„Wir bei Textkernel wissen, wie wertvoll die Daten sind, die wir für unsere Kunden verarbeiten. Daher möchten wir sie bestmöglich sichern.“ – Johan van der Zel, Information Security Officer bei Textkernel

Warum eine höhere Sicherheitszertifizierung wichtiger ist denn je?

Laut Maciej Hoch, CTO bei Textkernel, fußt das ISO-Projekt auf zwei wesentlichen Beweggründen. „Zum einen arbeiten wir mit immer mehr großen Kunden zusammen, die ausschließlich mit Partnern arbeiten, denen sie vertrauen können. Und am besten gewinnt man dieses Vertrauen mit einem unabhängigen Auditor, der bestätigt, dass wir als Unternehmen bestimmte Sicherheitsstandards erfüllen.“ Maciej fährt fort: „Zum anderen fühlen wir uns von Textkernel für die Datensicherheit unserer Kunden verantwortlich. Diese beiden Beweggründe finden sich im ISO-Projekt wieder. Wir finden, es handelt sich hier um eine der elementarsten Initiativen, die Textkernel je angestoßen hat.“

Der ISO-Prozess ist nicht einfach ein einmaliges Verfahren, bei dem wir uns auf ein Audit vorbereiten, dieses erfolgreich bestehen und dann die Zertifizierung erhalten. Vielmehr müssen wir unsere Prozesse kontinuierlich verbessern und immer zuerst den Sicherheitsaspekt genau prüfen, bevor wir Änderungen vornehmen.

Wie Textkernel die Zertifizierung erhalten hat

Die Zertifizierung beginnt bei unserem Systemdesign. Alle Systeme werden vor, während und nach ihrer Implementierung im Detail überprüft. So wird sichergestellt, dass das Thema IT-Security immer an erster Stelle steht. “Das erfordert Anstrengungen von der gesamten Organisation”, sagt Johan. „Nicht nur das Sicherheitsteam ist für jeden Prozess und jedes Verfahren verantwortlich. Jeder, vom IT-Operations-Team bis zum Büropersonal, leistet seinen Beitrag – auch wenn es einfach darum geht, dass Mitarbeiter-Laptops während der Mittagspause passwortgeschützt sind. ”

Johan erklärt außerdem, dass die ISO-Zertifizierung nicht nur die Infrastruktur betrifft, in der unsere Services gehostet werden, sondern auch unternehmensweite Prozesse und unseren Umgang mit dem Thema Business Continuity. “Wir müssen die aktuellen Ereignisse auf der Welt im Blick behalten und sicherstellen, dass wir auf mögliche Rückschläge schnell und effektiv reagieren können.”

“Sicherheitsvorfälle” sind nicht immer so, wie wir sie aus Hollywood kennen

Die ISO-Zertifizierung geht also weit über das Thema digitale Datensicherheit hinaus. Zum Beispiel forderte uns der Prüfer auf, zu beurteilen, ob und welche Risiken durch den Zugang unseres Reinigungsunternehmens zu unseren Büros entstehen könnten. „Zum Glück lässt sich so etwas sehr leicht kontrollieren“, erklärt Maciej. „Die komplexeren Korrekturen drehten sich darum, die Sicherheit unseres Netzwerks zu gewährleisten, sobald wir eine Verbindung zu Drittanbietern herstellen. Dafür sorgen aktive Überwachungs- und Eskalationsverfahren, mit denen wir binnen Minuten auf mögliche Vorfälle reagieren können.“