Sichere Gebäudetechnik dank ISO-Zertifikat

Ein digitalisiertes Gebäude bietet sowohl Nutzern als auch Betreibern große Vorteile: Viele Prozesse lassen sich einfacher und kostengünstiger gestalten, es werden Ressourcen wie Strom und Wasser gespart und das Gebäude kann besser an individuelle Bedürfnisse angepasst werden. So ein umfassendes System muss allerdings durchgehend geschützt sein, damit unbefugte Dritte keinen Zugriff auf die Informationen bekommen. Neben einer verschlüsselten Kommunikation der intelligenten Geräte sind auch sichere Prozesse in der Firma, die die Technik betreibt, von großer Bedeutung. Wir werfen einen genaueren Blick auf den Bedarf, die Umsetzung und die Mehrwerte einer sicheren IT. 

 

Was ist ein ISMS? 

Jede Firma, die mit personenbezogenen oder vertraulichen Daten arbeitet, sollte ein Information Security Management System (ISMS) haben. Dabei handelt es sich um ein System an Regeln und Prozessen, welche die Sicherheit der gespeicherten und verarbeiteten Informationen gewährleisten. Für eine internationale Vereinheitlichung der IT-Sicherheitsstandards wurde die Norm ISO/IEC 27001 ins Leben gerufen.  

Diese ISO-Norm definiert die Ziele eines stabilen ISMS und stellt Ansprüche an die Umsetzung in einem Unternehmen. Das beinhaltet die Erfassung und Auswertung der potenziellen Risiken für relevante Daten, das Einführen von Prozessen, welche die Risiken minimieren und im Falle eines Vorfalles den Schaden begrenzen. Außerdem muss die Informationssicherheit dauerhaft geprüft werden, sodass nötigenfalls schnell Anpassungen vorgenommen werden können.  

 

IT-Sicherheit für intelligente Gebäude 

Besonders für Smart Building ist es essenziell, IT-Sicherheit ernst zu nehmen. Die intelligente Technologie steuert wichtige Prozesse im Gebäude und darf daher nicht zur Schwachstelle werden. Durch ein Audit Log in der Plattform können sämtliche Vorgänge über einen längeren Zeitraum zurückverfolgt werden. So kann auffälliges Nutzer- oder Systemverhalten aufgedeckt und Missbrauch oder Fehler vermieden werden. Für Kunden im öffentlichen Sektor ist es übrigens notwendig, dass der Anbieter digitaler Gebäudetechnik eine Zertifizierung vorweisen kann, um zu garantieren, dass die internen Prozesse im Unternehmen sicher sind. Auch Versicherungen legen häufig Wert auf eine ISO-Zertifizierung der Gebäudetechnik ihrer Kunden. 

 

Der Prozess der Zertifizierung 

Für eine Zertifizierung ist in jedem Fall ein mehrstufiger Prozess notwendig, der in der Regel ein bis eineinhalb Jahre dauert. Am Anfang stehen Gespräche mit einer Beratungs- oder Zertifizierungsfirma, die dem Anwärter hilft, sich über interne Sicherheitsabläufe bewusst zu werden. Wenn die Beratungsfirma denkt, dass das zu prüfende Unternehmen bereit ist, folgt die nächste Stufe, nämlich ein formeller Audit. Dabei wird das ISMS genau geprüft und wenn es den Anforderungen der ISO entspricht, wird das Zertifikat ausgestellt.  

Damit ist der Prozess aber noch nicht abgeschlossen. Bei der Zertifizierung geben die Prüfer Verbesserungsvorschläge, die umgesetzt werden sollen. Nach einem Jahr erfolgt nämlich eine weitere Kontrolle, ob das System weiterhin funktioniert und Prozesse gelebt werden. Besteht das Unternehmen auch diese Überprüfung, ist das Zertifikat einige Jahre gültig und muss danach erneuert werden. Daher ein ISMS kein einmaliger Prozess, sondern eine konstante Aufgabe, zu dem das ganze Unternehmen etwas beiträgt. 

 

ISO 27001 Zertifikat von Sensorberg

 

ISO 27001 bei Sensorberg 

Um stetig die eigenen Prozesse verbessern und mehr öffentliche Kunden für digitale Gebäudetechnik begeistern zu können, hat sich auch Sensorberg einer Zertifizierung nach ISO 27001 unterzogen. Gemeinsam mit einer auf Informations-Sicherheit spezialisierte Beratungsfirma startete Anfang 2020 der Prozess und nach nur einem Dreivierteljahr erhielt Sensorberg das Zertifikat. Dabei konnten viele Prozesse im Risikomanagement, Mobile Device Management und in der Serverstruktur optimiert werden. Außerdem wurde das Onboarding für Mitglieder angepasst und Mitglieder des Managements müssen ihr polizeiliches Führungszeugnis vorweisen, um Vertrauenswürdigkeit zu gewährleisten.  

Die größte Herausforderung in diesem Prozess war der enorme Arbeitsaufwand, der allerdings überdurchschnittlich schnell bewältigt werden konnte. Des Weiteren war es eine anspruchsvolle Aufgabe, die personellen Kapazitäten für die Zertifizierung zu schaffen und das Change-Management zu koordinieren. Dazu hat ein Mitarbeiter die Rolle als Information Security Officer eingenommen, der zusammen mit dem gesetzlich vorgeschriebenen Datenschutzbeauftragten nun hauptverantwortlich für die digitale Sicherheit und den Datenschutz ist. Schlussendlich wurden alle Hürden erfolgreich überwunden, sodass wir uns nun als ISO 27001-zertifiziertes Unternehmen bezeichnen dürfen. 

Für alle Firmen, die auch über eine ISO-Zertifizierung nachdenken oder sich gerade im Prozess befinden, haben wir hier noch drei Learnings aus unserer Erfahrung: 

  • Stellt ausreichend Kapazitäten zur Verfügung  qualifiziertes Personal sowie einen realistischen Zeitrahmen. 
  • Unterschätzt den Detailierungsgrad der Anforderungen nicht: Beinahe alle Prozesse bei euch werden hinterfragt und müssen gegebenenfalls angepasst werden. 
  • Ihr werdet euer Mindset und eure Firmenkultur durch stetiges Lernen immer weiterentwickeln.