Insbesondere in wachstumsstarken Branchen stehen Unternehmen vor der Herausforderung, ihre Informationssicherheit den stetig wachsenden Risiken anzupassen. Die Implementierung von ISO 27001-Maßnahmen ist ein wirksames Werkzeug zur Reduktion von Risiken durch Cyberangriffe, Datenschutzverletzungen und andere Sicherheitsvorfälle. So entschied sich auch VertiGIS, einer der weltweiten Marktführer für innovative räumliche Asset-Management-Lösungen und geografische Informationssysteme (GIS), ein zentral gesteuertes Informationssicherheitsmanagementsystem (ISMS) zur nachhaltigen Steigerung der Informationssicherheit aufzubauen. Im September 2021 startete das ISMS-Einführungsprojekt, das von Maximilian Müller (Managing Security Consultant) und Fruzsina Temesi (Senior Security Consultant) der usd begleitet und im September 2023 erfolgreich zum Abschluss gebracht wurde.
Die erste Herausforderung: Das richtige Scoping im multinationalen Unternehmensumfeld
Wie viele dynamisch wachsende Unternehmen verfügt VertiGIS über eine IT- und Organisationslandschaft an vielen Standorten weltweit. Die Aufgabe von Maximilian Müller und Fruzsina Temesi von der usd bestand also darin, für die unterschiedlichen Prozesse und Softwareprodukte der verschiedenen Standorte eine einheitliche, zentralisierte Lösung zu entwickeln.
Um die Grundlage für ein effizientes, zentrales ISMS zu legen, das den Bedürfnissen der VertiGIS gerecht wird, entschied VertiGIS gemeinsam mit usd, das ISMS zunächst für alle Standorte in Deutschland, Österreich und der Schweiz umzusetzen.
Ein wesentlicher Treiber für unsere Entscheidung waren neben unserem eigenen Anspruch an starke Informationssicherheit im eigenen Umfeld natürlich auch die Bedürfnisse unserer Kunden. Viele VertiGIS Kunden betreiben kritische Infrastrukturen in Bereichen der öffentlichen Verwaltung und Versorgung. Insbesondere im DACH-Raum haben wir daher eine steigende Nachfrage nach nachweisbarer Informationssicherheit gemäß ISO 27001 festgestellt. Diesen Anforderungen kommen wir mit diesem Schritt gerne nach.
Sebastian Bernarello, Head of IT VertiGIS DACH
Anforderungsanalyse, Richtlinien und Tooling: Wichtige Projektphasen in der Implementierung
Nach einer eingehenden Anforderungsanalyse erstellte das Projektteam der usd einheitliche Informationssicherheitsrichtlinien für alle Unternehmenseinheiten im Scope. Darin wurden u.a. Anforderungen an die Informationssicherheit und Verantwortlichkeiten definiert. Im nächsten Schritt definierten usd und VertiGIS gemeinsam die wichtigsten ISMS-Prozesse und legten neue Rollen fest, wie beispielsweise Asset und Risk Owner.
Um ein effizientes Asset-, Risiko- und Dienstleistermanagement über alle Unternehmenseinheiten im Scope hinweg zu gewährleisten, stellte usd auf Basis einer Anforderungsanalyse ein passendes GRC-Tool (Governance, Risk und Compliance) zur Verfügung. Dieses wurde nach den Bedürfnissen der VertiGIS konfiguriert. Mitarbeiter*innen von VertiGIS, die die Rollen von Asset oder Risk Ownern innehaben, erfassen und verwalten hier ihre Assets und Risiken in einem einheitlichen Prozess. Das umfassende Dienstleistermanagement erfolgt ebenso im eingeführten Tool, bei dem Dienstleister entsprechend ihrer Kritikalität überprüft und überwacht werden. Das Tool ermöglicht außerdem die Nachverfolgung von Maßnahmen, die sich aus den Risk Assessments sowie den internen und externen Audits nach ISO 27001 ergeben.
Prozesse, Rollen, Verantwortlichkeiten: Onboarding aller Stakeholder
Ein ISMS kann nur dann gut funktionieren, wenn alle Stakeholder die Prozesse, Rollen und Verantwortlichkeiten kennen und unterstützen. In verschiedenen Trainings wurden die neu erarbeiteten ISMS-Prozesse umgesetzt, Schutzbedarfsfeststellungen für Assets durchgeführt und zielgerichtete Maßnahmen zu Risikobehandlungen definiert.
Alle Beteiligten der VertiGIS haben den Prozess sehr offen und ergebnisorientiert vorangebracht. Als Profis wissen sie natürlich, wie wichtig das Thema Informationssicherheit ist, und dass die entsprechenden Prozesse und Maßnahmen von allen mitgetragen werden müssen.
Fruzsina Temesi, usd AG
Internes und externes Audit: Generalprobe und abschließende Zertifizierung
Im April 2023 durfte das Projektteam den ersten großen Meilenstein feiern: Die neu erstellten Richtlinien wurden veröffentlicht und die Umsetzung bei VertiGIS ging mit dem internen Audit in die nächste Phase. Für die Mitarbeiter*innen von VertiGIS war dies eine optimale Vorbereitung für die externen Audits, die in den Folgemonaten durch den TÜV Rheinland durchgeführt wurden. Im September 2023 durchlief VertiGIS die intensiven Prüfungen nach ISO/IEC 27001:2013 erfolgreich und konnte Anfang Oktober 2023 das Zertifikat entgegennehmen.
Kontinuierliche Verbesserung: Die usd bleibt Partner
Informationssicherheit ist nie abgeschlossen, sondern immer ein laufender Prozess. Auch nach der erfolgreichen Zertifizierung nach ISO 27001 unterstützt das Team der usd bei der Maßnahmennachverfolgung. Ebenso wird bis Oktober 2025 der Umstieg auf die 2022er-Version der ISO 27001 vollzogen.
Im ISMS-Projekt mit VertiGIS haben wir nicht nur den Aufbau des ISMS begleitet, sondern sind auch dabei, wenn das ISMS im Unternehmen gelebt wird. Stetige Verbesserung ist ein integraler Bestandteil der Informationssicherheit – und wir freuen uns darauf, VertiGIS auch in der Zukunft dabei zu unterstützen.
Maximilian Müller, usd AG
Informationssicherheit kann nicht von Einzelnen erreicht, sondern muss immer von allen Ebenen eines Unternehmens mit allen Mitarbeitenden gemeinsam getragen werden. Wir freuen uns sehr, dass wir mit unserer Attestierung der ISO 27001 Compliance durch eine unabhängige Zertifizierungsstelle nun zeigen können, dass das bei uns der Fall ist. Wir bedanken uns bei allen Projektbeteiligten für diesen großartigen Erfolg.
Christoph Ihnenfeld, Chief Information Security Officer, VP Global IT & Security von VertiGIS
Mehr Insights aus dem ISMS-Projekt
Am 16.04.2024 ist Christoph Ihnenfeld, Chief Information Security Officer, VP Global IT & Security von VertiGIS, beim CST Talk: ISMS zu Gast, um mit anderen Gästen die Frage zu diskutieren: Ist es überhaupt möglich, ein effizientes ISMS aufzubauen?
Über VertiGIS
VertiGIS ist ein führender Anbieter von Lösungen für das Asset Management und geografischen Informationssystemen (GIS) und Softwareentwickler. Der Schwerpunkt des Unternehmens liegt auf der Entwicklung von Softwarelösungen und Dienstleistungen, die es Fachleuten in den Marktsegmenten Versorgungsunternehmen, Behörden, Telekommunikation und Infrastruktur ermöglichen, ihre Geschäftsprozesse mit räumlichen Asset-Management-Lösungen zu verbinden. Das Produktportfolio von VertiGIS, das von mehr als 5.000 Kunden und Millionen von Endanwendern weltweit genutzt wird, ist darauf ausgerichtet, die Fähigkeiten führender GIS-Software, insbesondere ArcGIS® von Esri, zu erweitern. Erfahren Sie mehr unter www.vertigis.com/de
