Als erste Kammerorganisation in Österreich ist die WKO Inhouse GmbH nach dem weltweiten Standard für Informationssicherheit ISO 27001 von der Zertifizierungsgesellschaft CIS zertifiziert worden. [...]
Damit hat sich die WKO-Tochter zum Security-Vorreiter qualifiziert, denn insgesamt sind hierzulande bislang rund 60 Organisationen zertifiziert. „Viele Datensätze unserer Mitglieder enthalten vertrauliche Informationen wie nicht öffentliche Umsatzzahlen, Kontonummern oder persönliche Email-Adressen, die so sicher wie möglich verwaltet werden sollen“, berichtet Egon Lokay, Geschäftsführer der WKO Inhouse GmbH. „Ebenso wollen wir die Verfügbarkeit der über 300.000 Seiten umfassenden Webauftritte und sämtlicher IT-Dienste sicherstellen.“ Die WKO-Tochter stellt der Wirtschaftskammer Österreich sowie den neun Landeskammern die IT-Infrastruktur, Applikationen und Entwicklungsleistungen zur Verfügung und betreibt dazu ein Rechenzentrum mit einer Kapazität von mehr als 120 Terabyte auf 400 Servern. Von ihren knapp 190 Mitarbeitern ist etwa die Hälfte im zertifizierten IT-Bereich beschäftigt.
FAKTOR MENSCH
„Bei wechselnden Technologien und Angriffsmethoden ist hundertprozentige Sicherheit heute fast unmöglich. Der einzige Weg ist die ständige Aktualisierung eines gut strukturierten Sicherheitssystems, das neben der Technik auch den Faktor Mensch umfasst“, erklärt CIS-Geschäftsführer Erich Scheiber. Genau dafür ist ISO 27001 gedacht, da die Norm den systematischen Aufbau eines ganzheitlichen Managementsystems ermöglicht. „Hacker gelangen dort in Netzwerke, wo Software nicht ausreichend getestet oder Updates vergessen wurden – oder wo Mitarbeiter Zugangsdaten ausplaudern. Mit einem strukturierten Sicherheitssystem sind solche Gefahren in den Griff zu bekommen“, betont Schreiber.
So durchlaufen nun alle Mitarbeiter der WKO Inhouse GmbH Trainings für Informationssicherheit, um das Bewusstsein dafür zu schärfen. Ein eigener Security-Beauftragter wacht über die laufende Verbesserung von Sicherheitsmaßnahmen. Mögliche Gefahrenpotenziale – wie ein Systemausfall durch mobil eingeschleuste Viren – werden in regelmäßigen Risikoanalysen bewertet und minimiert. Alle Arbeitsschritte im Rechenzentrum werden normkonform dokumentiert, so dass jederzeit nachvollziehbar ist, wer wann welche Aktion vorgenommen hat und wo Fehler sein können. „Die Sicherheitsanforderungen nach ISO 27001 wirken in das ganze Unternehmen hinein. Es wurden auch unsere Recruiting-Prozesse erweitert, so dass nun zum Beispiel Qualifikationsnachweise von Bewerbern genauer zu prüfen sind“, ergänzt Egon Lokay.
Insgesamt gestaltete sich die ISO-27001-Implementierung den Angaben zufolge einfacher als erwartet, da viele Strukturen bereits vorhanden waren. „Unsere Mitarbeiter waren vorher schon auf einem hohen Niveau an strukturiertes Arbeiten gewöhnt. Daher war die Implementierung der ISO-27001-Anforderungen nicht viel Mehraufwand. Unsere Mitarbeiter sind richtig motiviert, das Sicherheitssystem tagtäglich umzusetzen und sehen den Nutzen ganz klar“, freut sich Egon Lokay. Die CIS-Auditoren Peter Titak und Peter Wörgötter bescheinigten der WKO Inhouse GmbH beim Zertifizierungsaudit mit „außergewöhnlich wenigen Auflagen einen hohen Reifegrad des Managementsystems für Informationssicherheit.“ (pi)
Be the first to comment