Aktuelle Chancen des ISO 27001 im Mittelstand

Von: Melanie Schmidt

NIFIS e.V. im Gespräch mit Dr. Reinhold Scheffel, Geschäftsführer der Firma tekit Consult Bonn GmbH

NIFIS: Herr Dr. Scheffel, was sind die Kernkompetenzen Ihres Unternehmens?

Dr. Reinhold Scheffel: Die Kernkompetenzen der Firma tekit Consult Bonn GmbH liegen im Wesentlichen in der Zertifizierung von Telekommunikation und IT-Dienstleistungen und Produkten. Als Tochterunternehmen in der TÜV Saarland-Gruppe können wir hier TÜV-Zertifizierungen sowohl im geregelten, als auch im ungeregelten Bereich vornehmen. Weiterhin bieten wir entsprechende Datenschutz-Zertifizierungen und Datenschutzaudits an und stellen auch externe Datenschutzbeauftragte. Weiterhin ist die Firma tekit Consult Bonn GmbH mit ihren öffentlich bestellten und vereidigten Gutachtern für TK-Unternehmen tätig, die einen Nachweis für die Bundesnetzagentur führen müssen.

NIFIS: Ein wichtiger Geschäftsgegenstand sind Auditierungen und Zertifizierungen nach der ISO 27001. Was ist der wesentliche Nutzen dieser Regelwerke für Anwender?

Dr. Reinhold Scheffel: Auditierungen und Zertifizierungen nach der ISO 27001 werden von unserer Firma sowohl auf der Beratungsseite als auch auf der Auditierungsseite vorgenommen. Die Akkreditierung zu der ISO 27001 hält unsere Muttergesellschaft, der TÜV Saarland. Wesentlicher Nutzen dieser Zertifizierung für Anwender ist die Möglichkeit, hier Datenschutz und Datensicherheit im weitesten Sinne für IT-Einrichtungen, wie z.B. Rechenzentren, darstellen zu können. Mit einem TÜVSiegel der ISO 27001 wird nach außen klar dokumentiert, dass hier ein unabhängiger Dritter entsprechende Prüfungen nach einem weltweit bekannten Standard vorgenommen hat.

NIFIS: Es wird oft behaupt, das Angebot einer Zertifizierung kommt im Mittelstand kaum an. Sind auf Basis der Regelwerke auch sinnvolle, für mittelständische Anwender zu angemessenen Kosten zweckmäßige Zwischenschritte möglich?

Dr. Reinhold Scheffel: Diese Art von Zertifizierung ist in der Regel recht aufwendig, dies folgt aus der Struktur der ISO 27001 und ihren Forderungen. Für mittelständische Unternehmen, denen der Aufwand zu hoch ist, bietet die Firma tekit Consult Bonn GmbH in Anlehnung an die ISO 27000 eine TÜV-Zertifizierung, wie z.B. das TÜV-Zeichen "TÜV geprüftes Rechenzentrum" an. Eine weitere Möglichkeit ist z.B. die Zertifizierung der Energieeffizienz von Rechenzentren mit einem solchen TÜV-Zeichen. Hierbei sind die Kosten und der interne Aufwand zur Vorbereitung wesentlich geringer als bei einer kompletten ISO 27001-Zertifizierung.

NIFIS: Wie beurteilen Sie grundsätzlich Einstiegsangebote, die an Auditierungen heranführen sollen, wie z.B. das NIFIS-Siegel oder die Basisprüfung IT-Sicherheit der Landesinitiative »secure-it.nrw«? Helfen sie bei der Sensibilisierung zu Informationssicherheit und Datenschutz oder sind sie eher hinderlich?

Dr. Reinhold Scheffel: Einstiegsangebote, wie z.B. das NIFIS-Siegel oder die „Basisprüfung IT-Sicherheit“ der Landesinitiative »secure-it.nrw«, sind sicherlich hilfreich und an solche Auditierungen und Zertifizierungen heranzuführen. Hierbei ist allerdings zu beachten, dass die genannten Prüfungen lediglich eine Basis darstellen können, um die grundsätzliche Zertifizierungsmöglichkeit zu beurteilen. Sie können nicht eine komplette Auditierung, wie sie etwa durch unser Unternehmen und den TÜV angeboten werden, ersetzen, da diese wesentlich aufwendiger und detaillierter sind. Der Vorteil neben einer externen Zertifizierung ist immer, dass das Unternehmen auch eine entsprechende Rückmeldung über den Stand seiner Sicherheit in diesen wichtigen Bereichen bekommt.

---