POLYAS erhält ISO/IEC 27001 Zertifizierung: Meilenstein für ausgezeichnete Sicherheit bei Online-Wahlen
Als einer der führenden Software-Anbieter für Online-Wahlen legt POLYAS schon immer höchsten Wert auf Sicherheit. Besonders erfreulich ist daher unsere brandneue ISO/IEC 27001 Zertifizierung für unser eingeführtes Informationssicherheitsmanagement-System (ISMS). Diese stellt ein weiteres klares Zeichen für unser Engagement in Bezug auf die Informationssicherheit unseres Unternehmens dar.
Gerade bei Online-Wahlen sind Datenschutz und Informationssicherheit von großer Bedeutung. Unternehmen, die Software für Online-Wahlen entwickeln und betreiben, tragen eine immense Verantwortung wenn es um den Schutz sensibler Daten geht: Seien es die der Wähler:innen, der Kund:innen oder der eigenen internen Informationen. Um unsere größtmögliche Sorgfältigkeit in diesem Bereich unter Beweis zu stellen, gibt es eine Zertifizierung, die durch Zertifizierungsstellen, wie die datenschutz cert GmbH, ausgestellt wird: ISO/IEC 27001.
„Unabhängige Prüfungen und Zertifizierungen haben sich weltweit etabliert, um einen objektiven Nachweis dafür zu erbringen, dass Anforderungen zum Datenschutz und zur Informationssicherheit angemessen umgesetzt sind. … Die ISO/IEC 27001 gilt als der internationale Standard zum Management von Informationssicherheit. Informationssicherheit ist hierbei mehr als reine IT. Alle Anforderungen der Informationssicherheit, mit denen ein dem Auditierungsgegenstand entsprechendes Sicherheitsniveau aufrechterhalten wird, werden ganzheitlich betrachtet,“ so die datenschutz cert GmbH.
Wir sind deshalb besonders stolz darauf, bekannt zu geben, dass POLYAS im Oktober 2023 die ISO/IEC 27001 Zertifizierung erhalten hat.
>> Laden Sie das Zertifikat hier herunter
Interview zur ISO/IEC 27001 Zertifizierung
In diesem Blogpost-Interview beleuchten wir, was diese Zertifizierung bedeutet, welche Vorteile sie für unser Unternehmen und unsere Kund:innen mit sich bringt und wie sie unseren fortlaufenden Einsatz für höchstmögliche Sicherheitsstandards bei Online-Wahlen unterstreicht.
Als Gesprächspartner für das Interview stehen zwei Personen zur Verfügung, die maßgeblich am Zertifizierungsprozess beteiligt waren:
• Georg Müller, Head of Development bei der POLYAS GmbH
• Lars Meyer, Senior Berater Informationssicherheit bei der datenschutz nord GmbH
1. Bitte stellen Sie sich und Ihre Rolle bei der ISO/IEC 27001 Zertifizierung kurz vor:
Georg Müller:
Ich durfte das Projekt zur ISO/IEC 27001 Zertifizierung als Hauptverantwortlicher Informationssicherheitsmanagement (ISMS)-Koordinator betreuen. In dieser Funktion bin ich auch Bestandteil des ISMS-Teams. Zugleich decke ich im Rahmen des ISMS die Themen IT und ITSCM ab.
Lars Meyer:
Zunächst habe ich POLYAS als Berater für die ISMS-Einführung unterstützt. Seit 2022 ist die datenschutz nord bei POLYAS als externer Informationssicherheitsbeauftragter bestellt und ich fungiere als Ansprechpartner für diese Tätigkeit. Ein Informationssicherheitsbeauftragter kümmert sich, gemeinsam mit dem ISMS-Team, um die Koordinierung des ISMS-Betriebs.
2. Herr Meyer, können Sie den ISO/IEC 27001-Standard bitte kurz erläutern und seine Bedeutung für Informationssicherheit erklären?
Die ISO/IEC 27001 ist der internationale Standard für Informationssicherheitsmanagement-Systeme. Im Rahmen des ISMS werden dabei Prozesse und Regelungen eingeführt, mit denen für die Informationssicherheit im Unternehmen ein einheitliches Sicherheitsniveau erreicht werden soll.
Kernstück des ISMS nach ISO/IEC 27001 ist dabei das Risikomanagement, mit dem systematisch analysiert wird, ob es für Gefährdungen noch offenen Risiken gibt, die behandelt werden müssen. Zur Behandlung der Risiken werden dann Maßnahmen, wie beispielsweise regelmäßige Schulungen der Mitarbeiter oder zeitnahes Patchen von Schwachstellen, eingeführt.
Für die zu betrachtenden Maßnahmen im Rahmen des Risikomanagements gibt es in der ISO/IEC 27001 im Anhang auch Mindestmaßnahmen, z. B. Maßnahmen wie Virenschutzkonzept, Schwachstellenmanagement oder regelmäßige Prüfung von vergebenden Berechtigungen. Diese Maßnahmen werden Controls genannt und müssen im ISMS entweder berücksichtigt werden oder alternativ muss klar begründet werden, warum diese Maßnahmen nicht benötigt werden.
3. Herr Müller, was hat POLYAS dazu motiviert, die ISO/IEC 27001 Zertifizierung anzustreben?
Im Kontext der Online-Wahl spielt Informationssicherheit eine essenzielle Rolle. Deshalb haben wir es uns ganz bewusst zur Aufgabe gemacht, ein Informationssicherheitsmanagementsystem für die Entwicklung, den Betrieb und den Support unserer Online-Wahlplattformen zu implementieren. Und das nicht irgendwie, sondern gemäß einer international geltenden Norm, der ISO/IEC 27001.
4. Herr Meyer, welche Schritte waren notwendig, um die Zertifizierung zu erlangen, und wie lange hat der Prozess gedauert?
Wie schon im Vorfeld erläutert, ist einer der Kernpunkte eines ISMS das Risikomanagement. Dazu müssen zunächst die zu schützenden Werte, üblicherweise Assets genannt, ermittelt und ihre Schutzwürdigkeit bewertet werden. Dazu wurde zunächst ein Assetmanagement aufgebaut.
Auf Basis des Assetmanagements konnte dann das Risikomanagement aufgebaut werden. Die Risiken wurden dabei über die Betrachtung von verschiedenen Gefährdungen für die Assets sowie die bereits umgesetzten Schutzmaßnahmen ermittelt. Wenn es noch offene Risiken gab, wurden Maßnahmen zur Risikobehandlung abgestimmt, z. B. die Schulung der Mitarbeiter, Aufbau von Redundanzen oder Ausweitung von bestehenden Maßnahmen auf alle Assets.
Ein weiterer wichtiger Bestandteil ist die Einführung von Regelungen zum ISMS und zur Informationssicherheit. Dies umfasst zum einen Regelungen zum Betrieb des ISMS, aber auch zur Nutzung von Assets oder zur Administration von IT-Systemen.
Außerdem müssen noch die Rahmenbedingungen für die Zertifizierung nach ISO/IEC 27001 geschaffen werden. Dies beinhaltet insbesondere die Durchführung eines internen Audits und einer Managementbewertung. Diese Tätigkeiten müssen zukünftig jährlich wiederholt werden.
Wie zu erkennen ist, umfasst ein ISMS auf Basis der ISO/IEC 27001 viele Arbeitsschritte und Tätigkeiten. Insgesamt hat die Einführung ca. zwei Jahre gedauert.
5. Herr Müller, welche spezifischen Sicherheitsmaßnahmen oder Verfahren haben Sie bei POLYAS implementiert, um den ISO/IEC 27001-Standard zu erfüllen?
Im Nachgang stelle ich fest, dass wir auch schon vor der Zertifizierung sehr gut aufgestellt waren. Mit dem Audit-Programm kamen jetzt keine unerwarteten Klopper auf uns zu. Der Norm-Katalog war eine sehr gute Hilfestellung, strukturiert jeden einzelnen Bereich Schritt für Schritt zu durchleuchten, zu bewerten und daraus Maßnahmen zur Feinjustierung abzuleiten. Man kommt also um das Aufsetzen eines Risikomanagements nicht drum herum, das wir so in dieser Form zuvor noch nicht im Einsatz hatten.
Als Unternehmen, dass sich eher einem agilen als einem technokratischen Mindset zugezogen fühlt, gehen definierte Prozesse und Normen natürlich mit einer gewissen Spannung einher. Wir sind stolz darauf, dass wir das für uns mit einer guten Balance hinbekommen haben und alle Mitarbeitenden hinter unserer ISO/IEC 27001 Zertifizierung stehen. Damit diese sich nicht durch eine kantige ISO/IEC 27001 Norm-Struktur arbeiten müssen, haben wir aus den einzelnen Teilen der Norm-Struktur zielgruppenorientiere Handbücher gepuzzelt. So gibt es beispielsweise ein ISMS-Handbuch für Endbenutzer:innen, ein ISMS-Handbuch Softwareentwicklung und einige mehr.
6. Herr Meyer, welche Herausforderungen gab es während des Zertifizierungsprozesses, und wie wurden sie bewältigt?
Wie aus dem Umfang der beschriebenen Tätigkeiten gut zu erkennen ist, ist eine Zertifizierung nach ISO/IEC 27001 mit sehr viel Aufwand verbunden. Während der Einführung kann für interne Ansprechpartner mit einem Aufwand von ca. 50% ihrer Arbeitszeit gerechnet werden. Da gleichzeitig der normale Regelbetrieb weiterlaufen muss, ist es insbesondere bei kleineren Unternehmen immer eine Herausforderung ausreichend personelle Ressourcen bereitzustellen.
Eine weitere Herausforderung war die Umsetzung von umfangreicheren Maßnahmen, die Tool-gestützt gelöst werden sollten. Hier mussten dann im Rahmen der Maßnahme auch noch Tool-Auswahl, -Prüfung und -Einführung berücksichtigt werden.
7. Herr Müller, welche Vorteile bringt die Zertifizierung für die POLYAS Kund:innen und Partner mit sich?
Bei der Risikobetrachtung eines möglichen Dienstleisters oder Partners wird man bei POLYAS durch das ISO/IEC 27001 Zertifikat schnell zu einem positiven Check gelangen. Durch die wiederkehrenden Überprüfungs- und Erneuerungsaudits können sich unsere Kund:innen und Partner gewiss sein, dass wir das ISMS auch im Alltag leben und umsetzen.
Vielen Dank für das Interview und die interessanten Antworten, Herr Meyer und Herr Müller.
Zögern Sie nicht, uns zu kontaktieren, wenn Sie mehr zur ISO/IEC-Zertifizierung bei POLYAS erfahren möchten oder daran interessiert sind, selbst eine rechtssichere Online-Wahl mit unserer Software umzusetzen.
P.S. Weitere Inhalte zum Thema Cybersicherheit und Datenschutz in der digitalen Demokratie gibt es in einem Vortrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf dem Online Voting Summit am 15.11.2023. Sichern Sie sich jetzt eines der begehrten kostenfreien Tickets für die digitale Konferenz!