Einfach zertifizieren

Montag 26.08.2019 Christian Walter
Christian Walter

Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.

Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung.

Egal ob ISO9001, COBIT oder GDPR – mit 360inControl ist der Status der Zertifizierung auf einen Blick klar.

Ohne Zertifizierung geht es nicht – sei es für die Qualitätssicherung (ISO 9001), zur Informationssicherheit (ISO 27001) oder für den Datenschutz (GDPR), um nur einige Beispiele zu nennen. Dabei sind die Anforderungen so umfangreich wie komplex. Kein Wunder, dass sie mit hohem personellem und finanziellem Aufwand verbunden sind. Zahlreiche Lösungen bieten deshalb Wege, vorgeschriebene System wie Information Security Management (ISMS, ISO 27001) oder ein internes Kontrollsystem (IKS, OR) aufzusetzen. "Leider sind diese häufig wenig digital", meint Andreas von Grebmer, Mitgründer von CISS (Control, Improve, Secure, Sustain).

Das Basler Start-up hat deshalb eine Lösung entwickelt, die es erlaubt, jegliche Zertifizierungsanforderungen digital abzubilden und die relevanten Informationen übersichtlich bereit zu stellen. 360inControl, so der Name, bietet dafür eine Library mit den zu erfüllenden Kontrollzielen und Massnahmen für Standards wie etwa GDPR, COBIT, ISO27001 oder CSC16. Steht eine Zertifizierung an, wählt der Verantwortliche einfach den relevanten Standard und erhält eine Liste mit den umzusetzenden Inhalten. Für jeden einzelnen Punkt lassen sich Dokumente ablegen, der Status erfassen sowie Aufgaben zuweisen.

Report auf Knopfdruck

Jedes Teammitglied hat eine Rollen-basierte Übersicht und der Teamleiter kann jederzeit automatisch einen Bericht erstellen für das Reporting an Management oder Verwaltungsrat. "Normalerweise dauert es Tage und Wochen, Informationen zu sammeln und dann in ein Word-Dokument zu kopieren. Mit 360inControl waren wir viel schneller, der Report kam auf Knopfdruck", so beispielsweise Fritz von Allmen, CISO und Datenschutzbeauftragter von Unic.

Neben Übersicht und Geschwindigkeit ermöglicht 360inControl das Aufbrechen der Silos, die noch in vielen Organisationen bestehen. Häufig sind nämlich die Kompetenzen für einzelne Zertifizierungen verteilt. In Folge werden die Informationen häufig redundant und nicht für andere zugänglich gehalten. Beispielsweise erarbeitet der Datenschutzbeauftragte ein eigenes Information Inventory, obwohl das bereits beim Informationssicherheitsverantwortlichen (ISECO) vorhanden ist. Mit der CISS-Lösung ist ein holistischer 360-Grad-Überblick möglich. Sind also Kontrollziele und deren Massnahmen für mehr als eine Zertifizierung gültig, so müssen sie nur einmal erfasst werden. Werden neue Zertifizierungsanforderungen hinzugefügt, prüft das System automatisch, was schon vorhanden ist. Ein Beispiel ist die Überprüfung der Zugangsrechte von Administratoren, die sowohl für ISO 27001, COBIT 5 und CSC 16 vorhanden sein muss.

Für jedes Kontrollziel gibt 360inControl ausserdem detaillierte Beschreibungen, Beispiele, sowie Informationen, die für das Testen relevant sind. So erlaubt die Lösung, die Kosten stark zu senken. "Das Teure an der Zertifizierung ist häufig der Berater, der bei der Vorbereitung hilft. Wir können dessen Stundenaufwand deutlich reduzieren", so Andreas von Grebmer. Dabei ist 360inControl nicht auf die bereits vorhandenen Standards begrenzt, sondern erlaubt auch, eigene Frameworks mit Kontrollzielen und Massnahmen anzulegen.

Schnell bei Gesetzesänderungen

360inControl ist seit 2018 am Markt und konnte bereits erste Kunden überzeugen, wie etwa Unic. Zudem haben Studierende des Master-Programms "Business Information Technology (BIS)" der Fachhochschule Nordwestschweiz (FHNW) die Lösung erfolgreich eingesetzt, um in verschiedenen Unternehmen COBIT5-Prozesse zu auditieren.

Sehr praktisch dabei: Jeder Student brauchte nicht mehr als seinen Laptop und konnte binnen weniger Minuten loslegen. "Das Feedback war sehr positiv", so Professorin Petra Maria Asprion, Dozentin am Institut für Wirtschaftsinformatik an der FHNW. Bei CISS sieht man diese Einfachheit als Wachstumstreiber – gerade da wo Gesetzesänderungen oder neue Standards schnell eine Reaktion fordern.

Weitere Artikel zum Thema Allgemein Sicherheit