Der Weg zur ISO 27001:2022: Ein Blick hinter die Kulissen der Inseya AG
Informationssicherheit ist heute kein «Nice-to-have» mehr, sondern ein entscheidender Erfolgsfaktor für zukunftsorientierte Geschäftsbeziehungen. Mit dem erfolgreichen Abschluss unseres finalen Audits ist unser Informationssicherheits-Managementsystem (ISMS) nun offiziell nach dem neuesten Standard ISO/IEC 27001:2022 validiert.
Doch der Aufbau eines eigenen, vollumfänglichen ISMS parallel zum intensiven operativen Tagesgeschäft war auch für uns eine echte Herausforderung. Ein wirksames ISMS schreibt sich nicht von alleine, es erfordert Fokus, Ressourcen und das engagierte Zusammenspiel aller Abteilungen.
Wie sieht der Weg zu so einer Zertifizierung in der Realität aus? Ein Praxisbericht auf die Hürden, Diskussionen und wichtigsten Learnings unseres Teams.
Das strategische Fundament unter Zeitdruck
Es gibt Unternehmen, die bauen ein ISMS primär auf, um das «Abzeichen» an der Wand im Vertrieb vorzuzeigen. Für die Inseya AG war eine solche Absicht jedoch nie eine Option.
«In allem, was wir tun, möchten wir uns verbessern und dies nicht zum Selbstzweck, sondern im Fokus unserer Kundschaft», erklärt Daniel Bieri, Leiter ISMS bei Inseya. «Die Zertifizierung erlaubte uns nebst der Informationssicherheit auch Prozesse, Organisation, Technik und IT-Security zu hinterfragen, zu optimieren und Altlasten zu eliminieren. Generell ein Fit-machen für die Zukunft.»
Auch beim Scope des ISMS galt das Motto «Alles oder nichts». Statt nur einen kleinen, leicht zu zertifizierenden Teilbereich auszuwählen, entschied sich die Geschäftsleitung bewusst für das gesamte Unternehmen inklusive aller Dienstleistungen. Ein ambitionierter Weg, der das Team von Tag eins an forderte. Denn ein ISMS scheitert schnell, wenn die Belegschaft nicht geschlossen hinter dem Projekt steht. Für Bieri ist das System daher kein reines IT-Projekt, sondern «Bestandteil der Firmen-DNA und einer gelebten Kultur, was sich in Kompetenz, Professionalität und Qualität intern und extern äussert.»
Der Realitäts-Check: Zwischen Excel-Templates und Spezialsoftware
In der ersten Phase ging es darum, das strategische Fundament zu legen: Leitlinien definieren, die Anwendbarkeitserklärung (SoA) ausarbeiten und erste Richtlinien für mobiles Arbeiten oder die Clean Desk Policy verabschieden.
Schnell folgte jedoch der operative Realitäts-Check.
Hier standen die Verantwortlichen vor einer fundamentalen Weichenstellung: Dokumentiert man das ISMS klassisch mit Bordmitteln wie Microsoft Office und SharePoint oder setzt man auf ein spezialisiertes Tool?
Maxim Lachmann, Informationssicherheitsbeauftragter (ISB) bei Inseya, leitete die Evaluation und erinnert sich an die internen Diskussionen: «Die Office-Lösung hätte zwar keine zusätzlichen Toolkosten verursacht, aber die Administration wird mit zunehmender Reife des ISMS extrem aufwendig. Risiken, Massnahmen, Audit-Erkenntnisse, Nachweise und Aufgaben müssen miteinander verknüpft und kontinuierlich nachgehalten werden.»
Deshalb fiel die Entscheidung auf die spezialisierte Plattform fortControl. Ausschlaggebend war dabei nicht das blosse Erstellen von Dokumenten, sondern die Verwaltung des gesamten ISMS-Lebenszyklus. Risiken, Kontrollen und Verantwortlichkeiten sind dort zentral verknüpft, was den administrativen Aufwand im Alltag massiv senkt. «Ein ISMS scheitert selten an der Dokumentenerstellung, sondern an der langfristigen Pflege und Steuerung», bilanziert Lachmann.
Der Realitäts-Check: Zwischen Excel-Templates und Spezialsoftware
Die intensivsten Diskussionen entstehen fast immer an der Schnittstelle, wo formale Governance-Vorgaben auf einen agilen, pragmatischen Tech-Alltag treffen. Wie setzt man eine Richtlinie so um, dass sie maximalen Schutz bietet, ohne die Effizienz im Betrieb zu bremsen?
Technische Exzellenz vs. Dokumentationspflicht
Aus technischer Sicht war Inseya bereits vor dem Audit hervorragend aufgestellt, das bestätigte auch der Auditor. Dennoch war das Projekt-Team gezwungen, noch einmal tiefer zu graben.
«Das Lob des Auditors hat mich extrem gefreut und ist eine starke Bestätigung für die tägliche, professionelle Arbeit meines Teams», so Tobias Ritter, Head of Engineering. «Gleichzeitig war das Audit ein wertvoller Blick von aussen. Gerade bei Business-Continuity-Themen (BCM) mussten wir uns noch einmal kritisch fragen: Welche Prozesse sind wirklich geschäftskritisch? Welche Abhängigkeiten gibt es in der Lieferantenkette? Und wie halten wir den Betrieb im Ernstfall kontrolliert aufrecht?»
Das ISMS bot die Chance, schnell Übersehbares Im Betrieb aufzudecken. Vieles wurde zwar informell bereits richtig gelebt, war aber ungenügend schriftlich festgehalten. «Wir machen das schon so», sei im Audit eben keine valide Aussage, schmunzelt Ritter. Richtlinien und Prozesse mussten nachvollziehbar dokumentiert werden.
Wann ist ein Skript «Softwareentwicklung»?
Ein besonderer Reibungspunkt im Scope-Prozess betraf das Thema Softwareentwicklung. Inseya entwickelt keine klassische kommerzielle Software, schreibt aber täglich kleinere Skripte und Automatisierungen, um den Arbeitsalltag oder Kundenprojekte zu unterstützen.
Pascal Berger, Security Engineer, blickt mit anfänglicher Skepsis auf diese Phase zurück:
«Ich habe mich gefragt, ob es wirklich sinnvoll ist, eine umfassende Richtlinie für sichere Softwareentwicklung zu erstellen, wenn bei uns hauptsächlich kleinere, übersichtliche Skripte entwickelt werden. Je mehr ich mich jedoch mit dem Thema auseinandergesetzt habe, desto nachvollziehbarer erschien mir dieser Ansatz. Eine solche Richtlinie schafft klare Grundlagen und hilft dabei, auch zukünftige Skripte von Anfang an strukturiert und sicher zu entwickeln.»
Für das Engineering-Team ging es im gesamten Prozess darum, die richtige Balance zu finden. Es soll weiterhin möglich sein, im Alltag schnell und pragmatisch Lösungen zu entwickeln. Sobald ein Skript jedoch produktiv genutzt wird oder Einfluss auf kritische Systeme und Kundendaten hat, braucht es einen definierten, nachvollziehbaren Rahmen.
Direkter Mehrwert für die Kunden
Dieses geschärfte Prozessbewusstsein strahlt nun direkt auf die Kundenprojekte ab. Tobias Ritter betont, dass die Kunden von einer noch strukturierteren Vorgehensweise profitieren: «Die Kollegen im Engineering hatten auch vorher schon ein sehr ausgeprägtes Kundenverständnis. Der Unterschied ist heute aber, dass wir Themen wie Risiken, Abhängigkeiten und Dokumentation noch bewusster in Projekte einbringen. Durch die ISO-Denkweise haben wir dafür eine klarere gemeinsame Sprache entwickelt. Gerade bei jüngeren Kollegen merkt man, dass in Projekten früher die richtigen Fragen gestellt und Entscheidungen transparenter getroffen werden. Für unsere Kunden bedeutet das mehr Transparenz, weniger Reibungsverluste im Betrieb und ein Tech-Team, das technische Umsetzung mit strategischem Blick verbindet.»
Eine Herausforderung: Das Lieferanten- und Nachweismanagement
Zwei Bereiche stellten sich während des Projekts als administrative und operative Knackpunkte heraus: Das kontinuierliche Erbringen von Nachweisen und die Überprüfung der Supply Chain.
Die administrative Hürde im Nachweismanagement
Für den ISB Maxim Lachmann lag die grösste Hürde nicht im Schreiben der Richtlinien, sondern im langfristigen Nachweismanagement: «Richtlinien zu schreiben ist vergleichsweise einfach. Entscheidend ist aber, dass Schulungen, Kontrollen, Risikobewertungen, Management Reviews, Audits und technische Massnahmen kontinuierlich durchgeführt, dokumentiert und jederzeit nachvollziehbar nachgewiesen werden können. Ein wirksames ISMS lebt von gelebten Prozessen und belastbaren Evidenzen, nicht von einer einmalig erstellten Dokumentation. Die grössten Hürden waren hierbei die Verfügbarkeit der Verantwortlichen sowie das Einhalten von Terminen und festgelegten Fristen unter hoher Auslastung.»
Die Komplexität in der Lieferantenbewertung
Noch komplexer gestaltete sich die Überprüfung der Drittanbieter. Adrian Gerber, Lieferantenmanager bei Inseya, beschreibt den enormen manuellen Aufwand in der Supply Chain: «Die grösste Herausforderung im Supply-Chain-Bereich bestand nicht nur darin, Sicherheitsinformationen von Drittanbietern zu sammeln, sondern diese konsistent zu bewerten und Risiken transparent zu machen. Oft war initial gar nicht klar, welche Lieferanten tatsächlich sicherheitsrelevant sind, welche Daten sie genau verarbeiten und wo sie diese speichern. Informationen mussten aufwändig über Internetrecherchen, Verträge oder Fragebögen eingeholt werden. Das führte zu langen Bearbeitungszeiten.»
Selbst wenn Dokumente vorlagen, war die Bewertung qualitätskritisch. Oft stellte sich heraus, dass Zertifikate abgelaufen waren oder für eine völlig andere Business Unit im Ausland ausgestellt wurden als für jene, deren Dienste Inseya tatsächlich beanspruchte. Fehlende Standardisierung und mangelnde Transparenz machten diesen Prozess anfangs extrem zeitintensiv.
Insider-Wissen: Achtung vor der «Zertifikats-Falle»
Aus diesen Erfahrungen bei der Lieferantenbewertung hat das Inseya-Team ein wichtiges Learning abgeleitet, das jedes Unternehmen bei seinen Lieferantenaudits anwenden sollte. «Es ist nicht alles ISO, wo ISO draufsteht», warnt Maxim Lachmann. Der blosse Satz „Wir sind ISO-zertifiziert“ hat im Ernstfall wenig Aussagekraft.
Die Profi-Checkliste für den Zertifikats-Check:
- Akkreditierte Zertifizierungsstellen prüfen: Das Zertifikat muss von einer national anerkannten Stelle ausgestellt sein (z. B. SAS in der Schweiz, DAkkS in Deutschland, UKAS in Grossbritannien). Fehlt eine solche anerkannte Akkreditierung, ist das Zertifikat oft wertlos.
- Akkreditierungsnummer abgleichen: Jedes seriöse Zertifikat listet Name, Zertifikatsnummer und Akkreditierungsnummer. Diese Nummern sollten in den offiziellen staatlichen Registern (z. B. auf den Webseiten von SAS oder DAkkS) verifiziert werden.
- Den exakten Scope (Geltungsbereich) lesen: Dies ist der häufigste Fehler bei Lieferantenaudits. Ein Dienstleister legt stolz ein ISO-27001-Zertifikat vor, beim genauen Hinsehen umfasst der Scope aber beispielsweise nur den «Betrieb des Rechenzentrums in Zürich», während Softwareentwicklung, Support, Vertrieb oder andere Standorte komplett ungeprüft sind. Die entscheidende Frage lautet: Welche Prozesse und Standorte, die wir nutzen, sind wirklich zertifiziert?
- Zertifikatsstatus verifizieren & SoA anfordern: Nutzen Sie die öffentlichen Verzeichnisse der Zertifizierungsstellen, um zu prüfen, ob ein Zertifikat noch aktiv ist oder eventuell zurückgezogen wurde. Zudem sollten Kunden immer die Statement of Applicability (SoA) einfordern und den QR-Code auf dem Zertifikat scannen. Die SoA zeigt im Detail, welche Sicherheitsmassnahmen umgesetzt und welche begründet ausgeschlossen wurden. Nur so lässt sich bewerten, ob das Sicherheitsniveau des Lieferanten zum eigenen Risikoprofil passt.
Fazit & Management-Empfehlungen für den ISMS-Aufbau
Ein erfolgreiches Audit ist kein statischer Endpunkt, sondern der Startschuss für einen kontinuierlichen Verbesserungsprozess. Für die Inseya AG hat sich der intensive Weg zur ISO 27001:2022 in jeder Hinsicht gelohnt, nicht nur für die eigene Sicherheit, sondern vor allem für das Vertrauen unserer Kunden.
Aus den Erfahrungen unseres Teams lassen sich drei wesentliche Empfehlungen für andere Unternehmen ableiten:
- Das Team von Tag eins an mitnehmen: Ein ISMS scheitert, wenn es als reines IT-Projekt verstanden wird. Der Aufwand, alle Mitarbeitenden frühzeitig zu sensibilisieren, ist gross, zahlt sich beim «Leben» des Systems aber mehrfach aus.
- Vorsicht vor Über-Metrisierung: Bei den Assets wollten wir anfangs einen zu hohen Automatisierungsgrad auf Basis der Norm erreichen. Das wurde technisch zu komplex und zeitlich kritisch. Gelernt haben wir: Eine Etappierung und pragmatische Zwischenschritte sind oft der bessere Weg.
- Die Wahl der Auditoren ist entscheidend: Ein Audit sollte kein sturer Checklisten-Abgleich sein. Wählen Sie Auditoren, die den Geschäftskontext und die Risiken ganzheitlich verstehen wollen. Nur so fungiert der Auditor als unabhängiger Sparringspartner, der echten Mehrwert für die Weiterentwicklung liefert.
Für das Management gilt schliesslich: Unterschätzen Sie den Aufwand parallel zum Tagesgeschäft nicht. Die optimale Strategie ist eine Kombination aus externer Unterstützung für den strukturierten, fehlerfreien Aufbau des ISMS und dem gleichzeitigen, gezielten Aufbau von internem Know-how für den langfristig unabhängigen Betrieb.
Weiterführende Inhalte
- Download: Informationspolitik der Inseya (PDF)
- Download: ISO 27001 Zertifikat (PDF)
- Download: Statement of Applicability (SoA) – Erklärung zur Anwendbarkeit
Haben Sie Fragen zu unserem Zertifizierungsprozess?
Vielleicht stehen Sie in Ihrem Unternehmen selbst vor der Herausforderung, ein ISMS nach ISO 27001:2022 einzuführen? Profitieren Sie von unseren Praxiserfahrungen, lassen Sie uns unkompliziert austauschen!