Landratsamt Starnberg

Das Landratsamt Starnberg steht bei der IT-Sicherheit bundesweit an der Spitze. „Als erste Kreisverwaltungsbehörde unter den 294 deutschen Landkreisen haben wir unser IT-Sicherheitsmanagement nach den Kriterien des Regelwerks ISIS12 zertifizieren lassen“, gab Landrat Karl Roth in seiner Rede zum Haushalt 2018 am Montag im Kreistag bekannt. Nach einem Jahr intensiver Arbeit in der Verwaltung konnte Roth das Zertifikat Anfang Dezember entgegennehmen.

Mehr über das LRA-Starnberg Projekt

Bis zum 1. Januar 2019 müssen alle bayerischen Behörden ein Informationssicherheit-Konzept erarbeitet haben. Das schreibt das Bayerische E-Government-Gesetz vor. Für den Landkreis Starnberg war diese Vorschrift allerdings nicht der einzige Antrieb. „Bürger und Unternehmen haben ein Recht darauf, dass ihre Daten und Informationen bei uns als Verwaltungsbehörde sicher gespeichert und verarbeitet werden“, sagt Thomas Eberhard, IT-Leiter im Landratsamt. Verschiedene Vorfälle der jüngeren Zeit wie Computersysteme in Krankenhäusern, die durch Angriffe von außen lahmgelegt wurden, nimmt Eberhard als Warnung.  Deswegen hatte das Landratsamt schon länger investiert. „Die Behörde ist technisch sehr weit vorne“, bescheinigt Thomas Eberl von der complimant AG. Das oberbayerische Unternehmen hat den Zertifizierungsprozess als externe Dienstleister begleitet. So verfügt das Landratsamt unter anderem über zwei völlig baugleiche Rechenzentren. Fällt das eine aus, kann das andere übernehmen, „ohne dass der Mitarbeiter an seinem Computer das überhaupt mitbekommen würde“, sagt Eberl.

Ein Jahr intensive Arbeit bis zum Zertifikat

Die Gesamtleitung des Projektes übernahm Thomas Eberhard (IT-Leitung). Herr Eberhard setzte sich zum Ziel die IT-Sicherheit im LRA Starnberg auf die aktuellen Gefahren und Bedrohungen anzupassen. Die Projektleitung im Haus übernahm Sebastian Glener.

Der Weg bis zum Zertifikat, das am 4. Dezember an Landrat Karl Roth übergeben wurde, dauerte ungefähr ein Jahr.

Entlang der Vorschriften des ISIS12-Regelwerks werden dabei alle wichtigen Vorgänge abgeklopft.. „Im Kern geht es darum, nach welchen Regeln die rund 500 Mitarbeiter mit vertraulichen Informationen umgehen – sei es am Computer, auf Papier oder mündlich im Gespräch und am Telefon“, erklärt Eberhard. Einer der wichtigsten Schritte war dabei die Schulung aller Mitarbeiter des Landratsamtes. Am Ende steht ein Handbuch, das genau beschreibt, wie die Mitarbeiter mit den Informationen umgehen müssen. Im abschließenden Audit prüft ein Beauftragter des Bayerischen IT-Sicherheitsclusters das Handbuch und erteilt das Zertifikat. „Beim Landratsamt Starnberg haben die Mitarbeiter im Umgang mit schutzwürdigen Informationen das allermeiste bereits richtig gemacht“, sagt Eberl. Herausforderung war, das Vorgehen für alle Prozesse schriftlich zu dokumentieren, „denn das bedeutet zunächst einmal zusätzlichen Aufwand für die Mitarbeiter“, weiß der Experte. Ab jetzt kommt es darauf an, die Vorschriften des neuen Informationssicherheits-Handbuchs tagtäglich umzusetzen, damit das Landratsamt sein hohes Schutzniveau auch in Zukunft beibehält.

Was ist ISIS12?

Die Abkürzung ISIS12 steht für „Informations-Sicherheitsmanagement-System in 12 Schritten“. Entwickelt hat das Regelwerk ein Netzwerk rund um das Bayerische IT-Sicherheitscluster in Regensburg speziell für mittelständische Unternehmen, Organisationen und Behörden. Die Zertifizierung nach ISIS12 ist noch recht neu. Mitte Dezember hatten sich bundesweit erst 17 Firmen und Behörden dem Prozedere unterzogen. Starnberg ist bislang der einzige Landkreis innerhalb dieser exklusiven Gruppe.

AlzChem Group AG

In einem komplexen Prozess hat die AlzChem Group AG aus dem südostbayerischen Chemiedreieck dieses Jahr erfolgreich ein Informationssicherheitsmanagementsystem nach ISO 27001 eingeführt. Unterstützt hat den Hersteller diverser Chemieprodukte dabei die in der Region ansässige complimant AG. „Die Aufgabe war eine spannende Herausforderung“, berichtet complimant-Vorstand Franz Obermayer. Denn die AlzChem Group AG unterliegt besonders strengen Sicherheitsauflagen unter anderem als Hersteller von Pharma-Produkten, als Stromnetzbetreiber und als Betreiber eines eigenen Rechenzentrums.

Mehr über das AlzChem Projekt

„Diese Kombination unterschiedlicher Anforderungen war für uns bislang einzigartig“, bestätigt complimant-Projektleiter Dominik Seifert. Neben den unterschiedlichen Tätigkeitsfeldern galt es darüber hinaus, die Verfahren für das Informationssicherheitsmanagement in eine ganze Reihe bestehender Managementsysteme wie Qualitätsmanagement nach ISO 9001 und Umweltmanagement nach ISO 14001 einzupassen. „Das war den Verantwortlichen der AlzChem sehr wichtig“, so Seifert. Und es scheint gelungen: Laut Seifert haben seine Ansprechpartner bestätigt, dass viele der zusätzlichen Strukturen, Vorgaben und Prozesse dazu beitragen, sowohl den Unternehmensalltag als auch die dafür benötigten Prozess- und Informationsflüsse zu optimieren.

Die AlzChem ist ein Traditionsunternehmen der chemischen Industrie. 1908 wurde sie unter dem Namen Bayerische Stickstoffwerke AG gegründet. Mit einem Stromverbrauch von rund 0,1 Prozent des gesamten deutschen Stromverbrauchs zählt AlzChem zu den energieintensiven Unternehmen des Landes. Schon die Bayerischen Stickstoffwerke begannen 1910, ein eigenes Elektrizitätsversorgungsnetz in den Landkreisen Traunstein und Altötting aufzubauen. Heute betreibt AlzChem ein Hoch- und Mittelspannungsnetz samt den benötigten Umspannwerken. Die Regierung von Oberbayern prüft und genehmigt als Aufsichtsbehörde die Netzentgelte.

Als Netzbetreiber unterliegt AlzChem branchenspezifischen Sicherheitsstandards für die Energiewirtschaft. Daher ist für die Informationssicherheit zusätzlich eine Zertifizierung nach ISO 27019 zwingend. Auch hierfür hat die complimant AG Experten und konnte so die Informationssicherheit nach ISO 27001 mit den weiterreichenden Anforderungen der ISO 27019 kombinieren.

Ein weiterer Produktschwerpunkt der AlzChem Group AG liegt in der NCN-Chemie, einer typischen Stickstoff-Kohlenstoff-Stickstoff-Bindung. Verwendung finden die Produkte in Düngern und Pflanzenschutzmitteln, bei Farbpigmenten, für die Windenergie- und Photovoltaikindustrie sowie, nicht zuletzt, bei Pharmawirkstoffen und Nahrungsergänzungsmitteln. „Hier gelten für den chemischen Laborbetrieb besonders strenge Vorschriften nach dem Regelwerk der GLP, Gute Laborpraxis“, sagt Seifert. Ähnlich wie beim Thema Energieversorgung ist es gelungen, GLP und ISO 27001 nahtlos ineinandergreifen zu lassen.

Mit Diplomatie und Fingerspitzengefühl

Als weltweit tätiges Unternehmen mit rund 1.500 Mitarbeitern und mehr als 320 Millionen Euro Jahresumsatz betreibt die AlzChem ein eigenes IT-Rechenzentrum. Sie fällt damit unter die besonderen Sicherheitsanforderungen der ISO 27001 für Rechenzentrumsdienstleister. „Auch wenn ein Unternehmen diese Infrastruktur nur für eigene Zwecke nutzt, muss das Rechenzentrum besonders geschützt werden“, sagt Seifert. Denn fällt es aus, steht das gesamte Unternehmen still.

Fast 30 Beauftragte für verschiedene Managementsysteme und Sicherheitsbereiche sowie die Vorstandschaft hat die complimant AG bei der Einführung des Informationssicherheitsmanagements mit ins Boot geholt. „Leute mit jeder Menge Erfahrung und Fachwissen, die teilweise schon 30 oder 40 Jahre bei dem Traditionsunternehmen arbeiten“, erzählt Seifert. „Diplomatie und Fingerspitzengefühl sind gefragt, wenn man hier Prozesse und Arbeitsweisen ändert“, weiß der Experte.

New Solutions GmbH

Die New Solutions GmbH bietet praxiserprobte Softwarelösungen, die in enger Zusammenarbeit mit führenden Unternehmen entwickelt wurden. Im Rahmen von Großprojekten (z. B. verschiedene Werke in West- und Osteuropa) wurden unterschiedlichste Leitsysteme, Steuerungen, ERP- und Laborsysteme integriert.
Mit dem Ziel, ein Informationssicherheitsmanagementsystem zu etablieren und dieses nach ISO27001 zertifizieren zu lassen, wurde die complimant AG damit beauftragt, das Unternehmen bei der Einführung des ISMS zu unterstützen. Dabei wurden die Forderungen der Norm ISO27001 durch die Anforderungen von GAMP (eine Sammlung von Best Practices aus dem Pharmazieumfeld) ergänzt und die Mitarbeiter der New Solutions auf die speziellen Anforderungen an IT-Zulieferer in der pharmazeutischen Erzeugung geschult.
New Solutions erlangte in weniger als einem Jahr Zertifizierungsreife und konnte im Januar 2015 durch den TÜV Rheinland auditiert werden, der die Konformität mit der Norm ISO 27001 bestätigte und das Zertifikat erteilte.

conova communications GmbH

Anbieter eines Hochleistungsrechenzentrums, Realisierung hochverfügbarer IT- und Kommunikationslösungen für Firmenkunden.
„Eine wesentliche Zielsetzung für die Umsetzung der ISO 27001 Norm in unserem Haus war, dass wir einen hohen Praxisnutzen mit der Einführung erreichen können und uns nicht „überregulieren“. Mit der complimant AG haben wir einen Partner gefunden, welcher mit seinem breiten Erfahrungsschatz und seiner pragmatischen Vorgangsweise den Normrahmen ideal auf unsere Geschäftsbedürfnisse angewendet hat und unser Ziel perfekt umsetzen konnte.“
5. 8. 2013, Ing.Mag.(FH) Gerhard Haider, Geschäftsführer

Berner & Mattner Systemtechnik GmbH

Systems Engineering, Entwicklung und Test leistungsfähiger elektronischer und mechanischer Systeme im Schwerpunktumfeld Automotive.
„Wir haben das Complimant-Team durch seine Flexibilität, schnelle Umsetzung und vor allem durch die Fähigkeit, sich individuell auf die Kundenbedürfnisse einzustellen, sehr schätzen gelernt. Aus Sicht von B & M ist die Complimant AG ein außerordentlich engagiertes Unternehmen, mit kurzen Reaktionszeiten und einem hohen Maß an fachlicher Kompetenz. Die Zusammenarbeit hat Spaß gemacht, jeder Zeit wieder.“
15. 7. 2013, Mandy Deimel, Qualitätsbeauftragte

Hartl EDV Gmbh & Co. KG

Anbieter eines Hochleistungsrechenzentrums, ASP-Dienstleistungen, Netzwerk- und Kommunikationstechnik, u. a.
„Die complimant AG versteht es, die Brücke zu schlagen zwischen starren Vorgaben einer ISO-Norm und der wirtschaftlich orientierten Ausrichtung eines Unternehmens an seinen Kernprozessen. So wird kein Parallelsystem geschaffen, sondern die Prozesse der ISO27001 perfekt integriert. Bis heute sind wir froh, im Regelbetrieb stets auf das Know-How der complimant bauen zu können.“
25. 3. 2013, Peter Hartl, Geschäftsführer

Traunmed Sport- & Rehazentrum GmbH & Co. KG

Eines der ersten zertifizierten Reha-Zentren Bayerns und Pionier im Bereich der medizinischen Trainingstherapie.
„Mit der Complimant AG haben wir einen sehr professionellen und persönlichen Partner, der uns gerade im sensiblen Bereich des Datenschutzes immer kompetent zur Seite steht.“
29. 1. 2014, Martin Schadhauser, Geschäftsführer

KRAIBURG Elastik GmbH

Umfangreiche Palette von Fertigprodukten für verschiedene Anwendungsbereiche wie Bahnübergangssysteme und Stallbodenbeläge.

WEISS IT Solutions GmbH

Die Weiss IT Solutions GmbH ist seit mittlerweile 25 Jahren ein renommierter Partner für unternehmerische Lösungen der Produktions- und Office-IT im Mittelstand und für internationale Konzerne. Als IT-Dienstleister für Outsourcing, Outtasking und Managed Services liegen die Schwerpunkte auf der Betreuung von End-User und Industrial-IT Umgebungen.

Wir betreuen unsere Kunden mit über 150 festangestellten Mitarbeitern flächendeckend in Deutschland und Österreich.

Aufbauend auf das bereits bestehenden Qualitätsmanagement-System nach ISO9001 sollte im Hinblick auf die konsequente Ausrichtung der Anforderungen unserer Kunden mit Einführung der ISO27000 ein „Integriertes Management System“ aufgebaut werden. Zur Einführung des ISMS wurde die Complimant AG mit einem Interimsmandat beauftragt. Neben den allgemein bestehenden Anforderungen an ein ISMS konnten auch spezielle Bereiche der VDA (Verband der Automobilindustrie e. V.) integriert und umgesetzt werden.

In einem Zeitraum von weniger als einem Jahr konnte die Einführung der ISO27000 mit erfolgreicher Zertifizierung planmäßig abgeschlossen werden.

Haberl Electronic GmbH & Co. KG

„Die Berater der complimant AG haben es in kürzester Zeit verstanden, unsere spezifischen Sicherheitsanforderungen im Bereich der Automotive – VDA und Prototypenschutz – mit den Anforderungen der ISO27001 zu verbinden und diese in das bereits vorhandene Managementsystem nach ISO9001 / 14001 zu integrieren. So entstehen keine Parallelwelten, sondern ein einheitliches System gegenüber den Kunden, Partnern und Mitarbeitern. Daher setzen wir auf die fortlaufende Betreuung im Rahmen eines externen ISB-Mandats.“

20.06.2016, Christian Haberl, Geschäftsführer