Referenzen
Landratsamt Starnberg
Das Landratsamt Starnberg steht bei der IT-Sicherheit bundesweit an der Spitze. „Als erste Kreisverwaltungsbehörde unter den 294 deutschen Landkreisen haben wir unser IT-Sicherheitsmanagement nach den Kriterien des Regelwerks ISIS12 zertifizieren lassen“, gab Landrat Karl Roth in seiner Rede zum Haushalt 2018 am Montag im Kreistag bekannt. Nach einem Jahr intensiver Arbeit in der Verwaltung konnte Roth das Zertifikat Anfang Dezember entgegennehmen.
Mehr über das LRA-Starnberg Projekt
Bis zum 1. Januar 2019 müssen alle bayerischen Behörden ein Informationssicherheit-Konzept erarbeitet haben. Das schreibt das Bayerische E-Government-Gesetz vor. Für den Landkreis Starnberg war diese Vorschrift allerdings nicht der einzige Antrieb. „Bürger und Unternehmen haben ein Recht darauf, dass ihre Daten und Informationen bei uns als Verwaltungsbehörde sicher gespeichert und verarbeitet werden“, sagt Thomas Eberhard, IT-Leiter im Landratsamt. Verschiedene Vorfälle der jüngeren Zeit wie Computersysteme in Krankenhäusern, die durch Angriffe von außen lahmgelegt wurden, nimmt Eberhard als Warnung. Deswegen hatte das Landratsamt schon länger investiert. „Die Behörde ist technisch sehr weit vorne“, bescheinigt Thomas Eberl von der complimant AG. Das oberbayerische Unternehmen hat den Zertifizierungsprozess als externe Dienstleister begleitet. So verfügt das Landratsamt unter anderem über zwei völlig baugleiche Rechenzentren. Fällt das eine aus, kann das andere übernehmen, „ohne dass der Mitarbeiter an seinem Computer das überhaupt mitbekommen würde“, sagt Eberl.
<strong>Ein Jahr intensive Arbeit bis zum Zertifikat</strong>
Die Gesamtleitung des Projektes übernahm Thomas Eberhard (IT-Leitung). Herr Eberhard setzte sich zum Ziel die IT-Sicherheit im LRA Starnberg auf die aktuellen Gefahren und Bedrohungen anzupassen. Die Projektleitung im Haus übernahm Sebastian Glener.
Der Weg bis zum Zertifikat, das am 4. Dezember an Landrat Karl Roth übergeben wurde, dauerte ungefähr ein Jahr.
Entlang der Vorschriften des ISIS12-Regelwerks werden dabei alle wichtigen Vorgänge abgeklopft.. „Im Kern geht es darum, nach welchen Regeln die rund 500 Mitarbeiter mit vertraulichen Informationen umgehen – sei es am Computer, auf Papier oder mündlich im Gespräch und am Telefon“, erklärt Eberhard. Einer der wichtigsten Schritte war dabei die Schulung aller Mitarbeiter des Landratsamtes. Am Ende steht ein Handbuch, das genau beschreibt, wie die Mitarbeiter mit den Informationen umgehen müssen. Im abschließenden Audit prüft ein Beauftragter des Bayerischen IT-Sicherheitsclusters das Handbuch und erteilt das Zertifikat. „Beim Landratsamt Starnberg haben die Mitarbeiter im Umgang mit schutzwürdigen Informationen das allermeiste bereits richtig gemacht“, sagt Eberl. Herausforderung war, das Vorgehen für alle Prozesse schriftlich zu dokumentieren, „denn das bedeutet zunächst einmal zusätzlichen Aufwand für die Mitarbeiter“, weiß der Experte. Ab jetzt kommt es darauf an, die Vorschriften des neuen Informationssicherheits-Handbuchs tagtäglich umzusetzen, damit das Landratsamt sein hohes Schutzniveau auch in Zukunft beibehält.
<strong>Was ist ISIS12?
</strong>
Die Abkürzung ISIS12 steht für „Informations-Sicherheitsmanagement-System in 12 Schritten“. Entwickelt hat das Regelwerk ein Netzwerk rund um das Bayerische IT-Sicherheitscluster in Regensburg speziell für mittelständische Unternehmen, Organisationen und Behörden. Die Zertifizierung nach ISIS12 ist noch recht neu. Mitte Dezember hatten sich bundesweit erst 17 Firmen und Behörden dem Prozedere unterzogen. Starnberg ist bislang der einzige Landkreis innerhalb dieser exklusiven Gruppe.
AlzChem Group AG
In einem komplexen Prozess hat die AlzChem Group AG aus dem südostbayerischen Chemiedreieck dieses Jahr erfolgreich ein Informationssicherheitsmanagementsystem nach ISO 27001 eingeführt. Unterstützt hat den Hersteller diverser Chemieprodukte dabei die in der Region ansässige complimant AG. „Die Aufgabe war eine spannende Herausforderung“, berichtet complimant-Vorstand Franz Obermayer. Denn die AlzChem Group AG unterliegt besonders strengen Sicherheitsauflagen unter anderem als Hersteller von Pharma-Produkten, als Stromnetzbetreiber und als Betreiber eines eigenen Rechenzentrums.
Mehr über das AlzChem Projekt
„Diese Kombination unterschiedlicher Anforderungen war für uns bislang einzigartig“, bestätigt complimant-Projektleiter Dominik Seifert. Neben den unterschiedlichen Tätigkeitsfeldern galt es darüber hinaus, die Verfahren für das Informationssicherheitsmanagement in eine ganze Reihe bestehender Managementsysteme wie Qualitätsmanagement nach ISO 9001 und Umweltmanagement nach ISO 14001 einzupassen. „Das war den Verantwortlichen der AlzChem sehr wichtig“, so Seifert. Und es scheint gelungen: Laut Seifert haben seine Ansprechpartner bestätigt, dass viele der zusätzlichen Strukturen, Vorgaben und Prozesse dazu beitragen, sowohl den Unternehmensalltag als auch die dafür benötigten Prozess- und Informationsflüsse zu optimieren.
Die AlzChem ist ein Traditionsunternehmen der chemischen Industrie. 1908 wurde sie unter dem Namen Bayerische Stickstoffwerke AG gegründet. Mit einem Stromverbrauch von rund 0,1 Prozent des gesamten deutschen Stromverbrauchs zählt AlzChem zu den energieintensiven Unternehmen des Landes. Schon die Bayerischen Stickstoffwerke begannen 1910, ein eigenes Elektrizitätsversorgungsnetz in den Landkreisen Traunstein und Altötting aufzubauen. Heute betreibt AlzChem ein Hoch- und Mittelspannungsnetz samt den benötigten Umspannwerken. Die Regierung von Oberbayern prüft und genehmigt als Aufsichtsbehörde die Netzentgelte.
Als Netzbetreiber unterliegt AlzChem branchenspezifischen Sicherheitsstandards für die Energiewirtschaft. Daher ist für die Informationssicherheit zusätzlich eine Zertifizierung nach ISO 27019 zwingend. Auch hierfür hat die complimant AG Experten und konnte so die Informationssicherheit nach ISO 27001 mit den weiterreichenden Anforderungen der ISO 27019 kombinieren.
Ein weiterer Produktschwerpunkt der AlzChem Group AG liegt in der NCN-Chemie, einer typischen Stickstoff-Kohlenstoff-Stickstoff-Bindung. Verwendung finden die Produkte in Düngern und Pflanzenschutzmitteln, bei Farbpigmenten, für die Windenergie- und Photovoltaikindustrie sowie, nicht zuletzt, bei Pharmawirkstoffen und Nahrungsergänzungsmitteln. „Hier gelten für den chemischen Laborbetrieb besonders strenge Vorschriften nach dem Regelwerk der GLP, Gute Laborpraxis“, sagt Seifert. Ähnlich wie beim Thema Energieversorgung ist es gelungen, GLP und ISO 27001 nahtlos ineinandergreifen zu lassen.
<strong>Mit Diplomatie und Fingerspitzengefühl</strong>
Als weltweit tätiges Unternehmen mit rund 1.500 Mitarbeitern und mehr als 320 Millionen Euro Jahresumsatz betreibt die AlzChem ein eigenes IT-Rechenzentrum. Sie fällt damit unter die besonderen Sicherheitsanforderungen der ISO 27001 für Rechenzentrumsdienstleister. „Auch wenn ein Unternehmen diese Infrastruktur nur für eigene Zwecke nutzt, muss das Rechenzentrum besonders geschützt werden“, sagt Seifert. Denn fällt es aus, steht das gesamte Unternehmen still.
Fast 30 Beauftragte für verschiedene Managementsysteme und Sicherheitsbereiche sowie die Vorstandschaft hat die complimant AG bei der Einführung des Informationssicherheitsmanagements mit ins Boot geholt. „Leute mit jeder Menge Erfahrung und Fachwissen, die teilweise schon 30 oder 40 Jahre bei dem Traditionsunternehmen arbeiten“, erzählt Seifert. „Diplomatie und Fingerspitzengefühl sind gefragt, wenn man hier Prozesse und Arbeitsweisen ändert“, weiß der Experte.
New Solutions GmbH
Die New Solutions GmbH bietet praxiserprobte Softwarelösungen, die in enger Zusammenarbeit mit führenden Unternehmen entwickelt wurden. Im Rahmen von Großprojekten (z. B. verschiedene Werke in West- und Osteuropa) wurden unterschiedlichste Leitsysteme, Steuerungen, ERP- und Laborsysteme integriert.
Mit dem Ziel, ein Informationssicherheitsmanagementsystem zu etablieren und dieses nach ISO27001 zertifizieren zu lassen, wurde die complimant AG damit beauftragt, das Unternehmen bei der Einführung des ISMS zu unterstützen. Dabei wurden die Forderungen der Norm ISO27001 durch die Anforderungen von GAMP (eine Sammlung von Best Practices aus dem Pharmazieumfeld) ergänzt und die Mitarbeiter der New Solutions auf die speziellen Anforderungen an IT-Zulieferer in der pharmazeutischen Erzeugung geschult.
New Solutions erlangte in weniger als einem Jahr Zertifizierungsreife und konnte im Januar 2015 durch den TÜV Rheinland auditiert werden, der die Konformität mit der Norm ISO 27001 bestätigte und das Zertifikat erteilte.
Hartl EDV GmbH & Co. KG
Anbieter eines Hochleistungsrechenzentrums, ASP-Dienstleistungen, Netzwerk- und Kommunikationstechnik, u. a.
„Die complimant AG versteht es, die Brücke zu schlagen zwischen starren Vorgaben einer ISO-Norm und der wirtschaftlich orientierten Ausrichtung eines Unternehmens an seinen Kernprozessen. So wird kein Parallelsystem geschaffen, sondern die Prozesse der ISO27001 perfekt integriert. Bis heute sind wir froh, im Regelbetrieb stets auf das Know-How der complimant bauen zu können.“
25. 3. 2013, Peter Hartl, Geschäftsführer
Traunmed Sport- & Rehazentrum GmbH & Co. KG
Eines der ersten zertifizierten Reha-Zentren Bayerns und Pionier im Bereich der medizinischen Trainingstherapie.
„Mit der Complimant AG haben wir einen sehr professionellen und persönlichen Partner, der uns gerade im sensiblen Bereich des Datenschutzes immer kompetent zur Seite steht.“
29. 1. 2014, Martin Schadhauser, Geschäftsführer
KRAIBURG Elastik GmbH
Umfangreiche Palette von Fertigprodukten für verschiedene Anwendungsbereiche wie Bahnübergangssysteme und Stallbodenbeläge.
Columbus Systems GmbH
„Columbus Systems ist einer der führenden SAP Business One Partner in Deutschland und unterstützt seine Kunden bei der Optimierung und Digitalisierung Ihrer betrieblichen Prozesse seiner Kunden. Aufgrund des Wachstums der vergangenen Jahre und zunehmender Nachfrage seitens Kunden bzgl. Informationssicherheit haben wir uns Ende 2022 entschieden, gemeinsam mit complimant AG ein Informationsmanagement- und Qualitätsmanagementsystem aufzusetzen.
Dank des Best-practice-Ansatzes der complimant AG haben wir es geschafft innerhalb eines Jahres eine Doppelzertifizierung (ISO 27001:2022 und 9001) zu erreichen. Gemeinsam haben wir es geschafft die beiden Normen in ein Managementsystem zu integrieren und so für uns am besten nutzbar zu machen. Wir sind davon überzeugt, dass wir Dank der Beratung und Umsetzung von ISMS und QMS das zukünftige Wachstum meistern werden.“
Jens Meschenmoser, Geschäftsführer