ISMS nach ISO 27001

Borussia Mönchengladbach stellt Cyberabwehr neu auf

12.03.2019
Von 
Frank Fleissgarten ist IT-Leiter bei Borussia Mönchengladbach.
Der Fußballverein Borussia Mönchengladbach hat ein Informationssicherheits-Managementsystem nach ISO 27001 eingeführt. Damit wurde auch ein großer Teil der DSGVO-Vorgaben erfüllt.

Um die Ausfallsicherheit seiner IT-Infrastruktur einschließlich Online Ticket- und Shop-Seiten zu verbessern, hat der Fußball-Club Borussia Mönchengladbach ein Informationssicherheitsmanagementsystem (ISMS) implementiert. Es umfasst Gebäude- und Datensicherheit inklusive aller Geschäftsprozesse der Verwaltung.

Borussia Mönchengladbach verarbeitet personenbezogene Daten von Kunden, Spielern und Mitarbeitern. Diese Informationen gilt es sicher zu verwalten und zu schützen.
Borussia Mönchengladbach verarbeitet personenbezogene Daten von Kunden, Spielern und Mitarbeitern. Diese Informationen gilt es sicher zu verwalten und zu schützen.
Foto: Christian Verheyen/ Borussia Mönchengaldbach

Da das System alle kritischen Prozesse in den jeweiligen Geschäftsbereichen verwaltet, entschied sich der Verein dafür, das ISMS nach ISO 27001 aufzubauen und durch den TÜV Rheinland zertifizieren zu lassen. Die Norm ISO 27001 legt die Basis dafür, dass es Sicherheitskonzepte für Virenschutz, Backup oder Recovery-Programme gibt, um mögliche Angriffe zu vereiteln oder im Ernstfall den Betrieb schnell wiederherzustellen.

Informationssicherheit als wichtiger Faktor für reibungslose Geschäftsprozesse

Bei den verschiedensten Abläufen wie dem Online-Ticketverkauf, der Logenverwaltung, der Erhebung von Spielerdaten und der Erstellung von Verträgen werden Daten generiert, verarbeitet und aufbewahrt. Sämtliche Geschäftsprozesse des Clubs laufen IT-gestützt. Störungen oder Ausfälle können daher beträchtliche Folgen für Kunden und das Unternehmen haben.

Vor einem Champions-League-Spiel gehen beispielsweise in kurzer Zeit bis zu fünf Millionen Ticket-Anfragen ein. Diese Masse müssen die Systeme ausfallsicher bewältigen und verarbeiten können. Bei einem Serverdefekt oder Virenbefall könnten Kunden keine Bestellung auslösen, finanzielle Einbußen wären die Folge.

IT-Sicherheit spielt deshalb auch bei Kunden-, Partner- und Sponsorenservices eine wichtige Rolle. Schalten Sponsoren Werbung auf den Club-Webseiten, müssen diese hundertprozentig verfügbar sein, um die Verträge erfüllen zu können. Die Sicherheit des Webservers und generell des Rechenzentrums sind hier gefragt.

Durch die ISO 27001-Anforderungen wurde das IT-Team auf einige Schwachstellen aufmerksam und besserte sie aus. Beispielsweise sorgte die IT bei Stromleitungen und im Rechenzentrum für Redundanzen um bei Engpässen oder Vorfällen den Betrieb aufrechtzuerhalten. Damit einhergehend entwickelte Borussia Mönchengladbach auch ein Notstrom- und Backupkonzept.

Schrittweiser Aufbau des ISMS

Die Club-Verantwortlichen hatten bereits im Vorfeld Risikomanagementprozesse und ein umfassendes Datenschutzkonzept für dem Umgang mit personenbezogenen Daten und auch deren Verarbeitung durch externe Dienstleister eingerichtet. Das ISMS konnte darauf aufsetzen.

Das IT-Team nahm sämtliche IT-Prozesse in Augenschein und sorgte für eine eindeutige Definition der Verantwortlichkeiten und Ansprechpartner. Zudem wurden Lücken in der Dokumentation geschlossen. Darin sind alle Abläufe und Schnittstellen beschrieben, so dass im Notfall jeder Mitarbeiter in jeder Situation alle notwendigen Schritte ausführen kann, auch wenn der eigentlich Verantwortliche nicht anwesend ist.

Während das IT-Team die Maßnahmenpläne ausarbeitete, analysierte und bewertete es alle potentiellen Sicherheitsrisiken wie zum Beispiel Datendiebstahl, Stromausfall, Hackerangriffe und die Sicherheit des Rechenzentrums. Allen voran standen dabei die Kundendaten im Fokus. Zudem sind auch alle internen Daten wie jene der Mitarbeiter und Spieler vertraulich zu handhaben.

Es galt zu bewerten, wie wahrscheinlich an diesen Stellen Sicherheitsvorfälle auftreten können und inwiefern die Daten mit angemessenen Maßnahmen geschützt sind. Dafür arbeitete die IT-Mannschaft Maßnahmenpläne für Notfälle wie Serverausfälle und Zutrittsprobleme aus.

Mitarbeiter einbinden und schulen

Auch die Sensibilisierung der Mitarbeiter spielte bei der Einführung der ISO 27001 und der anschließenden Zertifizierung eine große Rolle. In die tägliche Arbeit der Mitarbeiter sind feste Sicherheitsmechanismen integriert. Dazu zählen zum Beispiel die Multi-Faktor-Authentifizierung für VPN-Verbindungen, die Entsorgung von Alt-Daten sowie die Gebäude- und Arbeitsplatzsicherheit.

Einmal jährlich werden die Mitarbeiter zudem zu den Themen Arbeitsplatzsicherheit, Entsorgung und Aufbewahrungs- sowie Löschfristen geschult. So sind sie beispielsweise beim Verlassen ihres Arbeitsplatzes angehalten, ihren Bildschirm zu sperren und es wurden Schredder eingeführt mit einer genauen Beschreibung, für welche Art von Dokumenten diese dienen. Zudem nutzt der Club nun Entsorgungstonnen für CDs, Festplatten und USB Sticks, die regelmäßig durch einen zertifizierten Entsorgungsfachbetrieb abgeholt und vernichtet werden.

Die IT-Leitung ließ sich zum Lead Auditor ausbilden, um ein besseres Verständnis für die Struktur der ISO 27001 zu erhalten und von der Norm geforderte interne Audits durchführen zu können. Im Rahmen solcher Audits werden mit den Verantwortlichen Verbesserungsmöglichkeiten erörtert. Dazu zählen auch Mitarbeitergespräche, bevor eine Lösung entwickelt und umgesetzt wird. Die Ergebnisse dieser internen Audits fließen anschließend in das Managementreview ein.