ISMS nach ISO 27001

Borussia Mönchengladbach stellt Cyberabwehr neu auf

12.03.2019
Von 
Frank Fleissgarten ist IT-Leiter bei Borussia Mönchengladbach.

Das Prüfverfahren

Nach dem Aufbau des Informationssicherheits-Managementsystems nach ISO 27001 strebte Borussia Mönchengladbach die Zertifizierung des Systems an. Das externe Prüfverfahren führten Auditoren des TÜV Rheinland durch.

In einem ersten Schritt wurden die Grundlagen des Managementsystems vor Ort begutachtet und geprüft, inwiefern Prozesse, Dokumentationen und Sicherheitskonzepte den ISO 27001-Anforderungen entsprechen. Dazu zählten etwa das Backup- und Notstromkonzept sowie das Gebäudesicherheitskonzept, das sich mit den Schließanlagen, der Videoüberwachung und dem Security-Einsatz befasst.

Im zweiten Schritt des Prüfverfahrens begingen die Auditoren die verschiedenen Abteilungen. Hierbei standen unter anderem Aspekte wie der Zugang zu Gebäuden und Serverräumen sowie die Sicherheit von Türen und Fenstern im Fokus.

Nach dem erfolgreichen Abschluss des Prüf- und Zertifizierungsverfahrens stehen jährliche Überwachungsaudit an. TÜV Rheinland-Auditoren prüfen regelmäßig, inwiefern der Club die Normanforderungen erfüllt und die Wirksamkeit des Managementsystems aufrechterhält. Die Prüfintervalle helfen den IT-Verantwortlichen auch dabei, mögliche Schwachstellen auszuloten, zu schließen und so den Reifegrad des ISMS sukzessive zu verbessern.

Im Anschluss der Audits gibt es regelmäßig Besprechungen mit der Geschäftsleitung. Falls Maßnahmen notwendig sind, entscheidet diese zügig, welche Mittel dafür bereitgestellt werden. Auch eröffnet die Vereinsführung die regelmäßigen Mitarbeiterschulungen zum Thema Informationssicherheit. Mit diesem Einsatz verdeutlicht das Management die hohe Priorität des Themas im Unternehmen, was in der Folge die Akzeptanz der Maßnahmen durch die Mitarbeiter fördert.

Schnelle Umsetzung der DSGVO

Im Rahmen der DSGVO müssen Unternehmen, die personenbezogene Daten verarbeiten, bestimmte Prozesse und Verantwortlichkeiten definieren sowie dokumentieren. Diese Arbeitsschritte sind typische Anforderungen, die auch an ein Managementsystem gestellt werden. Entsprechend haben es Unternehmen, die bereits ein ISMS einsetzen, einfacher, eine Basis für das Erfüllen der DSGVO- Anforderungen zu schaffen.

Im Rahmen der ISO 27001 gilt es, eine Risikoklassifizierung durchzuführen. Hierbei werden Prozesse und Daten bezüglich ihres Risikopotenzials betrachtet, bewertet und verschiedenen Risikoklassen zugeordnet. Die DSGVO fordert Ähnliches, wobei hier jene Prozesse im Fokus stehen, in denen personenbezogene Daten verarbeitet werden.

Bei Borussia Mönchengladbach zählen in erster Linie die Spieler-, Mitarbeiter- und Kundendaten dazu. Da der Club mit der Norm bereits eine Risikoklassifizierung umgesetzt hatte, konnte er bereits etwa 60 Prozent der DSGVO-Anforderungen im Vorfeld erfüllen. Entsprechend benötigte das Unternehmen statt zwei Jahren nur ein Jahr, um sich DSGVO-konform aufzustellen.

Ausrichtung auf Wachstum und Veränderungen

Zukünftig sollen Besucher flächendeckend elektronischen Zugriff erhalten und nahtlos auf die gebotenen Online-Services des Clubs zugreifen können. Die Besucher möchten von verschiedenen Stadion-Standorten - ob Parkplatz oder Hotel -Tickets über ihr Smartphone bestellen, so dass sie mit diesen direkt ins Stadion gehen können. Für diese Services ist ein zentrales gesichertes System notwendig. Zudem steigen Zahl und Vernetzung der Dienste kontinuierlich, wodurch mehr Informationstechnik notwendig wird.

Das Informationssicherheits-Managementsystem liefert Borussia Mönchengladbach für aktuelle und kommende Anforderungen wichtige Grundlagen. Der Betreiber des neuen Hotels, das auf dem Vereinsareal erbaut wurde, hat beispielsweise seine Server und Systeme im Rechenzentrum von Borussia Mönchengladbach stehen. Für die Leistungserbringung und Vertragserfüllung ist de Club natürlich verpflichtet, dass Gebäudesicherheit, Schließtechnik und Zutrittssicherheit geregelt sind. Das ISMS berücksichtigt derlei Aspekte und so leistet das System einen wichtigen Beitrag dazu bei, dass der Verein seine Verträge und die gesteckten Geschäftsziele einhalten kann.