In einem EDV-Unternehmen wie DATEV werden riesige Mengen an Informationen mit Hilfe der Informationstechnik (IT) erstellt, gespeichert, transportiert und weiterverarbeitet. Diese Informationen und die sie repräsentierenden „Daten“ sind unter allen Umständen vor jedweder Schädigung, Manipulation oder Ausspähung zu schützen. Was wie eine Binsenweisheit klingt, erfordert in der Praxis erhebliche Anstrengungen …
… und zahlreiche Maßnahmen, die allesamt koordiniert und dokumentiert ablaufen müssen, das heißt, die Maßnahmen zur Datensicherheit unterliegen einem Qualitätsmanagement, das seinerseits keine „Schwankungsbreite“ zeigen darf. Wo immer aber die Einhaltung enger Standards erforderlich ist, ist die Normung nicht weit – so auch auf diesem Felde.
„Zuständig“ ist in diesem Falle unter anderem die internationale Norm ISO 27001. Sie enthält den Anforderungskatalog für die Erstellung, den Betrieb, die Wartung und ständige Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) in der Datenverarbeitung. Dieses ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Tätigkeiten wahrzunehmen und zu steuern hat. Der ISO-Standard enthält somit konkrete Vorgaben für das ISMS und stellt damit gleichzeitig auch die Kriterien für dessen Prüfung und Überwachung bereit, gestattet also eine Auditierung und Zertifizierung.
Die ISO 27001 bietet so eine gute Grundlage zur Identifikation und Beherrschung spezifischer Informationssicherheitsrisiken sowie zur Sicherstellung der notwendigen Zuverlässigkeit von informationsverarbeitenden Systemen jeder Art. ISO 27001 umfasst eine Risikoanalyse, die Sicherheitsorganisation und -dokumentation sowie ein Auditing des Informationssicherheits-Managementsystem (ISMS-Audit).
DATEV hat nun ein auf ISO 27001 abgestimmtes Konzept und damit ein ISMS entwickelt, das festlegt, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben lenkt.
Das DATEV-ISMS
Zwischenzeitlich wurde das System implementiert und weiterentwickelt. Im September 2010 hat DATEV beschlossen, das bestehende ISMS für den Anwendungsbereich DATEV-Rechenzentrum nach der ISO 27001-Norm zertifizieren zu lassen. Diese ISO 27001-Zertifizierung dient als Nachweis, dass DATEV Compliance-Anforderungen bezüglich Informationssicherheit nach einem internationalen Standard erfolgreich umsetzt. Darüber hinaus zeigt das Zertifikat, dass Informationssicherheit innerhalb der DATEV ein anerkannter Wert ist, ein Informationssicherheits-Managementsystem vorhanden ist und ein definiertes Informationssicherheitsniveau erreicht wurde. Schließlich erbringt das Zertifikat den Nachweis, dass DATEV bei der Beseitigung bzw. Vermeidung von Sicherheitsmängeln und Risiken im Umgang mit sämtlichen RZ-Daten systematisch und präventiv vorgeht.
Durchgeführt wurde das Ende Oktober 2010 abgeschlossene Verfahren für das DATEV-Rechenzentrum durch die Deutsche Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH) mit Sitz in Frankfurt am Main. Dieses Institut führt innerhalb der DATEV bereits seit Jahren das freiwillige Datenschutz-Audit nach § 9a BDSG durch. Am 26. November 2010 konnte der externe Auditor, Prof. Dr. R. Wonneberger (DQS GmbH) Herrn Prof. Kempf zum ISO 27001-Zertifikat gratulieren. Das Zertifikat wurde im Rahmen einer offiziellen Veranstaltung am 19. Januar 2011 übergeben.
