Sicherheitstechnikkonzern dormakaba

Für die dormakaba Gruppe, einen der Top-drei-Anbieter für den sicheren Zutritt zu Gebäuden und Räumen, war es wichtig, die interne Informationssicherheit auch nach außen belegen zu können. Mit Unterstützung von LRQA ließ das weltweit agierende Unternehmen mit Hauptsitz in Rümlang, Schweiz, daher wesentliche digitale Unternehmensbereiche und die zentrale Group-IT nach ISO/IEC 27001:2013 zertifizieren. Dank hoher Expertise im eigenen ISMS-Team, präziser Auswahl des Geltungsbereichs sowie langjährig etablierter Remote-Infrastruktur blieb dormakaba auch während der Corona-Pandemie im Zeitplan. Das Fazit nach nur wenigen Monaten: Durch die ISO 27001-Zertifizierung konnte der Hersteller seine ohnehin guten Kundenbeziehungen weiter festigen und Neukunden hinzugewinnen.

Cyberangriffe und Datenschutzverletzungen gehören zu den Top-Risiken für Unternehmen – ein Trend, der sich während der Corona-Zeit noch einmal verstärkt hat. „Für uns als Anbieter smarter und sicherer Zutrittslösungen stand das Vertrauen unserer Kunden schon immer an erster Stelle. Daher betrachten wir es als wichtigen Faktor, einen hohen Reifegrad in der Informationssicherheit nachweisen zu können“, erklärt Andreas Robbert, Information Security Manager der dormakaba Gruppe. „Unsere Klientel, zu der auch Banken und Versicherungen zählen, legt großen Wert darauf, möglichst viel Kontrolle über ihren digitalen Fußabdruck zu behalten.“

Viele Großkunden des 15.000 Mitarbeiter umfassenden Herstellers machen eine Ausrichtung nach ISO 27001 für ihre Lieferanten zur Bedingung. Potenzielle Kunden fragen aktiv nach der Zertifizierung des Informationssicherheits-Managementsystems (ISMS), bevor sie Produkte wie Schlösser und Türsysteme, aber auch Tresore, für ihre sensiblen Geschäftsbereiche einsetzen. Auch die Assessments seien deutlich einfacher, wenn ein Lieferant zertifiziert sei, so Robbert. Die Entscheidung für ISO 27001 lag somit auf der Hand.

„Die Zusammenarbeit mit LRQA war sehr professionell“, erinnert sich Robbert. „Das Zertifizierungsunternehmen verfügt über ein internationales Netzwerk, sodass wir auch an unseren Standorten in Nordamerika und in der Schweiz gut betreut wurden. Zudem ist der Dienstleister sehr flexibel auf unsere Zeitwünsche eingegangen.“

Bestens vorbereitet

Dormakaba entschied sich schon frühzeitig für ein Sechs-Säulen-Modell, das optimal zur Struktur des Unternehmens passt. Dies umfasst Risikomanagement (Schwerpunkt auf digitalen Geschäftsprozessen), Incident Management (Prozesse zur Behandlung von Informationssicherheitsvorfällen), Reporting (Darstellung der Wirksamkeit und Effizienz des Managementsystems), Governance (für die rechtzeitige Anpassung an sich ständig verändernde Anforderungen und Bedrohungslandschaften) sowie Assessment (systemische Bewertung des Status des Managementsystems, um Verbesserungsmöglichkeiten zu identifizieren). Die sechste Säule, Consulting and Awareness, beachtet den Faktor Mensch, der bei Cyberrisiken eine erhebliche Rolle spielt. „Wir haben umfangreiche Schulungsprogramme über die gesamte Gruppe hinweg aufgesetzt. Eine Investition in die Mitarbeiter, die sich sehr gelohnt hat“, resümiert Robbert.

Langjährige ISMS-Erfahrung im eigenen Hause

Ein weiterer wichtiger Schritt in der Vorbereitung war das Scoping, sprich: die Festlegung des Geltungsbereichs. „Das hat hervorragend funktioniert, weil wir die Bereiche sehr sauber ausgewählt haben“, sagt Robbert. Neben wichtigen digitalen Produktentwicklungsbereichen ist im Scope auch die interne Group-IT der dormakaba Group enthalten. „Die Implementierung war sehr komplex. Hätten wir die die langjährige ISMS-Erfahrung nicht im eigenen Hause gehabt, hätten wir auf jeden Fall externe Berater beauftragen müssen“, erinnert sich Robbert. Jeder der Mitarbeiter im ISMS-Department von dormakaba brachte mindestens drei Jahre ISO 27001-Expertise mit, Andreas Robbert selbst ist bereits seit 2008 für den Betrieb von Informationssicherheits-Managementsystemen verantwortlich. So konnte das Unternehmen das Gros der Maßnahmen selbst steuern und einen für eine Erstzertifizierung außergewöhnlich hohen Reifegrad erreichen.

Integrierte Managementsysteme reduzierten Aufwand um rund ein Viertel

Dank der Möglichkeit einer Matrixzertifizierung konnte Dormakaba einen ganzen Verbund von Bereichen und Gesellschaften gleichzeitig zertifizieren lassen. Dass das Unternehmen in Segmenten aufgestellt ist, war einerseits ein großer Vorteil, andererseits herausfordernd. „Geholfen hat uns, dass bereits etwa die Hälfte unserer digitalen Entitäten integrierte Managementsysteme besaßen. Auf diese Weise mussten wir das Rad nicht neu erfinden, und der Aufwand reduzierte sich wesentlich“, berichtet Robbert. Hilfreich war auch, dass dormakaba schon vorher wichtige Bereiche über die gesamte Gruppe hinweg nach anderen ISO-Normen hatte zertifizieren lassen.

Im Zeitplan dank guter Remote-Infrastruktur

Aufgrund der Pandemie wurden Teile des ISO 27001-Audits remote durchgeführt. „Beim Audit spielt der persönliche Kontakt eine wichtige Rolle. Soweit Reisen innerhalb Deutschlands möglich waren, war LRQA daher bei uns vor Ort“, erinnert sich Robbert. „Ein größerer Teil der Audits darf aber generell remote stattfinden. Bei uns betraf das die Standorte in der Schweiz und in Kanada, die zu dem Zeitpunkt Reisebeschränkungen unterlagen.“

Da dormakaba schon seit Jahren viele seiner internen Meetings remote durchführt, war der Hersteller sehr gut auf die Situation vorbereitet. Die überwiegende Anzahl der Arbeitsplätze war bereits mit Notebooks ausgestattet, die über eine Kamera verfügen. Die Begehungen von Räumen konnten mittels Handy-Kameras erfolgen, die sich problemlos in die Microsoft Teams-Sitzungen integrieren ließen. „Dies hat ohne Qualitätsverluste funktioniert. Da kann ich auch Unternehmen Mut machen, die noch keine ausgereifte Video-Infrastruktur haben“, sagt Robbert. Trotz COVID-19 konnte dormakaba so seinen Zeitplan problemlos einhalten.

Die Reaktion neuer und bestehender Kunden auf die Zertifizierung war durchweg positiv. „Wir haben seitdem schon etliche Anfragen erhalten, und auch bei Ausschreibungsprozessen haben wir dank ISO 27001 eine sehr gute Position“, freut sich Robbert. Für das laufende Fiskaljahr plant dormakaba, den bestehenden Scope zu erweitern sowie weitere Scopes zu implementieren, für die Zertifizierung wird LRQA erneut im Boot sein.