16.03.22

Die SDA SE wurde ISO 27001 zertifiziert!

Doch was bedeutet das eigentlich? Die ISO 27001 Zertifizierung ist ein weltweit anerkannter Standard, welcher geeignete Sicherheitsmaßnahmen zum Schutz sämtlicher Werte eines Unternehmens spezifiziert. Im Rahmen der IT- und Informationssicherheit definiert sie Anforderungen für Aufbau, Umsetzung, Instandhaltung und für die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems. Bereits von Beginn an haben wir als SDA SE unsere Prozesse und unser Informationssicherheits-Managementsystem auf diesem Standard aufgebaut, doch jetzt haben wir es uns darüber hinaus von einem unabhängigen Dritten bestätigen lassen.

Ihr fragt euch, was das alles im Detail bedeutet? Im Interview mit unserem Chief Technology Officer, Karsten Panier, und unserem externen Chief Information Security Officer, Torben Klagge, bekommt ihr spannende Einblicke darüber, weshalb das Thema IT- und Informationssicherheit überhaupt relevant ist, wie die SDA SE mit diesen Themen umgeht, welche Maßnahmen wir beispielsweise im Entwicklungsprozess umsetzen und welche Vorteile sich durch die ISO 27001 Zertifizierung für unsere Kunden ergeben.

Wir wünschen viel Spaß beim Lesen!

IT- und Informationssicherheit

SDA SE
Torben, kannst du uns einen Einblick geben, warum das Thema Informationssicherheit im heutigen Unternehmenskontext so relevant ist?

Torben
Ja, gerne! Das Thema Informationssicherheit ist bei weitem nicht neu. Die SDA SE hat sich bereits seit der Gründung als Software- und Plattformanbieter diesem Thema angenommen und es tief in der Unternehmens-DNA verankert. Das ist besonders dadurch bedingt, dass im Zusammenhang mit der für unsere Plattform maßgeblichen Cloud-Nutzung viele Unternehmen in den Bereichen Informationssicherheit, aber auch Datenschutz, oft noch Bedenken haben. Die Risiken wissen sie eher schwer einzuschätzen. Betrachtet man in diesem Zusammenhang, dass für die meisten Unternehmen, insbesondere für größere Unternehmen, der sichere Ablauf aller IT-Prozesse elementar für ihre Kernfunktionen ist, erklärt sich, weshalb die Themen Cyber-Risiken und -Kriminalität stetig auf der Risiko Skala weiter nach oben wandern.

Besonders deutlich wird dies, wenn man einen Blick auf das diesjährige Allianz Risk-Barometer wirft, welches das Thema Cyber für das Jahr 2022 als Top-Risiko Nummer Eins einstuft. Viele andere, eher klassische Unternehmensrisiken wurden auf die hinteren Plätze verdrängt. Konkret zeigt sich dies auch in den letzten beiden Pandemie-Jahren. Jedes zehnte Unternehmen musste laut der Versicherungsforen Leipzig auf Cyberangriffe reagieren. Dabei muss davon ausgegangen werden, dass die Dunkelziffer deutlich höher liegt, da viele Unternehmen solche Angriffe kaum oder nur verspätet erkennen.

Das Ziel eines Informationssicherheits-Managementsystems nach der ISO 27001 – einmal sehr abstrakt gesprochen – ist es, die Kontrolle über diese Informationssicherheits- und Cyber-Risiken, die das eigene Unternehmen gefährden, zu haben und zu behalten. Das betrifft jedes am Markt tätige Unternehmen und natürlich auch die SDA SE. Unser Fokus hinsichtlich der Informationssicherheit liegt bei uns als Software- und Plattformanbietern gleich auf mehreren Bereichen. Dazu gehört vor allem die Sicherheit unseres Source Codes und unserer SDA Plattform, da uns Schwachstellen in oder erfolgreiche Angriffe auf diese Bereiche am meisten treffen würden.

SDA SE
Wie geht die SDA SE mit dem Thema Informationssicherheit um?

Torben
Bezüglich der Begriffe „Informationssicherheit“ und „IT-Sicherheit“ herrscht oft Verwirrung. Ersterer fokussiert sich mehr auf Vorgaben, Dokumentationen und Prozesse; letzterer hingegen mehr auf die praktische Umsetzung und technische Realisierung von konkreten Schutzmaßnahmen. Bei uns gehen diese Bereiche Hand in Hand, denn mit der SDA Plattform im Fokus wäre eine Konzentration nur auf das eine oder das andere alleine nicht ausreichend, um eine umfassende Sicherheit zu gewährleisten.

Daher betrachten wir die beiden Themen in ihrer Gesamtheit und stellen sie dabei auf ein Fundament von vier Säulen. Dazu zählen die Säulen Organisation und Prozesse, technische Maßnahmen, Schulungen und Awareness sowie Prüfungen und Zertifizierungen (siehe Abbildung). Während die IT-Sicherheit vor allem durch die technischen Maßnahmen in Säule Zwei umgesetzt wird, ist die Informationssicherheit breiter aufgestellt und findet sich in den übrigen drei Säulen wieder.

Informations- & IT-Sicherheit bei der SDA SE
Die vier Säulen der Informations- und IT-Sicherheit bei der SDA SE

Die Sicherheit unserer Organisation und der Prozesse haben wir im Laufe der letzten Jahre kontinuierlich im Rahmen unseres Informationssicherheits-Managementsystems (Kurz: ISMS) ausgebaut. Dieses definiert Regeln, Vorgehensweisen und Tools, um die Informationssicherheit des Unternehmens stets gewährleisten zu können. Mit dem Thema Schulungen und Awareness stellen wir sicher, dass IT- und Informationssicherheit bereits in den frühen Phasen der Softwareentwicklung proaktiv berücksichtigt wird, um mögliche Fehler, Schwachstellen und denkbare Angriffe frühzeitig zu entdecken.

Wir sind daher, und meiner Meinung nach zu Recht, stolz auf unseren umfassenden Ansatz und haben beschlossen, das hohe Level an IT- und Informationssicherheit der SDA SE offiziell zertifizieren zu lassen – womit wir bei der letzten Säule Prüfungen und Zertifizierungen angelangt wären. Da unser ISMS nach den Vorgaben der ISO 27001 aufgebaut wurde, hat sich das Management der SDA SE für eine entsprechende Zertifizierung entschieden, die Ende 2021 durch den TÜV Nord Cert bei uns durchgeführt wurde und die wir jetzt gerade erfolgreich mit Zertifikatserhalt abgeschlossen haben.

ISO 27001 Zertifizierung der SDA SE

SDA SE
Das hört sich spannend an. Karsten, kannst du uns einen Einblick geben, warum genau sich die SDA SE dazu entschlossen hat, sich nach der ISO 27001 zertifizieren zu lassen?

Karsten
Das hat mehrere Gründe. Zum einen, wie Torben bereits eingangs erwähnt hat, sehen wir uns im Umfeld der steigenden Cyber-Risiken als Dienstleister von unserem Selbstverständnis her dazu verpflichtet, unseren Kunden die bestmögliche Sicherheit in der Zusammenarbeit mit der SDA SE und unseren Produkten zu gewährleisten. Zum anderen kommt hier der Themenkomplex „Supply Chain Attacks” hinzu. Wir haben keine Endkunden, sondern stellen unsere Plattform und Module anderen Unternehmen zur Verfügung, die damit ihre Endkunden-Schnittstellen bereitstellen. Die SDA SE ist somit ein klassischer Zulieferer. Vermehrt gibt es Fälle, bei denen ein Unternehmen nicht direkt, sondern über eben solche Zulieferer angegriffen wird. Besonders in Erinnerung geblieben ist mir das Ereignis von „SolarWinds“, das Ende 2020 passiert ist. Dabei verschafften sich Angreifer Zugriff auf über 18.00 Netzwerke von Kunden eines Zulieferers. Um Angriffe dieser Art vorzubeugen, die nicht nur uns, sondern darüber hinaus direkt unsere Kunden gefährden würden, legt die SDA SE einen sehr hohen Wert auf die IT- und Informationssicherheit.

Dieses Bewusstsein ist auch bei unseren Kunden gegenwärtig. Ein Großteil unserer Kunden kommt aus der Versicherungsbranche und dementsprechend aus einem BaFin-regulierten Umfeld (Bundesanstalt für Finanzdienstleistungsaufsicht). Sie müssen unter anderem die versicherungstechnischen Anforderungen an die IT (VAIT) gemäß der BaFin-Vorgaben vollumfänglich umsetzen. Ein fester Bestandteil dieser Vorgaben ist die Aufrechterhaltung des Sicherheitsniveaus bei all ihren Dienstleistern, damit die Dienstleister in diesem Bereich nicht schlechter aufgestellt sind als die Versicherungen selbst, da ein Angreifer sonst das „schwächste Glied in der Kette“ ausnutzen könnte. Mit der ISO 27001 Zertifizierung zeigen wir unseren Kunden, dass wir das Thema IT- und Informationssicherheit ernst nehmen und uns nicht davor scheuen, dies auch durch einen unabhängigen Prüfer bestätigen zu lassen.

Zu guter Letzt kommt auch das Sprichwort „Tue Gutes und sprich darüber” zum Tragen. Wir sehen uns mit unseren Produkten, unserem ISMS sowie unseren Maßnahmen gut aufgestellt und das möchten wir mit der Zertifizierung natürlich zeigen.

SDA SE
Worauf legt die SDA SE bei der ISO 27001 Zertifizierung ihren Fokus?

Karsten
Wir haben die ISO 27001 zur Zertifizierung gewählt, da sie die von uns gewünschte ganzheitliche Betrachtung der IT- und Informationssicherheit am besten abbildet. Der Umfang der Zertifizierung fokussiert sich dementsprechend auf die gesamte SDA SE und all ihre Bereiche und Prozesse, sodass keine Bestandteile exkludiert sind. Im Rahmen der Zertifizierung wurden vor allem unsere primären Prozesse auditiert, d.h. Software-Entwicklung und Plattform-Betrieb, aber auch alle sekundären Prozesse und Bereiche der SDA SE wurden geprüft. Darunter fallen beispielsweise das Rechnungswesen, Human Resources oder das Gebäudemanagement.

In den Kernbereichen der SDA SE gehen wir sogar deutlich über die Anforderungen der ISO 27001 (sowie deren Anhang ISO 27002) hinaus, was von den Auditoren lobend erwähnt wurde. Wir verwirklichen unsere Vorgaben zur sicheren Softwareentwicklung nicht nur nach den eher abstrakten Vorgaben der ISO, sondern setzen zusätzlich Teile des BSI Grundschutzes (Bundesamt für Sicherheit in der Informationstechnik), konkret den Baustein CON.8 zur Softwareentwicklung, vollständig um. Denn unser Ziel ist nicht nur der Erhalt eines Zertifikats, sondern die reale Erhöhung der IT- & Informationssicherheit in unseren Produkten.

SDA SE
Welche konkreten Vorteile erschließen sich daraus denn eigentlich für unsere Kunden?

Torben
Wie bereits erwähnt, müssen Unternehmen aus dem BaFin-regulierten Umfeld die versicherungstechnischen Anforderungen an die IT vollumfänglich umsetzen. Dazu gehört auch, dass sie bei ihren Lieferanten und Dienstleistern sicherstellen müssen, dass das Niveau der IT- und Informationssicherheit auf dem gleichen oder einem vergleichbaren Level ist. Um dies kontrollieren zu können, müssen die Unternehmen regelmäßige Lieferanten Audits durchführen. Das ist ein nicht zu unterschätzender Aufwand für beide Seiten, denn im Grunde muss ein vergleichbares Audit wie das für die ISO 27001 absolviert werden, um einen entsprechenden Eindruck von der IT- und Informationssicherheit der Dienstleister zu bekommen.

Durch die ISO 27001 Zertifizierung wird die SDA SE jährlich durch einen unabhängigen Dritten auditiert. Unsere Kunden können anschließend das Zertifikat anstelle eines selbst durchgeführten Lieferanten Audits nutzen, um gegenüber der BaFin die Prüfung ihrer Dienstleister nachweisen zu können. Das konkrete Vorgehen unterscheidet sich dabei je nach Unternehmen und dessen internen Vorgaben. Einige setzen vollständig auf das gültige Zertifikat, andere dagegen nehmen es als Grundlage und prüfen dann in deutlich kleinerem Umfang nur noch stichprobenartig.

Zusammenfassend bewirkt die ISO 27001 Zertifizierung also auf allen Seiten deutlich weniger Aufwand, da sowohl die SDA SE als auch unsere Kunden dem ISO-Auditierer (in unserem Falle dem TÜV Nord Cert) diese Prüfung entsprechend anvertrauen können.

SDA SE
Karsten, du bist als CTO für unsere technischen Produkte und Lösungen verantwortlich. Kannst du uns einen Einblick geben, wie das Thema Informationssicherheit im Entwicklungsprozess berücksichtigt wird?

Karsten
Im Sinne des agilen Vorgehens ist die IT- und Informationssicherheit kontinuierlich auf den verschiedenen Ebenen des Entwicklungsprozesses fest verankert. Unseren agilen, zyklischen Entwicklungsprozess haben wir, neben beispielsweise den Planungs- und Review-Schritten, um die Methodik des sogenannten Threat Modelings ergänzt. Bei diesem Verfahren wird der Frage nachgegangen, welche Stellen am anfälligsten für potentielle Angriffe sind, sodass Bedrohungen bereits frühzeitig identifiziert werden. Wir gehen dabei so vor, dass die aktuellen Produktinkremente der SDA SE entlang verschiedener Angriffsvektoren analysiert und bewertet werden. Die dabei identifizierten Schwachstellen werden mit Priorisierung ins Product Backlog aufgenommen und bearbeitet.

Ein entscheidender Faktor in diesem Prozessschritt sind die Fähigkeiten und Kenntnisse der beteiligten Mitarbeiter im Bereich der IT- und Informationssicherheit. Wie Torben bereits erwähnt hatte, sind uns seit Beginn an Schulungen und Weiterbildungen bei der SDA SE in diesem Bereich besonders wichtig. Mit dem internen Security Champions Programm entwickeln wir die Kenntnisse unserer Mitarbeiter aktiv und kontinuierlich weiter. Unsere Entwickler und Product Owner lernen in einem praxisnahen Umfeld, wie Angriffe auf Software zu erkennen sind und wie sie verhindert werden können.

Neben den bereits erwähnten Maßnahmen, entwickeln wir die von uns angebotene sowie selbst genutzte CI/CD Pipeline im Hinblick auf die Sicherheit beständig weiter. Beispielsweise haben wir kürzlich das Tool Cluster Image Scanner entwickelt, welches die sogenannte Software Bill of Material (SBOM) ermittelt, also eine Auflistung der einzelnen Komponenten einer Software, und diese dann auf bekannte Schwachstellen hin überprüft. Darüber hinaus erweitern wir die CI/CD Pipeline kontinuierlich um Sicherheitstests gegen die Software und Infrastruktur.

Zu dem Tool Cluster Image Scanner gibt es einen neuen, detaillierteren und technischeren Artikel auf auf unserem BITS AND PIECES Blog für Entwickler. Wer Interesse hat, einfach hier klicken.

SDA SE
Super, vielen Dank für den Hinweis und die interessanten Einblicke!