Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

SERIE
Borussia-Park Geschäftsstelle

Borussia-Park Geschäftsstelle, Foto Christian Verheyen, Borussia

Der Unternehmenserfolg des Fußballclubs Borussia Mönchengladbach hängt zunehmend auch von der Sicherheit der Unternehmensinformationen ab. Damit der Klub auch für zukünftige Projekte und Anforderungen gewappnet ist, führte er ein Informationssicherheits-Managementsystem gemäß ISO 27001 ein.

Seit 2001 hat sich die Mitarbeiteranzahl des Fußballclubs Borussia Mönchengladbach mehr als verzehnfacht. Heute zählt der Verein 270 Mitarbeiter. Ein achtköpfiges IT-Team unter der Leitung von Frank Fleissgarten sorgt dafür, dass die IT die Geschäftsprozesse entsprechend ihren Anforderungen unterstützt. Das Thema IT-Sicherheit ist dabei von wachsender Bedeutung, da der Unternehmenserfolg zunehmend auch von der Qualität und Sicherheit der Unternehmensinformationen abhängt. „Das Image und der Erfolg der Fußballmannschaft leisten sicherlich die wichtigsten Beiträge zum Gesamterfolg des Fußballclubs. Da aber alle Geschäftsprozesse mit IT-Unterstützung laufen, können wir uns keine Ausfälle leisten“, erklärt Frank Fleissgarten, IT-Leiter bei Borussia Mönchengladbach. Das Angebot an Services wächst und entsprechend sind die IT und besonders auch die Informationssicherheit gefragt. Sie leisten einen wesentlichen Beitrag für eine reibungslose und sichere Umsetzung von Sponsoren-, Partner- und Kundenservices. Damit tragen sie im hohen Maße dazu bei, dass die Unternehmensziele realisiert werden können. Früh legte der Verein daher die Basis für eine sichere IT-Infrastruktur. Im Jahr 2011 ließ Borussia Mönchengladbach seinen Datenschutz durch TÜV Rheinland prüfen und zertifizieren. Danach erfolgte die Implementierung des Informationssicherheits-Managementsystems nach ISO 27001.


Lesen Sie auch die nächsten Teile dieser Serie

Teil 2: ISO 27001 – Audit und Zertifizierung bei Borussia Mönchengladbach

Teil 3: Vorteile der ISO 27001 für Borussia Mönchengladbach


Die ISO 27001-Einführung – wichtige Arbeitsschritte

Bei dem Aufbau eines Informationssicherheits-Managementsystems nach ISO 27001 profitierte Borussia Mönchengladbach von zwei wesentlichen Vorteilen: Der Fußballclub hatte bereits grundlegende Erfahrungen, die aus dem Aufbau einer eigen geführten IT-Abteilung resultierten und er konnte auf bereits etablierte Datenschutzkonzepte und Risikomanagementprozesse aufbauen. Für diese Bereiche gab es schon definierte Verantwortlichkeiten und Abläufe, die auch zur Erfüllung der ISO 27001-Normanforderungen beitrugen. Zusätzlich betrachtete das IT-Team noch einmal alle IT-Prozesse und erstellte, wo es noch notwendig war, die zugehörigen Dokumentationen. Darüber hinaus sorgte die IT-Abteilung für eine eindeutige und transparente Definition der Ansprechpartner und Verantwortlichkeiten.

Ein wesentlicher Baustein bei der Einführung der ISO 27001 bestand in der Ausarbeitung von Abläufen und Maßnahmenplänen im Falle eines Sicherheitsrisikos. Mögliche potentielle Sicherheitsrisiken – wie beispielsweise Hackerangriffe, Stromausfälle und Datendiebstahl sowie die Rechenzentrumssicherheit – wurden analysiert und bewertet. Bei diesen Analyse- und Bewertungsschritten ging es um Fragen wie: Welche sind die wichtigsten und besonders schützenswerten Daten des Klubs? Wie hoch ist die Eintrittswahrscheinlichkeit eines Vorfalls zu bewerten und mit welchen Mitteln und Maßnahmen werden die Daten angemessen geschützt? Wie sehen die Maßnahmen im Falle eines Sicherheitsvorfalls aus? Als wesentliches Ergebnis dieser Betrachtung arbeitete das IT-Team Maßnahmenpläne für Notfälle wie Serverausfälle und Zutrittsprobleme aus.

Das Schulen der Mitarbeiter

Bei der Einführung der ISO 27001 und der anschließenden Zertifizierung ist die Mitarbeitersensibilisierung für das Thema Informationssicherheit ein ebenso wichtiges Thema. Denn häufig sind es nicht technische Ursachen, die Sicherheitsvorfälle auslösen, sondern sie werden durch menschliches Fehlverhalten verursacht. Klar definierte Verantwortlichkeiten und Prozessbeschreibungen bilden eine wichtige Richtschnur für Mitarbeiter, was konkret von ihnen erwartet wird und welche sicherheitsrelevanten Aspekte sie in ihrer jeweiligen Funktion beachten müssen. Betriebs- und Sicherheitsrichtlinien dienen ebenfalls dazu, einen Verhaltensrahmen vorzugeben.

Borussia Mönchengladbach stellt mit regelmäßigen internen Audits und Schulungen sicher, dass die Mitarbeiter im Bereich Informationssicherheit auf dem aktuellen Stand sind und mit Kundeninformationen verantwortungsvoll umgehen. Bei den Mitarbeitern gehören Maßnahmen wie zum Beispiel die Entsorgung von Alt-Daten, die Einführung eines verstärkten Passwortschutzes sowie Gebäudesicherheit und Arbeitsplatzsicherheit zu täglichen Arbeit. Zusätzlich erhalten die Mitarbeiter einmal im Jahr eine Schulung. Diese beinhaltet Themen wie die Entsorgung von Unterlagen und Daten, die Arbeitsplatzsicherheit und auch das Einhalten von Aufbewahrungs- sowie Löschfristen. Richtlinien – wie beispielsweise jene für den Umgang mit Medien und eine Entsorgungsrichtlinie – liefern den Mitarbeitern ebenfalls konkrete Anleitungen. Sie geben Verfahren vor, wie Mitarbeiter zum Beispiel Daten und Medien vor Verlust oder vor unbefugtem Zugriff schützen können und welche Möglichkeiten sie für die Entsorgung von Papierdokumenten oder Datenträgern wie CDs oder USB-Sticks nutzen sollen. Frank Fleissgarten absolvierte bei der TÜV Rheinland-Akademie einen Lehrgang als Lead Auditor, um so sein ISO 27001-Wissen zu erweitern. „Die Schulung diente dazu, ein besseres Verständnis für die ISO 27001-Struktur zu entwickeln. Zudem fordert die ISO 27001 die Durchführung regelmäßiger interner Audits. Dabei helfen natürlich die Auditorenkenntnisse“, erklärt Fleissgarten abschließend.

Antje GolbachAntje Golbach, Pressesprecherin Managementsysteme, TÜV Rheinland

Fensterputzer
Mai 28, 2018

Gelebtes Risikomanagement

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der…
Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Digital Car
Apr 25, 2018

Informationssicherheit der Automotive-Branche im roten Bereich

Die Informationssicherheit der deutschen Firmen tritt seit letztem Jahr auf der Stelle…
GRID LIST
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die…
Social Engineering

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
Hacker Stadt

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…
Ransomware

Unternehmen und Behörden haben ein neues altes Problem

Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des…
Cyberversicherung

Cyberversicherungen haben Lücken

Cyberversicherungen stellen eines der wachstumsstärksten Segmente des…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

Falcon-Plattform erweitert um Firmware-Angriffserkennung

CrowdStrike gab bekannt, dass die CrowdStrike Falcon-Plattform um eine neue Funktion…