Thought Leadership
Der Unternehmenserfolg des Fußballclubs Borussia Mönchengladbach hängt zunehmend auch von der Sicherheit der Unternehmensinformationen ab. Damit der Klub auch für zukünftige Projekte und Anforderungen gewappnet ist, führte er ein Informationssicherheits-Managementsystem gemäß ISO 27001 ein.
Seit 2001 hat sich die Mitarbeiteranzahl des Fußballclubs Borussia Mönchengladbach mehr als verzehnfacht. Heute zählt der Verein 270 Mitarbeiter. Ein achtköpfiges IT-Team unter der Leitung von Frank Fleissgarten sorgt dafür, dass die IT die Geschäftsprozesse entsprechend ihren Anforderungen unterstützt. Das Thema IT-Sicherheit ist dabei von wachsender Bedeutung, da der Unternehmenserfolg zunehmend auch von der Qualität und Sicherheit der Unternehmensinformationen abhängt. „Das Image und der Erfolg der Fußballmannschaft leisten sicherlich die wichtigsten Beiträge zum Gesamterfolg des Fußballclubs. Da aber alle Geschäftsprozesse mit IT-Unterstützung laufen, können wir uns keine Ausfälle leisten“, erklärt Frank Fleissgarten, IT-Leiter bei Borussia Mönchengladbach. Das Angebot an Services wächst und entsprechend sind die IT und besonders auch die Informationssicherheit gefragt. Sie leisten einen wesentlichen Beitrag für eine reibungslose und sichere Umsetzung von Sponsoren-, Partner- und Kundenservices. Damit tragen sie im hohen Maße dazu bei, dass die Unternehmensziele realisiert werden können. Früh legte der Verein daher die Basis für eine sichere IT-Infrastruktur. Im Jahr 2011 ließ Borussia Mönchengladbach seinen Datenschutz durch TÜV Rheinland prüfen und zertifizieren. Danach erfolgte die Implementierung des Informationssicherheits-Managementsystems nach ISO 27001.
Lesen Sie auch die nächsten Teile dieser Serie
Teil 2: ISO 27001 – Audit und Zertifizierung bei Borussia Mönchengladbach
Teil 3: Vorteile der ISO 27001 für Borussia Mönchengladbach
Die ISO 27001-Einführung – wichtige Arbeitsschritte
Bei dem Aufbau eines Informationssicherheits-Managementsystems nach ISO 27001 profitierte Borussia Mönchengladbach von zwei wesentlichen Vorteilen: Der Fußballclub hatte bereits grundlegende Erfahrungen, die aus dem Aufbau einer eigen geführten IT-Abteilung resultierten und er konnte auf bereits etablierte Datenschutzkonzepte und Risikomanagementprozesse aufbauen. Für diese Bereiche gab es schon definierte Verantwortlichkeiten und Abläufe, die auch zur Erfüllung der ISO 27001-Normanforderungen beitrugen. Zusätzlich betrachtete das IT-Team noch einmal alle IT-Prozesse und erstellte, wo es noch notwendig war, die zugehörigen Dokumentationen. Darüber hinaus sorgte die IT-Abteilung für eine eindeutige und transparente Definition der Ansprechpartner und Verantwortlichkeiten.
Ein wesentlicher Baustein bei der Einführung der ISO 27001 bestand in der Ausarbeitung von Abläufen und Maßnahmenplänen im Falle eines Sicherheitsrisikos. Mögliche potentielle Sicherheitsrisiken – wie beispielsweise Hackerangriffe, Stromausfälle und Datendiebstahl sowie die Rechenzentrumssicherheit – wurden analysiert und bewertet. Bei diesen Analyse- und Bewertungsschritten ging es um Fragen wie: Welche sind die wichtigsten und besonders schützenswerten Daten des Klubs? Wie hoch ist die Eintrittswahrscheinlichkeit eines Vorfalls zu bewerten und mit welchen Mitteln und Maßnahmen werden die Daten angemessen geschützt? Wie sehen die Maßnahmen im Falle eines Sicherheitsvorfalls aus? Als wesentliches Ergebnis dieser Betrachtung arbeitete das IT-Team Maßnahmenpläne für Notfälle wie Serverausfälle und Zutrittsprobleme aus.
Das Schulen der Mitarbeiter
Bei der Einführung der ISO 27001 und der anschließenden Zertifizierung ist die Mitarbeitersensibilisierung für das Thema Informationssicherheit ein ebenso wichtiges Thema. Denn häufig sind es nicht technische Ursachen, die Sicherheitsvorfälle auslösen, sondern sie werden durch menschliches Fehlverhalten verursacht. Klar definierte Verantwortlichkeiten und Prozessbeschreibungen bilden eine wichtige Richtschnur für Mitarbeiter, was konkret von ihnen erwartet wird und welche sicherheitsrelevanten Aspekte sie in ihrer jeweiligen Funktion beachten müssen. Betriebs- und Sicherheitsrichtlinien dienen ebenfalls dazu, einen Verhaltensrahmen vorzugeben.
Borussia Mönchengladbach stellt mit regelmäßigen internen Audits und Schulungen sicher, dass die Mitarbeiter im Bereich Informationssicherheit auf dem aktuellen Stand sind und mit Kundeninformationen verantwortungsvoll umgehen. Bei den Mitarbeitern gehören Maßnahmen wie zum Beispiel die Entsorgung von Alt-Daten, die Einführung eines verstärkten Passwortschutzes sowie Gebäudesicherheit und Arbeitsplatzsicherheit zu täglichen Arbeit. Zusätzlich erhalten die Mitarbeiter einmal im Jahr eine Schulung. Diese beinhaltet Themen wie die Entsorgung von Unterlagen und Daten, die Arbeitsplatzsicherheit und auch das Einhalten von Aufbewahrungs- sowie Löschfristen. Richtlinien – wie beispielsweise jene für den Umgang mit Medien und eine Entsorgungsrichtlinie – liefern den Mitarbeitern ebenfalls konkrete Anleitungen. Sie geben Verfahren vor, wie Mitarbeiter zum Beispiel Daten und Medien vor Verlust oder vor unbefugtem Zugriff schützen können und welche Möglichkeiten sie für die Entsorgung von Papierdokumenten oder Datenträgern wie CDs oder USB-Sticks nutzen sollen. Frank Fleissgarten absolvierte bei der TÜV Rheinland-Akademie einen Lehrgang als Lead Auditor, um so sein ISO 27001-Wissen zu erweitern. „Die Schulung diente dazu, ein besseres Verständnis für die ISO 27001-Struktur zu entwickeln. Zudem fordert die ISO 27001 die Durchführung regelmäßiger interner Audits. Dabei helfen natürlich die Auditorenkenntnisse“, erklärt Fleissgarten abschließend.
Antje Golbach, Pressesprecherin Managementsysteme, TÜV Rheinland
