Brainloop entwickelt hochsichere Cloud-Lösungen und legt auch darüber hinaus größten Wert auf sichere Prozesse. Denn Sicherheit fängt nicht erst bei der Software an. Zur Sicherheit gehören technische Sicherungsmaßnahmen genauso wie sichere Abläufe und organisatorische Maßnahmen innerhalb des Unternehmens. Gerade diese sind entscheidend, wenn es um geregelte Serverzugriffe oder Softwareupdates geht – viel zu viel kann hier schiefgehen. Und auch beim Umgang mit personenbezogenen oder vertraulichen Daten sind Guidelines notwendig. Brainloop ist hier gut aufgestellt wie die Zertifizierungen ISO 27001, ISAE 3402 oder das Trusted Cloud Datenschutzprofil zeigen. Dabei ist die Basis für sämtliche Prozesse das interne Information Security Management System (ISMS).
ISMS als Konzept
Grundsätzlich versteht man unter ISMS bestimmte Verfahren und Regeln, die Informationssicherheit in einem Unternehmen sicherstellen. Das passiert bei Brainloop sehr prozessorientiert. Deshalb wird Informationssicherheit auch nach dem PDCA-Kreislauf, kurz für Plan, Do, Check, Act umgesetzt. Im ersten Schritt geht es also ums „Planen“. Das heißt, es werden Ziele formuliert und Maßnahmen definiert, die im zweiten Schritt „Do“ in unterschiedliche Prozessabläufe oder Projekte implementiert werden. Beim „Check“ analysiert man dann, welche Effekte die durchgeführten Maßnahmen hervorgerufen haben. Dieser Schritt ist ausschlaggebend, um zu entscheiden, ob die definierten Maßnahmen tatsächlich als neue Standards etabliert, modifiziert oder zurückgenommen werden. Im letzten Schritt „Act“ werden die Maßnahmen dann im Produktivbetrieb über einen bestimmten Zeitraum angewendet und nochmals überprüft. Ergeben sich hier Verbesserungspotenziale, werden diese eingeleitet und der Kreislauf beginnt von vorne. So werden die gesamten Prozesse kontinuierlich optimiert.
ISMS bei Brainloop
Wir haben für das ISMS verschiedene Sicherheitselemente auf unterschiedlichen Ebenen definiert: Auf der höchsten, der Governance-Ebene ist neben der Corporate Policy unter anderem auch eine Information Security Policy und eine Information Classification Policy festgesetzt. Diese Policies sind dafür verantwortlich, dass die wesentlichen Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleistet sind. Daten sollen demnach nur von autorisierten Personen zugänglich, unveränderbar sowie jederzeit technisch verfügbar sein.
Eine Ebene darunter folgen weitere Richtlinien wie beispielsweise die Physical Security Policy, die Secure Network Policy oder die Secure Operations Policy. Letztere bezieht sich auf den sicheren Betrieb der SaaS-Plattform und beinhaltet von der Planung über das Testen bis hin zum Live-Betrieb sämtliche Aspekte wie zum Beispiel die Test- und Releaseplanung, das Backup-Konzept oder den Change-Management-Prozess.
Basis der Sicherheitselemente sind standardisierte Verfahren und Konzepte zur Gewährleistung von Informationssicherheit wie zum Beispiel ein bestimmtes Release Prozedere, das Key Management oder festgelegte Besucherprozesse. Zusätzlich wird das Bewusstsein aller Mitarbeiter durch Maßnahmen wie ISMS-Schulungen für Neustarter oder die Teilnahme am Social Engineering Game, bei dem man sich spielerisch mit potenziellen Angriffsszenarien auf sensible Informationen auseinandersetzt, gestärkt. Den konkreten Umgang mit und den Zugriff auf Informationen regeln wir darüber hinaus nach dem Need-to-Know-Prinzip, wonach jeder Mitarbeiter nur die wirklich benötigten Zugänge und Berechtigungen für seine Arbeit bekommt.
Das Security-Team: CISO und Security-Architekten
Das Security-Team besteht bei Brainloop aus dem Chief Information Security Officer (CISO) und den Security-Architekten. Ersterer verantwortet übergreifend das komplette ISMS und hat die Koordination und Implementierung von ganzheitlich technischen und organisatorischen Maßnahmen im Blick. In seiner Hand liegt beispielsweise die korrekte Umsetzung des Key Managements oder auch der Identity und Access Management Policy. Die Security Architekten beschäftigen sich außerdem mit den technischen Aspekten rund um die Softwareentwicklung. Zu den Aufgaben zählen hier Themen wie die Verschlüsselung sowie die Überprüfung der Software und deren Architektur auf mögliche Schwachstellen, um sie so kontinuierlich zu verbessern.
Mehrfach zertifiziert
Durch die Sicherstellung des ISMS ist Brainloop mit seinen Lösungen bereits seit 2011 nach dem ISO 27001 Standard zertifiziert. Das ISMS erfüllt demnach die gesetzlichen, behördlichen und vertraglichen Anforderungen, die durch die Norm ISO 27001 für den IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt sind. Bei der Zertifizierungsentscheidung muss sich das ISMS gegenüber einem ebenfalls vom BSI zertifizierten ISO 27001-Grundschutz-Auditor behaupten. Dieser sichtet die von uns erstellten Referenzdokumente, führt eine Vor-Ort-Prüfung durch und erstellt Audit-Reports. Der Audit-Report wird wiederum dem BSI vorgelegt und dient als Entscheidungsgrundlage für die Zertifizierung.
Ein weiterer Zertifizierungsstandard ist der „International Standard on Assurance Engagements“ ISAE3402, der die Wirksamkeit eines internen Kontrollsystems (IKS) von Dienstleistungsorganisationen beurteilt. Auch diese Zertifizierung kann Brainloop vorweisen. Dafür wurde unser internes Kontrollsystem sechs Monate lang getestet und danach detailgenau in puncto Effektivität bewertet.
Außerdem erfüllen wir den Prüfstandard des Trusted Cloud Datenschutzprofils, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 entspricht. Daneben sind es Gesetze wie die DSGVO oder nationale Rechtsprechungen, die den Umgang mit Informationen und personenbezogenen Daten für Unternehmen festlegen.
Ausblick
Ist ein ISMS einmal auf- und umgesetzt, heißt das noch lange nicht, dass es für immer so funktioniert und auch nicht, dass es auf ewig zertifiziert ist. Ganz nach dem PDCA-Zyklus muss sich das ISMS eines Unternehmens immer wieder neu beweisen und stetig verbessert werden.
Dazu gibt es bei Brainloop einerseits jährliche interne Audits, bei denen interne Auditoren die Informationssicherheit überprüfen. Andererseits gibt es ebenfalls einmal im Jahr ein externes Audit, das von der Zertifizierungsstelle und einem externen Auditor durchgeführt wird.
Durch Penetrationstests wird die Applikationssicherheit auf freiwilliger Basis zusätzlich durch unabhängige Dritte auf den Prüfstand gestellt, indem durch fiktive Aktionen gezielt die Systeme angegriffen und auf potenzielle Sicherheitslücken untersucht werden.
Außerdem erfordert die Aktualität der ISO-Zertifizierung alle drei Jahre eine erneute, vollständige Prüfung aller ISO 27001-Kontrollen. Das stellt insgesamt einen dauerhaften Optimierungsprozess der Informationssicherheit bei Brainloop sicher. Doch ist nicht zuletzt auch die Bewertung unserer Kunden, die uns regelmäßig auditieren, ein wichtiger Gradmesser für die Reife unseres Sicherheitskonzepts.
Geschrieben von Ralf Lautenbacher