February 19, 2024
Die aedifion GmbH hat alle IT- und Geschäftsprozesse nach dem Informationssicherheitsstandard DIN EN ISO/IEC 27001 zertifizieren lassen. Die Zertifizierung bestätigt, dass aedifion ein wirksames Managementsystem zum Schutz von Informationen in allen Unternehmensbereichen aufgebaut und umgesetzt hat. Dr. Jan Henrik Ziegeldorf, CTO von aedifion, über das neue Informationssicherheitsmanagementsystem (ISMS) und die Relevanz des Themas für das Gebäudemanagement der Zukunft.
aedifion ist seit Dezember 2023 nach ISO 27001 zertifiziert. Damit wird euch ein hohes Maß an Informationssicherheit bescheinigt. Was waren eure Beweggründe für die Zertifizierung?
Cybersicherheit ist ein ernst zu nehmendes Thema. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in seinem Lagebericht 2023 auf eine zunehmende Bedrohungslage im Bereich der IT-Sicherheit, insbesondere durch den Einsatz von Ransomware. Mit der Zertifizierung nach ISO 27001 verfügen wir über ein wirksames Instrument, um uns vor Angriffen zu schützen. Dabei konzentrieren wir uns auf die gesamte Organisation, einschließlich der Belegschaft, als zentralen Punkt bei der Abwehr von Cyber-Attacken. Gleichzeitig bildet unser Managementsystem eine hervorragende Grundlage für weitere Zertifizierungen wie das Qualitätsmanagement nach ISO 9001 oder das Umweltmanagement nach ISO 140001. Unsere Mitarbeitenden profitieren wiederum von individuellen Schulungsplänen und klar definierten Meldewegen. Das schafft Zufriedenheit und beugt Unsicherheiten im täglichen Umgang mit IT-Sicherheitsthemen vor.
Wie seid ihr auf dem Weg zur Zertifizierung vorgegangen?
Die Umsetzung der Zertifizierung erfolgte in einem mehrstufigen Prozess. Im ersten Schritt wurden alle für das ISMS notwendigen Richtlinien und Dokumentationen erstellt. In der anschließenden Umsetzungsphase haben wir auf gezielte Sensibilisierungsmaßnahmen und Schulungen aller relevanten Stakeholder gesetzt. Dazu zählen die Mitarbeitenden ebenso wie Partnerunternehmen und Kund:innen. Professionell begleitet wurde dieser Prozess von „DataGuard", einem etablierten SaaS-Unternehmen für Datenschutz, Informationssicherheit und Compliance. Ein zentrales, sicher verschlüsseltes Gerätemanagement für Laptops, Tablets und Smartphones sorgt zudem für sicheres, hybrides Arbeiten von unterwegs oder im Home Office. Nach einem halben Jahr Betrieb erfolgte die abschließende Zertifizierung durch den akkreditierten Auditor „Infaz – Institut für Auditierung und Zertifizierung". Um die kontinuierliche Erfüllung der Anforderungen bis zur Rezertifizierung in drei Jahren sicherzustellen, unterziehen wir uns einmal jährlich einem Überwachungsaudit. Als Mitglied der Allianz für Cyber-Sicherheit des BSI wollen wir darüber hinaus dazu beitragen, die Widerstandsfähigkeit Deutschlands gegenüber Cyber-Angriffen zu stärken.
Was bedeutet die Zertifizierung für eure Kund:innen und Partnerunternehmen?
Erfreulicherweise sind auch unsere Kund:innen zunehmend für das Thema sensibilisiert. So gehen immer mehr Unternehmen dazu über, ihre Lieferant:innen und Dienstleister:innen auf IT-Sicherheit zu auditieren. Durch die Zertifizierung nach ISO 27001 können wir die für eine Zusammenarbeit notwendigen Auditprozesse deutlich verkürzen und beschleunigen. Aber auch unsere eigenen Partnerunternehmen müssen bestimmte Sicherheitsanforderungen erfüllen. So arbeiten wir beispielsweise bei der Anmietung von Servern für unsere Softwarelösung ausschließlich mit ebenfalls zertifizierten Hostern in Deutschland bzw. der EU zusammen.
Die Betriebsoptimierung mit der Cloud-Plattform beinhaltet den Umgang mit verschiedenen Daten der technischen Gebäudeausrüstung. Darunter können auch sensible Informationen fallen, wie zum Beispiel personenbezogene oder sicherheitsrelevante Daten. Wie stellt ihr sicher, dass diese Informationen jederzeit geschützt sind und es auch bleiben?
Unser neues Managementsystem adressiert die drei zentralen Grundprinzipien der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten. Die Zertifizierung bestätigt, dass wir diese Grundprinzipien in allen Unternehmensbereichen vollumfänglich erfüllen. Indem wir sensible Informationen vor unberechtigtem Zugriff schützen, leisten wir also bereits einen wichtigen Beitrag zum Schutz personenbezogener oder sicherheitsrelevanter Daten. Das Thema Datenschutz ist jedoch kein Teilbereich der Informationssicherheit, sondern muss komplementär dazu gesehen werden. Um auch diesem Anspruch in vollem Umfang gerecht zu werden, halten wir uns grundsätzlich an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). So beauftragen wir für die Verarbeitung der Daten unserer Kund:innen ausschließlich Rechenzentren und Dienstleister:innen mit Sitz in Deutschland oder der EU.
Ist diese Sicherheit auch gewährleistet, wenn Gebäude außerhalb Deutschlands mit der Cloud-Plattform optimiert werden?
Selbstverständlich. Das von uns realisierte IT-Sicherheitsniveau ist völlig unabhängig vom Standort des optimierten Gebäudes. Unsere ISO-27001-Zertifizierung stellt sicher, dass auch unsere Kund:innen außerhalb Deutschlands und der EU das hohe Maß an IT-Sicherheit und Datenschutz erhalten, das hierzulande erfüllt werden muss. Einfach gesagt: Verschlüsselung kennt keine Landesgrenzen.
Welche zukünftigen Entwicklungen oder Herausforderungen erwarten Sie in Bezug auf Cybersicherheit im Gebäudemanagement und welche Empfehlungen haben Sie für Eigentümer:innen und Betreiber:innen, um ihre Sicherheitsmaßnahmen zu verstärken?
Mit der zunehmenden Elektrifizierung und Flexibilisierung werden Gebäude zu einem integralen Bestandteil des zukünftigen Energiesystems. Als sogenannte „Prosumer" verbrauchen sie nicht nur Energie, sondern erzeugen sie auch aktiv und passen ihren Verbrauch an die Bedürfnisse des Stromnetzes und dynamische Preise am Markt an. Gleichzeitig steigen die Investitionen in die Implementierung von KI-basierten Lösungen, beispielsweise für die Bedarfsgerechte Steuerung der Gebäudeautomation basierend auf Wettervorhersagen oder Raumauslastung. All das ist nur möglich, wenn Gebäude cloudbasiert optimiert werden. Mit steigenden Datenmengen und zunehmender Komplexität steigen auch die Anforderungen an die Sicherheit. Die Zertifizierung nach ISO 27001 bietet mit ihren hohen Standards eine hervorragende Ausgangsbasis, um Gebäude effizient und sicher in der Cloud zu betreiben und zu optimieren. Wir empfehlen Eigentümer:innen und Betreiber:innen daher, das Thema IT-Sicherheit möglichst frühzeitig und proaktiv anzugehen, indem sie:
Wenn wir uns nicht von Angst leiten lassen, sondern das Thema proaktiv angehen und dabei immer „am Ball“ bleiben, dann haben wir schon viel gewonnen.
