In der heutigen digitalen Landschaft ist Vertrauen die härteste Währung. Besonders für Cloud-Anbieter ist der nachweisbare Schutz von sensiblen Kundendaten nicht nur ein Qualitätsmerkmal, sondern eine grundlegende Geschäftsvoraussetzung. Aus diesem Grund entschied sich die stepping stone AG, ein führender Schweizer Serviceanbieter mit einer eigenen, auf zwei Rechenzentren verteilten Cloud-Infrastruktur, ihr Unternehmen nach dem international anerkannten Standard ISO/IEC 27001 zertifizieren zu lassen. Für diesen anspruchsvollen Weg und viele weitere Schritte danach, hat sich die stepping stone AG auf die Expertise der Redguard AG verlassen.

Die Ausgangslage: Anspruchsvolle Open-Source-Lösungen in einem hochflexiblen Cloud-Umfeld

Die stepping stone AG bietet ihren Kunden keine Standardlösungen, sondern leistungsfähige Open-Source-Lösungen. Diese lassen sich flexibel aus modularen, standardisierten Komponenten zu hochverfügbaren und skalierbaren Cloud-Lösungen zusammenstellen. Die Orchestrierung dieser Open-Source-Komponenten ist anspruchsvoll und erfordert tiefgreifendes, technisches Fachwissen. Sicherheit ist dabei ein wichtiger, integraler Bestandteil. Um diese strukturiert zu verbessern und den hohen Sicherheitsstandard ihrer Kunden sichtbar nachweisen zu können, strebte die stepping stone AG an, ihr Information Security Management System (ISMS) nach ISO/IEC 27001 zertifizieren zu lassen.

Die Herausforderung bestand darin, die Komplexität der individualisierten Service-Angebote, von der reinen Infrastrukturauslagerung in die eigene Schweizer Cloud bis hin zu Managed Services bei anderen Cloud-Anbietern, in einem einheitlichen und normkonformen ISMS abzubilden. Es galt alle relevanten Prozesse, Systeme und Verantwortlichkeiten zu erfassen und zu hinterfragen. Hier war klar, dass Berater benötigt wurden, welche diese Komplexität beherrschen.

Der Weg: Langjährige, partnerschaftliche Zusammenarbeit und gezielte Expertise

Anstatt das Rad neu zu erfinden und wertvolle interne Ressourcen über Wochen und Monate zu binden, entschied sich die stepping stone AG für eine Zusammenarbeit mit uns als Sicherheitsspezialisten. Unsere gemeinsame Vorgehensweise war von Anfang an pragmatisch und zielorientiert. Damit begann eine enge Zusammenarbeit, die durch intensive Interaktion zwischen den Experten der stepping stone AG und unseren Beratern geprägt war.

In einer ersten Phase analysierten wir gemeinsam die bestehende IT-Infrastruktur, die Geschäftsprozesse und die bereits etablierten Sicherheitsmassnahmen. Auf Basis dieser Analyse erstellten wir eine detaillierte Roadmap zur Schliessung identifizierter Lücken (Gap-Analyse) und zur Erfüllung aller Normanforderungen. Dies umfasste die Verfeinerung der Sicherheitsrichtlinien, die Durchführung einer umfassenden Risikoanalyse und die Erstellung der notwendigen Dokumentation, sowie der Anwendbarkeitserklärung (Statement of applicability).

Nachdem die Vorbereitungen abgeschlossen waren, führten unsere zertifizierten Auditoren (CISA, ISO/IEC 27001 Lead Auditor) das interne Audit durch. Dies ist eine zwingende Voraussetzung vor dem eigentlichen Zertifizierungsaudit durch eine akkreditierte Stelle und gibt dem Auftraggeber eine wesentlich höhere Wahrscheinlichkeit erfolgreich zertifiziert zu werden. Wir identifizierten kleinere Abweichungen und Verbesserungspotenziale, die dank der engen Abstimmung mit der stepping stone AG umgehend adressiert werden konnten.

«Das Vertrauen unserer Kunden ist essenziell, und die ISO 27001-Zertifizierung stärkt dieses. Die Zusammenarbeit mit Redguard war für uns extrem wertvoll: Als Profis haben sie den Prozess enorm beschleunigt und uns geholfen, Fallstricke zu vermeiden. So konnten wir uns etliche Tage interner Arbeit sparen und uns auf unser Kerngeschäft konzentrieren.» Michael Eichenberger, CEO von stepping stone AG

Das Ergebnis: Kontinuierlich gestärkte Cyber-Maturität über viele Jahre

Durch die strukturierte Vorbereitung und das professionell durchgeführte interne Audit konnte die stepping stone AG seine Cyber-Maturität nachhaltig stärken. Das Unternehmen verfügt nun nicht nur über ein sich stets weiterentwickelndes und normkonformes ISMS, sondern hat auch das Bewusstsein für Informationssicherheit auf allen Ebenen der Organisation nachhaltig gestärkt. Die Prozesse sind klar definiert, die Verantwortlichkeiten geklärt und die Risiken transparent.

Danach war die stepping stone AG optimal auf das externe Zertifizierungsaudit vorbereitet, welches im Oktober 2019 mit Bravour bestanden wurde. Sie kann ihren bestehenden und potenziellen Kunden mit grösster Überzeugung versichern, dass ihre Daten nach internationalen Standards geschützt werden.

Doch unsere Begleitung endete nicht mit der Erstzertifizierung. Die Redguard AG ist der stepping stone AG über viele Jahre hinweg eng verbunden geblieben. Die langfristige Partnerschaft spiegelt sich in den folgenden Phasen unserer gemeinsamen Arbeit wider:

• 2018: Gemeinsamer initialer Aufbau des ISMS mit unseren praxiserprobten Templates und Checklisten, viel Interaktion und Abstimmung.
• 2019: Durchführung des Internal Audit mit fortlaufenden Verbesserungen des ISMS nach ISO/IEC 27001:2013, enges Zusammenspiel bis zur erfolgreichen Erstzertifizierung.
• 2022: Überführung des ISMS in die neue Norm ISO/IEC 27001:2022, erneut unter enger Begleitung und Nutzung unserer aktualisierten Vorlagen.
• 2023: Durchführung des Internal Audit mit Verbesserungen des ISMS nach ISO/IEC 27001:2022, um die Re-Zertifizierung erfolgreich zu meistern.
• Laufend: Kontinuierliche Beratung und Unterstützung bei der Weiterentwicklung des ISMS, um den sich ändernden Anforderungen und der dynamischen Open-Source-Landschaft gerecht zu werden.

Diese kontinuierliche Begleitung stellt sicher, dass die stepping stone AG nicht nur einmalig zertifiziert ist, sondern stellt sicher, dass das ISMS stets auf dem neuesten Stand bleibt und den wachsenden Anforderungen des Marktes gerecht wird. Unsere Expertise in der Beherrschung der Komplexität von Open-Source-Lösungen und deren Orchestrierung war dabei stets ein entscheidender Faktor.

Denken auch Sie darüber nach, sich professionell auf eine ISO 27001-Zertifizierung vorzubereiten oder benötigen Sie einen erfahrenen Partner für die langfristige Begleitung Ihrer Informationssicherheit? Wir freuen uns über Ihre Kontaktaufnahme.