2024 verloren wir einen Auftrag. Nicht, weil wir nicht gut genug waren – die Business-Seite des Kunden wollte uns. Der Compliance-Manager befand hingegen, dass wir aus Compliance-Sicht nicht professionell genug sind, um mit ihnen zusammenzuarbeiten. Als Unternehmen mit dem Selbstbild, möglichst alles in möglichst gründlicher Weise zu tun, hat uns das getroffen. Nicht unbedingt des verlorenen Umsatzes wegen, sondern vielmehr aufgrund der Erkenntnis, dass gründlich zu arbeiten alleine nicht mehr ausreichend scheint.
Möglichst wenig Regeln, vs. Compliance-Anforderungen
Wir haben als Firma das Credo, möglichst wenig Regeln zu haben (siehe unsere Werte). Jede zusätzliche Regel erhöht den Aufwand, dies durchzusetzen und zu kontrollieren. Jede weitere Regel entbindet Mitarbeitende vom Denken und vom Entscheiden im Sinne des Gesamtsystems. Was wir uns auf Ebene des Staates wünschen, können wir mindestens in unserem Mikrokosmos Renuo umsetzen.
Dass ein Compliance-Officer dies anders sieht, liegt in der Natur der Sache: Mit zunehmender Datenmenge wird das Thema Datenschutz immer wichtiger. Ein Zertifikat erleichtert die Arbeit eines Compliance-Officers, da es eine Abkürzung darstellt. Der Umkehrschluss gilt nicht: Zertifikatslos bedeutet nicht automatisch gesetzeswidrig oder unprofessionell. Die Binsenweisheit, dass die Unternehmen Gesetze einhalten müssen, heisst jetzt einfach Compliance.
Früher reichte es, sauber zu arbeiten. Heute muss man beweisen, dass man sauber arbeitet. Die Verantwortung kehrt sich um – wir haben es mit einer Beweislastumkehr zu tun. Nicht der Gesetzesverstoss muss nachgewiesen werden, sondern die eigene Korrektheit. Wer keinen formellen Nachweis vorlegt, gilt schnell als Risiko – selbst dann, wenn die gelebte Praxis tadellos ist. Compliance misst damit weniger das Verhalten, sondern vor allem die Fähigkeit, es dokumentiert vorzeigen zu können. Besonders bei öffentlichen Ausschreibungen zeigt sich das unverblümt: kein Nachweis, kein Platz am Tisch.
Der Spagat, sich selbst treu zu bleiben
In der Schweiz gibt es verschiedene Anbieter von Regelkonformitäts-Zertifikaten. Das naheliegendste ist ISO 27001 – der Goldstandard unter den Bescheinigungen. Was uns stört: Der Zugang zu den Bewertungskriterien ist kostenpflichtig (siehe z. B. hier), die Vermarktung aggressiv und der Prozess stark kommerzialisiert. Als Firma erreichen uns im Wochenrhythmus Werbe-E-Mails von ISO-Partnern, welche das Zertifikatswunder in X Wochen hinbekommen sollen. Die externen Kosten für ein kleines KMU liegen gemäss dieser Quelle zwischen CHF 15’000–50’000, zzgl. laufende Kosten von ca. CHF 5’000–15’000 pro Jahr.
Alleine diese Preisgestaltung lässt vermuten, dass hier ein ganzer Industriezweig vom Zertifikatsdruck lebt, statt von echter Sicherheit. Darüber hinaus ist ISO 27001 prozess-, und nicht resultatorientiert. Dies beisst sich mit unserer Überzeugung, möglichst wenig Regeln zu haben. Ein definierter Prozess bringt keine Sicherheit, wenn er nicht gelebt wird. Wir machen die Erfahrung, dass das letztliche Setup schlussendlich niemand interessiert – den prüfenden Compliance-Officer inklusive. Save my ass, und gut ist! Genau diese Haltung fühlt sich für uns an wie "Sicherheitskosmetik”. Und dennoch: Im Elfenbeinturm sitzen und womöglich auf weitere Aufträge verzichten zu müssen, kann auch keine Lösung sein. Es ist an der Zeit, Alternativen zu ISO 27001 zu evaluieren.
Alternativen zu ISO 27001 für KMU
Der Start unserer Reise begann mit einer Einschätzung vorhandener Zertifikate. Und ISO 27001-Alternativen gibt es so einige:
- Zielgruppe: IT-KMUCharakter: Schweizer Label, stark auf Praxis ausgerichtetEinordnung: Wirkt wie ein ISO-27001-light für KMU. Vergleichbar mit Cyber-Safe, Abgrenzung nicht ganz klar. Nicht kommerziell.
- Zielgruppe: IT-KMUCharakter: Schweizer Sicherheitslabel mit Awareness-FokusEinordnung: Ebenfalls ISO-27001-light mit Schweizer Kontext. Niederschwellig, verständlich, aber inhaltlich nah bei CyberSeal.
- Zielgruppe: KMU im EinstiegCharakter: Selbsttest, kein formelles ZertifikatEinordnung: Dient primär der Sensibilisierung. Kein Nachweis, keine Zertifizierung, keine Vergleichbarkeit.
- Digital Trust Label (by Swiss Digital Initiative)Zielgruppe: Digitale Produkte, Plattformen, AppsCharakter: Vertrauens- und TransparenzlabelEinordnung: Stark auf Produkte und Plattformen ausgerichtet. Für Agenturen und IT-Dienstleister strukturell wenig passend.
- Zielgruppe: Unternehmen mit starkem DatenschutzfokusCharakter: Datenschutz- und Compliance-SiegelEinordnung: Sehr enger Fokus auf Personendaten. Wirkt kommerziell. Der Ausstieg von Migros 2022 schwächt die Signalwirkung.
- Zielgruppe: Cloud- und SaaS-Anbieter, IT-Serviceprovider mit US-KundenCharakter: Audit- und BerichtstandardEinordnung: Hoher Aufwand, stark kommerziell, klar auf skalierbare Services ausgerichtet. Für Agenturen meist Overkill.
- Zielgruppe: KMU im DACH-RaumCharakter: Modulares ISMSEinordnung: Starker Deutschland-Fokus, kaum Schweizer Referenzen oder institutionelle Anbindung.
Schweizer Pragmatismus in Zertifikatsform
Aus der gesamten Liste haben uns sowohl CyberSeal, als auch Cyber-Safe am meisten überzeugt. Sie sind beides Schweizer Labels, welche nicht gewinnorientiert sind, sich an Schweizer KMU richten und resultatorientiert arbeiten. Mit beiden Programmen konnten wir innert Wochenfrist unkompliziert ein Videogespräch aufsetzen, um offene Fragen zu klären. Dank der Tatsache, dass beide Programme ihre Prüfkriterien offenlegen (nochmals: warum würde man nicht?!), waren diese Gespräche sehr effizient, da wir uns entsprechend vorbereiten konnten. Unser Entscheid fiel schlussendlich auf CyberSeal, da sich ihr Fokus speziell auf IT-KMU richtet. Ausschlaggebend war für uns, dass CyberSeal nicht nur Prozesse abfragt, sondern die gelebte Realität bewertet – etwas, das unserem Arbeitsstil deutlich näher liegt. Warum das Bundesamt für Cybersecurity zwei Labels gleichzeitig unterstützt (anstatt diese zusammenzulegen), ist mir bis heute unklar.
Erfahrungsbericht CyberSeal-Audit
Vor dem Audit hatten wir zwei klärende Gespräche, um Unklarheiten zu beseitigen. Vielfach ging es um Anforderungen, welche wir zu erfüllen hatten, für uns aber keine Anwendung fanden. So betreiben wir ausser dem Büronetz beispielsweise keine eigene Infrastruktur (unser Setup ist zero-trust), womit gewisse Prüfpunkte schlicht nicht anwendbar sind. Oder es stellten sich verantwortungsbezogene Fragen: Sind wir nun jene, welche sensitive Daten verarbeiten, sind es unsere Kunden selbst oder die Hoster? Andere Unklarheiten waren Kriterien, deren Erfüllung für uns unklar war: Wie machen wir Kunden über den Umfang unserer Berechtigungen aufmerksam, wenn wir alles betreiben und somit über alle Rechte verfügen? Wie stellen wir sicher, dass bei grösseren, bekannten Schwachstellen sofort reagiert werden kann?
Sämtliche offenen Fragen wurden mit viel Sachkenntnis und Rücksicht auf unsere konkrete Situation als Software-Agentur behandelt: kein blindes Durchsetzen von Kriterien durch Theoretiker, welche keine oder wenig Ahnung haben, sondern eine faire Evaluation verbunden mit fachlicher, praxisbezogener Diskussion. Was wir positiv mitnehmen, ist, dass die im Lead des Audits verantwortliche Person auch jene Person war, welche unsere vorbereitenden Fragen klärte. Es konnte so viel Effizienzgewinn resultiert werden.
Die wesentlichsten Punkte, die einer Nachbesserung bedurften, waren:
- Aufgrund historischer Gegebenheiten waren zahlreiche Kundenverhältnisse – häufig aus den Jahren 2013, 2014 – undokumentiert. Diese konnten wir inzwischen nachdokumentieren. Möglicherweise reiner Dokumentationsaufwand, sicher aber auch eine hilfreiche Klarstellung über Verantwortungen und Aufgabenteilung.
- Wir führten eine Acceptable Use Policy ein: Auf zwei Seiten beschreiben wir, was wir bislang ohnehin schon lebten (implizites Wissen), explizit. Hierunter fallen Themen wie der Einsatz eines Passwort-Managers, Passwort-Anforderungen, die Verwendung einer Sichtschutzfolie beim Arbeiten unterwegs, das Vermeiden von ungesicherten WLANs, die Verwendung von 2FA oder auch Vorschriften ggü. Hard- und Software. Gerade bei Details wie z. B. Schutzanforderungen bei mobilen Geräten, wenn Firmen-E-Mails darauf sind, entstanden wertvolle Diskussionen. Implizites Wissen explizit zu machen ist immer gut!
- Die Zugriffsmethoden auf firmenweite-Systeme (z. B. Datenablage, E-Mails) von mobilen Geräten wurden zusätzlich gesichert.
- Unser internes WLAN hat nun eine Whitelist über zugelassene Arbeitsgeräte. Dies erhöht den Schutz, sich mit diesem verbinden zu können.
Zwischen initialer Kontaktaufnahme und effektivem Audit vergingen 4,5 Monate. Eine Drittagentur, welche uns für das Audit fit machte, war nicht nötig. Die gesamte Auditierung, inkl. interner Recherche, Vorbereitung des Audits sowie das Audit selbst, kostete uns 100 Arbeitsstunden (2,5 Arbeitswochen) sowie CHF 4’900 externe Kosten für das Audit seitens Allianz Digitale Sicherheit Schweiz. Im Vergleich zu dem, was wir dafür erhalten haben – ein robusteres Setup, klare Zuständigkeiten und eine Abkürzung für professionelle Einkäufer – ist es das allemal wert.
Fazit
Es freut uns, das CyberSeal-Audit erfolgreich bestanden zu haben. Wir sind nun auch offiziell gut. 😉 Und viel wichtiger: Wir mussten uns dabei nicht verbiegen und können uns auch weiterhin treu bleiben! Ob wir je einmal ein ISO 27001 benötigen, wird sich zeigen. Auszuschliessen ist es in aktueller Polit-Lage nicht, wünschenswert wohl auch nicht.
