Datenschutz? Aber sicher!

ISO 27001-Zertifizierung bestätigt FAIRTIQs dauerhaftes Engagement für Informationssicherheit.

Datenschutz und Datensicherheit haben bei FAIRTIQ oberste Priorität. Dass wir dabei den aktuellen Anforderungen entsprechen, wurde uns nun ganz offiziell bestätigt: Seit dem 08.12.2023 ist FAIRTIQ nach der international anerkannten ISO 27001:2013 zertifiziert. Im Interview erläutert Manuel Jeckelmann, CISO (Chief Information Security Officer) und Head of Security bei FAIRTIQ, was die Zertifizierung für FAIRTIQ bedeutet, wie der Prozess ablief, und wie es in punkto Daten- und Informationssicherheit künftig weitergeht.

FAIRTIQ: Zum Einstieg ganz grundsätzlich gefragt: Was ist die ISO 27001 eigentlich und für wen ist sie relevant?
Manuel Jeckelmann: Die ISO 27001 definiert die Anforderungen an die Einrichtung und den Betrieb eines dokumentierten Informationssicherheitsmanagementsystems (ISMS) und ist ein international anerkannter Standard. Laut ISO-Survey gab es im Jahr 2019 weltweit insgesamt 36.362 gültige Zertifikate. Neben der IT-Branche sind es vor allem Unternehmen im Dienstleistungsbereich sowie im Bereich Verkehr und Kommunikation, die sich zertifizieren lassen.

FAIRTIQ: Warum hat FAIRTIQ sich dazu entschlossen, eine ISO 27001-Zertifizierung anzustreben?
Manuel Jeckelmann: Daten und Informationen stehen im Zentrum unseres Geschäfts. Unsere Partner vertrauen darauf, dass unsere Managementsysteme für die Daten- und Informationssicherheit aktuell und effektiv sind. Ein solches Vertrauen erteilt niemand blind, sondern es wird – zu Recht – ein nachvollziehbarer Nachweis erwartet. Die ISO 27001 Zertifizierung erbringt diesen Nachweis. Für die Zertifizierung wurde unsere Informationssicherheitsstruktur auf Herz und Nieren geprüft. Grundlage war ein umfassendes Audit, das nur von offiziell akkreditierten Stellen vorgenommen werden darf. Die Zertifizierung von FAIRTIQ erfolgte durch den TÜV Rheinland.

FAIRTIQ: Wie lange dauerte der Zertifizierungsprozess und wie lief er ab?
Manuel Jeckelmann: Im Zuge des Audits wurden nicht nur technische Komponenten überprüft, sondern auch die Richtlinien innerhalb des Unternehmens und die Menschen, die mit der Umsetzung betraut sind. In einem mehrstufigen Prozess bewerteten die externen Auditor:innen zunächst das vorhandene ISMS. In einigen Fällen machten sie Vorschläge zur Verbesserung, die im Zuge des Prozesses umgesetzt wurden. Bei FAIRTIQ hat der Zertifizierungsprozess insgesamt ein Jahr gedauert. Dabei haben wir mehrere unterschiedlich intensive Phasen durchlaufen und eine Menge im Prozess gelernt. Viele wichtige Abläufe und Aktivitäten waren bei FAIRTIQ bereits vorhanden. Darauf konnten wir aufbauen und unser ISMS weiter optimieren.

FAIRTIQ: Was genau wurde im Rahmen des Audits geprüft?
Manuel Jeckelmann: Grundsätzlich werden beim Audit drei Kriterien für die Prüfung des ISMS angelegt: Erstens: Die Vertraulichkeit der Daten muss gesichert sein. Das bedeutet, dass nur berechtigte Personen Zugriff haben. Das zweite Kriterium lautet Informationsintegrität. Darunter ist zu verstehen, dass die Daten sicher und zuverlässig gespeichert werden und nicht aus Versehen verändert, beschädigt oder gelöscht werden können. Drittes und letztes Kriterium ist die Verfügbarkeit, also die Möglichkeit, dass wir und unsere Kund:innen stets verlässlich auf benötigte Daten zugreifen können und es keine Ausfälle beispielsweise durch Serverprobleme, Hackerangriffe oder fehlerhafte Backups gibt.

FAIRTIQ: Macht die ISO 27001-Zertifizierung FAIRTIQ jetzt sicherer?
Manuel Jeckelmann: Selbstverständlich war bei FAIRTIQ bereits vor der Anwendung der ISO 27001 ein solides Risikomanagement vorhanden. Im Zuge der Zertifizierung lag unser Fokus darauf, unser vorhandenes Risikomanagement mit der ISO in Einklang zu bringen und weiter zu verbessern. Auf diese Weise ist es uns gelungen, unsere Prozesse einheitlicher, strukturierter und evidenzbasierter zu gestalten.

FAIRTIQ: Was bedeutet die Zertifizierung von FAIRTIQ für unsere Partner und Kunden?
Manuel Jeckelmann: Dank der Zertifizierung können unsere Partner sicher sein, dass wir über ein schlüssiges und funktionierendes System verfügen, bei dem Technik, Prozess und Mitarbeitende optimal zusammenarbeiten, um Risiken für die Datensicherheit zu minimieren. Damit schützen wir effektiv Daten und Informationen, die nicht zu Unrecht häufig als das „Gold des digitalen Zeitalters“ bezeichnet werden.

FAIRTIQ: Jetzt, da FAIRTIQ ISO-zertifiziert ist, kann das Thema „Sicherheit" abgehakt werden, oder? 😉 Aber mal ganz im Ernst: Welche Pläne gibt es für die Zukunft?
Manuel Jeckelmann: In der Datenbranche heißt es „Compliance ist nicht gleich Security". Will sagen: Die Zertifizierung ist ein wichtiger Meilenstein auf dem Weg zu optimierten Sicherheitsprozessen, aber noch lange kein Grund, das Thema Sicherheit für erledigt zu erklären. Wir sind uns bewusst, dass wir unsere Sicherheitsmechanismen immer weiterentwickeln und verbessern müssen. Nur so können wir unter Sicherheitsaspekten mit der Entwicklung von FAIRTIQ als Unternehmen sowie mit Innovationen bei Produkten und Anwendungen Schritt halten. Gleichzeitig erfüllen wir die Erwartungen unserer Kund:innen und Partner. Die kontinuierliche Optimierung und Weiterentwicklung ist auch im Sinne der ISO 27001, deren Standards aktuell ebenfalls fortgeschrieben werden. Unsere jetzige Zertifizierung gilt bis Ende 2026. Der begleitende Regelprozess mit weiteren turnusmäßigen Audits hilft uns dabei, unser Engagement für Informationssicherheit nach außen hin sichtbar beizubehalten.

FAIRTIQ: Worauf bist du besonders stolz, wenn du auf den Prozess zur Zertifizierung zurückblickst?
Manuel Jeckelmann: Die Zertifizierung war eine echte Team-Leistung, die von allen FAIRTIQ Mitarbeitenden gemeinsam erbracht wurde. Auch im Arbeitsalltag sind Datenschutz und Datensicherheit Gemeinschaftsaufgaben, die nicht allein vom Security-Team wahrgenommen werden, sondern alle angehen. Stolz bin ich auch darauf, dass wir es geschafft haben, die Motivation über den gesamten Zertifizierungszeitraum aufrecht zu erhalten. Denn ganz ehrlich: Im Zuge eines Audits gibt es auch so einige „Pflichtübungen“, die nicht nur Enthusiasmus hervorrufen, wie zum Beispiel das Durchlesen neuer Policy-Dokumente. Zudem ist es uns gelungen, das Material für den Audit schlank und relevant zu halten. So haben wir konkrete Resultate produziert – und keine neuen Papierberge.