10-1-2017 Gedruckt am 29-05-2017 aus www.monitor.co.at/index.cfm/storyid/17079

Interview - Andreas Hermann, BMD

ISO27001 bei BMD: "Der Denkprozess hat sich sehr gewandelt"

Seit Sommer 2016 ist die international tätige BMD Systemhaus GmbH nach ISO27001 zertifiziert. Das Softwareunternehmen mit Sitz in Steyr hat sich sehr gründlich darauf vorbereitet. Wir haben mit CIO Andreas Hermann darüber gesprochen, was dieser Prozess der BMD gebracht hat.

Rudolf Felser

Andreas Hermann, Leitung Technik bei BMD (Bild: Matthias Witzany)

 Der österreichische Softwareanbieter BMD Systemhaus GmbH ist mit seinen 27.000 Unternehmenskunden und 1.800 Kanzleien aus der IT-Landschaft der heimischen sowie internationalen KMU, Steuerberater und Wirtschaftsprüfer nicht wegzudenken. Mit seinen über 420 Mitarbeitern erwirtschaftete das Unternehmen mit Sitz in Steyr und Standorten in Deutschland, Tschechien, Ungarn, Slowakei und in der Schweiz im Geschäftsjahr 2015/16 einen Umsatz von 40,3 Mio. Euro. 
 
Einer dieser Mitarbeiter ist Andreas Hermann, CIO der BMD Systemhaus GmbH und seit über 15 Jahren im Unternehmen tätig. Mit ihm sprach monitor.at über die vergangenen Sommer erfolgte Informationssicherheits-Zertifizierung nach ISO27001. BMD ist dabei sehr gründlich vorgegangen: Insgesamt hat man sich drei Jahre bzw. 2.000 Mitarbeiterstunden darauf vorbereitet. 
 
Herr Hermann, weiterhin gibt es in Österreich nur etwas mehr als eine Handvoll Unternehmen, die nach ISO27001 zertifiziert sind. Warum hat sich BMD dafür entschieden? 
Der Hauptgrund war die Möglichkeit, sich damit vom Mitbewerb abzuheben. Außerdem ist es ein Statement dafür, dass wir uns um unsere IT-Abläufe und unsere IT-Infrastruktur kümmern. Es gibt heute sehr viele Cloudanbieter mit gutem Marketing, bei denen man aber nicht weiß, was dahinter steckt.  
 
Hat bei den Überlegungen auch die nahende Frist für die Umsetzung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) eine Rolle gespielt? Die ISO27001-Zertifizierung ist da ja eine ganz gute Grundlage. 
Ehrlich gesagt nein, weil das Projekt schon vorher begonnen hat. Wir haben uns relativ lange auf die Zertifizierung vorbereitet, da war die EU-DSGVO noch kein so großes Thema. Aber das passt jetzt natürlich gut. 
 
Inwieweit beschäftigen Sie sich derzeit mit der EU-DSGVO? 
Sie ist natürlich ein Thema für uns, wobei wir noch nicht konkret angesetzt haben. Wir sind mittendrin in der Planung, das ist ein Projekt für dieses Jahr – auch im Zuge unserer jährlichen Rezertifizierung für ISO27001. 
 
Wie unterscheidet sich der Aufwand von der ersten Zertifizierung und der Rezertifizierung? Ist weniger Vorbereitung notwendig? 
Für die erste Zertifizierung dauerte das Audit vier Tage, die Rezertifizierung dauert einen Tag weniger. Sie ist zeitlich aufwendiger, als wir uns das gedacht haben. Die Wahrheit ist: Es gibt keine wirkliche Vorbereitung, sondern es ist ein laufender Prozess. Wir haben die Erkenntnisse aus der Zertifizierung und der Vorbereitung in unsere täglichen Prozesse einfließen lassen. Dadurch ist für die Rezertifizierung kein Riesen-Aufwand nötig.  
 
Sie sind seit dem Sommer zertifiziert. Sehen Sie Auswirkungen auf das Geschäft? Honorieren die Kunden Ihre Mühe?   
Die Auswirkungen merken wir eher intern. Ich glaube nicht, dass wir mehr Kunden gewonnen hätten. Aber der Denkprozess im Unternehmen hat sich sehr gewandelt. Das Sicherheitsbewusstsein ist enorm gestiegen. Es dreht sich fast alles um den Menschen. Man kann technisch viel einschränken oder blocken. Aber was hilft das, wenn der Mensch vorm Monitor nicht darüber nachdenkt, was er tut? 
 
Sie sind also froh über die Zertifizierung und würden sie auch anderen Unternehmen empfehlen?
Ja, definitiv. Es gab schon vorher viele Punkte, die wir verändern wollten. Wenn es aber keinen konkreten Anlass gibt, schiebt man die Dinge oft vor sich her. Man muss zwar viele Ressourcen investieren, aber es zahlt sich aus.