Valve World Expo, Düsseldorf
Internationale Fachmesse mit Kongress für Industrie-Armaturen
3. bis 5. Dezember
www.valveworldexpo.de
Bild: Pixabay
In unserer digitalisierten Welt wird Informationssicherheit zu einem entscheidenden Wettbewerbsfaktor. Unternehmen sehen sich vermehrt mit Anforderungen konfrontiert, ihre Prozesse und Systeme nach anerkannten Normen zertifizieren zu lassen.
Eine der prominentesten Normen im Bereich der Informationssicherheit ist die ISO 27001, die die Implementierung eines Informationssicherheits-Managementsystems (ISMS) verlangt. Ein Zertifikat ist der erfolgreiche Nachweis, alles optimal umgesetzt zu haben.
Doch nicht jedes ISO-Zertifikat ist das, was es zu sein scheint. Bei unserem eigenen Zertifizierungs-Audit stiessen wir auf ein Zertifikat, das auf den ersten Blick überzeugend aussah: «ISO 27001 zertifiziert durch Firma XY.» Doch bei genauerer Betrachtung handelte es sich um ein fragwürdiges Angebot, das nicht den strengen Anforderungen einer ISO-Zertifizierung entsprach. Warum ist also ein Zertifikat nicht gleich ein Zertifikat? Und welche Risiken bergen diese vermeintlich günstigen Angebote?
Lockvogel-Angebote – Wenn der Preis zu gut klingt, um wahr zu sein
Viele Unternehmen, insbesondere solche mit begrenztem Budget, werden von verlockenden Zertifizierungsangeboten angezogen, die mit schnellen und günstigen Lösungen werben. Diese Angebote folgen oft einem Muster:
Und all das zu einem unschlagbar günstigen Pauschalpreis. Ein derartiges Lockvogel-Angebot erscheint auf den ersten Blick verführerisch, insbesondere für Unternehmen, die unter starkem Zeit- und Kostendruck stehen. Doch was auf den ersten Blick wie ein attraktives Angebot aussieht, birgt erhebliche Risiken.
Unsere Erfahrungen – Lieferanten-Audits und deren Risiken
Im Rahmen unserer eigenen Audits, besonders bei Lieferantenaudits im Auftrag unserer Kunden, stossen wir immer wieder auf derartige vermeintliche Zertifikate. Diese sind zwar auf den ersten Blick formal korrekt, entpuppen sich jedoch bei genauerer Betrachtung als unzureichend oder gar wirkungslos.
Die Risiken sind dabei vielfältig:
Ein vermeintliches Zertifikat mag kurzfristig als Lösung erscheinen, doch langfristig entstehen erhebliche Risiken – sowohl für die Sicherheit des Unternehmens als auch für dessen Reputation.
Unsere Erfahrungen – Scheinbare Erfüllung der Normanforderungen
In der Praxis zeigt sich zudem, dass bei solchen vermeintlichen Zertifizierungen oft nur das implementiert wird, was ohnehin schon gut funktioniert.
Die weniger gut organisierten Bereiche oder Prozesse bleiben unangetastet. Dies führt zu erheblichen Problemen:
Die fehlende externe Kontrolle und der mangelnde Druck führen dazu, dass das ISMS nicht den gewünschten Nutzen bringt und das Unternehmen anfällig für Sicherheitsrisiken machen kann.
Warum ein (teures) Zertifizierungs-Audit?
Viele Unternehmen fragen sich, warum sie ein teures Zertifizierungs-Audit bei einer akkreditierten Stelle durchführen sollten, wenn es doch vermeintlich günstigere Alternativen gibt. Die Antwort ist einfach: Nur ein echtes Zertifikat bietet die nötige Sicherheit und Glaubwürdigkeit.
Ein akkreditiertes Zertifizierungsverfahren folgt einer strengen, transparenten Struktur:
Fazit: Vorsicht bei günstigen Pauschal-Angeboten
Am Ende des Tages gilt: Sei vorsichtig bei günstigen Pauschal-Angeboten, die eine schnelle und einfache Lösung versprechen. Ein ISMS ist mit Aufwand verbunden und wird nicht «geschenkt». Eine akkreditierte Stelle bringt das notwendige Know-how und die Unabhängigkeit mit, um ein fundiertes, wertvolles Zertifikat auszustellen. Ein offizielles Zertifikat ist nicht nur ein Nachweis für die Erfüllung von Normen, sondern auch ein Leistungsnachweis für das gesamte Unternehmen.
Für Unternehmen ist es entscheidend, ihre Lieferanten sorgfältig zu prüfen und nur offizielle Zertifikate zu akzeptieren, die von akkreditierten Stellen ausgestellt wurden. Denn letztlich ist ein Zertifikat nicht gleich ein Zertifikat – es ist die Qualität und Glaubwürdigkeit, die den Unterschied macht.
ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch
Internationale Fachmesse mit Kongress für Industrie-Armaturen
3. bis 5. Dezember
www.valveworldexpo.de
Branchentreffpunkt für die Logistikindustrie
22. und 23. Januar
www.logistics-automation.ch
Branchentreffpunkt der Schweizer Verpackungsindustrie
22. und 23. Januar
www.empack-schweiz.ch
Marktplatz für Design, Entwicklung, und Beschaffung von Kunststoffprodukten
25. und 26. Februar
www.kpa-messe.de
Internationale Fachmesse und Kongress für gedruckte Elektronik
25. bis 27. Februar
www.lopec.com