In einer Zeit, in der Digitalisierung in beinahe allen Branchen zur Normalität geworden ist, wird die Informationssicherheit für Unternehmen immer wichtiger. Im März dieses Jahres erreichte LANCOM Systems, führender europäischer Hersteller von Netzwerk- und Security-Lösungen, eine Zertifizierung nach ISO/IEC 27001:2022, der weltweiten Norm für Informationssicherheit. Wie ein Team aus Expert*innen der usd AG unter der Leitung von Andrea Rupprich LANCOM innerhalb von nur 10 Monaten zu diesem wichtigen Meilenstein begleitete, lesen Sie hier.
Die Zeit ist knapp – Harte Deadlines
Im Mai 2023 begann die Zusammenarbeit zwischen LANCOM und usd. Der Auftrag für das Expert*innen-Team der usd lautete: Unterstützt LANCOM beim Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und macht es fit für die Zertifizierung. Im Scope waren dabei die Bereiche Management, Entwicklung und Betrieb der LANCOM Management Cloud (LMC), sowie Service und Support für alle Produkte der LANCOM Systems GmbH an den Standorten Würselen und Karlsruhe. Das Projektende war dabei mit Quartal 1 2024 hart vorgegeben, denn da sollte das externe ISO 27001-Audit stattfinden. Mit Beginn der Zusammenarbeit blieben also noch 10 Monate bis zum Abschluss der Zertifizierung. Eine Herausforderung, auch für die erfahrenen ISMS-Expert*innen der usd. Aber machbar?
„Absolut. Dabei ist der Aufbau eines zertifizierungsreifen ISMS in der Regel ein jahrelanges Unterfangen mit einer Vielzahl von Stakeholdern, die intern mitziehen müssen. Es war uns also klar, dass unser Projekt ein ehrgeiziges ist. Gleichzeitig wussten wir aber auch, dass wir auf unsere Expertise im Team und unsere umfangreichen Erfahrungen aus ähnlichen Projekten bauen können. Und, ganz wichtig, auf LANCOM und den Mutterkonzern Rohde & Schwarz als engagierte Projektpartner.“
Andrea Rupprich, Managing Security Consultant, usd AG
Engagement ist der beste Antrieb
Nach erster Betrachtung war schnell klar, dass LANCOM insbesondere im Bereich der technischen IT-Sicherheitsmaßnahmen bereits ein gutes Fundament geschaffen hatte. Mit Hilfe einer systematischen Gap-Analyse konnte das Team der usd zügig einen detaillierten Projektplan ausarbeiten und strikt nachverfolgen.
„Kontinuierliches Engagement für höchste Informationssicherheitsstandards und der Schutz sensibler Daten ist für uns sehr wichtig. Während des ISMS-Projekts haben wir deshalb diverse neue Rollen mit freien Kapazitäten geschaffen. Gemeinsam mit der usd konnten wir außerdem die Aufgaben wichtiger Rollen schärfen und unsere Informationssicherheitsprozesse insgesamt auf einen höheren Reifegrad heben.“
Ulrich Halka, COO LANCOM
Die Fortschritte berichtete das Team in einem monatlichen Reporting ans Management von LANCOM. Durch die intensive Kommunikation und das hohe Engagement aller Beteiligten konnten so auch potenzielle Projektrisiken schnell identifiziert und adressiert werden.
„Unsere Erfahrung zeigt, dass wir in der Informationssicherheit immer mit dynamischen Umgebungen und unerwarteten Entwicklungen rechnen müssen. Daher hatten wir für alle geplanten Teilschritte in unserem Projekt einen Plan B in petto, um flexibel auf unvorhergesehene Ereignisse reagieren zu können. So konnten wir alle geplanten Projektschritte erfolgreich und fristgerecht umsetzen.“
Andrea Rupprich, Managing Security Consultant, usd AG
Unterstützung durch den Mutterkonzern
Ein wichtiger Pluspunkt: Das Projektteam konnte insbesondere in den Bereichen Richtlinien, Asset Management, Risiko Management und der Maßnahmenverfolgung bereits auf solide Grundlagen des Mutterkonzerns Rohde & Schwarz (R&S) aufsetzen. Prozesse und Richtlinien passte das Team der usd an die Begebenheiten bei LANCOM an und konnte dabei bei Fragen und Abstimmungsbedarf stets auf Ansprechpartner von R&S zurückgreifen.
„Ist ein Unternehmen Teil einer Gruppe, ist es wichtig, zu prüfen, ob dort schon ISMS-Grundlagen bestehen. Auch wenn jedes Unternehmen individuelle Anpassungen braucht, damit die Richtlinien und Prozesse dort praktikabel sind. Durch die Mitarbeit in Workshops aller Beteiligten konnten wir Projektergebnisse effizient erarbeiten.“
Oliver Schmidt-Voss, Senior Security Consultant, usd AG
R&S führte zur Vorbereitung auf die eigentliche Zertifizierung auch das interne ISO 27001-Audit bei LANCOM durch. Auf Basis der gewonnenen Erkenntnisse konnte das Projektteam insbesondere die Bereiche Prozessdokumentation und Business Continuity Management noch einmal deutlich verbessern.
Über die Ziellinie
Nach 10 Monaten intensiver Arbeit und einem erfolgreichen internen Audit war es so weit: Das externe ISO 27001-Audit konnte pünktlich und wie geplant durch den TÜV Rheinland durchgeführt werden. Die Belohnung für die harte Arbeit: Das ISO 27001-Zertifikat.
„Das haben wir gemeinsam gemeistert. Eine absolute Teamleistung zwischen der usd und uns. Wir freuen uns über den geglückten Abschluss und bedanken uns für die großartige Zusammenarbeit. Ein toller Erfolg für alle Projektbeteiligten und ein wahrer Meilenstein für LANCOM auf dem Weg zu mehr Sicherheit.“
Heiko Herrberger, Abteilungsleitung Quality Management, LANCOM Systems
„Noch einmal vielen Dank von meiner Seite, ich bin sehr zufrieden mit der Wahl der usd AG und fand insbesondere die Kommunikation untereinander sehr angenehm! Ich freue mich jetzt auf die zukünftige Zusammenarbeit bei der kontinuierlichen Verbesserung unseres ISMS.“
Felix Wallaschek, ISMS Manager LANCOM Systems
Über LANCOM Systems
LANCOM Systems ist führender europäischer Hersteller von sicheren, zuverlässigen und zukunftsfähigen Netzwerk- und Security-Lösungen (WAN, LAN, WLAN, Firewalls sowie Remote & Mobile Access) für Wirtschaft und Verwaltung. Das Unternehmen kombiniert Hardware-Geschäft mit virtuellen Netzwerkkomponenten und Cloud-basierendem Software-defined Networking (SDN). Daraus entsteht ein einzigartiges Angebot aus On-Premises- und Cloud-Lösungen mit einer zentralen Plattform für SD-WAN, Cloud-managed Networks & Security und SD-Branch. LANCOM ist 100%ige Tochter des deutschen Technologiekonzerns Rohde & Schwarz GmbH & Co. KG mit Sitz in München.
