ISO 9001 und 27001 als Qualitätsstandard – Ein Blick auf techbolds Überwachungsaudit

Danke! In diesem Jahr haben wir ein Überwachungsaudit gehabt, das heißt, es wird überprüft, ob wir die Zertifizierung halten dürfen.

Ein Unterschied zum Vorjahr ist gewesen, dass wir auf einem besseren Niveau abgeschnitten haben. Das liegt an den zahlreichen Maßnahmen, die wir seit dem letzten Audit umgesetzt haben.

Das Feedback war sehr positiv – die Auditoren haben gesehen, dass wir die offenen Punkte angegangen sind und Lücken schließen. Dadurch, dass der Standard so hoch ist, gibt es immer Themen, die noch verbessert werden können. Aber das ist gut so, denn wir wollen einen herausragenden Standard für unsere Kunden bieten und uns stetig verbessern. Dafür sind wir auf einem sehr guten Weg.

Ja, es ist als IT-Dienstleister schwierig, bei so einem Informationssicherheitsaudit wie der ISO 27001 die Grenze zwischen Kunden und uns zu ziehen. Denn ISO-27001-Zertifizierung zielt normalerweise auf die interne IT des Unternehmens und alles, was mit Informationssicherheit zu tun hat, ab. Dadurch, dass wir auch Leistungen zum Kunden bringen, ist das oft schwierig zu differenzieren.

Manche dieser Themen erfordern zusätzliche Diskussionen, um eine klare Abgrenzung zu schaffen. Ein Beispiel dafür ist die Lieferantensicherheit. Dabei muss unterschieden werden zwischen Handelslieferanten, bei denen im Fall eines Vorfalls nicht techbold, sondern der jeweilige Kunde betroffen ist, und jenen Lieferanten, die wir selbst für unsere internen Produkte und Services einsetzen. Unabhängig davon sind wir verpflichtet, alle Lieferanten darauf zu prüfen, ob und in welchem Ausmaß sie für uns relevant sind.

Das führt dazu, dass wir knapp 450 Lieferanten bewerten mussten. Es war eine Herausforderung, diese Bewertung umzusetzen und so effizient wie möglich zu gestalten. Für die Umsetzung haben wir uns der Methodik des KSV 1870 Cyber Ratings bedient. Und mit dem haben wir einen Weg gefunden, der für uns gut umsetzbar war.

Wir haben im letzten Jahr zum Thema ISO 27001 mehr konkrete Anfragen unserer Kunden bekommen als in der gesamten techbold Geschichte zuvor zusammen. Wir haben Kundenanfragen, die speziell darauf abzielen, ob wir die Zertifizierung haben, denn das ist für unsere Kunden einfacher und essenziell, vor allem wenn sie Vorgaben hinsichtlich Informationssicherheit erfüllen müssen.

Im Vergleich zum Vorjahr lässt sich zur Zertifizierung auch sagen, dass es damals als Wettbewerbsvorteil gelten konnte. Unser Qualitätsniveau war durch die Zertifizierung sehr hoch und der Durchschnitts-IT-Experte hat sich nicht zwangsläufig zertifizieren lassen. Dementsprechend haben wir dort ein hohes Niveau vorgegeben.

Dieses Jahr ist es so, dass es für die größeren IT-Dienstleister unabdinglich ist, zertifiziert zu sein. Es ist mittlerweile in der IT-Branche eine Notwendigkeit geworden, zertifiziert zu sein, wenn man wettbewerbsfähig sein und seinen Kunden die bestmögliche Betreuung bieten möchte.

techbolds Wachstum der letzten Jahre bedeutet auch, dass unsere Kunden einen derartigen Standard erwarten und wir diesen erfüllen möchten. Als kleineres IT-Unternehmen hat man eine andere Art Kunden, die diese Zertifizierung möglicherweise nicht erfordern. Für uns ist es Tagesgeschäft und unausweichlich, weil es für unsere Kunden ein wichtiges Qualitätskriterium ist.

Wir kontrollieren das laufend durch interne Audits. Wir haben voriges Jahr fast 100 interne Audits gemacht, wo wir verschiedenste Themen intern überprüft haben.

Das ist zwar meist nur eine Art Stichprobenkontrolle, jedoch erzeugt man durch regelmäßige interne Audits eine Kultur. Unsere Mitarbeitenden achten genauer auf ihre Arbeit, halten Prozesse und Leitlinien ein, weil sie überprüft werden könnten, aber auch, weil sie den Standard bei techbold hochhalten wollen. Der hohe Qualitätsstandard ist tief in unserer techbold Kultur verankert.

Im Wesentlichen führe ich diese Audits allein durch. Jedoch haben wir eine externe Unterstützung beim Thema ISO 27001 und 9001 gehabt, weil wir gewisse Themen intern aufgrund von Befangenheit schwieriger auditieren können. Da braucht man einen unabhängigen Partner. Dieser überprüft zum Beispiel alles, was in Richtung Geschäftsführung geht.

Wir wollen erreichen, dass wir uns wieder verbessern und, dass wir das durch positive Rückmeldung der Auditoren bestätigt bekommen. Außerdem möchten wir mit möglichst wenig verlorenen Nerven aus dem Audit rausgehen (lacht).

Die Erwartungen sind im Prinzip an unsere Mitarbeitenden gerichtet, dass wir es schaffen, sie auf diesem Weg mitzunehmen. Es ist das eine, einen Prozess oder eine Richtlinie zu erstellen und diese online zu stellen. Das andere ist, dass die Leute das auch mit Leben und bereit sein müssen, die Prozesse mitzutragen. Und das versuchen wir durch eine möglichst umfangreiche Involvierung der Mitarbeitenden zu erreichen.

Ja, es gibt aus meiner Sicht einen Wildwuchs an EU-Regulatoren, die uns irgendwie alle betreffen. Das ist begonnen von DORA, über NIS-2, zum EU Data Act und dem Cyber Resilience Act. Im Endeffekt wollen alle Regulatoren ähnliches und trotzdem sind sie unterschiedlich. Und wenn wir nicht direkt betroffen sind durch diese Regulatoren, sind wir es zum Teil indirekt, weil unsere Kunden uns an Vorgaben binden.

Und das stellt natürlich Unternehmen in unserer Größenordnung vor Herausforderungen, denn es erzeugt einen administrativen Aufwand, der getragen werden muss.

Mehr Informationen zu unserer NIS-2 Beratung und den österreichischen Anforderungen

Das Wichtigste ist, dass das Thema Prozesse und Leitlinien sowie Qualitätsmanagement ein permanentes Doing sind. Es geht nicht darum, kurz vor einem Audit irgendwas zu machen, denn wir arbeiten das ganze Jahr über laufend an unseren Themen und der stetigen Verbesserung.

Außerdem ist es wichtig, dass die Geschäftsführung und die Führungskräfte alles rund um das Qualitätsmanagement und die Audit-Themen mittragen und bereit sind, damit zu arbeiten. Und das funktioniert bei uns sehr gut.