Das Informationssicherheits-Managementsystem nach ISO 27001, das Borussia Mönchengladbach durch TÜV Rheinland zertifizieren ließ, unterstützt den Klub in verschiedener Hinsicht: Das Managementsystem hilft bei der Erfüllung der Datenschutzgrundverordnung und es legt die Basis, um Informationssicherheit auch zukünftig professionell managen zu können.
Damit im Rahmen der Datenschutzgrundverordnung (DSGVO) ein sicherer Umgang mit personenbezogenen Daten erfolgen kann, sind Unternehmen gefordert, verschiedene Kriterien zu erfüllen. So gilt es für Aktivitäten, bei denen personenbezogene Daten verarbeitet werden, Prozesse und Verantwortlichkeiten zu definieren und zu dokumentieren. Sowohl das Definieren von Abläufen und die damit verbundenen Verantwortlichkeiten als auch die Dokumentationspflicht sind typische Anforderungen an ein Managementsystem.
Lesen Sie auch die anderen Teile dieser Serie
Teil 1: Einführung der ISO 27001 bei Borussia Mönchengladbach
Teil 2: ISO 27001 – Audit und Zertifizierung bei Borussia Mönchengladbach
Teil 3: Vorteile der ISO 27001 für Borussia Mönchengladbach
Zügige Umsetzung der DSGVO-Anforderungen
Unternehmen, die bereits ein Managementsystem einsetzen, haben es demnach einfacher, eine Grundlage für die Erfüllung der DSGVO zu schaffen. Darüber hinaus existieren auch inhaltliche Parallelen zwischen der ISO 27001 und den Anforderungen der DSGVO. Ein Anforderungskriterium der ISO 27001 ist beispielsweise eine Risikoklassifizierung. Im Rahmen der Einführung der ISO 27001 gilt es, Prozesse und Daten hinsichtlich ihres Risikopotenzials zu bewerten und verschiedenen Risikoklassen zuzuordnen. Die DSGVO fordert ein ähnliches Vorgehen, wobei Unternehmen hier sämtliche Prozesse betrachten sollen, bei denen personenbezogene Daten verarbeitet werden. Bei Borussia Mönchengladbach zählen zu den personenbezogenen Daten in erster Linie Mitarbeiter-, Spieler- und Kundendaten. Mit der Einführung der ISO 27001 verfügte der Klub bereits über eine Risikoklassifizierung. Diese deckte auch größtenteils die DSGVO-Anforderungen ab. „Wir konnten bereits im Vorfeld circa 60 Prozent der DSGVO-Kriterien erfüllen. Aus diesem Grund benötigten wir statt zwei Jahre nur ein Jahr, um uns auf die DSGVO einzustellen“, erklärt Frank Fleissgarten, IT-Leiter bei Borussia Mönchengladbach. Das bereits etablierte Plan-Do-Check-Act Prinzip, welches durch die ISO 27001-Einführung bei den IT-Mitarbeitern bereits verinnerlicht war, half außerdem dabei, die neuen Anforderungen umsetzen zu können. „Die Methode schafft die Basis für ein systematisches Abarbeiten von Aufgaben. Sie unterstützt uns dabei, ein Managementsystem zu leben und kontinuierlich zu verbessern. Dabei spielt es keine Rolle, ob es sich um ein Daten- oder Informationssicherheits-Managementsystem handelt“, so Fleissgarten.
Sichere Grundlage bei Veränderungsprozessen
Neben einer guten Grundlage für das Erfüllen der DSGVO-Anforderungen ist das Informationssicherheits-Managementsystem nach ISO 27001 auch eine wichtige Basiskomponente bei Wachstum und Veränderungen. Für Zukunftsprojekte des Fußballvereins ist enorm wichtig, ein Informationssicherheits-Managementsystem im Einsatz zu haben, mit dem sich Informationssicherheit professionell managen lässt und welches mit den geplanten Veränderungen mithalten kann. Beispielsweise sollen Besucher zukünftig flächendeckend elektronischen Zugriff erhalten und die Möglichkeit bekommen, schnell und einfach auf alle angebotenen Services zugreifen zu können. „Viele Kunden erwarten einfach, dass sie vom Hotel und Parkplatz aus oder vor dem Stadion ihre Tickets via Smartphone erwerben können und mit dem Online-Ticket direkt ins Stadion gehen können“, erläutert Fleissgarten. „oder sie möchten, dass Fanartikel direkt ins Hotel geliefert werden oder dass ein Museums- oder Stadionbesuch schnell via App gebucht werden kann“, erläutert Fleissgarten weiter. Für diese neuen Serviceangebote ist ein zentrales System erforderlich, das auch entsprechend gesichert sein muss. Mit steigender Anzahl an Services wird auch mehr Informationstechnik benötigt. „Je einfacher die Serviceerbringung für die Kunden nach außen erscheint, desto anspruchsvoller ist die Informationstechnik, die dafür benötigt wird“, erklärt Frank Fleissgarten. Mit dem Informationssicherheits-Managementsystem hat Borussia Mönchengladbach bereits solide Grundlagen geschaffen, die es einfacher gestalten, die dafür notwendigen Prozesse zu integrieren und diese sicherer zu machen.
Durch die neuen Serviceangebote und die damit verbundenen IT-Anforderungen verändert sich die IT-Landschaft kontinuierlich. Angesichts dieser ständigen Veränderungsprozesse unterstützt das Informationssicherheits-Managementsystem nach ISO 27001 Borussia Mönchengladbach dabei, die Informationssicherheit gezielt und professionell zu managen.
Das Informationssicherheits-Managementsystem nach ISO 27001 umfasst folgende Bereiche
Die Daten- und Gebäudesicherheit einschließlich der Geschäftsprozesse der Verwaltung: Betrieb des eigenen Rechenzentrums, die lokale IT-Infrastruktur, Ausbau und Instandhaltung der Serverlandschaft sowie alle Netzwerke, Zutritts-, Telekommunikations-, Storage- und Backupsysteme, Enterprise-Resource-Planning-System (ERP), Online-Ticketingsystem und Web-Shop.
Antje Golbach, Pressesprecherin Managementsysteme, TÜV Rheinland