Zertifizierung nach ISO 27001

Qualität steht für Dallmeier schon seit jeher an oberster Stelle. Nun hat sich das Unternehmen auch nach ISO 27001 zertifizieren lassen. Wir sprachen mit Armin Biersack, Chief Security Officer bei Dallmeier, über die Hintergründe.

Herr Biersack, warum hat Dallmeier beschlossen, sich als Unternehmen gemäß ISO 27001 zertifizieren zu lassen?
Cybersicherheit, Datenschutz, KRITIS, NIS2, sichere Lieferketten. Das sind alles Themen, die unsere Kunden und den Markt insgesamt bewegen. Wer seine Kunden vor diesem Hintergrund und den veränderten Bedingungen auch in Zukunft mit zuverlässigen Produkten und Prozessen bedienen möchte, braucht ein ISMS – also ein Informations-Sicherheits-Management-System – das in einer ISO 27001 Zertifizierung zertifiziert ist.

Was ist ein „Informationssicherheitsmanagementsystem“ und wozu dient es?
Ein Informationsmanagement-System (ISMS) umfasst ganz allgemein standardisierte Verfahren, Richtlinien und vorgegebene Maßnahmen, um sensible Daten, Informationen und Assets – oder ganz allgemein Unternehmenswerte – zu schützen und Risiken durch Datenverluste, Cyberangriffe und andere Bedrohungen zu minimieren. Und dieses ISMS ist es, was letztlich in einer 27001 Zertifizierung geprüft wird. Wir erarbeiten uns dabei eine systematische Herangehensweise, wie wir Informationen und Daten verwalten und vor unbefugtem Zugriff schützen. Wir legen klare Strukturen und Verantwortlichkeiten fest, um Risiken regelmäßig zu identifizieren, zu bewerten und zu minimieren. Unser ISMS ist somit keine einmalige Aufgabe, sondern wird als dauerhafter Prozess im Unternehmen integriert.

Ist Dallmeier – im Vergleich – früh oder spät dran mit der Zertifizierung?
Die ISO 27001 war bei uns schon lange vor der Zertifizierung auf dem Prüfstand und wir hatten beschlossen, die Normvorgaben und internen Prozesse so zu leben, als hätten wir ein zertifiziertes ISMS in Betrieb, um bei Bedarf gerüstet zu sein. 2023 wurde uns klar, dass die externen Anforderungen an ein zertifiziertes ISMS getrieben durch die KRITIS und NIS2 Themen an die Lieferketten steigen und in naher Zukunft thematisiert werden würden. Aus diesem Grund hat sich die Geschäftsleitung dann entschieden, den Weg der Zertifizierung zu gehen.

Wir sind mit unserer Zertifizierung also früh eingestiegen und einigen Mitbewerbern voraus. Langfristig ist die Zertifizierung ein „Muss“ für jeden Hersteller im sensiblen Bereich der Sicherheitstechnik.

Sie haben den Bereich der Kritischen Infrastrukturen (KRITIS) als wesentliches Zielkunden-Segment identifiziert. Inwiefern spielt die Zertifizierung hier eine Rolle?
Der KRITIS-Bereich umfasst durch die Neuordnung der gesetzlichen Rahmenbedingungen (KRITIS Dachgesetz und NIS-2 Richtlinie etc.) um die 30.000 Unternehmen allein in Deutschland. Deshalb müssen wir in unserer Branche auch die Sprache der KRITIS Betreiber sprechen. Das geht am besten, wenn wir die Vorgaben dazu selbst leben und verstehen. So schützen wir unser gesamtes Unternehmen und indirekt natürlich auch unsere Kunden. Unsere Entwicklungs- und Produktionsprozesse sind besser abgesichert und kontrolliert, und wir können unsere Kunden noch kompetenter beraten und das Wissen in deren Projekte einbringen.