Wie GObugfree ISO 27001 gemeistert hat – und was wir dabei gelernt haben
Für eine Vulnerability-Management-Plattform wie GObugfree ist Vertrauen das A und O. Kundendaten, Reports und interne Systeme müssen jederzeit geschützt sein, und zwar nachweisbar. Mit der ISO 27001-Zertifizierung haben wir uns einem internationalen Standard gestellt, der nicht nur Dokumentation, sondern gelebte Sicherheit verlangt. Was hinter diesem Prozess steckt, warum wir uns für SQS entschieden haben und was wir anderen Startups raten würden, darüber haben wir mit dem CISO von GObugfree Rolf Wagner gesprochen.
Sicherheit liegt in GObugfrees DNA – und ISO 27001 war der logische nächste Schritt, um das auch nach aussen sichtbar zu machen: Wir sind offiziell ISO 27001-zertifiziert – und das von der Schweizer Zertifizierungsstelle SQS. Bei der offiziellen Zertifikatsübergabe haben wir die Gelegenheit genutzt, Rolf ein paar Fragen zu stellen – und auch mit den SQS-Auditoren zu sprechen.
Warum ISO 27001?
Rolf, was war der Auslöser für diesen Schritt – und warum war die Zertifizierung für GObugfree als Plattform besonders wichtig?
Der Auslöser war der Wunsch, die bereits etablierte und gelebte Informationssicherheit der Plattform zu standardisieren und extern einfacher überprüfbar zu machen. GObugfree arbeitet täglich mit sensiblen Informationen wie Schwachstellenmeldungen, daher war ein international anerkanntes Sicherheitsmanagementsystem der logische nächste Schritt.
Die ISO 27001-Zertifizierung zeigt unseren Kunden und Partnern, dass Informationssicherheit strukturiert, nachweisbar und kontinuierlich verbessert wird. Sie schafft Vertrauen und unterstreicht, dass wir unsere eigenen hohen Standards nachweisbar einhalten.
Der Weg zur Zertifizierung
Wie ist GObugfree an das Projekt herangegangen, und wie lange hat es gedauert? Gab es Momente, die dir besonders in Erinnerung geblieben sind?
Wir haben 2023 begonnen, unser ISMS strukturiert aufzubauen und seither laufend verbessert – genau so, wie es für ein funktionierendes Managementsystem vorgesehen ist. Wir haben uns also Zeit gelassen und keine Hauruck-Übung durchgeführt. Besonders in Erinnerung ist mir der Moment Ende 2024, als wir im Managementteam beschlossen haben, den nächsten Schritt zu gehen und das ISMS offiziell zertifizieren zu lassen. Dieser Entscheid war für uns der symbolische Meilenstein, dem System die Krone aufzusetzen.
Welche Teams waren besonders involviert, und wie hat GObugfree es geschafft, den Aufwand mit dem Tagesgeschäft zu vereinen?
Ein ISMS betrifft das ganze Unternehmen, deshalb waren alle Teams eingebunden. Besonders wichtig war das Technology-Team, das unsere Plattform weiterentwickelt und betreibt – und somit viele technische Kontrollen direkt umsetzen konnte. Durch den schrittweisen Aufbau über längere Zeit war der Aufwand gut planbar und belastete den Alltag kaum. So konnten wir die Informationssicherheit konsequent weiterentwickeln, ohne den Betrieb zu bremsen.
Es ist schön zu sehen, dass GObugfree als Tech-Unternehmen nicht nur technologisch innovativ dabei ist, sondern auch die Prozesse, welche die Sicherheit tangieren, im Griff hat.
Die Zusammenarbeit mit SQS
Warum hat GObugfree sich für SQS entschieden und wie war die Zusammenarbeit mit dem Audit-Team?
Als Schweizer Plattform mit hohem Vertrauensanspruch war uns wichtig, ein in der Schweiz akkreditiertes und anerkanntes Zertifizierungsunternehmen zu wählen. Die SQS geniesst einen ausgezeichneten Ruf, weshalb sie unsere Wahl war. Die Zusammenarbeit mit dem Audit-Team war sehr angenehm und professionell. Besonders geschätzt haben wir die Balance zwischen einer gründlichen Prüfung und einem pragmatischen Verständnis für die Gegebenheiten eines kleineren Unternehmens.
Bei der offiziellen Zertifikatsübergabe in unserem Büro war auch das SQS-Audit-Team dabei. Wir haben die Gelegenheit genutzt, SQS Auditor Alex Maurer nach seinem Eindruck zu fragen: «Es ist schön zu sehen, dass GObugfree als Tech-Unternehmen nicht nur technologisch innovativ dabei ist, sondern auch die Prozesse, welche die Sicherheit tangieren, im Griff hat.»
Der Mehrwert für Kunden und Team
Was ändert sich für unsere Kunden durch die Zertifizierung konkret? Hat sich der Aufwand gelohnt?
Für unsere Kunden vereinfacht die Zertifizierung die Nachweise rund um Informationssicherheit deutlich. Sie müssen keine eigenen Audits oder umfangreichen Fragebögen mehr durchführen, sondern können sich auf das ISO-Zertifikat stützen und nur bei Bedarf vertiefte Abklärungen vornehmen. Da unser ISMS bereits etabliert war, hielt sich der zusätzliche Aufwand in Grenzen. Der Schritt zur Zertifizierung war damit die logische und lohnende Krönung unserer bisherigen Arbeit.
Sicherheit ist kein Zustand, sondern ein Prozess – und ISO 27001 hilft uns, diesen Prozess weiter zu systematisieren, zu standardisieren und damit für Kunden und Partner greifbar zu machen.
Tipps für andere Startups
Was würdest du anderen Unternehmen empfehlen, die über eine ISO 27001-Zertifizierung nachdenken?
Ein ISMS ist für jedes Unternehmen ein Gewinn. Der Ausbaustandard und eine allfällige Zertifizierung hängen jedoch von den internen und externen Anforderungen ab, die sich an das Unternehmen hinsichtlich Informationssicherheit stellen. Die Empfehlung ist so bald wie möglich mit einem ISMS anzufangen, dafür aber in kleinen Schritten und unter Einbezug aller wichtigen Teams und Stellen.
Mehr als ein Zertifikat
Die ISO 27001-Zertifizierung ist ein wichtiger Meilenstein – und Teil unseres Engagements für Sicherheit und Vertrauen. Mehr dazu auf unserer Trust-Seite