Um die Ausfallsicherheit seiner IT-Infrastruktur einschließlich Online Ticket- und Shop-Seiten zu verbessern, hat der Fußball-Club Borussia Mönchengladbach ein Informationssicherheitsmanagementsystem (ISMS) implementiert. Es umfasst Gebäude- und Datensicherheit inklusive aller Geschäftsprozesse der Verwaltung.
Foto: Christian Verheyen/ Borussia Mönchengaldbach
Da das System alle kritischen Prozesse in den jeweiligen Geschäftsbereichen verwaltet, entschied sich der Verein dafür, das ISMS nach ISO 27001 aufzubauen und durch den TÜV Rheinland zertifizieren zu lassen. Die Norm ISO 27001 legt die Basis dafür, dass es Sicherheitskonzepte für Virenschutz, Backup oder Recovery-Programme gibt, um mögliche Angriffe zu vereiteln oder im Ernstfall den Betrieb schnell wiederherzustellen.
Informationssicherheit als wichtiger Faktor für reibungslose Geschäftsprozesse
Bei den verschiedensten Abläufen wie dem Online-Ticketverkauf, der Logenverwaltung, der Erhebung von Spielerdaten und der Erstellung von Verträgen werden Daten generiert, verarbeitet und aufbewahrt. Sämtliche Geschäftsprozesse des Clubs laufen IT-gestützt. Störungen oder Ausfälle können daher beträchtliche Folgen für Kunden und das Unternehmen haben.
Vor einem Champions-League-Spiel gehen beispielsweise in kurzer Zeit bis zu fünf Millionen Ticket-Anfragen ein. Diese Masse müssen die Systeme ausfallsicher bewältigen und verarbeiten können. Bei einem Serverdefekt oder Virenbefall könnten Kunden keine Bestellung auslösen, finanzielle Einbußen wären die Folge.
IT-Sicherheit spielt deshalb auch bei Kunden-, Partner- und Sponsorenservices eine wichtige Rolle. Schalten Sponsoren Werbung auf den Club-Webseiten, müssen diese hundertprozentig verfügbar sein, um die Verträge erfüllen zu können. Die Sicherheit des Webservers und generell des Rechenzentrums sind hier gefragt.
Durch die ISO 27001-Anforderungen wurde das IT-Team auf einige Schwachstellen aufmerksam und besserte sie aus. Beispielsweise sorgte die IT bei Stromleitungen und im Rechenzentrum für Redundanzen um bei Engpässen oder Vorfällen den Betrieb aufrechtzuerhalten. Damit einhergehend entwickelte Borussia Mönchengladbach auch ein Notstrom- und Backupkonzept.
Schrittweiser Aufbau des ISMS
Die Club-Verantwortlichen hatten bereits im Vorfeld Risikomanagementprozesse und ein umfassendes Datenschutzkonzept für dem Umgang mit personenbezogenen Daten und auch deren Verarbeitung durch externe Dienstleister eingerichtet. Das ISMS konnte darauf aufsetzen.
Das IT-Team nahm sämtliche IT-Prozesse in Augenschein und sorgte für eine eindeutige Definition der Verantwortlichkeiten und Ansprechpartner. Zudem wurden Lücken in der Dokumentation geschlossen. Darin sind alle Abläufe und Schnittstellen beschrieben, so dass im Notfall jeder Mitarbeiter in jeder Situation alle notwendigen Schritte ausführen kann, auch wenn der eigentlich Verantwortliche nicht anwesend ist.
Während das IT-Team die Maßnahmenpläne ausarbeitete, analysierte und bewertete es alle potentiellen Sicherheitsrisiken wie zum Beispiel Datendiebstahl, Stromausfall, Hackerangriffe und die Sicherheit des Rechenzentrums. Allen voran standen dabei die Kundendaten im Fokus. Zudem sind auch alle internen Daten wie jene der Mitarbeiter und Spieler vertraulich zu handhaben.
Es galt zu bewerten, wie wahrscheinlich an diesen Stellen Sicherheitsvorfälle auftreten können und inwiefern die Daten mit angemessenen Maßnahmen geschützt sind. Dafür arbeitete die IT-Mannschaft Maßnahmenpläne für Notfälle wie Serverausfälle und Zutrittsprobleme aus.
Mitarbeiter einbinden und schulen
Auch die Sensibilisierung der Mitarbeiter spielte bei der Einführung der ISO 27001 und der anschließenden Zertifizierung eine große Rolle. In die tägliche Arbeit der Mitarbeiter sind feste Sicherheitsmechanismen integriert. Dazu zählen zum Beispiel die Multi-Faktor-Authentifizierung für VPN-Verbindungen, die Entsorgung von Alt-Daten sowie die Gebäude- und Arbeitsplatzsicherheit.
Einmal jährlich werden die Mitarbeiter zudem zu den Themen Arbeitsplatzsicherheit, Entsorgung und Aufbewahrungs- sowie Löschfristen geschult. So sind sie beispielsweise beim Verlassen ihres Arbeitsplatzes angehalten, ihren Bildschirm zu sperren und es wurden Schredder eingeführt mit einer genauen Beschreibung, für welche Art von Dokumenten diese dienen. Zudem nutzt der Club nun Entsorgungstonnen für CDs, Festplatten und USB Sticks, die regelmäßig durch einen zertifizierten Entsorgungsfachbetrieb abgeholt und vernichtet werden.
Die IT-Leitung ließ sich zum Lead Auditor ausbilden, um ein besseres Verständnis für die Struktur der ISO 27001 zu erhalten und von der Norm geforderte interne Audits durchführen zu können. Im Rahmen solcher Audits werden mit den Verantwortlichen Verbesserungsmöglichkeiten erörtert. Dazu zählen auch Mitarbeitergespräche, bevor eine Lösung entwickelt und umgesetzt wird. Die Ergebnisse dieser internen Audits fließen anschließend in das Managementreview ein.
Das Prüfverfahren
Nach dem Aufbau des Informationssicherheits-Managementsystems nach ISO 27001 strebte Borussia Mönchengladbach die Zertifizierung des Systems an. Das externe Prüfverfahren führten Auditoren des TÜV Rheinland durch.
In einem ersten Schritt wurden die Grundlagen des Managementsystems vor Ort begutachtet und geprüft, inwiefern Prozesse, Dokumentationen und Sicherheitskonzepte den ISO 27001-Anforderungen entsprechen. Dazu zählten etwa das Backup- und Notstromkonzept sowie das Gebäudesicherheitskonzept, das sich mit den Schließanlagen, der Videoüberwachung und dem Security-Einsatz befasst.
Im zweiten Schritt des Prüfverfahrens begingen die Auditoren die verschiedenen Abteilungen. Hierbei standen unter anderem Aspekte wie der Zugang zu Gebäuden und Serverräumen sowie die Sicherheit von Türen und Fenstern im Fokus.
Nach dem erfolgreichen Abschluss des Prüf- und Zertifizierungsverfahrens stehen jährliche Überwachungsaudit an. TÜV Rheinland-Auditoren prüfen regelmäßig, inwiefern der Club die Normanforderungen erfüllt und die Wirksamkeit des Managementsystems aufrechterhält. Die Prüfintervalle helfen den IT-Verantwortlichen auch dabei, mögliche Schwachstellen auszuloten, zu schließen und so den Reifegrad des ISMS sukzessive zu verbessern.
Im Anschluss der Audits gibt es regelmäßig Besprechungen mit der Geschäftsleitung. Falls Maßnahmen notwendig sind, entscheidet diese zügig, welche Mittel dafür bereitgestellt werden. Auch eröffnet die Vereinsführung die regelmäßigen Mitarbeiterschulungen zum Thema Informationssicherheit. Mit diesem Einsatz verdeutlicht das Management die hohe Priorität des Themas im Unternehmen, was in der Folge die Akzeptanz der Maßnahmen durch die Mitarbeiter fördert.
Schnelle Umsetzung der DSGVO
Im Rahmen der DSGVO müssen Unternehmen, die personenbezogene Daten verarbeiten, bestimmte Prozesse und Verantwortlichkeiten definieren sowie dokumentieren. Diese Arbeitsschritte sind typische Anforderungen, die auch an ein Managementsystem gestellt werden. Entsprechend haben es Unternehmen, die bereits ein ISMS einsetzen, einfacher, eine Basis für das Erfüllen der DSGVO- Anforderungen zu schaffen.
Im Rahmen der ISO 27001 gilt es, eine Risikoklassifizierung durchzuführen. Hierbei werden Prozesse und Daten bezüglich ihres Risikopotenzials betrachtet, bewertet und verschiedenen Risikoklassen zugeordnet. Die DSGVO fordert Ähnliches, wobei hier jene Prozesse im Fokus stehen, in denen personenbezogene Daten verarbeitet werden.
Bei Borussia Mönchengladbach zählen in erster Linie die Spieler-, Mitarbeiter- und Kundendaten dazu. Da der Club mit der Norm bereits eine Risikoklassifizierung umgesetzt hatte, konnte er bereits etwa 60 Prozent der DSGVO-Anforderungen im Vorfeld erfüllen. Entsprechend benötigte das Unternehmen statt zwei Jahren nur ein Jahr, um sich DSGVO-konform aufzustellen.
Ausrichtung auf Wachstum und Veränderungen
Zukünftig sollen Besucher flächendeckend elektronischen Zugriff erhalten und nahtlos auf die gebotenen Online-Services des Clubs zugreifen können. Die Besucher möchten von verschiedenen Stadion-Standorten - ob Parkplatz oder Hotel -Tickets über ihr Smartphone bestellen, so dass sie mit diesen direkt ins Stadion gehen können. Für diese Services ist ein zentrales gesichertes System notwendig. Zudem steigen Zahl und Vernetzung der Dienste kontinuierlich, wodurch mehr Informationstechnik notwendig wird.
Das Informationssicherheits-Managementsystem liefert Borussia Mönchengladbach für aktuelle und kommende Anforderungen wichtige Grundlagen. Der Betreiber des neuen Hotels, das auf dem Vereinsareal erbaut wurde, hat beispielsweise seine Server und Systeme im Rechenzentrum von Borussia Mönchengladbach stehen. Für die Leistungserbringung und Vertragserfüllung ist de Club natürlich verpflichtet, dass Gebäudesicherheit, Schließtechnik und Zutrittssicherheit geregelt sind. Das ISMS berücksichtigt derlei Aspekte und so leistet das System einen wichtigen Beitrag dazu bei, dass der Verein seine Verträge und die gesteckten Geschäftsziele einhalten kann.