Betroffen sind aktuell primär Kunden, die einen eigenen Microsoft Exchange Server betreiben. Unser Technik-Team ist selbstverständlich bereits aktiv geworden und arbeitet individuell an Lösungen für jeden einzelnen Kunden. Aufgrund der Komplexität des Vorfalls raten wir aktuell davon ab, Patches und Sicherheitschecks selbst vorzunehmen und empfehlen Ihnen stattdessen, sich mit uns in Verbindung zu setzen. 

Bitte beachten Sie: Da weitere Angriffe auf kompromittierte Systeme nicht auszuschließen sind, besteht dringender Handlungsbedarf! 

Zwar haben wir bei Midland IT dem Thema Sicherheit schon immer unsere volle Aufmerksamkeit gewidmet, doch wir wollten mehr: für uns und natürlich für Sie, unsere Kunden. Aus diesem Grund haben wir uns im vergangenen Jahr dafür entschieden, eine Zertifizierung der DIN ISO 27001 vorzunehmen. Diese international führende Norm gilt als eine der relevantesten Zertifizierungen im Bereich Informationssicherheit. Wir freuen uns daher ganz besonders, Ihnen nun mitteilen zu können, dass unsere Bemühungen und Anstrengungen belohnt wurden: Nach einem erfolgreichen Audit wurde uns am 24. Januar unser ISO-27001-Zertifikat vom TÜV Saar ausgehändigt.

Doch was genau wird mit der ISO 27001 zertifiziert? Die Beschreibung auf dem Zertifikat liest sich etwas sperrig, denn die Zertifizierung umfasst alles, was wir Ihnen als Dienstleistung anbieten und das ist eine Menge. Zertifiziert wurden: 

„Beratung, Entwicklung, Projektierung, Implementierung, Betrieb und Betreuung von IT-Security und Infrastrukturlösungen, Managed Services und Cloud-Dienstleistungen sowie Datenschutz und Informationssicherheitsprojekte“.

Und was bedeutet diese ISO-Zertifizierung genau? Zunächst einmal wird durch das Zertifikat belegt, dass wir ein wirksames Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 aufgebaut und etabliert haben. Die Begründung dafür liefert die Norm selbst: Sie verlangt die Einführung und Umsetzung von geeigneten Maßnahmen, die einen unberechtigten Datenzugriff sowie den Verlust von Informationen und deren Verfälschung wirkungsvoll verhindern. Und sie verlangt auch, dass das ISMS jederzeit sicherstellen kann, dass eventuelle Risiken für die Informationssicherheit frühzeitig erkannt und entsprechend reduziert werden können.

Auch wenn das alles sehr technisch klingt, geht es hierbei nicht nur um technologische Fragen, im Gegenteil: Diese ISO 27001 greift deutlich weiter. Sie durchleuchtet interne Abläufe und Organisationsstrukturen und der Blick richtet sich in jeden Winkel des Unternehmens. Aus diesem Grund haben wir alle informationsverarbeitenden Prozesse in allen Unternehmensbereichen im Detail geprüft, dabei alle potenziell kritischen Stellen identifiziert, nach und nach detailliert betrachtet und haben anschließend dort, wo es nötig war, weitere Maßnahmen ergriffen.

Vom Techniker bis zum Geschäftsführer: Jeder Mitarbeiter ist gefragt!

Für das Informationssicherheitsbeauftragten-Team bei Midland IT, bestehend aus Katja Stieber und Patrick Vohs, war die Zertifizierung daher mit einer Menge Arbeit verbunden, die sich aber nicht nur wegen der erfolgreichen Zertifizierung gelohnt hat: „Der gesamte Prozess der Zertifizierung hat uns dabei geholfen, interne Abläufe noch präziser zu erkennen, zu erfassen und – besonders wichtig - weiter zu optimieren“, betont Patrick Vohs.

Seine Mitstreiterin Katja Stieber hat sich darüber hinaus besonders über eine spürbar verstärkte Sensibilisierung für das Thema Sicherheit im gesamten Midland IT-Team gefreut: „Wir alle hatten wohl zwischendurch mindestens ein Aha-Erlebnis, das uns darin bestärkt hat, noch tiefer in alle Bereiche einzutauchen und besonders akribisch zu dokumentieren und zu beschreiben.“

Dass der Prozess für alle Mitarbeitenden aber auch eine besondere Anstrengung bedeutet hat, ist beiden bewusst. Daher sagen beide unisono - und mit einem leichten Schmunzeln: „Alle haben mitgezogen. Auch wenn’s manchmal weh tat“.

Für Midland IT Geschäftsführer Marc Hurrelmann ist es angesichts des hohen Aufwands durchaus verständlich, dass manche Unternehmen vergleichbarer Größe den Schritt in Richtung einer Zertifizierung scheuen. Doch für ihn und unseren zweiten Geschäftsführer Andreas Röthemeyer war dieser Schritt trotzdem alternativlos: „Zu glauben, dass man in dem, was man tut gut ist, reicht einfach nicht aus. Dieses Selbstbewusstsein kann sogar das Risiko in sich tragen, sich zu sicher zu fühlen. Und dann übersieht man etwas. Wir wollten es daher genauer wissen. Wir wollten alle Abläufe transparent machen und für alle nachvollziehbar dokumentieren. Und wir wollten halt auch belegen können: Bei Midland IT wird alles für die Sicherheit getan.“

Doch nicht nur für uns als Midland IT GmbH ist diese ISO-Zertifizierung von großer Bedeutung. Auch Sie können zukünftig mit unserer Zertifizierung nach DIN EN ISO/IEC 27001:2013 transparent nachweisen, dass bei Midland IT ein hohes Sicherheitsniveau erreicht wird. Als Kunde wie als Lieferant.

Also „Ende gut alles gut“? Nicht so ganz. Wie bei jeder ISO-Zertifizierung ist auch mit dieser nicht alles vorbei, frei nach dem Motto: „Führscheinprüfung erfolgreich abgelegt, wo ist mein Sportwagen?“. Auch die ISO 27001 ist zeitlich begrenzt und erfordert jährliche Überwachungsaudits. Nach 3 Jahren ist eine Rezertifizierung erforderlich.

Für Marc Hurrelmann ist das aber nicht nur logisch, sondern auch erstrebenswert: „Das ISO-Zertifikat ist kein Orden, den man einmal bekommt, kurz stolz zur Schau stellt und dann für immer in der Schublade verschwinden lässt. Gerade in der IT ändern sich permanent die Anforderungen. Und das hat immer auch Konsequenzen für das Thema Sicherheit. Die ISO-Zertifizierung wird deshalb in Zukunft ein zusätzlicher Ansporn sein, uns und unsere Dienstleistungen immer weiter zu verbessern.“

Doch noch etwas spricht dafür, dass ein ISO 27001-Zertifikat weit mehr als ein „nice to have“ ist: Denn die größten Herausforderungen der IT werden auch in Zukunft im Bereich der IT-Sicherheit liegen. Marc Hurrelmann wagt daher den Blick nach vorn: „Überall dort, wo es noch keine etablierten Strukturen und Standards gibt, können erhebliche Risiken entstehen oder sogar bereits unerkannt bestehen. Das birgt große Gefahren für die Informations- und IT-Sicherheit in Unternehmen. Deshalb werden wir für unsere Kunden auch weiterhin deutlich sicht- und spürbar Schritt halten bei allem, was künftig gefordert und sinnvoll wird.“

Man darf heute davon ausgehen, dass die Einführung eines ISMS in der IT-Branche künftig eine essenzielle Geschäftsvoraussetzung sein wird. Mit Midland IT können Sie schon jetzt auf einen erfahrenen und nun auch zertifizierten Partner vertrauen. Außerdem das gesamte Midland IT-Team sowieso gemeinsam beschlossen: Die Sicherheit der Informationen und Daten unserer Kunden und Lieferanten wird auch in Zukunft tief in der DNA unseres Unternehmens verankert bleiben.

Oder anders gesagt: Wir machen das einfach weiterhin jeden Tag.