ISOtonisch – Normen und Zertifikate helfen fit zu bleiben

Wettbewerbsfaktor: Auditiert ISOtonisch – Normen und Zertifikate helfen fit zu bleiben

25.01.2023 Ein Gastbeitrag von Henrik Hasenkamp und Sascha von Nethen* Lesedauer: 6 min |

Anbieter zum Thema

gridscale GmbH

Rosenberger-OSI GmbH & Co. OHG

Fujitsu Technology Solutions GmbH

Schwarz IT KG

Unternehmen können mithilfe von Zertifikaten die Einhaltung von Richtlinien bestätigen; das schafft Vertrauen und Transparenz für Kund:innen. Henrik Hasenkamp, CEO von Gridscale, arbeitet für die Zertifizierung seines Unternehmens mit dem Auditor Euroconsult zusammen und erklärt in diesem Gastbeitrag gemeinsam mit Berater und Lead Auditor Sascha von Nethen, welche Vorteile Zertifizierungen bringen und was mit den dafür notwendigen Audits einhergeht.

Henrik Hasenkamp, CEO bei Gridscale, und Sascha von Nethen, Berater und Lead-Auditor bei Euroconsult, beschreiben, wieso Normen und Zertifikate Unternehmen im Wettbewerb helfen.
(Bild: frei lizenziert: OpenClipart-Vectors / Pixabay)

Je weiter die Digitalisierung voranschreitet, je globaler die Märkte werden, desto größer werden auch die Herausforderungen für Unternehmen, aber auch die Chancen, insbesondere für den deutschen Mittelstand. Zertifizierungen haben in dieser globalisierten Welt einen hohen Stellenwert. Vor allem für die Bereiche Nachhaltigkeit und Cybersecurity spielen sie eine große Rolle.

Doch zunächst einmal stellen Zertifizierungen und die damit einhergehenden Audits für viele Unternehmen eine Belastung dar und unterbrechen den Arbeitsalltag. Die Daten, die für ein Audit benötigt werden, liegen oft nicht unmittelbar vor. Die betroffenen Abteilungen müssen dann händisch nach den Informationen suchen, die die Prüfer benötigen. Das kostet Zeit und Geld.

Aber dennoch lohnen sich die Audits, und zwar sehr. Insbesondere für mittelständische Unternehmen steigt der Wert von Zertifizierungen: Sie sind wichtig, um auch in Zukunft wettbewerbsfähig zu bleiben.

Der Blaue Engel für Rechenzentren hat seit dem 1. Januar neue Konditionen. Die zuständige wissenschaftliche Mitarbeiterin am Umweltbundesamt Marina Köhn erläutert warum und welche das sind. (Bild: © Krzysztof Bubel - stock.adobe.com)

Die EN 50600 genauso wie die Uptime-Klassifikationen werden obsolet; denn sie gehen in der ISO/IEC 22237 auf, die weltweite Gültigkeit hat. (© DOC RABE Media - stock.adobe.com)

Die Umsetzung der KritisV ist komplex und stellt betroffene KRITIS-Betreiber vor Herausforderungen. (Bild: Rosenberger OSI)

Die Einhaltung der ISO-Normen 14001 und 27001 beispielsweise, die Umweltmanagement beziehungsweise Informationssicherheit regeln, ist bereits heute ein wichtiger Faktor, um auf dem Markt konkurrenzfähig zu bleiben. Insbesondere staatliche Organisationen achten bei der Auswahl ihrer Dienstleister auf den Nachhaltigkeitsaspekt: Viele Behörden verlangen zum Beispiel, dass der Dienstleister seinen CO₂-Fußabdruck misst und meldet.

Zertifikate erleichtern dieses Verfahren deutlich. Sie verbriefen dem Unternehmen – allgemein anerkannt – dass es bestimmte Standards erfüllt, Verfahren durchführt oder Kriterien einhält. Meist beziehen sich sogar Gesetze auf ISO-Normen. Ein zertifiziertes Unternehmen kann sich also auch rechtlich in Sicherheit wiegen und das Risiko von Bußgeldern senken.

Gut für die Umwelt, gut für den Umsatz

Ab 2024 verschärft sich in Deutschland die Nachweispflicht in puncto Nachhaltigkeit. Unternehmen in allen Wirtschaftsbereichen müssen dann nachweisen, wie umweltverträglich ihr Geschäft läuft. Zunächst müssen nur Unternehmen von öffentlichem Interesse mit mehr als 500 Mitarbeiter:innen einen Nachhaltigkeitsbericht abliefern, ab 2025 dann auch alle bilanzrechtlich großen Unternehmen.

Für mittelständische Unternehmen am Kapitalmarkt gibt es allerdings die Möglichkeit, die Nachweispflicht bis 2026 aufzuschieben. Bei dieser Nachweispflicht können Audits und die darauf folgenden Zertifizierungen die Arbeit vereinfachen. Quasi zwangsweise müssen Unternehmen ihre Prozesse dokumentieren, konsolidieren und gegebenenfalls optimieren – und diese danach beibehalten.

Durch die Zertifizierung steigt aber nicht nur die Attraktivität im Wettbewerb. Optimierte Prozesse bilden auch die Grundlage für effizientes Wirtschaften – Durch Nachhaltigkeit können zum Beispiel viele Kosten eingespart werden: Wer auf seinen Stromverbrauch achtet und nachhaltig heizt, bekommt am Ende eine geringere Energierechnung. Auch hohe Standards bei der Informationssicherheit wiegen nicht nur Kund:innen in Sicherheit, sie schützen auch das Unternehmen vor Angriffen auf ihre IT.

Zehn Ziffern zählen: 14001 und 27001

Zwei besonders wichtige Zertifikate sind die der bereits genannten ISO-Normen 14001 und 27001, besonders für SaaS-, PaaS- und Cloud-Provider.

Die ISO 27001 regelt unter anderem, welche Verantwortung beim Provider und welche beim Kunden liegt. Anhand ihrer können Unternehmen zum Beispiel eine Checkliste erstellen, sich mit dem Kunden über die Einhaltung der Richtlinie abstimmen und Verantwortlichkeiten klar abgrenzen. So ist von vornherein geregelt, wer welche Daten schützen muss und wer bei Sicherheitsvorfällen welche Maßnahmen ergreifen muss. Insgesamt hilft die ISO 27001 so beiden Seiten, die Resilienz gegenüber Cyber-Attacken zu erhöhen, Bedrohungslagen zu erkennen und dementsprechend zu handeln.

Die ISO 14001 legt ein besonderes Augenmerk auf die Art und Weise, wie ein Unternehmen seine Nachhaltigkeitsziele erreichen will. Mit ihr wird ein entsprechendes Management-System nach dem PDCA-Schema (Plan-Do-Check-Act) etabliert. Für das Unternehmen wird so eine Struktur geschaffen, mit der es selbstgesteckte Umweltziele erreichen kann.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Für Serverfarmen kann das beispielsweise bedeuten, die Hardware nicht mehr als notwendig zu kühlen, Abwärme zu nutzen oder digitale Prozesse so zu vereinfachen, dass weniger Rechenleistung benötigt wird. Mülltrennung und die Frage nach umweltfreundlichen Transportmitteln auf dem Weg zur Arbeit gehören natürlich auch dazu, aber am meisten lässt sich bei internen Prozessen einsparen.

Dazu kommt: mit einem einzigen Audit und einem Zertifikat im Archiv ist es nicht getan. Zertifizierungen helfen auch dabei, die Änderungen im Unternehmen beizubehalten und stetig zu verbessern, „am Ball zu bleiben”. Beispielsweise sind bei der ISO 27001 regelmäßige Audits verpflichtend. Oft gehen die Compliance-Verfahren auch mit Fortbildungen für Mitarbeiter:innen einher. So wird nicht einfach nur ein neues Schema übergestülpt, sondern die entsprechenden Prozesse integriert und in Kooperation an die Belegschaft weitergegeben.

Der Aufwand entschädigt sich selbst

Zertifizierungen können ein Unternehmen also voranbringen – und ein mehr oder weniger aufwändiges Audit ist das deutlich kleinere Übel im Vergleich zu den Chancen, die man ohne verpasst. Und mit einer guten Vorbereitung ist der Aufwand des Audits eher gering. Wenn Unternehmen die notwendige Arbeit einkalkulieren, können sie die Unterbrechung im Tagesgeschäft leicht abfedern.

Bereits im Voraus sollten die entsprechenden Personen benannt und beauftragt werden, um die Prozesse zu dokumentieren. Die Verantwortlichen können dann auch im Rahmen des Audits zum Beispiel für Interviews zur Verfügung stehen. Alles in Allem ist eine gute Dokumentation der Schlüssel: Liegen die benötigten Daten vor, müssen sie nicht erst gesucht und zusammengetragen werden. Sobald das Audit startet, hält sich der Aufwand dann in Grenzen.

Zertifizierungen sollten für Unternehmen in erster Linie ein strategisches Ziel darstellen. Ein starker Partner, wie im Fall von Gridscale Euroconsult, kann dabei helfen, diese Strategie von Anfang an richtig zu planen und zielgerichtet umzusetzen. Denn nur neue Prozesse einzuführen oder alte zu optimieren, ist nicht allein die Lösung.

Über Gridscale und Euroconsult

Der Kölner IaaS- und PaaS-Anbieter Gridscale steht nach eigenen Angaben für intuitiv nutzbare und flexible Cloud-Technologien. Über eine leicht verständliche Oberfläche kann die IT-Infrastruktur auch von Personen ohne tiefes IT-Know-How verwaltet werden. Eine Kubernetes-Umgebung erleichtert selbst das Management Cloud-nativer Workloads.

Tausende Unternehmen, Agenturen und Managed Service Provider setzen auf Gridscale bei Realisierung und Betrieb ihrer Digitalprojekte – vom hochfrequentierten Webshop bis zur komplexen SaaS- oder Enterprise-IT-Lösung. Resellern stehen White-Label-Optionen zur Verfügung und mit der Gridscale Software „Hybrid Core“ werden Rechenzentrumsbetreiber selbst zum Cloud-Anbieter. Geführt wird das Unternehmen mit seinen rund 100 Mitarbeitern von Henrik Hasenkamp.

Die Euroconsult Deutschland GmbH mit Sitz im Kompetenzzentrum Bayern in Graben/Lagerlechfeld, ist eine mittelstandsorientierte Unternehmensberatung für Qualitäts-, Umwelt- und Informationssicherheits-Management. Durch Einbeziehung eines qualifizierten externen Beraters wird die Einführung oder Optimierung eines Qualitäts-Management-Systems deutlich beschleunigt, wirbt das Unternehmen.

Die Berater sind gleichzeitig erfahrene Auditoren und gewährleisten, dass Unternehmen den aktuellen Bezug zur Anwendung und Bewertung von Qualitäts-Management-Systemen und zum Zertifizierungsniveau haben. Das Unternehmen wurde im Juni 2022 zum wiederholten Male mit dem „Top Consultant“-Siegel als beste Mittelstandsberatung ausgezeichnet.

Stattdessen müssen die entsprechenden Themen auch in der Unternehmenskultur verankert werden (Ein neuer Prozess verhindert zum Beispiel nicht, dass Mitarbeiter:innen auf Phishing-Mails hereinfallen oder unbekannte Dateien aus Anhängen herunterladen). Dazu zählt auch, dass die notwendigen finanziellen und personellen Ressourcen zur Verfügung gestellt werden, um Spezialisten für die Zertifizierung, die Umsetzung und die Integration einzustellen oder auszubilden. Im besten Fall sollten die entsprechenden Änderungen schon etwa ein Jahr vor dem Audit erfolgreich laufen.

Im Falle der Zusammenarbeit zwischen Gridscale und Euroconsult spielt besonders der persönliche Aspekt eine wichtige Rolle: Trotz oder gerade wegen der Kontaktbeschränkungen durch die Pandemie nehmen beide Partner sich viel Zeit für den persönlichen Austausch über Videotermine und Telefonate, Fragen werden nicht per E-Mail sondern jederzeit unkompliziert im persönlichen Gespräch geklärt. So konnte der Zertifizierer Euroconsult selbst in den Zeiten der Lockdowns jederzeit gut einschätzen, was das Gridscale -eam beschäftigte, während das Team selbst sich durch die persönliche Betreuung gut aufgehoben fühlen konnte.

Henrik Hasenkamp
Autor Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von Gridscale, einem europäischen IaaS- und PaaS-Anbieter, der mit seiner Technologie die Basis für Cloud-Lösungen schafft.

Bildquelle: Gridscale

Sascha von Nethen
Der zweite Autor,Sascha von Nethen ist Lead Auditor bei der Euroconsult Deutschland GmbH, berät und unterstützt Unternehmen in Zertifizierungsprozessen und bei der weiteren Professionalisierung ihrer Geschäftsabläufe.