Ich gebe es zu: Als ich 30 Jahre alt war, habe ich ISO-Themen so richtig gehasst. Damals war ich Assistent eines Geschäftsleitungsmitglieds eines grossen Schweizer Konzerns. Das Unternehmen war unter anderem nach ISO 9001 zertifiziert und verfügte über ein umfangreiches Qualitätsmanagementsystem. In jeder Abteilung gab es Q-Verantwortliche, die in ihren Büros Regale voller Bundesordner hatten und darin tausende Seiten ausgedruckter Prozesszeichnungen und Reglemente lagerten. Das war auf den ersten Blick unglaublich eindrücklich und ich wähnte mich im Zentrum des Know-hows des Konzerns.
In meiner Rolle war ich oft in Reorganisationen eingebunden und durfte mich immer wieder mit dem Thema Prozesse beschäftigen. Dabei musste ich feststellen, dass die gezeichneten Abläufe in den Q-Ordnern oftmals sehr wenig mit der Wirklichkeit zu tun hatten oder so allgemeingültig definiert wurden, dass sie wenig Konkretes aufzeigten. Aus diesen Erfahrungen ergab sich für mich ein klares Bild: Diese Prozesse waren für mich Ideen der Q-Verantwortlichen, wie man das Geschäft des Unternehmens hätte besser gestalten sollen. Und diese Ideen kamen selten bis nie an der Basis der Organisation an. Sie waren für mich wertlos.
Zudem sind mir Q-Verantwortliche mehrmals mit schriftlichen Ermahnungen mit Kopie an meinen Chef auf die Nerven gegangen, weil ich ihre Dokumentenvorlagen nicht so verwendet hatte, wie dies ein Reglement in ihren Ordnern vorgab. Und so kam es, dass das Thema ISO in meiner Wahrnehmung ein wertloser und nervtötender Kostenblock war, den man durch Weglassen problemlos hätte einsparen können. Es hatte meine Wertschätzung und Aufmerksamkeit nicht mehr verdient. Meine Meinung war gemacht.
Überzeugende Argumente
Als ich rund 15 Jahre später die Geschäftsführung eines IT-Outsourcing-Dienstleisters übernehmen durfte, musste ich entscheiden, ob wir die bestehenden Managementsysteme nach ISO 9001 (Qualitätsmanagement) und ISO/IEC 20000-1 (IT-Service-Management) erneut zertifizieren lassen wollten. Mein erster Gedanke war: «Lasst mich in Ruhe damit – das bringt nichts und kostet nur viel Geld».
Ein Freund sagte mir dann: «Simon, was meinst du – wollen deine Kunden nicht einen unabhängig bestätigten Beweis eurer Kompetenz?» Das regte mich zum intensiven Nachdenken an und ich kam nach verschiedenen Gesprächen mit Kunden zum Schluss: Wir brauchen diese ISO-Zertifizierungen. Sie bestätigen, dass wir uns an verbindliche Standards halten, die von internationalen Experten definiert wurden. Es nützt wenig, wenn ich auf der Homepage und in schönen Marketing-Broschüren schreibe, wie gut wir sind. Das glauben mir die Kunden nicht, da ich es selbst schreibe. Wir entschieden darum, nicht nur die bestehenden Normen erneut zu zertifizieren, sondern gleichzeitig auch die ISO/IEC 27001 (Informationssicherheit) ins Managementsystem zu integrieren.
Das war für mich quasi «ISO-Liebe auf den zweiten Blick». Zum ersten Mal sah ich den konkreten Nutzen einer Zertifizierung. Ich engagierte mich persönlich und lernte, dass Managementsysteme auch auf eine einfache Art – zum Beispiel in einem internen Wiki – dokumentiert werden können, damit sie die effektive Arbeitsweise der Firma abbilden und jederzeit von den Mitarbeitenden aktuell gehalten werden, weil sie den Nutzen davon erkennen. Zudem hatten sich die Normen in den letzten 15 Jahren weiterentwickelt. Sie orientierten sich viel stärker am Geschäftsfeld des zertifizierten Unternehmens. Der übertriebene Formalismus und der Fokus auf Prozess-Zeichnungen waren einem pragmatischeren Ansatz gewichen. Das gefiel mir.
Der Zufall wollte es, dass ich mich mit den Auditoren persönlich gut verstand und sie mich fragten, ob ich nicht auch als externer Auditor für die Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS) tätig sein wolle. Das Gespräch mit dem heutigen CEO der SQS, Felix Müller, hat mich damals überzeugt. Ich bin jetzt seit vielen Jahren leitender Auditor und seit 2021 auch verantwortlich für das SQS-Produkt Informationssicherheit. Mir gefällt meine Arbeit, weil ich sehe, wie sich zertifizierte Firmen positiv entwickeln und wir zudem einen Beitrag an die Cyber-Sicherheit der Schweizer Wirtschaft leisten.
Welchen Nutzen hat eine Zertifizierung für einen IT-Dienstleister?
Ausbildung, wenn Sie am Schluss keine Diplom-Prüfung ablegen? Niemand glaubt Ihnen, dass Sie etwas «Richtiges» gelernt haben, wenn Sie von der Ausbildung nur die Anwesenheit nachweisen können. Bei der Zertifizierung ist es ähnlich. Sie erhalten Stoff zum Lernen und Verarbeiten und müssen am Schluss bei der Prüfung die neu erworbene Kompetenz beweisen. Der Unterschied ist, dass bei einer Zertifizierung alle Menschen im Anwendungsbereich des Managementsystems von diesem Lern- und Veränderungsprozess betroffen sind. Die Zertifizierung ist eine unabhängige Bestätigung der Zertifizierungsstelle, dass Ihre Firma die entsprechenden Standards erfolgreich eingeführt und umgesetzt hat. Und dies wiederum beweist Ihren Kunden und Ihrem Umfeld, dass Sie es ernst meinen, zum Beispiel mit den Themen Qualität, Service, Management und Informationssicherheit.
Aus Sicht der Führung bringt eine Zertifizierung einen grossen Nutzen. Das System verlangt beim erstmaligen Aufbau und bei der steten Weiterentwicklung eine gewisse Investition in die Dokumentation von Vorgaben und Abläufen. Die Mitarbeitenden der Firma werden dabei motiviert, ihr persönliches Wissen den Kolleginnen und Kollegen schriftlich zur Verfügung zu stellen. Dabei wird implizites Wissen explizit verfügbar gemacht. Die Folge: Bei Personalwechseln sind neue Mitarbeitende generell schneller produktiv. Das Know-how verbleibt in der Firma. Ebenfalls findet bei der Dokumentation und Umsetzung des Managementsystems eine Vereinheitlichung von Begriffen statt – mit dem Ergebnis: Alle sprechen vom Gleichen, wenn ein bestimmtes Thema diskutiert wird. Es entstehen viel weniger Fehler aus Missverständnissen und Unklarheiten. Die Führung wird generell einfacher.
Zudem verlangen heute Auftraggeber vielfach den Nachweis eines entsprechenden Zertifikats, damit Sie überhaupt als Lieferant für sie tätig sein dürfen. Aus Auftraggeber-Sicht ist diese Bedingung Teil des eigenen Risikomanagements. Es gewährleistet, dass nur Lieferanten in Frage kommen, die diese Auflagen wirklich erfüllen. Die jährliche Überprüfung durch die unabhängige Zertifizierungsstelle sichert dabei diesen Anspruch ab. Für IT-Dienstleister bedeutet ein Zertifikat vielfach die Eintrittskarte in einen grösseren Absatzmarkt und damit verbundene Umsatz- und Gewinnsteigerungen.
Was ist denn eine ISO-Zertifizierung?
Die internationale Standardisierungs-Organisation ISO (www.iso.org) ist Herausgeberin vieler Normen für unterschiedliche Anwendungsbereiche, wie zum Beispiel im Kontext:
• Qualität (ISO 9001)
• IT-Service-Management (ISO/IEC 20000-1)
• Informationssicherheit (ISO/IEC 27001)
• Energie (ISO 50001)
• Umweltmanagement (ISO 14001)
• Lebensmittelsicherheit (ISO 22000)
• Gesundheitsschutz bei der Arbeit (ISO 45001)
Für IT-Dienstleister stehen mehrheitlich die ersten drei Standards im Fokus – mehr dazu später.
Die ISO-Organisation ist eine unabhängige, internationale Nicht-Regierungs-Organisation, die sich aus rund 170 nationalen Standardisierungs-Gremien zusammensetzt. Die Schweiz ist über die Schweizerische Normen-Vereinigung SNV (www.snv.ch) vertreten. Dort sind mehr als 700 Unternehmen und Institutionen als Mitglieder organisiert. Gemeinsam entwickeln die ISO-Mitglieder in einem strukturierten Verfahren weltweit gültige gemeinsame Standards.
Die ISO-Organisation vergibt keine Zertifikate über eine korrekte Umsetzung eines Standards innerhalb eines Unternehmens. Dies ist Sache der Zertifizierungsstellen, die sich weltweit in allen Ländern befinden. Dort muss unterschieden werden zwischen Zertifizierungsstellen
• ohne behördliche Akkreditierung
• mit behördlicher Akkreditierung – in der Schweiz durch die Schweizerische Akkreditierungsstelle SAS (www.sas.admin.ch), einen Teilbereich des Eidgenössischen Departements für Wirtschaft, Bildung und Forschung, und solchen
Bei den erstgenannten Organisationen besteht der Nachweis, dass sich die Zertifizierungsstelle selbst jederzeit behördlichen Kontrollen unterziehen lassen muss. Dieser Nachweis garantiert die Qualität der Zertifizierungsarbeit. Zudem sichert er den Wert der ausgestellten Zertifikate, auch durch die Überprüfung der Auditoren-Kompetenz und der Qualität der Audit-Durchführung, insbesondere unter Einhaltung der Mindestvorgaben an die Anzahl der Audit-Stunden bei den Kunden.
Die behördlich akkreditierten Zertifikate sind deshalb meistens etwas ressourcenintensiver, weil die Qualität des Zertifikats im Vordergrund steht und nicht eine kurzfristige kommerzielle Optimierung des Zertifizierungsprozesses innerhalb einer Firma. Gerade grössere Auftraggeber und Behörden kennen diesen Unterschied und verlangen in der Schweiz den Nachweis einer SAS-Akkreditierung der Zertifizierungsstelle.
Es ist wie bei einer Ausbildung: Ein Diplom eines qualitativ hochwertigen Ausbildungs-Institutes «zählt mehr» und gibt den Bewerbenden am Arbeitsmarkt grössere Chancen.
Wie läuft eine Zertifizierung ab?
Die Verantwortlichen eines Unternehmens, das sich zertifizieren lassen möchte, melden sich am einfachsten bei der Zertifizierungsstelle. Meistens bietet diese kostenlose Informationsveranstaltungen an. Bei der SQS führe ich diese zum Thema Informationssicherheit durch (Anmeldung unter: www.sqs.ch/de/dienstleistungen/produkte/iso-27001-informationsanlass).
Dort erfahren Interessierte, welche Voraussetzungen für die erfolgreiche Zertifizierung nötig sind. Sie erhalten alle Informationen zur gewählten Norm und wie der Zertifizierungsprozess aussieht. Grob erklärt funktioniert der Prozess für alle Normen wie folgt:
Nach einem ersten Gespräch erstellt die Zertifizierungsstelle ein Angebot für den Zertifizierungsprozess. Dieses Angebot berücksichtigt die Grösse und den Kontext des zu zertifizierenden Unternehmens. Es beinhaltet die Aufwände für die erstmalige Zertifizierung (Stage 1 und 2) und die beiden Aufrechterhaltungsaudits in den Folgejahren. Denn ein Zertifikat ist drei Jahre gültig, danach muss die Organisation rezertifiziert werden. Sobald die Leitung des Unternehmens das Angebot akzeptiert und sich angemeldet hat, befindet sie sich im Zertifizierungsprozess. Die Zertifizierungsstelle kann dies auf Wunsch bestätigen – oftmals wird dieser Nachweis für Auftraggeber gebraucht.
Im Stage-1-Audit lernen sich die Vertreter der Firma und die Auditierenden kennen. Bei diesem Audit liegt der Fokus auf den generellen Nachweisen des Managementsystems und wie weit dessen Aufbau und Einführung fortgeschritten ist. Die Prüfer halten ihre Befunde in einem Bericht fest. Nach dem erfolgreichen Abschluss des Stage-1-Audits wird das Unternehmen zum nächsten Schritt zugelassen.
Im Stage-2-Audit prüfen die Auditierenden die konforme Umsetzung sämtlicher Forderungen der gewählten Norm im neu aufgebauten Managementsystem. Dabei halten sie ihre Befunde im Auditbericht fest. Mögliche Feststellungen sind dabei:
• Hinweise zur kontinuierlichen Verbesserung: Diese sind für die zertifizierte Firma unverbindlich, bieten jedoch in den meisten Fällen einen grossen Nutzen.
Nebenabweichung: Einzelne Punkte der Norm sind noch nicht vollständig umgesetzt und/oder eingeführt – das Managementsystem als Ganzes funktioniert jedoch und liefert die beabsichtigten Resultate. Das Zertifikat kann trotz
• Nebenabweichung(en) erteilt werden. Die Abweichungen sind zu beheben und werden beim nächsten Audit überprüft.
• Hauptabweichung: Wesentliche Teile der Norm sind noch nicht umgesetzt und eingeführt – das Managementsystem als Ganzes liefert die beabsichtigten Resultate nicht vollständig. Das Zertifikat kann nicht erteilt werden. Es muss ein neues zusätzliches Audit vereinbart werden.
So läuft ein Zertifizierungsverfahren ab (Quelle: zVg)
Was kostet eine Zertifizierung?
Diese Frage muss im Unternehmenskontext und dem gewählten Anwendungsbereich des Managementsystems beantwortet werden. Wesentliche Kostentreiber sind:
• Die gewählte(n) Norm(en) und die reglementierten Mindest-Auditstunden
• Die Grösse des Anwendungsbereichs des Managementsystems und die darin enthaltene Anzahl Mitarbeitender – hochgerechnet auf Vollzeitarbeitsstellen
• Die Anzahl Standorte einer Firma
• Bei der Zertifizierung nach ISO/IEC 27001 muss zusätzlich eine Komplexitätsbewertung erstellt werden, die auch die Komplexität der eingesetzten Informatik berücksichtigt.
Wer Angebote verschiedener Zertifizierungsstellen vergleicht, sollte nebst den kommerziellen Konditionen unbedingt folgende Faktoren beachten:
• Anerkennung und Wert des ausgestellten Zertifikates: Verfügt die Zertifizierungsstelle über eine behördliche Akkreditierung (in der Schweiz durch die Schweizerische Akkreditierungsstelle SAS – ein Teil der Bundesverwaltung)?
• Qualität des Zertifizierungsprozesses: Wie viele Zertifikate der gewählten Norm hat die Zertifizierungsstelle bereits ausgestellt? Die Antwort erlaubt eine Aussage über Effizienz und Effektivität des Zertifizierungsprozesses. Und sie ist zum Beispiel ein guter Indikator dafür, ob Kunden ihre Audit-Berichte rechtzeitig in der erwarteten Qualität erhalten.
• Qualität der Auditierenden und Grösse des jeweiligen Auditoren-Teams: Grössere Teams verfügen oft über fundierte Erfahrungen in der Branche des zu zertifizierenden Unternehmens, die sie beim Audit einbringen – wodurch für die Kunden ein grösserer Nutzen entsteht.
Wieviel Aufwand entsteht innerhalb der Firma?
Auch diese Frage ist abhängig von der zu zertifizierenden Norm, dem Unternehmenskontext und dem gewählten Anwendungsbereich des Managementsystems. Oftmals bedeutet die Einführung einer ISO-Norm für ein Unternehmen eine substanzielle Investition in seine Zukunft und nachhaltige Existenz.
Die folgenden Fragen umreissen die wesentlichen Aufwands-Treiber:
Wie komplex ist das Geschäftsmodell des Unternehmens?
• Wie viele Mitarbeitende sind im gewählten Anwendungsbereich des Managementsystems tätig?
• Wie gut sind die Anforderungen der ISO-Norm(en) bereits bekannt? Besteht noch grosser Ausbildungsbedarf?
• Wie gut sind die Anforderungen der ISO-Norm(en) bereits dokumentiert und umgesetzt?
In meiner persönlichen Erfahrung im Kontext ISO/IEC 27001 (Informationssicherheit) dauern Projekte vom Start bis zur erfolgreichen Zertifizierung zwischen einem halben und einem ganzen Jahr. Dabei ist zu berücksichtigen, dass diese Norm anspruchsvolle Anforderungen auch an die Informatik der Firma stellt, die bei anderen ISO-Standards in dieser Form nicht vorhanden sind. In dieser Zeit werden das Projekt gestartet, das Managementsystem aufgebaut und dokumentiert, die Menschen im Anwendungsbereich geschult sowie interne Audits, die Management-Review und die Zertifizierungsaudits durchgeführt.
Bei den Gesamtkosten sind zu berücksichtigen:
• Die internen Aufwände
• Die Kosten der Zertifizierungsstelle
• Allfällige Aufwände für externe Beratung
Welche Zertifikate sind für einen ICT-Dienstleister sinnvoll?
Die Statistik der ISO-Organisation zeigt, dass ICT-Dienstleister in der Schweiz vor allem folgende Standards nachfragen:
ISO/IEC 27001 (Informationssicherheit)
Der weltweit anerkannte Standard legt die Mindestanforderungen an ein Informationssicherheits-Managementsystem fest. Dabei stehen die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen in einem Unternehmen im Fokus. Die Informatik, als Technologie zur Verarbeitung von Informationen, muss mit geeigneten Massnahmen vor Auswirkungen von eintretenden Risiken geschützt werden. Entsprechend sind in dieser Norm im Anhang A weitreichende Kontrollen vorgesehen, die es je nach vorhandenen Risiken im Unternehmen umzusetzen gilt.
ISO 9001 (Qualitätsmanagement)
ISO 9001 ist die international meistverbreitete Norm im Qualitätsmanagement. Der weltweit anerkannte Standard legt die Mindestanforderungen an ein Qualitätsmanagementsystem fest. Im Fokus steht die Optimierung von Prozessen, um die Unternehmensleistung kontinuierlich zu verbessern und Kundenanforderungen bestmöglich zu erfüllen. Dafür gilt es, den Kontext der Organisation laufend zu evaluieren, relevanten Risiken vorzubeugen und erkannte Chancen zu nutzen. Eine Zertifizierung bescheinigt die Einhaltung der ISO 9001.
ISO/IEC 20000-1 (IT-Service-Management)
Die Qualität der Informatik-Dienstleistungen steht in diesem internationalen Standard für das IT-Service-Management im Vordergrund. Durch die Einhaltung von klar definierten und strukturierten betrieblichen Prozessen können ICT-Dienstleister ihren Kunden die Einhaltung der vertraglich zugesicherten Service Levels garantieren. Das Norm-Dokument beinhaltet sämtliche Anforderungen, die ICT-Dienstleister für die Planung, das Design, die Umsetzung, Lieferung und Verbesserung ihrer Services
benötigen.
Der Autor
Simon Maurer ist Cyber-Security-Experte und Lead Auditor für Informationssicherheit bei der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS). Er verfügt über Ausbildungen an den Universitäten in Zürich, Boston, Fudan und London. Maurer blickt auf eine über 30-jährige Führungskarriere in der Informatik zurück. Eine grosse Zahl von Firmen wurden von ihm bei der erfolgreichen Einführung der Informationssicherheit begleitet und beraten. Er ist Vater von zwei erwachsenen Kindern und in seiner Freizeit gerne in den Bergen unterwegs.
Simon Maurer, Cyber-Security-Experte und Lead Auditor für Informationssicherheit, SQS (Quelle: zVg)