Fußballfans erwarten heute zügigen Online-Zugriff, sei es für die die Bestellung von Tickets oder den Erwerb von Fanartikeln. Entsprechend spielt die Informationssicherheit auch für einen Fußballverein eine wichtige Rolle. Deshalb baute der Fußballclub Borussia Mönchengladbach ein ISMS (Informationssicherheits-Management-System) nach ISO 27001 auf und ließ es durch den TÜV Rheinland zertifizieren.

Seit 2001, als Borussia Mönchengladbach mit etwa 20 Mitarbeitern am Bökelberg sein Spiel- und Geschäftsdomizil hatte, hat sich die Mitarbeiteranzahl mehr als verzehnfacht: Mittlerweile arbeiten 270 Angestellte für den Fußballclub. Unter der Leitung von Frank Fleissgarten stellt ein achtköpfiges IT-Team sicher, dass die IT die Geschäftsprozesse anforderungsgemäß unterstützt. Das Thema Informationssicherheit spielt eine wichtige Rolle: „Die Fußballmannschaft und ihr Erfolg beeinflussen natürlich maßgeblich den Gesamt­erfolg des Fußballclubs“, so Fleissgarten. „Doch sämtliche Geschäftsprozesse laufen mit IT-Unterstützung. Störungen oder Ausfälle können wir uns natürlich nicht leisten.“

Das Audit umfasste neben der Prüfung der relevanten IT-Systeme und Prozesse auch eine Begehung der Räumlichkeiten. Bild: Christian Verheyen/Borussia VfL 1900 Mönchengladbach

 

Angefangen vom Online-Ticketverkauf über die Logenverwaltung, die elektronische Zutrittsanlage, Spielerdaten und -verträge bis hin zum Online-Verkauf der Fanartikel bildet die IT die Grundlage für die Verarbeitung, Steuerung und Aufbewahrung von Daten. In der normalen Spielsaison verkauft Borussia Mönchengladbach etwa eine Million Tickets, den größten Teil davon online. Bei einem Champions-League-Spiel kann es vorkommen, dass innerhalb kurzer Zeit fünf Millionen Ticketanfragen anfallen. Diesem Ansturm müssen die Systeme standhalten können. Die IT leistet somit einen entscheidenden Beitrag für die Realisierung der Kunden-, Partner- und Sponsoren-Services und trägt im hohen Maße dazu bei, dass der Club seine Unternehmensziele erreicht.

Der Fußballverein legte daher schon frühzeitig die Grundlage für eine sichere IT-Infrastruktur. Bereits im Jahr 2011 ließ Borussia Mönchengladbach den Datenschutz durch den TÜV Rheinland prüfen und zertifizieren. Anschließend baute der Club ein ISMS nach ISO 27001 auf. Es umfasst die Gebäude- und Datensicherheit einschließlich aller Geschäftsprozesse der Verwaltung.

Aufbau des ISMS

Bei der ISMS-Einführung konnte Borussia Mönchengladbach – neben den grundlegenden Erfahrungen aus dem Aufbau einer eigengeführten IT-Abteilung – auch auf seinen bereits seit Jahren etablierten Risiko-Management-Prozessen und Datenschutzkonzepten aufbauen. In diesen Themenfeldern gab es schon definierte Abläufe und Verantwortlichkeiten, die auch beim Erfüllen der ISO-27001-Anforderungen hilfreich waren. Zudem betrachtete das IT-Team noch einmal sämtliche IT-Prozesse, erstellte – wo notwendig – die zugehörigen Dokumentationen und sorgte für eine eindeutige Definition der Ansprechpartner und Verantwortlichkeiten.

Ein wichtiger Bestandteil beim ISMS-Aufbau und bei der Vorbereitung auf die Zertifizierung war das Ausarbeiten von Abläufen und Maßnahmenplänen für den Fall eines Sicherheitsrisikos. Das Projektteam analysierte und bewertete Sicherheitsrisiken wie zum Beispiel Hackerangriffe, Stromausfälle oder Datendiebstahl. Der Club befasste sich besonders mit den im hohen Maße schützenswerten Daten und den Maßnahmen für deren Absicherung.

Bei der Umsetzung der ISO 27001 spielt auch die Sensibilisierung der Mitarbeiter für Informationssicherheit eine große Rolle. Denn oft ist es nicht eine technische Ursache, die einen Sicherheitsvorfall auslöst, sondern menschliches Fehlverhalten. Durch regelmäßige interne Audits und Schulungen stellt Borussia Mönchengladbach sicher, dass die Mitarbeiter im Bereich Informationssicherheit stets auf dem aktuellen Stand sind und sorgsam mit Kundeninformationen umgehen. Eine jährliche Mitarbeiterschulung befasst sich neben der Arbeitsplatzsicherheit auch mit Aspekten wie der Entsorgung von Unterlagen und Daten sowie dem Einhalten von Aufbewahrungs- und Löschfristen. Richtlinien, darunter etwa eine Entsorgungsrichtlinie, geben Verfahren vor, wie Mitarbeiter Medien und Daten vor unbefugtem Zugriff oder Verlust schützen oder welche Verfahren sie für die Entsorgung von Papierdokumenten oder Datenträgern einsetzen sollen.

Audit- und Zertifizierungsverfahren

Das externe Prüfverfahren für die ISO-27001-Zertifizierung führten schließlich TÜV Rheinland-Auditoren aus. Denn dem IT-Leiter war es wichtig, dass das Management-System von externen Auditoren geprüft wird, um sicherzustellen, dass es normkonform und wirksam ist. Im Rahmen des Audits schauten sich die Auditoren die Grundlagen des ISMS vor Ort an und prüften, inwiefern Prozesse, Sicherheitskonzepte und Dokumentationen den ISO-27001-Anforderungen entsprechen.

Zum Beispiel fordert die ISO 27001 ein Berechtigungskonzept, das den Anwenderzugriff auf Systeme, Programme und Daten regelt. Es beschreibt, welche Personengruppen welche Rechte haben, und legt den Prozess dar, wer diese Rechte wie erteilt und wieder entzieht. Tritt ein Mitarbeiter bei Borussia Mönchengladbach aus, muss dies einen systematischen Entzug der Zugriffsrechte zur Folge haben. Auch regeln die Sicherheitskonzepte, welcher Personenkreis unter welchen Bedingungen Hardwarekomponenten austauschen darf, wer das kontrolliert und wer die Maßnahme freigibt. Zudem prüften die Auditoren das Notfallkonzept des Clubs. Es beinhaltet Beschreibungen, was bei einem größeren IT-Ausfall zu tun ist. Zugleich legt es Abläufe dar, um Geschäftsprozesse im Ernstfall aufrechterhalten zu können.

„Sämtliche Geschäftsprozesse laufen mit IT-Unterstützung. Störungen oder Ausfälle können wir uns natürlich nicht leisten“, so IT-Leiter Frank Fleissgarten.
Bild: Borussia VfL 1900 Mönchengladbach

Ortsbegehung

Nach der Dokumentenprüfung erfolgte im zweiten Arbeitsschritt die Begehung der verschiedenen Abteilungen. Hier berücksichtigten die Auditoren Abteilungen und Gebäude, die in irgendeiner Weise in das Thema Informationssicherheit involviert sind. Dazu zählten bei Borussia Mönchengladbach unter anderem das Rechenzentrum, die Personal- und die IT-Abteilung. Maßgebliches Ziel dieses zweiten Schrittes ist es zu belegen, dass der Club die dokumentierten Prozesse und Abläufe auch mit Leben füllt. So prüften die Auditoren, ob das Entsorgungskonzept auch in der Praxis angekommen und wirksam ist: Gibt es zum Beispiel in den Kopierräumen Schredder für die Entsorgung vertraulicher Dokumente und nutzen die Mitarbeiter diese auch?

In Gesprächen mit IT-Administratoren prüfte der TÜV Rheinland, inwiefern das dokumentierte Berechtigungskonzept korrekt Anwendung findet. In der Personalabteilung befassten sich die Auditoren mit dem Ein- und Austrittsprozess der Mitarbeiter und mit den Listen wie beispiels-weise Laufzetteln, die nachweisen, dass Mitarbeiter Geräte erhalten und auch wieder gemäß definiertem Prozess zurückgegeben haben. Zudem prüften die Auditoren, ob es Dokumente gibt, die belegen, dass Mitarbeiter an Sicherheitsschulungen teilgenommen haben.

Auch Sicherheitsaspekte, die das Rechenzentrum und den Server-Raum betreffen, nahmen die Auditoren in Augenschein: Wie sehen die Stromversorgung und die Klimatisierung im RZ aus? Wie steht es um die Zugänge zu Gebäuden, zu Server-Räumen sowie um die Sicherheit von Türen und Fenstern?

Das Prüfverfahren für die ISO 27001 im Überblick. Bild: TÜV Rheinland

Bei jährlichen Überwachungsaudits prüfen die Auditoren, ob Borussia Mönchengladbach die Normanforderungen weiterhin erfüllt und die Wirksamkeit des Management-Systems aufrechterhält. Grundlagen für diese Überwachungsaudits bilden die Ergebnisse der regelmäßigen internen Audits, die Borussia Mönchengladbach gemäß den ISO-27001-Anforderungen selbst durchführt, und ein Management-Review. In diesen fließen unter anderem die Ergebnisse der internen Audits ein. Die Auditoren prüfen, inwiefern der Club Verbesserungsmaßnahmen identifiziert und umgesetzt hat. Ferner gleichen sie beim Überwachungsaudit die Anforderungen der ISO 27001 stichprobenhaft mit den Sicherheitsgegebenheiten ab. Diese Schritte liefern ihnen Aufschluss darüber, ob der Club die von ihm selbst definierten Sicherheitsziele auch erreicht hat.

Insgesamt dienen die regelmäßigen internen und externen Audits auch zur kontinuierlichen Verbesserung des Management-Systems. So konnte der Club im Laufe der Jahre den Reifegrad des ISMS, die Zugangskontrolle, das Dokumentenlenkungssystem und die IT-Sicherheit deutlich verbessern.

Vorbereitung auf die DSGVO

Die ISMS-Einführung und -Zertifizierung hat für Borussia Mönchengladbach verschiedene positive Effekte. Die ISO 27001 gibt dem Fußballclub einen ganzheitlichen strukturierten Rahmen vor, der es Mitarbeitern erleichtert, sich zu orientieren und Leitlinien zu verinnerlichen. Zudem unterstützt die Norm den Club dabei, neue gesetzliche Anforderungen zu erfüllen, beispielsweise die Datenschutz-Grundverordnung (DSGVO).

Denn eine Anforderung der ISO 27001 ist eine Risikoklassifizierung: Man analysiert Prozesse und Daten hinsichtlich ihres Risikopotenzials und weist sie Risikoklassen zu. Eine ähnliche Vorgehensweise fordert auch die DSGVO, wobei hier sämtliche Abläufe im Fokus stehen, in denen personenbezogene Daten verarbeitet werden. Zu diesen Daten zählen bei Borussia Mönchengladbach in erster Linie Spieler-, Mitarbeiter- und Kundendaten. Mit der Einführung der ISO 27001 verfügte der Club bereits über eine Risikoklassifizierung, die auch die DSGVO-Anforderungen größtenteils abdeckte.

„Insgesamt konnten wir im Vorfeld etwa 60 Prozent der DSGVO-Forderungen erfüllen. Daher benötigten wir statt zwei Jahren nur ein Jahr für die Vorbereitung auf die DSGVO“, erklärt Fleissgarten. So existierte für den Umgang mit Risiken zum Beispiel eine Regelung der Verantwortlichkeiten. Für Vorfälle war der Meldeweg definiert und es gab einen Maßnahmenplan, welche Schritte zu unternehmen sind, um größere Risiken zu vermeiden. Ein Berechtigungskonzept, das regelt, wer auf welche Daten zugreifen kann, war bei Borussia Mönchengladbach ebenfalls schon vorhanden.

Der PDCA-Zyklus bildet die Grundlage für die kontinuierliche Verbesserung des ISMS. Bild: TÜV Rheinland

Veränderungen leichter umsetzen

Das PDCA-Prinzip (Plan Do Check Act), das durch die ISO-27001-Einführung etabliert war, half dabei, die DSGVO-Anforderungen umzusetzen. „Die Methode unterstützt uns dabei, Aufgaben systematisch abzuarbeiten“, so Fleissgarten. „Sie stellt eine wertvolle Hilfe dar, um ein Management-System mit Leben zu füllen und kontinuierlich zu verbessern – unabhängig davon, ob es dabei um ein Daten- oder Informationssicherheits-Management-System geht.“

Borussia Mönchengladbach plant die Umsetzung verschiedener Projekte. Bei all diesen Vorhaben ist es wichtig, dass der Club über ein ISMS verfügt, um die Informationssicherheit professionell managen zu können. So soll es zukünftig einen flächendeckenden elektronischen Zugriff geben, sodass Besucher schnell und nahtlos auf Service-Angebote zugreifen können: Kunden sollen in Zukunft vom Parkplatz, Hotel oder vor dem Stadion Tickets via Smartphone bestellen und direkt mit dem Online-Ticket ins Stadion gehen können. „Besucher möchten eine einfache und bequeme Bestellung von Fanartikeln, die dann direkt ins Hotel geliefert werden, oder sie möchten via App einen Stadion- oder Museumsbesuch buchen“, so Frank Fleissgarten. „Die Besucher erwarten eine bequeme Abwicklung der gebotenen Services.“ Das ISMS nach ISO 27001 liefert Borussia Mönchengladbach die Grundlage, um die notwendigen Prozesse zu integrieren und sicherer zu gestalten.

ISMS bei Borussia Mönchengladbach im Überblick

Das Informationssicherheits-Management-System nach ISO 27001 umfasst bei Borussia Mönchengladbach folgende Bereiche: das Gebäude- und Datensicherheit einschließlich sämtlicher Geschäftsprozesse der Verwaltung: lokale IT-Infrastruktur, Betrieb eines eigenen Rechenzentrums, Ausbau und Instandhaltung der Server-Landschaft und aller Netzwerke, Zutritts-, Telekommunikations-, Storage- und Backup-Systeme sowie das ERP-System (Enterprise Resource Planning), den Web-Shop und das Online-Ticketing-System.

Antje Golbach ist Pressesprecherin Management-Systeme beim TÜV Rheinland, www.tuv.com.