Silvr ist jetzt offiziell der erste europäische Neo-Lender, der nach ISO/IEC 27001 zertifiziert wurde. Wenn das kein Grund zum Feiern ist!
Wir haben die letzten sechs Monate gemeinsam mit unserem Compliance-Dienstleister Vanta und der von der britischen Regierung geförderten ISO-Zertifizierungsstelle British Assessment Bureau an der Sicherung unserer IT-Infrastruktur gearbeitet.
Wie und warum wir das getan haben? Lest weiter, um es herauszufinden.
Was ist die ISO/IEC 27001-Zertifizierung?
Die ISO/IEC 27001-Zertifizierung ist eine von fast 25.000 internationalen Normen, die von der Internationalen Organisation für Normung vergeben werden. Die ISO/IEC Norm 27001 weist nach, dass ein Informationssicherheits-Managementsystem (ISMS) eingerichtet wurde, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch Anwendung eines überprüften Risikomanagementprozesses zu gewährleisten.
Einfach ausgedrückt: Es handelt sich um den höchsten heute existierenden globalen Standard, den ein Unternehmen einhalten kann, um sicherzustellen, dass es mit Daten auf die sicherste Art und Weise umgeht.
Warum ist ISO/IEC 27001 so schwer zu erreichen?
Das Verfahren erfordert die Zertifizierung des Schutzes von Daten in allen Formen.
Und dazu muss Folgendes gewährleistet werden:
- Informationen in allen Formen, digital und analog, sind geschützt.
- Die Widerstandsfähigkeit gegen Cyberangriffe wird fortlaufend ausgebaut.
- Die Zentralisierung von Informationen ist gewährleistet.
- Ein unternehmensweiter Schutz (sowohl digital als auch physisch) ist gewährleistet.
- Bedrohungen werden erkannt und unter Kontrolle gebracht.
- Datenintegrität, Datenschutz und Verfügbarkeit sind sichergestellt.
Klingt nach einer Menge Arbeit? Stimmt, das ist es auch.
Bis zum Ende des Zertifizierungsprozesses wurde unser Unternehmen einmal komplett auf den Kopf gestellt. Kein noch so kleines Detail, dass nicht unter die Lupe genommen wurde, um Silvrs Sicherheit auf Herz und Nieren zu prüfen.
Wie läuft der Zertifizierungsprozess ab?
Wer sich nach ISO/IEC 27001 zertifizieren lassen möchte, muss einige Vorgaben erfüllen, z. B. in Bezug auf:
- Verantwortung: Es ist unerlässlich, dass eine Führungskraft die kollektive Verantwortung für das ISMS übernimmt. In unserem Fall ist das unser CTO Greg Tappero.
- Prozesse und Budgets: Diese müssen zeigen, dass Sicherheit nichts ist, das ausschließlich mit der IT-Abteilung zu tun hat. Das gesamte Unternehmen mit jeder einzelnen Abteilung ist daran beteiligt.
- Bestandsaufnahme: Es muss eine gründliche Prüfung durchgeführt werden, um das aktuelle Datenschutzniveau zu ermitteln.
- Aktionsplan: Nach der Bestandsaufnahme legt das Unternehmen einen Plan fest, um langfristig ein geeignetes Informationsschutzniveau zu erreichen.
- Betriebsmanagement: Es muss ein angemessenes und wirksames Management der ISMS-bezogenen Aktivitäten sichergestellt werden. Für uns bedeutete dies, 15 zusätzliche Richtlinien zu verfassen, die das gesamte Unternehmen ab sofort zu befolgen hat, was mehr als 110 Kontrollpunkten entspricht.
Die gute Nachricht lautet: Am Ende dieses Prozesses kann man sich wirklich darauf verlassen, dass die besten Maßnahmen ergriffen wurden, um den digitalen Betrieb intern (für Mitarbeiter:innen) und extern (für Partner:innen und Kund:innen) vollständig abzusichern.
„Für die Fertigstellung des Stufe-1-Berichts haben wir etwa vier Monate intensiver Zusammenarbeit benötigt“
Berichtet Thomas Pelletier, VP of Engineering bei Silvr
„In Stufe 2 wurde uns dann bescheinigt, dass wir wirklich das tun, was wir versprechen. Das britische Assessment Bureau bestätigte, dass wir für jede der Anforderungen der ISO/IEC 27001-Norm einen Kontrollmechanismus definiert haben, und prüfte stichprobenartig die Anwendung dieser Kontrollen.“
Was macht ISO/IEC 27001 so wichtig für Silvr?
Mit der zunehmenden Digitalisierung der Wirtschaft wird die Cybersicherheit zu einem entscheidenden Thema – insbesondere im Zusammenhang mit Online-Geschäftsvorgängen (remoten Arbeitsplätzen, Open-Banking, einer steigender Anzahl elektronischer Geräte usw.). Das Weltwirtschaftsforum meldete, dass die Zahl der Cyberangriffe im Jahr 2020 im Vergleich zum Vorjahr um 22 Prozent gestiegen waren. Und wie Deloitte berichtet, wurden 35 Prozent der Angriffe während der Covid-19-Pandemie mit bisher unbekannter Malware und Methoden durchgeführt.
Der Schutz von Informationssystemen und Netzwerken ist daher von entscheidender Bedeutung – vornehmlich in postpandemischen Zeiten für Finanztransaktionen, Betriebsabläufe und den Datenaustausch.
Warum wir uns für die ISO-Zertifizierung entschieden haben
Jedes digitale Unternehmen sollte seine Informationssysteme schützen. Speziell für uns war die ISO/IEC 27001-Zertifizierung aber der beste Weg, sicherzustellen, dass wir alle Voraussetzungen erfüllen, um uns kontinuierlich an die aktuellen Marktbedingungen anzupassen – es gibt kaum etwas, das für uns als Fintech-Startup so wichtig ist.
Parallel zu unserer Expansion nach Deutschland wollten wir sicherstellen, dass wir die Daten unserer Kund:innen und unsere eigenen Daten nach dem höchstmöglichen Standard schützen. Bereits vor einem Jahr mit der Vorbereitung auf die ISO/IEC 27001-Zertifizierung zu beginnen, war da nur folgerichtig.
Was bedeutet das für unsere Kund:innen und Partner:innen?
Als Fintech-Unternehmen, das Partnerschaften mit anderen Unternehmen eingeht, mussten wir eine sichere Methode zur Skalierung in unterschiedlichen Märkten finden. Immerhin bitten wir Unternehmen, uns Zugriff auf ihre sensibelsten Geschäftsdaten, wie Kontoauszüge, Kaufvorgänge und digitale Werbeausgaben, zu gewähren. Es versteht sich von selbst, dass wir sicherstellen müssen, dass diese Daten stets vertraulich behandelt werden.
„Der Zugriff auf die privaten Finanzdaten von Unternehmen ist sehr sensibel, daher steht die Informationssicherheit bei allen Prozessen und Systemen, die wir entwickeln, an erster Stelle“
Erklärt unser CTO Greg Tappero
„Wir sind stolz darauf, der erste europäische Neo-Lender zu sein, der seine Informationsinfrastruktur mit der ISO/IEC 27001-Zertifizierung sichert. Das zeigt allen unseren Kapital- und Plattformpartner:innen, wie ernst wir Datensicherheit und Datenschutz nehmen. Wir wissen, wie wichtig das in Deutschland ist, und würden ohne diese Zertifizierung nicht auf den Markt gehen.“
Euer Unternehmen denkt auch über eine ISO-Zertifizierung nach?
Hier kommen ein paar Tipps …
Nachdem wir selbst den beschwerlichen, aber sich lohnenden Prozess der ISO/IEC 27001-Zertifizierung durchlaufen haben, fühlen wir uns durchaus dazu ermächtigt, anderen digitalen Unternehmen einige Ratschläge mit auf den Weg zu geben. Hier kommen ein also paar Tipps von Thomas Pelletier, unserem VP of Engineering. Als waschechter Informatiker fasst er sich kurz:
- Fangt so früh wie möglich an: Je größer das Unternehmen, desto komplexer wird es.
- Alle Führungskräfte müssen sich beteiligen: Das ist ein Projekt, das das ganze Unternehmen betrifft.
- Kauft eine Lizenz für eine Compliance-Plattform: Wir sind mit der Unterstützung von Vanta sehr zufrieden.
- Geht die Norm im Detail durch: immer wieder und mehrmals, bis ihr sie wirklich verstanden habt.
- Bleibt pragmatisch: 27001 ist für Unternehmen jeder Größe gedacht. Die besten Prozesse sind die, die der Norm und euren individuellen Unternehmensabläufen entsprechen.
Unser ISO/IEC 27001-Zertifikat findet ihr neben Updates zur Echtzeitkontrolle in unserem Trust Report. Bei weiteren Fragen steht euch unser Team gern unter help@silvr.co zur Verfügung.