ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme. Das klingt zunächst nach Bürokratie und Papierkram. In der Praxis ist es das Gegenteil: eine strukturierte Art sicherzustellen, dass Daten – Ihre Daten und die Ihrer Kunden – wirklich geschützt sind.
Was das konkret für Sie bedeutet, wenn Sie mit einem ISO 27001-zertifizierten Softwareentwickler zusammenarbeiten: mehr als nur ein Zertifikat an der Wand.
Was ISO 27001 wirklich aussagt
Die Zertifizierung nach ISO 27001 bedeutet, dass ein unabhängiger Auditor die Sicherheitsprozesse eines Unternehmens regelmäßig geprüft und für gut befunden hat. Geprüft wird nicht nur die Technik – sondern das gesamte System: Wie werden Zugriffsrechte verwaltet? Wie werden Sicherheitsvorfälle erkannt und behandelt? Wie werden Mitarbeiter geschult? Was passiert, wenn ein Laptop gestohlen wird?
Das Zertifikat wird alle drei Jahre neu auditiert und jährlich überwacht. Es ist kein einmaliger Aufwand, sondern ein kontinuierlicher Prozess.
Was das für Ihre Entwicklungsprojekte bedeutet
Wenn Softega Ihre Software entwickelt, gelten für das gesamte Projekt die Standards, die durch ISO 27001 definiert sind:
- Zugriffssteuerung: Jeder Mitarbeiter hat nur Zugriff auf die Daten, die er für seine Arbeit braucht. Keine globalen Admin-Passwörter, keine unsicheren Shared Accounts.
- Sichere Entwicklungsumgebung: Code wird in gesicherten Umgebungen entwickelt, mit Versionskontrolle und nachvollziehbaren Änderungshistorien.
- Datenverschlüsselung: Daten werden sowohl bei der Übertragung (TLS) als auch bei der Speicherung verschlüsselt.
- Incident-Management: Wenn etwas schiefgeht, gibt es klare Prozesse – wie reagiert wird, wer informiert wird, was dokumentiert wird.
- Lieferantenmanagement: Auch Partner und Tools, die im Projekt eingesetzt werden, werden auf Sicherheitsstandards geprüft.
Warum das für Sie als Auftraggeber wichtig ist
Wenn Sie Software entwickeln lassen, geben Sie dem Entwickler Einblick in Ihre Geschäftsprozesse, manchmal in Kundendaten, manchmal in sensible interne Informationen. Die Frage ist: Wie sorgfältig geht Ihr Dienstleister damit um?
Bei einem zertifizierten Partner haben Sie die Sicherheit, dass diese Frage nicht dem guten Willen einzelner Mitarbeiter überlassen wird – sondern durch geprüfte Prozesse abgesichert ist.
Was Sie von Ihrem Softwareentwickler fragen sollten
- Haben Sie eine aktuelle ISO 27001-Zertifizierung? (Lassen Sie sich das Zertifikat zeigen.)
- Auf welchen Servern werden meine Daten gespeichert, und in welchem Land?
- Wie werden Entwicklungszugänge zu meinen Systemen verwaltet?
- Was passiert mit meinen Daten nach Projektabschluss?
- Haben Sie einen Prozess für den Umgang mit Sicherheitsvorfällen?
Wenn ein Dienstleister auf diese Fragen keine klaren Antworten hat, ist das ein Warnsignal – unabhängig davon, wie günstig das Angebot ist.
Made in Germany – nicht nur ein Slogan
Für uns bedeutet das: Alle Kundendaten werden ausschließlich auf deutschen Servern in zertifizierten Rechenzentren gespeichert. Kein Routing über US-amerikanische Cloud-Dienste, keine Abhängigkeit von Anbietern außerhalb des EU-Rechtsraums. Das gibt Ihnen und Ihren Kunden rechtliche Sicherheit – und ein ruhiges Gewissen.