«Das Schwierigste ist, wenn der Auditor ein Alpha-Typ ist und sein Gegenüber auch»

Jean Pierre Bapst ist leitender Auditor bei der SQS, der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme. Obwohl sein Alltag von Normen und Vorgaben beherrscht wird, sei er kein sturer Paragrafenreiter . Er sieht sich als Sparringpartner für Firmen, wenn es um deren Informationssicherheits-Management geht. Für ihn ist die ISO Zertifizierung auch ein Menschenbusiness. Nach unserer Begegnung kann ich sagen: Das glaube ich ihm.

Jean Pierre Bapst, wie wurden Sie SQS-Auditor? 
Ich bin seit knapp acht Jahren Auditor bei der SQS. Davor arbeitete ich während 30 Jahren in verschiedenen IT-Bereichen innerhalb der Swisscom Gruppe, zuletzt bei der Billag. Dort wurden wir selbst viel auditiert, so lernte ich das Regelwerk kennen und machte unter anderem die Ausbildung zum ISO 27001 Leadauditor. Anlässlich eines ISO Audits bei der Billag habe ich beim Mittagessen das Gespräch mit der leitenden Auditorin gesucht und ihr meine Visitenkarte gegeben. Heute ist sie eine Arbeitskollegin.

Haben Sie es je bereut? 
Nein, bis heute nicht.

In welchen Branchen dürfen Sie zertifizieren? 
Man muss sich für die jeweiligen Branchen mit Berufserfahrung und Ausbildungen qualifizieren, ich bin in erster Linie für Audits im ICT-Umfeld zuständig. Wenn nötig, hole ich mir für die Audits Fachpersonen dazu. Die Unabhängigkeit muss gewährleistet sein. Ich darf zum Beispiel keine Firma auditieren, wo ich in den letzten drei Jahren gearbeitet habe oder wo mein bester Freund oder meine Lebenspartnerin beschäftigt sind, falls das Einfluss auf die Beurteilung oder die Ergebnisse der Prüfung haben könnte. 

Wer darf überhaupt ISO 27001 Zertifikate ausstellen?
Ich führe die Audits als Vertreter der SQS durch, die als Zertifizierungsstelle akkreditiert und dadurch berechtigt ist, Zertifikate auszustellen. In der Schweiz ist die schweizerische Akkreditierungsstelle (SAS) für die Akkreditierung von Zertifizierungsstellen zuständig. Für ISO 27001 sind in der Schweiz SQS, KPMG und Swiss Safety von der SAS akkreditiert. Für Schweizer Unternehmen muss die Auditierung nicht zwingend durch eine durch eine von der SAS akkreditierte Stelle erfolgen. Die Zertifikate sind weltweit gültig und weisen die Marke der jeweiligen Akkreditierungsstelle aus. Aus meiner Sicht ist es deshalb wichtig, dass Unternehmen darauf achten, dass die Zertifizierungsstelle von einer der IAF  angeschlossenen Akkreditierungsstelle akkreditiert ist und die Zertifikate mit den entsprechenden Marken versehen sind. So haben sie die Gewähr, dass für die Ausstellung des Zertifikats die gleichen Regeln und Verfahren angewendet worden sind. 

Sprechen wir über die ISO 27001 Zertifizierung, also die Bewertung des Informationssicherheits-Managementsystems (ISMS):  Wie lief diese bei der Glaux Soft ab? 
Anfang September 2022 prüften wir die Zertifizierungsbereitschaft der Glaux Soft, das war Stufe 1-Audit. Ich nahm einen Kollegen mit, der über technisch vertieftere Kenntnisse verfügt als ich. Nach acht Jahren Auditor ist man nicht mehr überall am Puls der Zeit. Wir prüften, wie Glaux Soft in Bezug auf dokumentierte Informationen dasteht und wir hielten fest, welche Aufgaben bis zur eigentlichen Zertifizierung noch zu erledigen sind. Damals wurden vier Schwachstellen identifiziert, die bis zur Zertifizierung zu beheben waren. Die grosse Herausforderung war die Umstellung der gesamten IT, welche die Glaux Soft parallel zum Aufbau und der Inbetriebnahme des ISMS angegangen ist.

Und, wie ist die Zertifizierung ausgegangen?
Die eigentliche Zertifizierung erfolgte am 13. und 14. Dezember 2022. Das Audit konnte erfolgreich abgeschlossen werden und wir durften Glaux Soft zum Bestehen des Audits gratulieren. 

Wie haben Sie festgestellt, ob die Glaux Soft das Zertifikat verdient hat?
Für die Hauptzertifizierung führten wir zu zweit während zwei Tagen Gespräche mit verschiedenen Mitarbeitenden auf allen Stufen durch. Wir fragten beispielsweise: Mit welchen Apps arbeitet ihr? Welche Berechtigungen gibt es? Wer vergibt diese? Wem meldet ihr einen Sicherheitsvorfall? Was ist ein Security Incident? Wo bewahrt ihr Dokumente auf? Viele Fragen kann man sowohl in den Abteilungen Finanzen, beim Personaldienst oder in der IT stellen. Ich bevorzuge, wenn immer möglich, das offene Gespräch und frage die Normanforderungen so ab. Mir ist wichtig, ein Gesamtbild des Unternehmens zu bekommen. Ich will herausfinden, ob in der ganzen Firma angekommen ist, worum es bei der Informationssicherheit geht, und die Mitarbeitenden wissen, wie damit umzugehen ist.

Wie geht es nach der Zertifizierung für die Glaux Soft weiter?
Bis zum nächsten Aufrechterhaltungsaudit am 6. Dezember 2023 müssen die am Audit festgestellten Abweichungen umgesetzt werden. Einmal pro Jahr besuche ich die Glaux Soft nun und prüfe auf Basis von Stichproben die Konformität und Wirksamkeit des Managementsystems. Das Zertifikat ist für drei Jahre ausgestellt und muss dann wieder erneuert werden.

Haben alle, die ein Zertifikat erhalten, dieses auch verdient?
Wie erwähnt, prüfe ich auf Basis von Stichproben die Konformität und Wirksamkeit des Managementsystems. Was in einer Firma darunter verstanden wird, ist sehr unterschiedlich und abhängig von der Grösse und Kultur eines Unternehmens. Es gibt Fälle, wo  die Geschäftsleitung bei den Audits kurz reinschaut, Hände schüttelt, ein paar Worte über das Unternehmen sagt und sich dann nicht mehr gross sehen lässt. Oder die Geschäftsleitung macht Zielvorgaben, von denen die Mitarbeitenden keine Ahnung haben. Das merkt man jedoch schnell.

Haben Sie mir ein Beispiel?
Der IT-Leiter sagt mir: Wir müssen die Betriebskosten senken; das IT-Betriebsteam erklärt mir dann: Usanz sei den Speicherplatz jeweils bei 80 Prozent Auslastung zu erweitern. Das passt eigentlich nicht zu den Zielvorgaben, die Kosten zu senken. Der IT-Betrieb könnte ohne Probleme erst bei 90 Prozent Auslastung erweitern und so einen möglichen Beitrag zur Senkung der Betriebskosten leisten. Solche Feststellungen stellen die Konformität und Wirksamkeit des Managementsystems in Frage und können dazu führen, dass wir Abweichungen festhalten, die dann zwingend bearbeitet werden müssen, damit das Unternehmen das Zertifikat weiterhin behalten darf.

Wie gehen Sie in solchen Situationen vor?
Ich atme tief durch und suche das Gespräch mit den Betroffenen. Es ist ähnlich wie in der Personalführung, wo es auch Situationen gibt, in denen weitgreifende Entscheide getroffen werden müssen. Wichtig in solchen Situationen ist, konsequent zu sein und sachlich zu bleiben.

Liegen Ihnen diese Gespräche?
Es ist ein Menschenbusiness – mit einigen funktionieren diese Gespräche gut, mit anderen weniger. Ab und zu führt das zu langen Arbeitstagen, an denen die Zeit nicht vergehen will. Das Schwierigste ist, wenn der Auditor ein Alpha-Typ ist und sein Gegenüber auch. 

Und, sind Sie ein Alpha-Mensch?
Nein, und das hilft in vorgängig erwähnten Situationen. Ich habe einmal erlebt, dass ein Kunde gebeten hat, das Audit abzubrechen. Schon bei den ersten Fragen der Auditoren kam der Kunde derart ins Strudeln, dass wir nicht weitermachen konnten. Das kann passieren. Wichtig ist es, als Auditor in solchen Situationen auf der Sachebene zu bleiben.

Wer lässt sich 27001 zertifizieren? 
Die Digitalisierung führt dazu, dass Unternehmen und Organisationen immer mehr dazu übergehen, ihre Datenflüsse und damit verbundenen Lieferketten nach ISO 27001 zertifizieren zu lassen. In diesem Kontext tun mir zum Beispiel Druckereien leid; sie haben kaum Margen und müssen viele Zertifi-zierungen nachweisen. Aber auch Startups, die grössere Kunden gewinnen (wollen), lassen sich zertifizieren, weil in den Ausschreibungen eine 27001 Zertifizierung gefordert wird. Diese kommen manchmal sehr naiv und unwissend auf uns zu und haben keine Ahnung, was es für eine Zertifizierung braucht. Weiter gibt es auch Bereiche (bspw. Online Casinos), bei welchen vom Gesetzgeber eine ISO 27001 Zertifizierung  vorgegeben wird. 

Wie viele IT-Unternehmen in der Schweiz sind 27001 zertifiziert?
In der Schweiz sind 318 Firmen ISO 27001 zertifiziert, davon sind 187 aus der IT-Branche (Quelle iso.org).

Das sind eine ganze Menge. Welches ist die erstaunlichste Zertifizierung, die Sie je durchgeführt haben?
Das war ein Berater mit zwei Notebooks und einem NAS, der sich freiwillig ein 27001 Zertifikat  geleistet hat. Er begleitet Kunden bei 27001 Zertifizierungen , darum wollte er sich selbst auch zertifizieren lassen. Obwohl das eine Kleinstunternehmung ist, werden auch bei ihm die 140 Punkte der Norm geprüft.

Und welches sind die mühsamsten Audits?
Das sind Kunden, die aus verschiedenen Gründen das Zertifikat haben müssen, und keinen Aufwand mit der Zertifizierung haben wollen. Die Geschäftsleitung ist nur vordergründig dabei. Die Managementsystembetreuer werden ihrem Schicksal überlassen, festgestellte Abweichungen werden dann gerne in Frage gestellt. Kurzum, wenn die Führung nicht dahintersteht, ist es ein «Gniet« und kann emotional werden.

Mussten Sie auch schon Zertifizierungen entziehen? 
Es gab einen Fall, wo eine Firma ein Zertifikat von der SQS hatte, welches von einer uns unbekannten Stelle bei der SAS beanstandet wurde. Bei einer ausserordentlichen Überprüfung stellte sich heraus, dass dort einiges im Argen lag, und das Zertifikat wurde mit sofortiger Wirkung suspendiert . Die Firma hatte dann drei Monate Zeit, um die Abweichungen in Ordnung zu bringen.So etwas kommt jedoch selten vor. Die meisten Kunden haben ein Gewissen und einen Ruf zu verlieren und verhalten sich entsprechend. 

Wissen Sie von Betrugsfällen im Zusammenhang mit ISO Zertifikaten?
Jein, was ich erlebt habe, ist, dass eine Firma zertifiziert werden sollte, die es am angegebenen Standort gar nicht gab. Das war bei einem komplizierten Firmenkonstrukt. Übrigens: Jegliche Veränderungen in der Firmenstruktur oder schwerwiegende Vorfälle, zum Beispiel wenn eine Firma gehackt wurde, müssen der SQS gemeldet werden. Das wird nicht immer mit der erwarteten Konsequenz gemacht. In solchen Fällen prüfen wir dann, ob ein Managementsystem wirklich funktioniert hat – oder eben nicht. Ich würde hier jedoch nicht von Betrug, sondern von Nachlässigkeit sprechen.

Über Jean Pierre Bapst
Jean Pierre Bapst ist 59 Jahre alt, ist seit knapp acht Jahren festangestellter Auditor bei der SQS, lebt in Düdingen, ist verheiratet, hat zwei erwachsene Kinder und ein Grosskind. 

Über die SQS 
Die Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS) ist die führende Anbieterin von Bewertungs- und Zertifizierungsdienstleistungen in der Schweiz. Die SQS wurde 1983 als eine der weltweit ersten Unternehmungen dieser Branche gegründet und ist eine Not-for-Profit-Organisation, die sich von den Werten der Glaubwürdigkeit, Ehrlichkeit und Unbestechlichkeit leiten lässt. 

Über ISO 27001 
ISO 27001 ist eine internationale Norm zur Regelung der Informationssicherheit in Organisationen. Sie definiert die Grundprinzipien zur Verfahrensweise mit dem übergeordneten Thema Informationssicherheit. Die ISO 27001 gehört zur ISO/IEC 27000-Normenreihe, welche sich mit der Umsetzung, Implementierung, Unterhaltung, Überwachung und Unterhaltung eines Informationssicherheits-Managementsystems (ISMS) befasst.