Informationssicherheit - gefeba Elektro & Engineering

Das Informationssicherheits-Managementsystem (ISMS) der gefeba

Informationssicherheit ist kein Projekt. Es ist eine Haltung.

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem (ISMS) ist ein strukturierter Rahmen, mit dem Unternehmen ihre Informationssicherheit systematisch planen, umsetzen, überwachen und kontinuierlich verbessern. Es geht nicht nur um technische Maßnahmen, sondern um ein ganzheitliches Sicherheitsverständnis, das alle Bereiche und Mitarbeitenden einbezieht. Ein ISMS kann nach ISO/IEC 27001 aufgebaut und zertifiziert werden. Die Norm gibt dabei Vorgaben vor, welche umzusetzen sind.

Die ISO 27001 definiert dabei drei zentrale Schutzziele:

Vertraulichkeit - Informationen sind ausschließlich für berechtigte Personen zugänglich.
Integrität - Informationen und Systeme können nicht manipuliert oder verändert werden.
Verfügbarkeit - Informationen und Systeme stehen zuverlässig zur Verfügung.

Ein ISMS schafft klare Verantwortlichkeiten, dokumentierte Prozesse und eine transparente Sicherheitskultur. Es ist kein einmaliges Projekt, sondern ein dauerhaft etablierter Bestandteil der Unternehmensführung.

Warum wurde das ISMS eingeführt?

Die Einführung des ISMS in der gefeba ist ein strategischer Schritt im Rahmen der digitalen und organisatorischen Weiterentwicklung des Unternehmens. Obwohl gefeba nicht als kritische Infrastruktur (KRITIS) im Sinne der NIS2-Richtlinie eingestuft ist, wurde das ISMS proaktiv eingeführt - aus Überzeugung und Verantwortung. So stehen wir als gefeba als starker und zuverlässiger Partner für Kunden aus dem KRITIS-Bereich zu Verfügung.

Vertrauen schaffen: Wir garantieren Kunden, Partner und Mitarbeitenden einen verantwortungsvollen Umgang mit Ihren Informationen und Daten.
Risiken beherrschbar machen: Durch strukturierte Risikoanalysen und gezielte Maßnahmen werden potenzielle Bedrohungen frühzeitig erkannt und adressiert.
Regulatorische Zukunftssicherheit: Die Anforderungen an Informationssicherheit steigen immer weiter - und wir sind vorbereitet.

Was bedeutet das für die gefeba?

Die Einführung des ISMS ist Teil eines umfassenden Modernisierungsprozesses der gefeba - technisch, organisatorisch und kulturell. Mit dem ISMS wird Informationssicherheit bei uns zur gelebten Unternehmenskultur. Es betrifft nicht nur die IT-Abteilung, sondern alle Geschäftsbereiche - von Planung und Engineering über das Projektmanagement bis hin zur Verwaltung.

Während der Umsetzung haben wir feststellen können, dass viele der Anforderungen der ISO-Norm 27001 bereits umgesetzt waren. Vieles musste nur noch protokolliert und aufgenommen werden. Stellen, an denen durch die Risikoanalyse Optimierungsbedarf festgestellt wurde, wurden überarbeitet und auf den neusten Stand gebracht.

Sensibilisierung und Schulung Alle Mitarbeitenden werden regelmäßig geschult und aktiv eingebunden. Die Schulungen werden dabei ständig auf dem neusten Stand gehalten und auf die aktuellsten technischen Neuheiten angepasst.
Transparente Prozesse Sicherheitsmaßnahmen sind dokumentiert, nachvollziehbar und auditierbar. Anforderungen werden in regelmäßig durchgeführten Audits intern gepürft. So können Verbesserungspotentiale schnellstmöglich aufgedeckt und umgesetzt werden.
Verantwortlichkeiten Rollen und Zuständigkeiten sind klar definiert - Informationssicherheit ist Teamarbeit.
Kontinuierliche Verbesserung Der PDCA-Zyklus (Plan-Do-Check-Act) sorgt für eine dynamische Weiterentwicklung des Systems. Anregungen von Mitarbeitern und Anforderungen durch neuartige Bedrohungen können so schnell eingebunden werden.

Die Umsetzung

Zur Einführung des ISMS in der gefeba wurde ein fünf köpfiges Team gegründet, welches die Umsetzung geleitet hat. Dabei wurden Experten aus verschiedenen Bereichen des Unternehmens mit eingebunden, um eine vollständige Abdeckung aller Geschäftsprozesse zu garantieren. Ergänzt wurde das Team bei Bedarf durch weitere Experten, welche bei Bedarf ihr Wissen und ihre Erfahrung einbringen konnten.

Bei der Umsetzung wurde sich an der ISO/IEC 27001 orientiert, welche Anforderungen und Maßnahmen an Informationssicherheits-Managementsysteme vorgibt. Durch eine Erfüllung der Norm werden auch maßgebliche Teile der Anforderungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) an KRITIS-Unternehmen abgedeckt.

Und nach knapp einem Jahr Arbeit und vielen gehaltenen Meetings, geschriebenen Dokumenten und Festlegungen war es dann soweit. Das ISMS wurde erfolgreich eingeführt.

Aber damit endet die Aufgabe noch nicht. Ein ISMS ist kein Projekt, welches abgeschlossen und anschließend archiviert werden kann. Es durchläuft regelmäßig den PDCA-Zyklus um so die Aktualität aller Bestandteile und Maßnahmen zu garantieren. So stellen wir auch in Zukunft die Informationssicherheit in der gefeba sicher!

Sie haben Fragen? Sprechen Sie uns an!

Sie möchten mehr über unser ISMS erfahren oder sich zum Thema Informationssicherheit beraten lassen? Wir stehen Ihnen gerne zur Verfügung - sei es für einen fachlichen Austausch, eine gemeinsame Risikoanalyse oder als Impulsgeber für Ihre eigene Sicherheitsstrategie.

📧 ISMS@gefeba.de

Informationssicherheit ist Teamwork. Und unser Team hat geliefert!

Teamwork bedeutet allerdings auch, Wissen zu teilen und sich gegenseitig zu helfen. Deshalb engagieren wir uns seit 2025 in der Allianz für Cybersicherheit - einer Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit dem Beitritt unterstreichen wir unser Engagement für eine starke, vernetzte und resiliente Sicherheitskultur in Deutschland. Wir teilen somit aktiv unser Wissen über aktuelle Bedrohungen durch den Austausch mit den Behörden und anderen Teilnehmern. Zusätzlich haben wir Zugang zu exklusiven Frühwarnsystemen, mit Warnmeldungen und Handlungsempfehlungen direkt vom BSI.