IT-Sicherheit bei XFAIR

XFAIR IT-Sicherheitsbeauftragter über Risiken auf Events und Präventiv-Maßnahmen

Dieser Tage macht die ständige Erweiterung technischer Innovationen immer komplexere Lösungen in den verschiedensten Bereichen des Lebens möglich. Dies gibt jedoch auch den Hackern dieser Welt die Möglichkeit sich durch ausgefuchste Strategien an diversen Datensätzen zu bedienen. Daher ist IT-Sicherheit in Unternehmen besonders wichtig, deren Hauptgeschäft die Verarbeitung von (personenbezogenen) Daten beinhaltet. XFAIR fällt als IT-Dienstleister für Events und Messen genau in diese Kategorie. Im Folgenden erläutert unser IT-Sicherheitsbeauftragter, Herr Schröder, welche Maßnahmen intern wie auch extern angewendet werden, um das Risiko eines Datenlecks so minimal wie möglich zu halten.

Herr Schröder, als IT-Sicherheitsbeauftragter der XFAIR GmbH beschäftigen Sie sich tagtäglich mit potenziellen Risiken für diverse interne wie externe Datensätze und wie diese eingeschränkt werden können. Wo sind diese Risiken Ihrer Ansicht nach am akutesten?

Eine Gefährdung der Informationssicherheit ist natürlich permanent gegeben. Eine Risiko-Minimierung auf Null ist auch nicht möglich. Ein akutes Risiko besteht jedoch im Live-Einsatz auf den Messen und Events selbst. Dort haben wir eine Vielzahl an Menschen, an Nutzern mit unterschiedlichstem Wissensstand bezüglich IT-Sicherheit, die zum Teil im sicheren Umgang mit Software auch nur unzureichend bis gar nicht geschult sind. Außerdem haben wir teilweise recht unübersichtliche Situationen vor Ort durch die vielen Menschen. Dabei besteht eine erhöhte Gefährdung durch den Diebstahl der Gerätschaften. Auch das Risiko der Einsichtnahme durch Dritte bei der Nutzung der Geräte ist durchaus permanent gegeben. Deswegen würde ich einen Risiko-Peak während der Messelaufzeit sehen.

Im Geschäftsalltag XFAIR-intern ist das Risiko aufgrund der normalen Verfügbarkeit der Datensätze von Projektbeginn bis zum Projektende relativ konstant. Daher würde ich hier keinen Peak sehen, bei dem man sagen könnte zum Projektbeginn oder -ende wäre es besonders. Grundsätzlich gilt: das Risiko bei der Datenverarbeitung ist auf keinen Fall Null, Null gibt es in diesem Zusammenhang nicht. Man kann es nur so weit wie möglich reduzieren.

Durch welche Maßnahmen wird bei XFAIR gewährleistet, dass diese Risiken so niedrig wie möglich gehalten werden?

Da hat die XFAIR schon sehr früh erkannt, dass es hier diverse Richtlinien, Vorgaben, Prozesse benötigt, um ein gewisses Maß an IT-Sicherheit zu gewährleisten. Hier sind die drei Begriffe, die eigentlich mehr aus dem Bereich der DSGVO kommen – Verfügbarkeit, Integrität und Vertraulichkeit – sicher zu stellen. Klar, zunächst besteht das Risiko durch Datenverlust oder eines Leaks, also, dass personenbezogene Daten irgendwo außerhalb des Unternehmens landen. Natürlich sind aber auch Verluste im Sinne von versehentlicher Löschung eine Möglichkeit. Deswegen gibt es einen großen bunten Strauß an Technisch Organisatorischen Maßnahmen (TOMs): von einfachsten Back-up-Strategien, über Sicherheits- und Zugriffskonzepte bis hin zum Einkauf von Leistungen von externen Partnern was Security-Maßnahmen angeht.

Der größte Risikofaktor bleibt aber menschliches Versagen. Die wichtigste Maßnahme hier: Schulungen, Schulungen, Schulungen. Sensibilisierung wird ganz großgeschrieben. Irgendwann haben wir dann auch erkannt, dass ein einfaches ISMS (Informationssicherheitsmanagementsystem) nicht ausreicht, da unsere Kunden einen höheren Standard bzw. Nachweise dafür wollen. Deswegen haben wir uns für eine ISO-Zertifizierung nach 27001 entschieden, welche wir dann 2022 auch umgesetzt haben bzw. uns zertifizieren lassen haben, um ein gewisses Maß an Informationssicherheit nachweisen zu können. Das heißt ja nicht, dass wir diesen Anspruch vorher nicht schon hatten, aber seit der Zertifizierung haben wir den offiziellen Nachweis.
Das ISO- Zertifikat gilt erst mal drei Jahre. Man hat diese Erst-Zertifizierung, gefolgt von zwei Überwachungs-Audits, bei denen nochmal geprüft wird, ob alles funktioniert und das auch alles umgesetzt wird, was wir so behauptet haben. Ab dem dritten Jahr gibt es die so genannte Re-Zertifizierung, das ist dann quasi wie eine Erst-Prüfung, in der man nachweisen muss, dass man auf dem aktuellsten Stand ist, sich weiterentwickelt hat und auf dem neuesten Stand der Technik ist.

XFAIR ist also ISO-zertifiziert. Was beinhaltet diese Zertifizierung und wieso ist sie so wichtig für Unternehmen in der IT-Branche?

Die ISO-Norm ist ein international anerkannter Standard, der gewisse Richtlinien, Vorgaben, Abläufe für Produkte, Prozesse und Dienstleistungen festlegt. Damit gilt sie als Siegel für Qualität, macht aber auch die ganze Thematik vergleichbar. Die ISO-Norm 27001 ist ein Nachweis dafür, dass wir ein gewisses Niveau an Informationssicherheit umgesetzt haben. Darin ist genau definiert wofür man Richtlinien platziert haben muss, wofür man gewisse Prozesse darstellen muss und was diese mindestens beinhalten müssen. Dadurch können (potenzielle) Kunden von uns einfach erkennen, dass die Firma XFAIR über ein gewisses Niveau, was Informationssicherheit anbelangt – ein Minimal-Niveau sage ich jetzt mal – verfügt. Das schafft schon im Vorfeld eine gewisse Vertrauensbasis. Aufgrund des hohen Stellenwerts von IT-Sicherheit ist es momentan so, dass man ohne eine solche Zertifizierung am Markt fast schon keine Chance bei irgendeiner Ausschreibung hat, weil natürlich einfach der Nachweis fehlt, dass man eine gewisse Informationssicherheit gewährleisten kann. Und diesen Nachweis erfüllt dieses ISO-Zertifikat.

Die XFAIR arbeitet konstant an der Weiterentwicklung interner sowie externer Sicherheitsmaßnahmen und schult ihr Personal regelmäßig in alltäglichen Maßnahmen zur Vorbeugung sowie der Handhabung von Sicherheitsvorfällen. Für Fragen zur Zertifizierung und der Anwendung dieses Fachwissens im Messe- und Büroalltag können Sie sich jederzeit über unser Kontaktformular bei uns melden. Mehr Informationen zu unseren Leistungen im Hard- sowie Softwarebereich finden Sie themenspezifisch in den unten aufgeführten Interviews des XFAIR-Blogs.

Dirk Schröder
IT-Sicherheitsbeauftagter
XFAIR GmbH

Weitere Beiträge

Software mit Steven – Wie XFAIR flexible Lösungen schafft

XFAIR entwickelt seit Jahren eigene Softwarelösungen – sowohl webbasiert als auch die XFAIR-Apps. Diese Lösungen werden je nach Veranstaltung, für die XFAIR gebucht wird, individuell an die Bedürfnisse unserer Kunden angepasst. Steven Terry, Leiter der Entwicklung, kennt die Herausforderungen, die mit diesen Anpassungen einhergehen.

XFAIR Services – Wie unsere Lösungen umgesetzt werden

Die XFAIR-Leistungen beinhalten nicht nur Software-Lösungen und Hardware-Angebote auf Mietbasis inklusive Systemintegration, sondern auch umfassende BackOffice Services durch unser Customer Care Team. Hierbei werden die Kundenwünsche priorisiert und deren Umsetzung großgeschrieben. Wie das Team zusammengesetzt ist und welche Services genau erbracht werden, erklärt Abteilungsleiterin, Lina Herrmann, im Interview.

Catering App im Hinblick auf den Stellenwert von Hospitality auf Messen

Messen sind bekanntermaßen ein Sammelbecken von verschiedenen Experten einer Branche oder Interessenten an einem bestimmten Themenbereich. Egal mit welchen Beweggründen sie zur Veranstaltung erscheinen, in der Regel sind Messebesucher offen für Gespräche vor diversen fachlichen Hintergründen.

Zurück zur Übersicht