Trends und Entwicklungen in der Informationssicherheit – die GUTcert im Interview mit Arndt Schürg (Brandeis Digital GmbH)

Im zweiten Teil unserer Interview-Reihe dreht sich alles um die ISO 27001, das Managementsystem für Informationssicherheit (ISMS). Diesmal sprechen wir mit Arndt Schürg vom Beratungsunternehmen Brandeis Digital.

Bei der GUTcert haben wir uns vorgenommen, mit unseren Kunden und Partnern nicht nur projektbezogene Fragestellungen zu diskutieren, sondern einige dieser Gespräche als Interviews zu führen. Damit möchten wir Erfahrungen aus der Anwendung von Managementsystemen sowie aktuelle Trends aus der Wirtschaft sammeln und Einblicke aus der Praxis weitergeben: voneinander lernen? Sehr gerne. Das erste Interview der Reihe finden Sie hier.

Diesmal sprechen wir mit Arndt Schürg vom Beratungsunternehmen Brandeis Digital. Herr Schürg berät zahlreiche Organisationen in Deutschland zu ISO 27001, KRITIS und TISAX und ist sowohl in seinem eigenen Unternehmen als auch bei Kunden als Informationssicherheitsbeauftragter (ISB) tätig – eine praxisnahe Kombination mit großem Erfahrungsschatz. Brandeis wurde im Sommer 2025 von der GUTcert nach ISO 27001 zertifiziert. Im Interview sprechen wir über aktuelle Entwicklungen in Bezug auf Informationssicherheit und darüber, was es bedeutet, vollständig digital zu arbeiten.

 

Zertifizierung als virtuelles Unternehmen

GUTcert: Brandeis Digital wurde 2019 gegründet. Das Unternehmen trägt den Namen von Louis Brandeis, einen deutschen Auswanderer, der im 19. Jahrhundert die Grundlagen für das Recht auf Privatsphäre in der US-Verfassung schuf. In Ihrer Kundenansprache auf der Webseite schreiben Sie: „Unsere Mission ist es, die digitale Welt sicherer und transparenter zu gestalten – für euch und für die Zukunft.“ Sie setzten in Ihrer Beratung stark auf ISMS, haben sich jedoch erst 2025 danach zertifizieren lassen. Warum so spät?

Arndt Schürg: Die Auseinandersetzung mit Informationssicherheit war bereits von Beginn an Teil unserer Firmenphilosophie, insbesondere aufgrund unserer Tätigkeit in der Kundenberatung. Die eigene Zertifizierung stand schon länger auf unserer „bucket list“. Doch kurz nach unserer Gründung kam die Pandemie – und damit lagen andere Themen zunächst im Fokus.

Durch mein persönliches Interesse an Informationssicherheit und unsere tägliche Arbeit hatten wir bereits viele ISMS-Anforderungen in unsere Prozesse und unser Portfolio integriert. Vor der Erstzertifizierung hatten wir dadurch einen fortgeschrittenen Reifegrad erreicht. Die Zertifizierung war für uns der logische nächste Schritt zur weiteren Professionalisierung – und wir wollten dies auch nach außen belegen.

GUTcert: Sie betreiben ein rein virtuelles Unternehmen ohne Bürostandort. Welche Besonderheiten ergeben sich beim Aufbau eines ISMS in diesem Arbeitsmodell?

Arndt Schürg: Unser Arbeitsalltag umfasst zahlreiche sicherheitsrelevante Maßnahmen: ein abschließbarer Raum als persönliches „Office“, Mobile-Device-Management, Festplattenverschlüsselung, Kommunikation ausschließlich über VPN oder HTTPS. Alle Mitarbeitenden erhalten ein Smartphone mit mobilem Internet. Zudem ist eine klare Richtlinie für das Arbeiten unterwegs zentral: Wir nutzen niemals öffentliches WLAN, sondern ausschließlich mobile Hotspots über das Diensthandy.

Interessanterweise war es gar nicht so einfach, einen Zertifizierer für unser rein digitales Arbeitsmodell zu finden. Wir haben verschiedene Angebote eingeholt und festgestellt, dass einige große Anbieter unsere digitale Realität nicht prüfen wollten. Die GUTcert hingegen war offen und flexibel.

Sie sagten: „Das Prüfverfahren müssen wir zunächst mit der DAkkS klären*. Wir finden gemeinsam eine akkreditierungskonforme Lösung – sofern es eine gibt.“ Und die GUTcert hat diese Lösung für uns gefunden.

*Hinweis: Nach ISO 27006:2015, B.3.2 „Fernaudit“ musste bei Remote-Anteilen über 30 % eine spezielle Genehmigung der Akkreditierungsstelle eingeholt werden.

GUTcert: Ihr ISMS ist noch vergleichsweise „jung“. Konnten Sie seit der Zertifizierung im Sommer 2025 bereits positive Effekte feststellen?

Arndt Schürg: Ja, auf jeden Fall. Wir nutzen unser Ticketsystem heute deutlich intensiver. Als Bestandteil unserer internen Organisation und Prozesssteuerung haben wir es nochmal auf ein neues Niveau gehoben.

Ein weiterer Punkt ist das Bewusstsein unserer Mitarbeitenden. Wir motivieren unser Team, neugierig zu bleiben, technologische Entwicklungen zu verfolgen und neue Tools auszuprobieren. Doch bevor ein Tool genutzt werden darf, erfolgt eine Vorprüfung durch die IT-Abteilung und mich als ISB: Ist das Tool lizenziert? Dürfen wir es kostenfrei verwenden? Wie sieht es mit Datenschutz und Informationssicherheit aus?

Hier gilt: lieber sorgfältig prüfen als spontan ausprobieren. Durch den systematischen Umgang mit Informationssicherheit ist diese Vorgehensweise mittlerweile fest im Alltag verankert.

 

Geprüfte Sicherheit in der Lieferkette wird immer wichtiger

GUTcert: Lassen Sie uns auf aktuelle Trends schauen. Wo sehen Sie den größten Auslöser für das steigende Interesse an ISMS-Zertifizierungen? Und wird die ISO 27001 bei Ausschreibungen zum K.O.-Kriterium?

Arndt Schürg: Da wir überwiegend für kommunale Unternehmen tätig sind, kann ich vor allem für dieses Marktsegment sprechen. Bei Ausschreibungen von Stadtwerken ist eine bestehende ISMS-Zertifizierung aktuell eher kein formales K.O.-Kriterium. Dennoch gewinnt sie deutlich an Bedeutung – vor allem in der Lieferkette von ISO-27001-Anwendern. Das liegt auch an der letzten Aktualisierung der Norm, insbesondere an der Konkretisierung der Maßnahme 5.19 „Lieferantenmanagement“.

Die Auswirkungen spüren wir in allen Kundensegmenten:

  • Kommunale Unternehmen mit lokal gewachsenen Lieferketten:
    Früher spielte das Thema ISMS-Zertifizierung bei Lieferanten in der Regel kaum eine Rolle. Die Zusammenarbeit basiert oft auf langjährigen Beziehungen, gegenseitigem Vertrauen und lokaler Nähe. Zertifizierungen waren selten, vieles lief informell.
    Jetzt gehen Auditorinnen und Auditoren diese Strukturen zunehmend systematisch an und fordern geprüfte Sicherheit in der Lieferkette ein.
  • Größere Unternehmen mit eingeschränktem Geltungsbereich:
    Viele sind zwar bereits zertifiziert, aber nur für ausgewählte Bereiche – z. B. ausschließlich das Rechenzentrum. Durch neue Anforderungen und Kundenanfragen wächst jedoch der Druck, den Geltungsbereich auszuweiten, etwa auf weitere Dienstleistungen oder Betriebsbereiche.
  • KMU mit IT-intensiven Spezialanwendungen oder im OT-Umfeld (Operational Technology):
    In diesen Bereichen ist die Sensibilität traditionell höher. Viele Unternehmen befinden sich bereits im Zertifizierungsprozess und haben das Lieferkettenmanagement von Beginn an als zentralen Baustein ihres ISMS definiert.

 

Erste Schritte zum Aufbau eines ISMS

GUTcert: Was würden Sie Unternehmen empfehlen, die neu in das Thema ISMS einsteigen? Wie beginnt man am besten?

Arndt Schürg: Die meisten Unternehmen machen bereits sehr viel richtig – insbesondere die verantwortlichen IT-Administratoren. Natürlich gibt es Verbesserungspotenziale, aber insgesamt sind viele schon auf einem guten Niveau.

Aus meiner Sicht ist – insbesondere mit Blick auf eine spätere Zertifizierung – der Einstieg über eine GAP-Analyse ideal. Damit lässt sich systematisch klären:

  • Welche Anforderungen stellt die Norm?
  • Was wird bei uns bereits umgesetzt?
  • Wie wird es umgesetzt?
  • Wer trägt dafür Verantwortung?
  • Reicht die Umsetzung aus, um die Normanforderung vollständig zu erfüllen?

Bei Brandeis führen wir eine GAP-Analyse gern in zwei Stufen durch:

  • Bestandsaufnahme:
    Wird die jeweilige Anforderung erfüllt? Ja oder nein. Das lässt sich meist schnell beantworten.
  • Bewertung:
    Ist die Umsetzung angemessen und wirksam? Also: Ist das, was wir tun, ausreichend – oder eben nicht?

Auf dieser Grundlage kann man in den kontinuierlichen Verbesserungsprozess gehen und bestehende Lücken zielgerichtet schließen.

Aus der Praxis möchte ich gern ein paar Hinweise mitgeben:

  • Dokumentieren Sie nur das, was Sie tatsächlich tun:
    Nicht, was gut klingt – sondern was wirklich gelebt wird. Alles andere führt intern zur Frustration und im Audit schnell zu Abweichungen.
  • Keine Wunschlisten in der Dokumentation:
    Wenn IT-Verantwortliche ungeprüft Neuerungen eintragen, in der Hoffnung, die Geschäftsführung setze sie schon um, funktioniert das meist nicht – und kann im Audit sogar eine Hauptabweichung bedeuten.
  • Sorgfalt bei Definitionen und Kategorisierungen:
    Ein Beispiel: In einem Unternehmen wurde „Internetausfall“ als Notfall definiert, bei dem stets der Notfallstab einberufen und Maßnahmen dokumentiert werden müssen. Ein Auditor würde dann selbstverständlich fragen: „Bitte zeigen Sie die Unterlagen vom letzten Notfallstab, als das Internet ausgefallen ist.“ Abgesehen davon, dass das Fehlen des Protokolls eine Nonkonformität darstellt, ist solch eine Regelung auch völlig unpraktikabel im Alltag.
  • Alles in allem sollten gelebte Kultur und Normanforderungen mit Bedacht zusammengeführt werden. Verantwortliche müssen also prüfen, wie sich eine praktikable Lösung finden lässt, mit der alle gut arbeiten können – ohne Prinzipienreiterei, aber auch ohne Lücken.
  • Gerade in größeren Unternehmen greifen etablierte Prozesse, sowohl technisch als auch organisatorisch. Doch auch hier sind eine detaillierte Kontextanalyse und eine breite interne Abstimmung sehr empfehlenswert. Dann funktioniert es in der Regel sehr gut.

GUTcert: Vielen lieben Dank für Ihre Zeit und Ihre Bereitschaft, Erfahrung mit uns zu teilen. – Ende des Interviews.

v.l.n.r. Tim Stauffenberg, Yulia Felker, Cedric Sell
v.l.n.r. Tim Stauffenberg, Yulia Felker, Cedric Sell. Foto: Cord Müller

Seminare bei der GUTcert Akademie

Sie möchten sich vertieft mit den Themen ISO 27001 und ISMS auseinandersetzen? In der GUTcert Akademie bieten wir dazu seit vielen Jahren etablierte Seminare und Workshops an – von der Einführung eines ISMS bis zur internen Auditierung nach ISO 27001.

 

Ansprechperson

Bei Fragen oder Anmerkungen zum Thema ISMS wenden Sie sich gerne an Tim Stauffenberg.