Für Medienunternehmen sind Informationen der wichtigste wirtschaftliche Asset. Dementsprechend zentral ist in der Medienbranche auch das Thema Informationssicherheit und Datenschutz angesiedelt – gerade vor dem Hintergrund rasant zunehmender Cyberangriffe und staatlich motivierter Desinformationskampagnen. Wie aber geht ein Dienstleister für große öffentlich-rechtliche sowie viele private Sendeanstalten mit dieser Herausforderung um? Die LOGIC media solutions GmbH, deutscher Systemarchitekt für professionelle digitale Bewegtbild-Lösungen, hat dieser Achillesferse und damit den verwundbaren Stellen ihrer Systeme höchste Aufmerksamkeit geschenkt. Ganz vorne mit im Spiel: das jüngst nach ISO 27001 zertifizierte Informationssicherheits-Managementsystem von LOGIC. Wie viele und welche Rädchen dabei wie ineinandergreifen mussten, lesen Sie in dieser Case Study.
Informationssicherheit in der Medienbranche: Broadcasting mit ISO 27001 Zertifikat
Wandel in der Broadcast-Industrie
Als Systemarchitekt für hybride professionelle Bewegtbild-Infrastrukturen gehört die LOGIC media solutions GmbH zu den führenden Designern anspruchsvoller Medienlandschaften. Um sich in Sachen Informationssicherheit und Cybersicherheit noch robuster aufzustellen und die internen Strukturen für die durchgängige Einhaltung branchenspezifischer Security-Standards zu schaffen, hat das Unternehmen 2024 ein konsistentes Informationssicherheits-Managementsystem (ISMS) entwickelt, umgesetzt und durch die DQS nach ISO 27001 zertifizieren lassen.
Das technische Anforderungsprofil an Broadcast-Technologie unterscheidet sich deutlich von dem in der klassischen IT – schon mit Blick auf die übertragenen Bandbreiten, die QoS-Ansprüche und die Protokollvielfalt. Die hohen Kosten für das erforderliche Spezialequipment führen in der Folge zu längeren Produktlebenszyklen und damit auch zu einem zeitverzögerten technologischen Wandel. Doch inzwischen sind auch in der Broadcast Industrie offene IP-Netzwerke und flexible Cloud-Tools allgegenwärtig – zu attraktiv sind die Vorteile, die die Konvergenz bietet: vom Plus an Effizienz durch dezentrales Zusammenarbeiten bis zur einfacheren Netzwerkorchestrierung.
Mit dem technologischen Wandel halten aber auch viele klassische Probleme der IT-Branche im Broadcasting Einzug: Die Integration unzähliger IP-basierter Endpoints in weltweiten, prinzipiell offenen Netzwerken multipliziert die Einfallstore für Cyberkriminelle und führt zu zahllosen Schwachstellen, die gefährliche Informationssicherheitsvorfälle nach sich ziehen können.
Prozessorientierung in ISO 27001
Für eine prozessorientierte Auditierung Ihres ISMS haben wir die Normanforderungen und die 93 Informationssicherheitsmaßnahmen im Anhang A in einer grafischen Prozesslandkarte mit 18 ISMS-Prozessen (4 Managementprozesse, 14 Betriebsprozesse) zusammengefasst.
Profitieren Sie jetzt vom Know-how unserer Normexperten.
Informationssicherheit in der Medienbranche
Hohe KRITIS-Anforderungen
Da der öffentlich-rechtliche Rundfunk zu den Kritischen Infrastrukturen (KRITIS) zählt, haben sich die Anforderungen und regulatorischen Vorgaben an die Informationssicherheit im digitalen Raum in den letzten Jahren stark verschärft – eine Entwicklung in der Compliance, die auch an einem mittelständischen, hoch spezialisierten digitalen Dienstleister wie LOGIC nicht vorbeigeht:
„Mit unter 50 Vollzeitäquivalenten liegen wir eigentlich unter dem NIS-2-Scope für die wichtigen Einrichtungen. Aber da unsere Hauptkunden aus dem öffentlich-rechtlichen Rundfunk kommen, und wir oft über externe Systemzugänge verfügen, müssen wir – Stichwort: Supply Chain Security – immer höhere Sicherheitsanforderungen erfüllen“, erklärt Markus Reinisch, Prokurist & Lead of Finance and Administration bei LOGIC.
„Gleichzeitig ist unser Fokus auf Informationssicherheit und die ISO 27001 Zertifizierung aber auch intrinsisch motiviert", so Reinisch weiter. "Tatsächlich gab es ja bereits Social Engineering Angriffe bei großen Rundfunkanstalten, bei denen versucht wurde, über Mitarbeiter- und Subunternehmer-Zugänge ins Sendesystem zu gelangen. Als Dienstleister, der eng mit den Sendern zusammenarbeitet, wollen wir ein klares Signal setzen, dass sich unsere Kunden auf uns verlassen können. Die erfolgreiche Umsetzung und Zertifizierung eines ISMS nach ISO 27001 hilft uns, diese Vertrauenswürdigkeit nachzuweisen, und ist damit ein wertvoller Türöffner für viele spannende Projekte.“
Cybersicherheit mit einem maßgeschneiderten ISMS
Bereits seit 2022 – noch bevor das Thema Informationssicherheit in der Broadcast Branche weltweit präsent wurde – reifte bei LOGIC der Entschluss, sich nach ISO 27001 zertifizieren zu lassen. Im März 2023 fiel dann der Startschuss zum Projekt, zunächst mit der Kalkulation von Kosten und Aufwand, dann mit ersten Gesprächen mit der DQS als Zertifizierer und Data Guard als Dienstleister für Beratung und Support bei Entwicklung und Betrieb des Managementsystems. Die Umsetzung startete schließlich im Mai 2023.
„Aufgrund unserer hohen intrinsischen Motivation, ein wirksames und maßgeschneidertes Informationssicherheits-Managementsystem aufzubauen, ging es uns nie darum, stumpf standardisierte Dokument- und Prozessvorlagen abzuarbeiten“, erklärt Niklas Ehrenklau, Media Engineer und stellvertretender ISB bei LOGIC. „Stattdessen wollten wir die Informationssicherheit zu einem lebendigen Teil unserer Unternehmenskultur machen. Dafür galt es, ein tiefes Verständnis für die ISO-Norm zu entwickeln, daraus Impulse für konkrete Verbesserungen abzuleiten und diese in einem maßgeschneiderten ISMS umzusetzen. Dies bedeutete im Vergleich zur Nutzung von Standard-Templates einen gewissen Mehraufwand, den wir mithilfe von Gen-KI-Tools aber gut reduzieren konnten, und hat unter dem Strich enormen Mehrwert generiert. So haben wir im Zuge der ISMS-Entwicklung viele spannende Synergieeffekte zwischen unseren Prozess-Tools entdeckt, die wir letztlich in unserem zentralen ERP-System zusammenführen und standardisieren konnten.“
Dank KI haben wir uns beim Schreiben des ISMS wohl die Hälfte an zeitlichem Aufwand gespart.
Das Team als zentraler Erfolgsfaktor
Das Thema Change Management spielte bei der Einführung des ISMS eine zentrale Rolle, da die vielen prozessualen Veränderungen dazu führten, dass Mitarbeitende ihre Routinen umstellen mussten. Für einen reibungslosen Change-Prozess galt es also, die Mitarbeiter zu sensibilisieren und abzuholen, damit sie die Änderungen konsequent mittragen.
„Selbstverständlich haben die umfangreichen Änderungen auch für einigen Wirbel innerhalb der Belegschaft geführt“, erinnert sich Markus Reinisch zurück. „Die Einführung des Least-Privilege-Prinzips, die konsequente Durchsetzung robuster Passwortrichtlinien inklusive Passwortmanager oder die abgesperrte Eingangstür, vor der Mitarbeitende stehen, wenn sie ihren Schlüssel vergessen – um nur einige wenige Beispiele zu nennen. Das sind natürlich alles Veränderungen, die den Mitarbeitern zunächst einmal auffallen, unabhängig davon, ob sie mit den Änderungen d’accord gehen oder nicht."
„Wir haben daher“, betont Reinisch, "von Beginn an sehr viel Wert darauf gelegt, uns transparent und permanent in unseren Dailys, Weeklys und Town-Hall-Formaten über die Änderungen auszutauschen und den Kollegen zu vermitteln: ‚Wir wissen, der eine oder andere muss sich erst daran gewöhnen, aber wir brauchen das.‘ Dass das Projekt von unserer Geschäftsführung initiiert war, die uns bei der Umsetzung auch vollumfänglich unterstützt sowie Kapital und Befugnisse bereitgestellt hat, Stichwort: unternehmerische Verantwortung, hat natürlich sehr geholfen.“
Jeder liebt Veränderung, aber keiner wird gern verändert.
Mut zum kontrollierten Risiko
Diese Verantwortung der Geschäftsleitung gilt auch für das in der Norm geforderte, aktive Risikomanagement: ISO 27001 verlangt von jedem Unternehmen, dass es geeignete Maßnahmen ergreift, um Sicherheitslücken zu minimieren – lässt ihnen aber auch Spielraum, gewisse Risiken bewusst zu akzeptieren.
„Potenzielle Gefahren nicht nur zu erkennen, sondern auch richtig einzuschätzen, war ein wichtiger Lernprozess für uns“, erläutert Niklas Ehrenklau rückblickend. „Jedes Risiko muss adressiert werden – das heißt aber nicht, dass sämtliche Maßnahmen umzusetzen sind, die die Norm theoretisch vorsieht. Gerade ein kleineres Unternehmen wie wir kann durch dieses Abwägen auch einiges an Kosten sparen, ohne echte Einbußen bei der Sicherheit machen zu müssen. Ein gutes Beispiel ist das Thema Videoüberwachung unserer Räumlichkeiten – da haben wir bewusst gesagt: Nachdem bei uns kaum wertvolle Güter lagern und unsere Daten doppelt gesichert werden, reicht uns eine normale Alarmanlage. Das haben wir im externen Audit durch die DQS auch so kommuniziert.“
Informationssicherheit in der Medienbranche
Erfolgreiche Zertifizierung ohne Nonkonformität
Im Juni 2024 bestand LOGIC das Zertifizierungsaudit durch die DQS ohne Abweichungen. Mit Blick auf die besonders detaillierte Umsetzung wurde sogar eine hohe Reife attestiert, wie sie bei Erst-Zertifizierungen nur selten vorzufinden ist. „LOGIC hat von Anfang an sehr vieles richtig gemacht“, resümiert DQS Lead-Auditorin Antje Degener. „Sie haben sich intensiv mit der Norm ISO 27001 beschäftigt und ihr ISMS genau auf ihren Geschäftsbetrieb zugeschnitten. So konnte LOGIC uns gegenüber auch überzeugend vertreten, warum sie im Rahmen eines reflektierten Risikomanagements dieses oder jenes Risiko in Kauf nehmen. Darüber hinaus haben sie für die Umsetzung und Aktualisierung ihres Managementsystems klare Abläufe definiert und dokumentieren sämtliche implementierten Maßnahmen und Prozesse transparent in einem zentralen Tool – was das Audit für alle Seiten enorm erleichtert hat.“
„Die Norm ISO 27001 ist deutlich agiler, als sie auf dem Papier erscheint.“
Auch Niklas Ehrenklau hat den Prüfprozess in guter Erinnerung: „Ein Schlüsselfaktor für unser gutes Abschneiden war neben dem hohen Individualisierungsgrad unseres ISMS sicher auch die enge Zusammenarbeit mit den erfahrenen Auditoren der DQS, die uns selbst im Zertifizierungsprozess noch Verbesserungspotenzial aufgezeigt haben. Es war eben kein reines Audit, sondern ein Audit mit Mehrwert.“
„Es war eben kein reines Audit, sondern ein Audit mit Mehrwert.“
KI-Werkzeuge für interne Audits
Unser Workshop vermittelt Ihnen sinnvolles Wissen über KI-Werkzeuge für interne Audits und bietet einen praktischen Einstieg in das Thema mit konkreten Vorschlägen zu Werkzeugen und deren Einsatz in konkreten Arbeitssituationen.
Nach dem Audit ist vor dem Audit
Mit dem Erhalt des ISO 27001 Zertifikats ist das ISMS-Projekt für LOGIC keineswegs abgeschlossen: Vielmehr macht sich das Unternehmen nun daran, die Informationssicherheit noch fester in der Unternehmenskultur zu verankern und die Awareness des Teams weiter zu schärfen. Und auch das Informationssicherheits-Managementsystem als solches wird als lebendiger Organismus betrachtet, den es im Rahmen regelmäßiger interner wie externer Audits fortlaufend zu überprüfen und zu optimieren gilt. Konsequenterweise lässt sich LOGIC mit der endgütigen Projektbilanz daher auch noch etwas Zeit: Erst nach Abschluss des ersten vollständigen Zertifizierungszyklus im Juli 2028 will man im Rahmen der Rezertifizierung eine finale Bewertung vornehmen.
„Mit der Norm haben wir ein robustes Fundament für unseren künftigen wirtschaftlichen Erfolg gelegt.“
Das erste Zwischenfazit von Markus Reinisch fällt jedenfalls schon rundum positiv aus: „Auch wenn wir unser ISMS erst 2028 abschließend evaluieren werden, sehen wir bereits, dass wir in vielerlei Hinsicht davon profitieren. Zum Beispiel, weil wir dank der Zertifizierung bei Ausschreibungen viel weniger Überzeugungsarbeit leisten und keine seitenlangen Spezifikationen zu unseren Sicherheitsstandards einreichen müssen – das ISO-Siegel spricht für sich. Und auch aus der Branche erhalten wir viel positives Feedback und gelten dank dem Zertifikat als vertrauenswürdiger Partner. Kurz: Mit der Norm haben wir ein robustes Fundament für unseren künftigen wirtschaftlichen Erfolg gelegt.“
ISO 27001 Zertifizierung
Mit der fortschreitenden digitalen Transformation rückt die Informationssicherheit immer stärker in den Fokus der Unternehmen. Angesichts der wachsenden Bedrohungen durch Datenverlust, Hacking-Angriffe oder Geschäftsstillstand durch Datenmissbrauch ist ein strukturiertes Informationssicherheits-Managementsystem nach ISO 27001 nicht nur sinnvoll, sondern unverzichtbar.
Und auch Jens Gnad, Geschäftsführender Gesellschafter von LOGIC media solutions, bewertet das erfolgreich abgeschlossene Zertifizierungsprojekt als wichtige Weichenstellung: „Die Einführung eines ISMS war für uns mehr als nur ein formales Zertifizierungsprojekt – sie war ein strategischer Schritt in unserer Transformation vom klassischen Reseller hin zur Serviceorganisation für komplexe Broadcast- und Cloud-Infrastrukturen. Informationssicherheit ist in unserer zur kritischen Infrastruktur gehörenden Branche längst zur Grundvoraussetzung geworden – nicht nur technisch, sondern auch kulturell. Dass wir mit einem kleinen, hochspezialisierten Team ein ISO 27001 Zertifikat ohne Nonkonformität erreichen konnten, macht uns stolz und verdanken wir dem außergewöhnlichen Einsatz unserer Mitarbeitenden.“
„Informationssicherheit ist längst keine Kür mehr – sie ist geschäftskritisch!“
Broadcast Dienstleister
Über LOGIC media solutions
LOGIC media solutions GmbH ist ein deutscher Systemarchitekt und Service-Dienstleister mit über 25 Jahren Erfahrung in der Broadcast- und Medienbranche. Das Unternehmen entwickelt maßgeschneiderte digitale Lösungen für professionelle Medieninfrastrukturen – von Live-Produktionen über filebasierte Workflows bis hin zu hybriden und cloudbasierten Produktionsumgebungen. Im Zentrum steht dabei die Verbindung von technischer Präzision, tiefgreifender Branchenkenntnis und einem klaren Blick für die Anforderungen von morgen.
Mit seinen Service Dienstleistungen bietet das Unternehmen einen modular aufgebauten Rahmen für Beratung, Planung, Umsetzung und Betrieb technischer Medieninfrastrukturen. Ziel ist es, komplexe Anforderungen effizient, strukturiert und zukunftssicher umzusetzen – abgestimmt auf bestehende Systeme und strategische Ziele.
Als Amazon Web Services Advanced Partner für kommerzielle und öffentliche Kunden unterstützt LOGIC die gesamte Wertschöpfungskette cloudbasierter Medienworkflows. Die eigens entwickelte Orchestrierungslösung PORTAL dient als zentrale Plattform zur einfachen Bereitstellung, Verwaltung und Skalierung von Medieninfrastrukturen in der Cloud. Ergänzt wird das Leistungsangebot bei Bedarf durch ein komplettes Managed Services Angebot und praxisnahe Schulungen im LOGIC Medien Trainingszentrum (LMTZ).
Expertise und Vertrauen
Der ganzheitliche, neutrale Blick unserer erfahrenen Auditoren auf Menschen, Prozesse, Systeme und Ergebnisse zeigt, wie wirksam Ihr Informationssicherheits-Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie die Zertifizierung nach der ISO-Norm nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.
Unsere Audits liefern Ihnen Klarheit. Unsere Kunden sehen darin eine Chance. Für sie ist das Feedback des unabhängigen Auditors zum Verbesserungspotenzial und möglichen Risiken ebenso wertvoll wie ein DQS-Zertifikat als Nachweis ihrer Qualitätsfähigkeit. Damit dies so bleibt, achten wir strikt auf Integrität und Objektivität – mehr dazu lesen Sie in unserer Auditphilosophie.
Sie haben Fragen?
Wir sind für Sie da.
Mit welchem Aufwand müssen Sie für eine Zertifizierung nach ISO 27001 rechnen? Wir informieren Sie gerne.
Kontaktieren Sie uns. Ganz unverbindlich und kostenfrei.
Matthias Vogel
Seit 2010 ist Matthias Vogel Pressesprecher der DQS GmbH und verantwortlich für die Fachpresse. Als Senior Content Manager ist er mitverantwortlich für die Themenfindung des DQS Blogs „DQS im Dialog“, für die Abstimmung mit Autor*innen und für die Textredaktion. Matthias Vogel ist Mitherausgeber des regelmäßig erscheinenden DQS–Newsletters „Business Insights“ und versorgt Sie so mit Informationen und Wissensangeboten rund um Audits und Zertifizierung.
