In­for­ma­ti­ons­si­cher­heit in der Me­di­en­bran­che: Broad­cas­ting mit ISO 27001 Zer­ti­fi­kat

Wandel in der Broadcast-Industrie

Als Systemarchitekt für hybride professionelle Bewegtbild-Infrastrukturen gehört die LOGIC media solutions GmbH zu den führenden Designern anspruchsvoller Medienlandschaften. Um sich in Sachen Informationssicherheit und Cybersicherheit noch robuster aufzustellen und die internen Strukturen für die durchgängige Einhaltung branchenspezifischer Security-Standards zu schaffen, hat das Unternehmen 2024 ein konsistentes Informationssicherheits-Managementsystem (ISMS) entwickelt, umgesetzt und durch die DQS nach ISO 27001 zertifizieren lassen.

Das technische Anforderungsprofil an Broadcast-Technologie unterscheidet sich deutlich von dem in der klassischen IT – schon mit Blick auf die übertragenen Bandbreiten, die QoS-Ansprüche und die Protokollvielfalt. Die hohen Kosten für das erforderliche Spezialequipment führen in der Folge zu längeren Produktlebenszyklen und damit auch zu einem zeitverzögerten technologischen Wandel. Doch inzwischen sind auch in der Broadcast Industrie offene IP-Netzwerke und flexible Cloud-Tools allgegenwärtig – zu attraktiv sind die Vorteile, die die Konvergenz bietet: vom Plus an Effizienz durch dezentrales Zusammenarbeiten bis zur einfacheren Netzwerkorchestrierung.

Mit dem technologischen Wandel halten aber auch viele klassische Probleme der IT-Branche im Broadcasting Einzug: Die Integration unzähliger IP-basierter Endpoints in weltweiten, prinzipiell offenen Netzwerken multipliziert die Einfallstore für Cyberkriminelle und führt zu zahllosen Schwachstellen, die gefährliche Informationssicherheitsvorfälle nach sich ziehen können.

Informationssicherheit in der Medienbranche

Hohe KRITIS-Anforderungen

Da der öffentlich-rechtliche Rundfunk zu den Kritischen Infrastrukturen (KRITIS) zählt, haben sich die Anforderungen und regulatorischen Vorgaben an die Informationssicherheit im digitalen Raum in den letzten Jahren stark verschärft – eine Entwicklung in der Compliance, die auch an einem mittelständischen, hoch spezialisierten digitalen Dienstleister wie LOGIC nicht vorbeigeht: 

„Mit unter 50 Vollzeitäquivalenten liegen wir eigentlich unter dem NIS-2-Scope für die wichtigen Einrichtungen. Aber da unsere Hauptkunden aus dem öffentlich-rechtlichen Rundfunk kommen, und wir oft über externe Systemzugänge verfügen, müssen wir – Stichwort: Supply Chain Security – immer höhere Sicherheitsanforderungen erfüllen“, erklärt Markus Reinisch, Vice President Operations bei LOGIC. 

„Gleichzeitig ist unser Fokus auf Informationssicherheit und die ISO 27001 Zertifizierung aber auch intrinsisch motiviert", so Reinisch weiter. "Tatsächlich gab es ja bereits Social Engineering Angriffe bei großen Rundfunkanstalten, bei denen versucht wurde, über Mitarbeiter- und Subunternehmer-Zugänge ins Sendesystem zu gelangen. Als Dienstleister, der eng mit den Sendern zusammenarbeitet, wollen wir ein klares Signal setzen, dass sich unsere Kunden auf uns verlassen können. Die erfolgreiche Umsetzung und Zertifizierung eines ISMS nach ISO 27001 hilft uns, diese Vertrauenswürdigkeit nachzuweisen, und ist damit ein wertvoller Türöffner für viele spannende Projekte.“

Cybersicherheit mit einem maßgeschneiderten ISMS

Bereits seit 2022 – noch bevor das Thema Informationssicherheit in der Broadcast Branche weltweit präsent wurde – reifte bei LOGIC der Entschluss, sich nach ISO 27001 zertifizieren zu lassen. Im März 2023 fiel dann der Startschuss zum Projekt, zunächst mit der Kalkulation von Kosten und Aufwand, dann mit ersten Gesprächen mit der DQS als Zertifizierer und Data Guard als Dienstleister für Beratung und Support bei Entwicklung und Betrieb des Managementsystems. Die Umsetzung startete schließlich im Mai 2023.

„Aufgrund unserer hohen intrinsischen Motivation, ein wirksames und maßgeschneidertes Informationssicherheits-Managementsystem aufzubauen, ging es uns nie darum, stumpf standardisierte Dokument- und Prozessvorlagen abzuarbeiten“, erklärt Niklas Ehrenklau, Information Security Officer bei LOGIC. 

„Stattdessen wollten wir die Informationssicherheit zu einem lebendigen Teil unserer Unternehmenskultur machen. Dafür galt es, ein tiefes Verständnis für die ISO-Norm zu entwickeln, daraus Impulse für konkrete Verbesserungen abzuleiten und diese in einem maßgeschneiderten ISMS umzusetzen. Dies bedeutete im Vergleich zur Nutzung von Standard-Templates einen gewissen Mehraufwand, den wir mithilfe von Gen-KI-Tools aber gut reduzieren konnten, und hat unter dem Strich enormen Mehrwert generiert. So haben wir im Zuge der ISMS-Entwicklung viele spannende Synergieeffekte zwischen unseren Prozess-Tools entdeckt, die wir letztlich in unserem zentralen ERP-System zusammenführen und standardisieren konnten.“

Das Team als zentraler Erfolgsfaktor

Das Thema Change Management spielte bei der Einführung des ISMS eine zentrale Rolle, da die vielen prozessualen Veränderungen dazu führten, dass Mitarbeitende ihre Routinen umstellen mussten. Für einen reibungslosen Change-Prozess galt es also, die Mitarbeiter zu sensibilisieren und abzuholen, damit sie die Änderungen konsequent mittragen.

„Selbstverständlich haben die umfangreichen Änderungen auch für einigen Wirbel innerhalb der Belegschaft geführt“, erinnert sich Markus Reinisch zurück. „Die Einführung des Least-Privilege-Prinzips, die konsequente Durchsetzung robuster Passwortrichtlinien inklusive Passwortmanager oder die abgesperrte Eingangstür, vor der Mitarbeitende stehen, wenn sie ihren Schlüssel vergessen – um nur einige wenige Beispiele zu nennen. Das sind natürlich alles Veränderungen, die den Mitarbeitern zunächst einmal auffallen, unabhängig davon, ob sie mit den Änderungen d’accord gehen oder nicht."

„Wir haben daher“, betont Reinisch, "von Beginn an sehr viel Wert darauf gelegt, uns transparent und permanent in unseren Dailys, Weeklys und Town-Hall-Formaten über die Änderungen auszutauschen und den Kollegen zu vermitteln: ‚Wir wissen, der eine oder andere muss sich erst daran gewöhnen, aber wir brauchen das.‘ Dass das Projekt von unserer Geschäftsführung initiiert war, die uns bei der Umsetzung auch vollumfänglich unterstützt sowie Kapital und Befugnisse bereitgestellt hat, Stichwort: unternehmerische Verantwortung, hat natürlich sehr geholfen.“

Mut zum kontrollierten Risiko

Diese Verantwortung der Geschäftsleitung gilt auch für das in der Norm geforderte, aktive Risikomanagement: ISO 27001 verlangt von jedem Unternehmen, dass es geeignete Maßnahmen ergreift, um Sicherheitslücken zu minimieren – lässt ihnen aber auch Spielraum, gewisse Risiken bewusst zu akzeptieren.

„Potenzielle Gefahren nicht nur zu erkennen, sondern auch richtig einzuschätzen, war ein wichtiger Lernprozess für uns“, erläutert Niklas Ehrenklau rückblickend. „Jedes Risiko muss adressiert werden – das heißt aber nicht, dass sämtliche Maßnahmen umzusetzen sind, die die Norm theoretisch vorsieht. Gerade ein kleineres Unternehmen wie wir kann durch dieses Abwägen auch einiges an Kosten sparen, ohne echte Einbußen bei der Sicherheit machen zu müssen. Ein gutes Beispiel ist das Thema Videoüberwachung unserer Räumlichkeiten – da haben wir bewusst gesagt: Nachdem bei uns kaum wertvolle Güter lagern und unsere Daten doppelt gesichert werden, reicht uns eine normale Alarmanlage. Das haben wir im externen Audit durch die DQS auch so kommuniziert.“

Informationssicherheit in der Medienbranche

Erfolgreiche Zertifizierung ohne Nonkonformität

Im Juni 2024 bestand LOGIC das Zertifizierungsaudit durch die DQS ohne Abweichungen. Mit Blick auf die besonders detaillierte Umsetzung wurde sogar eine hohe Reife attestiert, wie sie bei Erst-Zertifizierungen nur selten vorzufinden ist. „LOGIC hat von Anfang an sehr vieles richtig gemacht“, resümiert DQS Lead-Auditorin Antje Degener. „Sie haben sich intensiv mit der Norm ISO 27001 beschäftigt und ihr ISMS genau auf ihren Geschäftsbetrieb zugeschnitten. So konnte LOGIC uns gegenüber auch überzeugend vertreten, warum sie im Rahmen eines reflektierten Risikomanagements dieses oder jenes Risiko in Kauf nehmen. Darüber hinaus haben sie für die Umsetzung und Aktualisierung ihres Managementsystems klare Abläufe definiert und dokumentieren sämtliche implementierten Maßnahmen und Prozesse transparent in einem zentralen Tool – was das Audit für alle Seiten enorm erleichtert hat.“

Auch Niklas Ehrenklau hat den Prüfprozess in guter Erinnerung: „Ein Schlüsselfaktor für unser gutes Abschneiden war neben dem hohen Individualisierungsgrad unseres ISMS sicher auch die enge Zusammenarbeit mit den erfahrenen Auditoren der DQS, die uns selbst im Zertifizierungsprozess noch Verbesserungspotenzial aufgezeigt haben. Es war eben kein reines Audit, sondern ein Audit mit Mehrwert.“

Nach dem Audit ist vor dem Audit

Mit dem Erhalt des ISO 27001 Zertifikats ist das ISMS-Projekt für LOGIC keineswegs abgeschlossen: Vielmehr macht sich das Unternehmen nun daran, die Informationssicherheit noch fester in der Unternehmenskultur zu verankern und die Awareness des Teams weiter zu schärfen. Und auch das Informationssicherheits-Managementsystem als solches wird als lebendiger Organismus betrachtet, den es im Rahmen regelmäßiger interner wie externer Audits fortlaufend zu überprüfen und zu optimieren gilt. Konsequenterweise lässt sich LOGIC mit der endgütigen Projektbilanz daher auch noch etwas Zeit: Erst nach Abschluss des ersten vollständigen Zertifizierungszyklus im Juli 2028 will man im Rahmen der Rezertifizierung eine finale Bewertung vornehmen.

Das erste Zwischenfazit von Markus Reinisch fällt jedenfalls schon rundum positiv aus: „Auch wenn wir unser ISMS erst 2028 abschließend evaluieren werden, sehen wir bereits, dass wir in vielerlei Hinsicht davon profitieren. Zum Beispiel, weil wir dank der Zertifizierung bei Ausschreibungen viel weniger Überzeugungsarbeit leisten und keine seitenlangen Spezifikationen zu unseren Sicherheitsstandards einreichen müssen – das ISO-Siegel spricht für sich. Und auch aus der Branche erhalten wir viel positives Feedback und gelten dank dem Zertifikat als vertrauenswürdiger Partner. Kurz: Mit der Norm haben wir ein robustes Fundament für unseren künftigen wirtschaftlichen Erfolg gelegt.“ 

Und auch Jens Gnad, Geschäftsführender Gesellschafter von LOGIC media solutions, bewertet das erfolgreich abgeschlossene Zertifizierungsprojekt als wichtige Weichenstellung: „Die Einführung eines ISMS war für uns mehr als nur ein formales Zertifizierungsprojekt – sie war ein strategischer Schritt in unserer Transformation vom klassischen Reseller hin zur Serviceorganisation für komplexe Broadcast- und Cloud-Infrastrukturen. Informationssicherheit ist in unserer zur kritischen Infrastruktur gehörenden Branche längst zur Grundvoraussetzung geworden – nicht nur technisch, sondern auch kulturell. Dass wir mit einem kleinen, hochspezialisierten Team ein ISO 27001 Zertifikat ohne Nonkonformität erreichen konnten, macht uns stolz und verdanken wir dem außergewöhnlichen Einsatz unserer Mitarbeitenden.“

Mit seinen Service Dienst­leis­tun­gen bietet das Un­ter­neh­men einen modular aufgebauten Rahmen für Be­ra­tung, Planung, Um­set­zung und Betrieb tech­ni­scher Medieninfrastrukturen. Ziel ist es, komplexe An­for­de­run­gen ef­fi­zi­ent, struk­tu­riert und zu­kunfts­si­cher um­zu­set­zen – abgestimmt auf be­stehen­de Systeme und stra­te­gi­sche Ziele. 

Als Amazon Web Services Advanced Partner für kom­mer­zi­el­le und öffentliche Kunden unterstützt LOGIC die gesamte Wertschöpfungskette cloud­ba­sier­ter Me­di­en­work­flows. Die eigens ent­wi­ckel­te Orchestrierungslösung PORTAL dient als zentrale Platt­form zur einfachen Bereitstellung, Ver­wal­tung und Ska­lie­rung von Me­di­en­in­fra­struk­tu­ren in der Cloud. Ergänzt wird das Leis­tungs­an­ge­bot bei Bedarf durch ein kom­plet­tes Managed Services Angebot und praxisnahe Schu­lun­gen im LOGIC Medien Trai­nings­zen­trum (LMTZ).

DQS: Expertise und Vertrauen

Der ganzheitliche, neutrale Blick unserer erfahrenen Auditoren auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Informationssicherheits-Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie die Zertifizierung nach der ISO-Norm nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen. 

Unsere Audits liefern Ihnen Klarheit. Unsere Kunden sehen darin eine Chance. Für sie ist das Feedback des unabhängigen Auditors zum Verbesserungspotenzial und möglichen Risiken ebenso wertvoll wie ein DQS-Zertifikat als Nachweis ihrer Qualitätsfähigkeit. Damit dies so bleibt, achten wir strikt auf Integrität und Objektivität – mehr dazu lesen Sie in unserer Auditphilosophie.