ISO 27001 in der Praxis: Security- und Risiko-Management bei drunomics mit Jeremy Chinquist

Kontext und Kernaussagen aus „Security- und Risiko-Management“ (Jeremy Chinquist, drunomics GmbH)

In seiner Session „Security- und Risiko-Management“ zeichnet Jeremy Chinquist von der drunomics GmbH einen klaren, praxisnahen Weg von frühen, ad-hoc organisierten Sicherheitsprozessen hin zu einer strukturierten, auditierbaren Sicherheitsorganisation. Das Ziel: die ISO 27001-Zertifizierung.

Die Kernbotschaft: Informationssicherheit ist kein Zustand, sondern ein fortlaufender Prozess. Dieser Prozess verlangt Struktur (ISMS), Messbarkeit (KPIs), regelmäßige Audits und eine bewusste Auseinandersetzung mit Risiken – inklusive Akzeptanz, Minderung, Übertragung und Vermeidung. Kosten entstehen, ja. Aber die falsche Betrachtung ist es, nur auf Kosten zu schauen. Wer richtig investiert, reduziert Risiken spürbar, verkürzt Wiederherstellungszeiten nach Vorfällen und gewinnt durch dokumentierte Abläufe Effizienz in alltäglichen Übergängen – vom Onboarding bis zum Offboarding.

Der Ausgangspunkt: frühe Sicherheitskultur, aber wenig Struktur

drunomics hat früh Wert auf Sicherheit gelegt. Schon zu Beginn nutzte das Team Ticketing (U‑Trac), um Veränderungen in der Firma nachvollziehbar zu dokumentieren. Neben der reinen Ticket-Disziplin gab es Prozesse, um Änderungen nachzuverfolgen, und eine umfangreiche Dokumentation rund um Sicherheits- und Zugriffseinstellungen: Rollen, Zugriffe, welche Passwörter Mitarbeitende nutzen konnten – all das wurde festgehalten.

Das Bild, das Jeremy Chinquist zeichnet: Viele Unternehmen tun bereits vieles richtig – nur oft informell und verstreut. Ohne übergreifende Struktur bleibt der Sicherheitsnutzen begrenzt. Dokumentation existiert, aber Abhängigkeiten und Verantwortlichkeiten sind nicht immer konsistent verknüpft. Prozesse laufen, aber werden nicht systematisch gemessen. Genau hier setzt die spätere Entwicklung an: Strukturierung über ein Information Security Management System (ISMS) und Messbarkeit über klar definierte KPIs.

Der Schritt zur ISO: Warum Standards Orientierung geben

2014 fiel die Entscheidung, den Weg der ISO-Zertifizierung zu beschreiten. Chinquist verortet ISO als internationale Föderation von Organisationen und Unternehmen, die Standards definieren, gegen die sich Individuen und Firmen zertifizieren lassen können – um nachzuweisen, dass definierte Sicherheits- und Organisationsanforderungen erfüllt werden.

Der praktische Wert von Standards: Sie bieten einen Bezugsrahmen. Anstatt Sicherheit nur als Summe einzelner Maßnahmen zu begreifen, helfen Standards dabei, zusammenhängende Prozesse zu etablieren und deren Wirksamkeit nachweisbar zu machen. Anstatt „viel zu tun“, lässt sich dokumentiert „das Richtige tun“ – und auditierbar belegen.

ISMS: Vom Sammelsurium zum System

Herzstück der beschriebenen Entwicklung ist das ISMS – das Informationssicherheits-Managementsystem. Für Chinquist ist es „nichts mehr als ein Framework“, aber eines mit großer Wirkung: Es strukturiert, was zuvor punktuell existierte. Ein ISMS muss individuell formuliert werden, sodass es zur Firma passt. Muster gibt es viele – am Ende zählt die unternehmensspezifische Passung.

Jeremy nennt exemplarisch Bausteine:

• Veränderungs-Management-Prozesse
• Überprüfungen rund um User-Verlässlichkeit
• Viele kleine, ineinandergreifende Schritte des täglichen Betriebs

Seine Beobachtung: „Eigentlich machen die meisten Firmen das, aber meistens in einem unstrukturierten Format.“ Bei drunomics wurden diese Bausteine über die Jahre strukturiert – und damit steuer- und messbar gemacht.

Messen, was wirkt: KPIs als Sicherheitsmotor

Ein zentrales Motiv des Vortrags ist die Messbarkeit. Gemeinsam mit einer Beratungsfirma definierte drunomics KPIs – Key Performance Indicators. Diese KPIs bilden den roten Faden der Sicherheitsarbeit, weil sie Fortschritt und Veränderungen greifbar machen.

Die betonte Wirkung: Wer misst, kann bewerten. Wer bewertet, kann priorisieren. Und wer priorisiert, kann Ressourcen wirksam einsetzen – auch in einem Bereich, der sonst leicht abstrakt bleibt. KPIs geben Führungskräften und Teams eine gemeinsame Sprache für Sicherheitsentscheidungen.

Audits als Rhythmusgeber: intern, extern – und zyklisch

Der nächste Meilenstein im Zeitplan: In den kommenden sechs Monaten stehen interne und externe Audits an. Das Ziel: die ISO 27001-Zertifizierung.

Chinquist ordnet den Audit-Rhythmus ein: Alle drei Jahre erfolgt ein externer Audit. Die Organisation muss zeigen, „dass Sie diese Standards abhalten“. Eine gute Vorbereitung zahlt sich aus – wird der Sicherheitsprozess im Alltag wirklich gelebt und sauber dokumentiert, wird auch das externe Audit einfacher. Das spart am Ende Geld, weil weniger Reibung, Nacharbeit und Unsicherheit entstehen.

Risiko-Management ohne Illusionen: akzeptieren, mindern, übertragen, vermeiden

Der Vortrag macht unmissverständlich klar, dass keine Organisation Risiken vollständig eliminieren kann.

Was möglich ist: Risiken bewusst behandeln.

• Risiko akzeptieren: Der Default, wenn keine Analyse erfolgt. Wer nicht bewusst entscheidet, entscheidet dennoch – gegen aktives Management.
• Risiko mindern (Mitigation): Durch zusätzliche „Rechnungen und Balancen“ – sprich Checks and Balances – lassen sich Risiken reduzieren.
• Risiko übertragen: Versicherung ist die naheliegende Form. Sie verschiebt die wirtschaftlichen Folgen, nicht die Ursache.
• Risiko vermeiden: Etwa durch strukturelle Anpassungen. Nicht alles ist realistisch (ein Büro nicht mal eben „aufnehmen und woandershin wechseln“), aber Maßnahmen zur Risiko-Vermeidung gehören ins Repertoire – ebenso wie Kontingenzpläne für den Ernstfall.

Das Besondere an dieser Darstellung: Sie ist realitätsnah. Nicht jedes Risiko lässt sich versichern, nicht jede Vermeidung ist praktikabel. Aber ein bewusstes Portfolio aus Akzeptanz, Minderung, Übertragung und Vermeidung ist möglich – und notwendig. Für drunomics gehören dazu ausdrücklich Kontingenzpläne.

Kosten sind real – aber die falsche Primärperspektive

Chinquist spart die Kostenseite nicht aus. Eine ISO-27001-Reise verursacht spürbare Aufwände:

• Beratung
• Anpassungen rund um das Büro
• Dokumentationsstandards
• Physische Dokumente (gedruckt)
• Praktisch eine Vollzeitperson, die sich dem ISO-Thema widmet

Seine Gegenperspektive: Wer nur auf Kosten blickt, schaut falsch. Richtig ist, auf Wirkungen zu schauen.

• Risiken werden niedriger. Wenn ein Ereignis eintritt, kann die Organisation so reagieren, dass sie früher online ist und früher zu normalen Workflows zurückkehrt.
• Prozesse sind dokumentiert und werden von der Verwaltung (Management) aufmerksam verfolgt.
• Die Firma ist besser vorbereitet auf Veränderung und Anpassung – inklusive klar definierten Übergängen, wenn Menschen kommen oder gehen.
• Gut gelebte Prozesse vereinfachen Audits – was wiederum Kosten senkt.

Diese Argumentation ist vor allem eines: pragmatisch. Sie betont Wiederanlaufzeiten, Klarheit im Alltagsbetrieb und die Vermeidbarkeit von Reibung als Kernnutzen.

Was wir als Tech-Redaktion mitgenommen haben

Aus Sicht unserer DevJobs.at-Redaktion liefert die Session einen klaren, anwendungsnahen Bezugsrahmen für Engineering- und IT-Teams:

• Sicherheit ist Dauerbetrieb, kein einmaliges Projekt.
• Struktur schlägt Stückwerk: Ein ISMS sortiert das, was Teams ohnehin tun, und macht es auditierbar.
• Messen ist Pflicht: KPIs sind der Hebel, um Fortschritt sichtbar und steuerbar zu machen.
• Audits geben Takt: Zwischen Alltag und Zertifizierung entsteht ein produktiver Rhythmus.
• Risikomanagement braucht vier Optionen – Akzeptanz, Minderung, Übertragung, Vermeidung – plus Kontingenzpläne.
• Kosten werden durch Resilienz, klarere Abläufe und einfachere Audits relativiert.

Im Folgenden ordnen wir die Inhalte entlang eines möglichen Implementierungsfahrplans ein – so, wie er aus Jeremy Chinquists Schilderungen ableitbar ist.

Fahrplan zur ISO-27001-Reife: ein strukturierter Pfad

1) Bestehendes sichtbar machen: Tickets, Prozesse, Dokumentation

Der Startpunkt bei drunomics war kein „Greenfield“. Schon vorhanden:

• Ticketing (U‑Trac) zur Nachverfolgung von Änderungen
• Prozesse, um Veränderungen konsistent zu tracken
• Eine sehr lange Dokumentation zu Sicherheits- und Zugriffseinstellungen (Rollen, Zugriffe, Passwörter)

Die Lehre: Systeme, die es schon gibt, werden zu Stärken – sobald man sie in ein System (ISMS) integriert. Die Umstellung beginnt mit Sichtbarkeit: Was existiert? Was davon ist zuverlässig? Was gilt unternehmensweit?

2) ISMS aufsetzen – maßgeschneidert statt Schablone

Ein ISMS ist das Arbeitsgerüst. Es ist kein starres Template, sondern ein Framework, das zur eigenen Firma passen muss. Der Vortrag nennt Bausteine wie Change-Management-Prozesse und Überprüfungen der Benutzer-Verlässlichkeit – und betont viele kleine Schritte.

Wichtig ist die Botschaft, dass „die meisten Firmen das machen“, nur oft unstrukturiert. Der Gewinn besteht darin, diese Alltagspraxis zu formalisieren, zu verzahnen und verbindlich zu machen.

3) KPIs definieren – gemeinsam mit Expertise

drunomics hat mit einer Beratungsfirma zusammengearbeitet, um KPIs und den Sicherheitsprozess zu definieren. Diese Kombination – Kennzahlen plus Prozess – verankert Messbarkeit als Teil des Alltags. KPIs zeigen, wie sich die Firma verändert und welchen Fortschritt sie macht.

Der Wert der KPIs liegt nicht in der Zahl an sich, sondern in der Disziplin, regelmäßig zu messen und daraus zu lernen. So entsteht ein Feedbackzyklus, der die kontinuierliche Verbesserung trägt.

4) Audits planen – und als Lernschleife nutzen

In den nächsten sechs Monaten stehen interne und externe Audits an – mit dem Ziel ISO 27001. Diese Audits sind kein Selbstzweck; sie testen, ob Prozesse gelebte Praxis sind. Alle drei Jahre ist ein externer Audit vorgesehen. Wer gut vorbereitet ist, spart Aufwand – bis hin zu direkten Kosteneffekten durch weniger Nacharbeiten.

5) Risiken bewusst behandeln – plus Kontingenz

Kein System macht Risiken null. Die vier Wege – akzeptieren, mindern, übertragen (z. B. über Versicherung), vermeiden – bilden den Werkzeugkasten. drunomics ergänzt das um Kontingenzpläne: Was tun wir im Ereignisfall, damit wir schneller wieder arbeitsfähig sind? Genau hier materialisieren sich die wirtschaftlichen Vorteile.

6) Kosten kontextualisieren – Resilienz als Nutzenfunktion

Beratung, Büroanpassungen, Dokumentationsstandards, Druckkosten, fast eine Vollzeitstelle – die Liste ist real. Der Nutzen zeigt sich in schnelleren Wiederanläufen, klareren Abläufen, auditierbarer Praxis und einem Management, das aufmerksam führt. Wer Wirkung misst, sieht, dass die Kosten in Relation stehen – und dass schlechte Vorbereitung bei Audits selbst Kosten treibt, die sich vermeiden lassen.

Engineering-Perspektive: Was Teams sofort anwenden können

Aus den Schilderungen lassen sich konkrete Handlungsmaximen ableiten – für Teams, die in ihrer Organisation Security enger mit dem Tagesgeschäft verzahnen wollen.

• Ticketing als Rückgrat nutzen: Änderungen über ein zentrales System konsequent festhalten – nicht als Pflichtübung, sondern als Wissensbasis.
• Zugriff und Rollen dokumentieren: Wer hat welche Zugriffe, auf welcher Grundlage? Auch scheinbar simple Themen wie Passwortrichtlinien gehören klar beschrieben.
• ISMS als Ordnungsrahmen etablieren: Das, was bereits existiert, in ein zusammenhängendes Managementsystem überführen.
• KPIs definieren und leben: Messbarkeit herstellen, die Veränderungen und Fortschritt sichtbar macht – regelmäßig berichten, reflektieren, nachsteuern.
• Auditierbarkeit bedenken: Prozesse so gestalten, dass sie gezeigt werden können – in internen wie externen Audits.
• Risiken portfoliobasiert behandeln: Nicht nur mitigieren, sondern explizit auch akzeptieren, übertragen oder vermeiden – ergänzt um Kontingenzpläne.
• Kosten als Investition in Wiederanlauffähigkeit verstehen: Fokus auf schnelleres „Zurück in den Normalbetrieb“ statt allein auf Budgetposten.

Diese Punkte sind keine neuen Tools, sondern gelebte Disziplin. Genau darin liegt ihre Stärke.

Dynamik im Standard-Umfeld: Cloud, Cybersecurity, AI

Chinquist streicht heraus, dass gerade der Bereich Informationssicherheit dynamisch ist. Im 27.000er-Umfeld existieren Standards für generelle Informationssicherheit, cloud-basierte Services, Cybersecurity – „sogar für AI“.

Die Schlussfolgerung für Teams: Das Umfeld bewegt sich. Ein ISMS schützt gerade deshalb, weil es auf kontinuierliche Prüfung und Anpassung setzt. Wer regelmäßig misst und strukturiert arbeitet, bleibt anschlussfähig – unabhängig davon, welcher Teilbereich der Standardlandschaft als Nächstes präzisiert wird.

Warum Dokumentation Führungsarbeit erleichtert

Ein unterschätzter Nutzen, den Chinquist klar adressiert: Gute, aktuelle Dokumentation senkt Reibung in Übergängen. Wenn Personen die Firma verlassen oder neu ins Team kommen, sind Aufgaben, Zugriffe und Verantwortlichkeiten eindeutiger definiert.

Das Management „wird darauf achten, sich mit all diesen Dingen zu befassen“ – und dadurch steigt die Vorbereitung auf Anpassungen. Diese Organisationsklarheit ist kein Nebeneffekt, sondern ein Kernvorteil strukturierter Sicherheitsarbeit: Sie schafft Ordnung an Schnittstellen, an denen sonst Fehler entstehen.

Audit-Fitness als Nebenprodukt guter Praxis

Ein weiterer betonter Effekt: Wer Prozesse sauber definiert und lebt, profitiert gleich doppelt. Erstens steigt die tatsächliche Sicherheit – messbar über KPIs. Zweitens vereinfacht sich der Audit-Prozess.

Das ist eine nüchterne, aber wirkungsvolle Perspektive auf Zertifizierungen: Ein gutes Audit ist kein Papiererfolg, sondern der Nachweis, dass das Unternehmen im Alltag handlungsfähig und widerstandsfähig ist.

Zusammenfassung: Ein realistischer, umsetzbarer Pfad

Jeremy Chinquists Vortrag über „Security- und Risiko-Management“ bei der drunomics GmbH liefert einen Ansatz, der ohne Buzzwords auskommt und stattdessen Organisationsdisziplin in den Mittelpunkt stellt:

• Früh vorhandene Bausteine (Tickets, Prozesse, Doku) werden im ISMS zu einem System.
• Messbarkeit (KPIs) macht Fortschritt objektiv.
• Audits geben Takt und Validierung.
• Risikomanagement balanciert Akzeptanz, Minderung, Übertragung und Vermeidung – ergänzt um Kontingenz.
• Kosten sind real, aber die eigentliche Kennzahl ist die Wiederanlauffähigkeit nach Ereignissen.

Wer diesen Pfad geht, verbessert Sicherheit nicht nur nominell, sondern spürbar – im täglichen Betrieb. Genau das ist die Stärke des hier skizzierten Ansatzes: Er zeigt, wie Security vom Nebenprojekt zum festen Bestandteil der Unternehmensführung wird.

Konkrete Takeaways für Teams

• Beginnt mit dem, was da ist: Ticketing, Doku, gelebte Prozesse – und bringt es in Ordnung.
• Formuliert ein ISMS, das zu eurer Firma passt.
• Definiert KPIs, die Fortschritt und Veränderung sichtbar machen – und arbeitet in einem regelmäßigen Rhythmus damit.
• Plant interne und externe Audits als Lernschleifen ein.
• Behandelt Risiken bewusst in allen vier Modi und ergänzt sie um Kontingenzpläne.
• Betrachtet Kosten im Lichte von Resilienz, Wiederanlauf und Auditierbarkeit.

So entsteht das, was Chinquist als fortlaufenden Prozess beschreibt: Sicherheitsarbeit, die gemessen, geprüft und verbessert wird – und dadurch hält, was sie verspricht.

• 

  

  mossbo Cloud CMS Ecosystem

  Wolfgang Ziegler von drunomics gibt in seinem devjobs.at TechTalk einen Überblick über die grundlegenden Funktionen von mossbo und welche Benefits es im Vergleich zu anderen CMS' gibt.

  Jetzt ansehen
• 

  

  Professionelle Web Entwicklung aus Österreich

  Oliver Berndt von drunomics zeigt in seinem devjobs.at TechTalk die Kernkompetenzen von dem Unternehmen und wie sie mit Drupal arbeiten.

  Jetzt ansehen
• 

  

  Web Accessibility

  Jeremy Chinquist von drunomics gibt im Interview einen Überblick über die wesentlichen Eckpunkte von Accessibility im Web und dem EAA.

  Jetzt ansehen
• 

  

  Agile Development at drunomics

  Jeremy Chinquist von drunomics spricht in seinem TechTalk über die Grundgedanken der agilen Entwicklungsmethode, welche beim Developer Team im Unternehmen zum Einsatz kommt.

  Jetzt ansehen

• 

  

  Sinduri Guntupalli, Product Manager bei drunomics

  Sinduri Guntupalli von drunomics spricht im Interview über ihren technischen Background und das Besondere an der Arbeit mit Drupal.

  Jetzt ansehen