utah778 - stock.adobe.com
Die Bedeutung von Zertifizierungen für Unternehmen
Zertifizierungen bescheinigen Firmen, dass Richtlinien eingehalten werden und schaffen Transparenz. Welche Vorteile bieten Zertifizierungen und was geht mit den Audits einher?
Vertrauen ist gut, Kontrolle ist besser. Mit fortschreitender Digitalisierung und Globalisierung werden Unternehmen, auch kleine und mittelständische, immer komplexer. Einigen fällt es schon schwer, den Überblick über den eigenen Tech-Stack, alle Prozesse und Dienstleister, die Verträge und alle rechtlichen Bedingungen im Auge zu behalten.
Als Kunde eines Dienstleisters ist es so gut wie unmöglich, alle Einzelheiten seines Providers nachzuvollziehen. Da hilft nur Vertrauen – oder: Zertifizierungen. Sie bescheinigen Unternehmen, dass sie bestimmte Richtlinien einhalten und schaffen Transparenz für ihre Kunden. Henrik Hasenkamp, CEO von gridscale und der Berater sowie Lead Auditor Sascha von Nethen von EuroConsult erklären die Vorteile von Zertifizierungen und was mit den dafür notwendigen Audits verbunden ist.
Vielen Unternehmern kommt eines zuallererst in den Kopf, wenn sie an Zertifizierungen denken: Aufwand. Der Zertifizierung geht nämlich ein Audit voraus, in dem von externen Beobachtern die Prozesse des Unternehmens und auch die Einhaltung der Richtlinien geprüft werden.
Dazu müssen allerhand Dokumente und Daten vorhanden sein, die oft erst zusammengesammelt werden müssen. Für die betroffenen Abteilungen bedeutet das einen Mehraufwand – für das Unternehmen eine Unterbrechung des Tagesgeschäftes. Dennoch bieten Audits und Zertifizierungen einige Vorteile, vor allem langfristig. Im globalen Markt wächst der Wert von Normen und Zertifikaten deutlich und stetig, sie ermöglichen es, wettbewerbsfähig zu bleiben. Nachhaltigkeit und Cybersicherheit, unter anderen verbrieft mit den ISO-Normen 14001 beziehungsweise 27001, haben schon heute einen nicht zu unterschätzenden Stellenwert.
Gerade Behörden und Ministerien legen bei ihren Dienstleistern ein großes Augenmerk auf diese beiden Punkte; zum Beispiel verlangen viele staatliche Organisationen einen Nachweis des CO2-Fußabdrucks und stellen besondere Anforderungen an den Datenschutz. Kann ein Unternehmen ein Zertifikat vorweisen, so erübrigt sich in solchen Fällen eine erneute Überprüfung für jeden neuen Vertragsschluss. Auch das Risiko, haftbar gemacht zu werden, sinkt. Denn viele Gesetze beziehen sich auf Normen – wer zertifiziert ist, arbeitet legal und Dienstleister wie Kunde können auch vor ungewollten Verstößen sicher sein.
Nachhaltigkeit und Cybersicherheit
Auch der Gesetzgeber fördert und fordert Nachhaltigkeit: Ab 2024 müssen Unternehmen nachweisen, wie umweltverträglich sie wirtschaften. Diese Regelung gilt zunächst nur für Unternehmen, die mehr als 500 Mitarbeiter beschäftigen und von öffentlichem Interesse sind.
Ab 2025 gilt sie dann für alle, nur kapitalwirtschaftliche Unternehmen im Mittelstand können die Nachweispflicht bis 2026 aufschieben. Bei diesem Ausblick werden auch Zertifikate und Audits immer wichtiger, vermutlich auch häufiger. Durch sie müssen Unternehmen fast schon zwangsweise ihre Prozesse dokumentieren, konsolidieren und optimieren. Ein Zertifikat steigert so nicht nur die Attraktivität im Wettbewerb.
Mit den optimierten Prozessen als Grundlage können Unternehmen auch effizienter wirtschaften. Nachhaltigkeit und Cybersicherheit sind in diesem Fall besonders gute Beispiele: Nachhaltiges Heizen, geringere Leistungsaufnahme, und das Vermeiden von Energieverschwendung allgemein führen am Ende zu einer geringeren Energierechnung.
Und wer zusätzlich seinen Tech-Stack auf dem aktuellen Stand hält, minimiert die Verluste durch Systemausfälle oder Hackerangriffe. Alles in allem steht das Unternehmen besser vor Kunden, aber auch vor sich selbst dar, das Geschäft läuft runder und überschaubarer.
Die ISO-Normen 14001 und 27001
Insbesondere die beiden bereits genannten ISO-Normen 14001 und 27001 sind wichtig, gerade für SaaS-, PaaS- und Cloud-Provider. Sie regeln die auch bereits angesprochenen Bereiche Nachhaltigkeit und Cybersicherheit.
Mit der ISO 14001 werden Managementsysteme für das Erreichen von Umweltzielen zertifiziert. Nach dem PDCA-Schema (Plan-Do-Check-Act) müssen Unternehmen ein System etablieren, in dem diese Ziele erreicht und umgesetzt werden; mit entsprechendem Personal, den richtigen Prozessen und finanziellen Mitteln.
Für Unternehmen, die große Rechenzentren betreiben, kann das beispielsweise bedeuten, die Abwärme der Server weiter zu verwenden, digitale Prozesse auf weniger Rechenleistung zu optimieren oder Hardware nicht stärker zu kühlen als notwendig. Mit dem Zertifikat wird dem Unternehmen schließlich bescheinigt, dass es auch die Mittel ergriffen hat, solche Ziele zu erreichen.
Wer bei Sicherheitsvorfällen welche Verantwortung trägt, ob Provider oder Kunde, und in welchem Ausmaß, regelt die ISO 27001. Provider und Kunden können anhand der Norm beispielsweise eine Checkliste erstellen, so dass die Zuständigkeiten jederzeit klar abgegrenzt sind.
So kommt es zum einen nicht zum Rechtsstreit. Zum anderen können Provider und Kunde bei Sicherheitsvorfällen deutlich schneller reagieren, wenn beide wissen, was zu tun ist. Und nicht zuletzt steigt mit der Norm auch die Resilienz gegen IT-Angriffe, denn die ISO 27001 stellt besondere Anforderungen an den Datenschutz und die Informationssicherheit.
Zertifizierungen helfen auch dabei, optimierte Prozesse langfristig beizubehalten, denn oft ist es mit einem Audit und dem archivierten Zertifikat nicht getan.
Viele, wie auch die ISO 27001, verlangen regelmäßige Überprüfungen der Umsetzung – im Falle der ISO 27001 sogar jährlich.
Häufig gehören zu Audits auch Fortbildungen für Mitarbeiter eine Investition, die sich auf lange Sicht auszahlt. Statt nur eine Bescheinigung auf einem Blatt Papier zu sein, bieten Zertifikate also einen echten Mehrwert, der sich in die Unternehmenskultur und die Belegschaft integrieren lässt.
Aufwand raus, Audit rein
Unternehmen sollten neben dem Aufwand also vor allem eines sehen: Die Chancen, die eine Zertifizierung bietet und die den Aufwand deutlich überwiegen. Ausschlaggebend ist vor allem eine gute Vorbereitung auf einen Audit. Unternehmen können die notwendige Arbeit einkalkulieren und die Unterbrechungen so im Tagesgeschäft abfedern.
Bereits im Voraus sollten alle Daten zusammengetragen werden, die verantwortlichen Personen benannt und die betroffenen Prozesse identifiziert werden. Wenn alles Notwendige bereits dokumentiert wird, fällt die mühsame Handarbeit vor der Zertifizierung weg, die Verantwortlichen können später auch für Interviews im Rahmen des Audits zur Verfügung stehen. Steht das Audit dann an, steht ihm nichts mehr im Wege.
Zertifizierungen bieten sich vor allem auch als strategisches Ziel an. Die entsprechenden Themen und Änderungen müssen in die Unternehmenskultur integriert werden, einfach Prozesse zu ersetzen oder zu optimieren bringt verhältnismäßig wenig.
Sie hindern beispielsweise Mitarbeiter nicht daran, schwache Passwörter zu verwenden, Dateien nicht zu überprüfen oder auf Phishing-Mails hereinzufallen. Dafür müssen die entsprechenden personellen und finanziellen Voraussetzungen geschaffen werden. Nur so kann die Integration der Veränderungen gelingen, zum Beispiel mit Spezialisten, die ein Unternehmen für die zu zertifizierenden Bereiche einstellt oder ausbildet.
Bestenfalls laufen die Veränderungen bereits ein Jahr, bevor es zur Zertifizierung kommt. Dadurch kann der Plan schon vor der Zertifizierung auf Herz und Nieren überprüft und bei Bedarf ausgebessert werden, wodurch erneute Kosten für wiederkehrende, nicht bestandene Audits entfallen. Kurzfristig sind das Investitionen, vor denen einige zurückschrecken mögen – langfristig aber verschaffen sie einem Unternehmen deutlich mehr Vorteile, als es kurzfristig Nachteile einsparen kann.
Über die Autoren:
Sascha von Nethen ist Lead Auditor bei der Euroconsult Deutschland GmbH. Er berät und unterstützt Unternehmen in Zertifizierungsprozessen und bei der weiteren Professionalisierung ihrer Geschäftsabläufe.
Als CEO von gridscale verantwortet Henrik Hasenkamp die Strategie und Ausrichtung des europäischen Infrastructure- und Platform-as-a-Service-Anbieters gridscale, der es sich zum Ziel gesetzt hat, mit innovativen Technologien die Basis für komplexe Cloud-Lösungen zu schaffen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.