Alter Solutions part of act digital logo
Nearshore arrow-white arrow-orange arrow-blue Kontakt arrow-white arrow-orange arrow-blue
Globe
Deutschland
Globale Deutschland Frankreich Belgien Portugal Spanien Polen Kanada USA Marokko (FR) Marokko (AR)
Group 143
Alter Solutions part of act digital logo
Globe
Globale Deutschland Frankreich Belgien Portugal Spanien Polen Kanada USA Marokko (FR) Marokko (AR)
Nearshore arrow-white arrow-orange arrow-blue Kontakt arrow-white arrow-orange arrow-blue

Startseite > Referenzen

Referenz

ARIS BSI C5 Audit-Vorbereitung

Mitglied des Information Security Management Teams, das an der Umsetzung von Sicherheitskontrollen arbeitet

Kunde

software-gmbh-light-logo

Branche
  • Softwareentwicklung und IT-Dienstleistungen
  • Firmengründung: 1969
  • Spezialisiert auf Unternehmenssoftware, Cloud-Lösungen, IoT-Plattformen und Integrationstechnologien
  • Präsenz in über 70 Ländern mit mehr als 4.700 Mitarbeitern weltweit
  • Jahresumsatz: ca. 950 Mio. EUR (Stand 2024)

Herausforderung

Die Software AG stand vor mehreren Herausforderungen in der finalen Phase der BSI C5 (Cloud Computing Compliance Controls Catalog) Audit-Vorbereitung. Die Umsetzung essenzieller Sicherheitskontrollen, die Einarbeitung neuer Mitarbeitender und die Koordination zwischen verschiedenen Teams stellten zentrale Schwierigkeiten dar:

  • Rückstände in der Dokumentation und Umsetzung essenzieller Sicherheitskontrollen.
  • Vorbereitung interner Mitarbeiter ohne tiefgehende IT-Kenntnisse auf BSI C5-Anforderungen.
  • Einarbeitung eines neuen Mitarbeiters im Information Security Management Team.
  • Verwaltung und Nachverfolgung von Findings über Confluence und Jira.
  • Koordination zwischen Information Security Management, Cloud, BCM- und Legal Team.

Lösung

Durch strukturierte Analysen, gezielte Schulungen und enge Zusammenarbeit mit internen Teams wurden die Herausforderungen systematisch adressiert. Der Fokus lag auf der Nachverfolgung von Findings, der Vorbereitung auf Auditoren-Interviews, der effizienten Einarbeitung neuer Mitarbeiter sowie der Planung und Durchführung von Meetings zur Informationssammlung und Koordination:

  • Analyse der BSI C5 Findings mit internen Mitarbeitern zur Ableitung gezielter Maßnahmen.
  • Planung und Durchführung von Meetings zur Sammlung und Dokumentation relevanter Interview-Informationen.
  • Mentoring des neuen Mitarbeiters durch regelmäßige 1-on-1 Meetings zu BSI C5 Controls.
  • Unterstützung interner Teams durch verständliche Erklärungen der Anforderungen für eine effiziente Umsetzung.

Methodik

Die Herangehensweise basierte auf einer detaillierten Analyse der BSI C5 Anforderungen in enger Abstimmung mit den internen Fachabteilungen. Durch praxisnahe Erläuterungen wurden konkrete Maßnahmen zur Optimierung der Audit-Dokumentation abgeleitet. Die internen Teams wurden gezielt in den Interviews mit Auditoren begleitet, um eine konsistente und fundierte Darstellung der Sicherheitskontrollen sicherzustellen.

Bestehende Dokumentationen wurden auf BSI C5 Compliance geprüft und notwendige Anpassungen identifiziert, insbesondere für das Cloud Team. Fehlende Prozesse und Dokumentationen wurden gemeinsam mit den internen Teams umgesetzt.

Confluence diente als zentrale Wissensbasis zur Dokumentation aller relevanten Sicherheitsmaßnahmen und Compliance-Anforderungen.

Technologien

  • Confluence: als zentrale Plattform zur Dokumentation von Compliance- und Sicherheitsanforderungen
  • Jira: zur Verwaltung, Nachverfolgung und Umsetzung der Findings aus der Gap-Analyse und den Auditoren-Interviews
  • Microsoft Teams: Kollaborative Meeting-Toolzur Abstimmung mit internen Teams und Auditoren

Zeitraum und Umfang

Das Projekt erstreckte sich über neun Monate und umfasste die Unterstützung der BSI C5 Audit-Vorbereitung. Der Fokus lag auf der Unterstützung aller Stakeholder, die die BSI C5 Anforderungen nicht vollständig verstanden, und der Sicherstellung, dass die Verantwortlichen zur Umsetzung der Anforderungen gebracht wurden.

Zusätzlich wurde ein neuer Mitarbeiter geschult und gecoacht, um ihn in die Lage zu versetzen, diese Aufgaben künftig eigenständig zu übernehmen.

Weitere Schwerpunkte waren die:

  • Koordination der Interviewprozesse.
  • Dokumentation der Sicherheitsanforderungen.

Ergebnisse und Kundenerfahrungen

  • Die Audit-Vorbereitung wurde signifikant verbessert, wodurch die Software AG die Prüfung fristgerecht und mit optimierter Compliance-Dokumentation absolvieren konnte.
  • Die gezielte Unterstützung der internen Teams führte zu einem besseren Verständnis der BSI C5 Anforderungen und einer erfolgreichen Zusammenarbeit mit den Auditoren von PwC.
  • Der neue Mitarbeiter wurde durch gezieltes Mentoring innerhalb kürzester Zeit in die Lage versetzt, Sicherheitskontrollen eigenständig zu bewerten und umzusetzen, was die langfristige Stärkung des internen Sicherheitsteams unterstützte.
  • Die Nutzung von Jira ermöglichte eine strukturierte Verwaltung der Findings, klare Verantwortlichkeitszuweisungen und eine transparente Nachverfolgung der Umsetzung.
  • Durch Management-Meetings wurde das Bewusstsein für die Relevanz der Maßnahmen geschärft, wodurch die Umsetzungsgeschwindigkeit und Verantwortlichkeit im Unternehmen verbessert wurden.
  • Die Zusammenarbeit mit dem BCM- und Legal Team ermöglichte eine frühzeitige Evaluierung von Alternativen für Cloud-Backup-Strategien.