17.05.2023 TÜV Rheinland bestätigt Informationssicherheit bei Thinkproject
Thinkproject, der führende europäische SaaS-Anbieter von Lösungen für die Baubranche, hat sein umfassendes Information Security Management System (ISMS) erneut durch den TÜV Rheinland prüfen lassen. Der Bescheid zum Wiederholungs-Audit bestätigt, dass Thinkproject die strengen Vorgaben der ISO/IEC 27001:2013 konsequent einhält. Der TÜV Rheinland untersuchte dafür die Unternehmensprozesse von Thinkproject daraufhin, ob Thinkproject mit seinem ISMS alle gebotenen Sicherheitsmaßnahmen getroffen hat. Dabei deckte der Sicherheits-Audit des TÜV Rheinland mehrere Perspektiven ab.
Zum einen die Produktsicht: Hier geht es um die Erstellung und den (SaaS-)Betrieb der Thinkproject-Produkte TP CDE, EPLASS CDE, CONCLUDE CDE, CEMAR, RAMM sowie DESITE BIM. Zum anderen waren die diversen Thinkproject-Standorte im Blick der Prüfer: Neben sieben Niederlassungen in Deutschland wurde auch jeweils eine in Österreich, in den Niederlanden, in Spanien, in UK sowie in Neuseeland zertifiziert. Für die ISMS-Rezertifizierung prüfte der TÜV Rheinland alle relevanten Unternehmensprozesse von Thinkproject in den Bereichen Operations, Professional Services, Produktmanagement, Produktentwicklung, Qualitätsmanagement, Marketing, Verwaltung und Finanzen.
IT-Sicherheit gerade bei SaaS-Lösungen unverzichtbar
„Für uns ist die Zertifizierung gemäß ISO/IEC 27001 einfach eine Notwendigkeit“, erklärt Dr. Ralf Hundhammer, CTO von Thinkproject. „In einer immer stärker digitalisierten Wirtschaft wird Informationssicherheit zu einem entscheidenden Faktor. Das gilt auch für Software-Anbieter und -Nutzer in der Baubranche. Gerade wenn Unternehmen ihre Software in einem SaaS-Modell nutzen, also nicht selbst den Betrieb verantworten, müssen sie sich auf die Sicherheitsmaßnahmen des Anbieters verlassen können. Wir haben darum schon vor zehn Jahren unsere erste ISO 27001 Zertifizierung durchlaufen. Seitdem dehnen wir den Umfang der Zertifizierung immer weiter aus“, berichtet Dr. Hundhammer. „Nachdem wir im vergangenen Jahr die französische Kairnial Group übernommen hatten, sind wir gerade dabei, auch deren mobiles BIM-System erstmals gemäß ISO 27001 zertifizieren zu lassen. Die Bedeutung von Informationssicherheit wächst – für die ganze Branche. Dem tragen wir durch unsere durchdachte ‚Information Security Policy‘ – so der interne Name für unser ISMS – konsequent Rechnung.“
Kritische Infrastruktur und die Anforderungen der öffentlichen Hand
Eine weitere Entwicklung, die dem Thema Informationssicherheit in der Baubranche mehr Gewicht verleiht, ist die wachsende Zahl an Ausschreibungen der öffentlichen Hand. Weil sich deren Investitionszurückhaltung nach der Pandemie wieder auflöst, werden öffentliche Projekte zu Treibern für die Baubranche. Nur existieren für solche Projekte sehr hohe Informationssicherheitsstandards. „Diese besonderen IT-Sicherheitsanforderungen gerade bei Bauvorhaben der öffentlichen Hand machen eine ISO 27001 Zertifizierung aufseiten der SaaS-Anbieter heute fast unverzichtbar“, erklärt der Thinkproject-CTO Dr. Hundhammer. So sind die Betreiber Kritischer Infrastrukturen (KRITIS) gemäß dem deutschen BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) und der BSI-KRITIS-Verordnung unter anderem verpflichtet, IT-Sicherheit auf dem „Stand der Technik“ umzusetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisen. Für ihre IT-Sicherheit nutzen KRITIS-Betreiber oft auch das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), ein US-amerikanisches Rahmenwerk aus Standards, Richtlinien und Best Practices. All diese Anforderungen und Normen sorgen dafür, dass dem Information Security Management System des Softwareanbieters eine zentrale Rolle zuwächst. Das Fazit von Dr. Hundhammer: „IT-Sicherheit beginnt beim Softwarehersteller.“
Zum einen die Produktsicht: Hier geht es um die Erstellung und den (SaaS-)Betrieb der Thinkproject-Produkte TP CDE, EPLASS CDE, CONCLUDE CDE, CEMAR, RAMM sowie DESITE BIM. Zum anderen waren die diversen Thinkproject-Standorte im Blick der Prüfer: Neben sieben Niederlassungen in Deutschland wurde auch jeweils eine in Österreich, in den Niederlanden, in Spanien, in UK sowie in Neuseeland zertifiziert. Für die ISMS-Rezertifizierung prüfte der TÜV Rheinland alle relevanten Unternehmensprozesse von Thinkproject in den Bereichen Operations, Professional Services, Produktmanagement, Produktentwicklung, Qualitätsmanagement, Marketing, Verwaltung und Finanzen.
IT-Sicherheit gerade bei SaaS-Lösungen unverzichtbar
„Für uns ist die Zertifizierung gemäß ISO/IEC 27001 einfach eine Notwendigkeit“, erklärt Dr. Ralf Hundhammer, CTO von Thinkproject. „In einer immer stärker digitalisierten Wirtschaft wird Informationssicherheit zu einem entscheidenden Faktor. Das gilt auch für Software-Anbieter und -Nutzer in der Baubranche. Gerade wenn Unternehmen ihre Software in einem SaaS-Modell nutzen, also nicht selbst den Betrieb verantworten, müssen sie sich auf die Sicherheitsmaßnahmen des Anbieters verlassen können. Wir haben darum schon vor zehn Jahren unsere erste ISO 27001 Zertifizierung durchlaufen. Seitdem dehnen wir den Umfang der Zertifizierung immer weiter aus“, berichtet Dr. Hundhammer. „Nachdem wir im vergangenen Jahr die französische Kairnial Group übernommen hatten, sind wir gerade dabei, auch deren mobiles BIM-System erstmals gemäß ISO 27001 zertifizieren zu lassen. Die Bedeutung von Informationssicherheit wächst – für die ganze Branche. Dem tragen wir durch unsere durchdachte ‚Information Security Policy‘ – so der interne Name für unser ISMS – konsequent Rechnung.“
Kritische Infrastruktur und die Anforderungen der öffentlichen Hand
Eine weitere Entwicklung, die dem Thema Informationssicherheit in der Baubranche mehr Gewicht verleiht, ist die wachsende Zahl an Ausschreibungen der öffentlichen Hand. Weil sich deren Investitionszurückhaltung nach der Pandemie wieder auflöst, werden öffentliche Projekte zu Treibern für die Baubranche. Nur existieren für solche Projekte sehr hohe Informationssicherheitsstandards. „Diese besonderen IT-Sicherheitsanforderungen gerade bei Bauvorhaben der öffentlichen Hand machen eine ISO 27001 Zertifizierung aufseiten der SaaS-Anbieter heute fast unverzichtbar“, erklärt der Thinkproject-CTO Dr. Hundhammer. So sind die Betreiber Kritischer Infrastrukturen (KRITIS) gemäß dem deutschen BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) und der BSI-KRITIS-Verordnung unter anderem verpflichtet, IT-Sicherheit auf dem „Stand der Technik“ umzusetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisen. Für ihre IT-Sicherheit nutzen KRITIS-Betreiber oft auch das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), ein US-amerikanisches Rahmenwerk aus Standards, Richtlinien und Best Practices. All diese Anforderungen und Normen sorgen dafür, dass dem Information Security Management System des Softwareanbieters eine zentrale Rolle zuwächst. Das Fazit von Dr. Hundhammer: „IT-Sicherheit beginnt beim Softwarehersteller.“
