HLRS erhält ISO 27001-Zertifizierung für Informationssicherheits-management

HLRS-Mitarbeiter:innen mit ISO 27001-Zertifikat.
Dr. Martin Hecht (Mitte) ist für das Informationssicherheitsmanagementsystem des HLRS verantwortlich und leitete den Zertifizierungsprozess nach ISO 27001. Außerdem im Bild (v.l.n.r.): Thomas Beisel (Leiter des Bereichs Software und Systeme, HLRS), Prof. Dr. Michael Resch (Direktor, HLRS), Dr. Bastian Koller (Geschäftsführer, HLRS) und Inna Wöckener (Finanzen und Projektverwaltung, Nachhaltigkeit, HLRS).

Die internationale ISO-Norm definiert Anforderungen an die Umsetztung eines Informationssicherheitsmanagementsystems und dient als Grundlage für die Prüfung und Zertifizierung durch akkreditierte Zertifizierungsorganisationen.

Das Höchstleistungsrechenzentrum der Universität Stuttgart (HLRS) wurde kürzlich nach der Norm ISO 27001 für Informationssicherheitsmanagement der Internationalen Organisation für Normung (ISO) zertifiziert. Die ISO-Zertifizierung ist ein Beleg für die Wirksamkeit des umfassenden Informationssicherheitsmanagementsystems (ISMS) am HLRS. Das ISMS umfasst technische und organisatorische Maßnahmen, mit deren Hilfe sich Bedrohungen für die Sicherheit von gespeicherten Daten erkennen und Angriffe verhindern lassen, sowie darauf reagiert werden kann. Dazu gehört auch der Schutz der Höchstleistungsrechner des Zentrums vor unbefugtem Zugriff und unbefugter Nutzung.

„Mit der Zertifizierung nach ISO 27001 wird in einem externen Audit bestätigt, dass das HLRS die branchenüblichen Best Practices für das Informationssicherheitsmanagement anwendet“, sagt Prof. Michael Resch, Direktor des HLRS. „Sie soll den Nutzern unserer Höchstleistungsrechner die Gewissheit geben, dass ihre Daten gut geschützt sind. Darüber hinaus können wir mit der Zertifizierung unseren Fördergebern die Gewissheit geben, dass unsere Supercomputer und andere Systeme nicht in unangemessener Weise genutzt werden. Schließlich wird diese Zertifizierung sicherstellen, dass wir die Sicherheitsmaßnahmen unseres Zentrums ständig aktualisieren und verbessern, um auch künftige Bedrohungen zu bewältigen.“

Der Anwendungsbereich des Informationssicherheitsmanagementsystems des HLRS beinhaltet die Bereitstellung von Rechenzeit auf seinen Höchstleistungsrechnern sowie die unterstützenden Prozesse zum Betrieb der Produktionsumgebung. Das ISMS umfasst Richtlinien, die potenzielle Sicherheitsrisiken auf allen Ebenen der Organisation abdecken, d.h. Hardware, Software, Einrichtungen und Personal. So definiert es auch Verfahren zur Erkennung von Verletzungen der Informationssicherheit sowie angemessene Reaktionen darauf. Darüber hinaus legt das ISMS klare Rollen und Verantwortlichkeiten für die Verwaltung der Informationssicherheit fest. Es ermöglicht die ständige Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen und setzt voraus, dass das gesamte Personal des HLRS über die Informationssicherheitsrichtlinien informiert ist und diese befolgt. Für die Lieferanten des HLRS und deren Unterauftragnehmer bestimmt das ISMS auch Richtlinien zur Einhaltung dieser strengen Geheimhaltungs- und Verfahrensanforderungen.

Die Zertifizierung nach ISO 27001 ist eine Ergänzung zu der Datensicherheitsbewertung des HLRS nach TISAX (Trusted Information Security Assessment Exchange) aus dem Jahr 2021.

Die Stabsstelle Informationssicherheit (RUS-CERT) hat das HLRS während der mehrjährigen Vorbereitungszeit intensiv beraten, unterstützt und während der Zertifizierung sowohl nach TISAX als auch nach ISO/IEC 27001 begleitet. Als für das übergeordnete ISMS der Universität Stuttgart Zuständiger sagt der Leiter der Stabsstelle Oliver Göbel, Chief Information Security Officer der Universität Stuttgart und selbst zertifizierter ISO/IEC 27001 Auditor, zur erfolgreichen Zertifizierung: „Die Zertifizierung ist ein Meilenstein und expliziter Ausdruck des hohen Standards der Informationssicherheit am HLRS. Das ISMS des HLRS ist ein wichtiger Baustein des Gesamt-ISMS der Universität Stuttgart. Ich freue mich sehr über das Zertifikat, das ohne Nachbesserungen vornehmen zu müssen, schon direkt nach dem ersten Audit erteilt wurde. Soetwas kommt selten vor und ich gratuliere und bedanke mich bei den daran beteiligten Kolleginnen und Kollegen ganz herzlich." 

Auditiert wurde das HLRS von der TÜV NORD CERT GmbH. Während des Audits wurden die Dokumentation gründlich überprüft. Außerdem durchlief das HLRS eine Begutachtung vor Ort und die implementierten Prozesse wurden geprüft.

— Christopher Williams