Wie LearnSci mit der ISO 27001-Zertifizierung ein robustes Sicherheitsmanagement demonstriert und das Onboarding von Partnern optimiert

Die Herausforderung

LearnSci arbeitet direkt mit Universitäten zusammen, um digitale Bildungsressourcen bereitzustellen. Das Unternehmen verfügt daher über eine beträchtliche Menge an Studierenden-, Prüfungs- und Aufgabendaten. Die Umfrage zu Cybersicherheitsverletzungen 2025 ergab, dass 97 % der Hochschulen im vergangenen Jahr von einer Sicherheitsverletzung oder einem Cyberangriff betroffen waren. Daher gelten für potenzielle Lieferanten strenge Sicherheitsanforderungen. Die ISO 27001-Zertifizierung war für das Unternehmen von entscheidender Bedeutung und ermöglichte es LearnSci, seine robusten Sicherheitspraktiken unter Beweis zu stellen.

Katy Aldrich, Operations Lead bei LearnSci, sagte: „Universitäten integrieren Teile unseres Systems in ihre eigenen, und wir speichern die Daten der Studierenden auf unserer Seite. Wir müssen beim Schutz dieser Daten äußerst sorgfältig vorgehen. Die Universitäten müssen bei der Lizenzierung neuer Software umfangreiche Beschaffungsprozesse durchlaufen, und ISO 27001 ist hier ein klares Plus.“

„Wir wollten nach ISO 27001 zertifiziert sein, um zu zeigen, dass wir mit den uns zur Verfügung gestellten Daten sorgfältig umgehen und die Datensicherheit im gesamten Unternehmen berücksichtigen.“

Katy Aldrich Betriebsleiter, LearnSci

Katy und das Learning Science-Team hatten versucht, ISO 27001 mithilfe verschiedener Dokument- und Richtlinienvorlagen zu implementieren. Als die Implementierung jedoch ins Stocken geriet, erkannten sie, dass sie ein Tool benötigten, mit dem sie ein umfassendes, effektives Informationssicherheits-Managementsystem (ISMS) aufbauen und es an die Best-Practice-Anforderungen von ISO 27001 anpassen konnten.

Wir hatten verschiedene Dinge ausprobiert; nichts funktionierte wirklich, und wir kamen nicht weiter. Wir probierten einige Richtlinienvorlagenpakete aus, aber uns fehlte die unternehmensinterne Infrastruktur und der Hintergrund an Risiko- und Anlagenregistern. Wir brauchten etwas, das mehr als nur eine Grundlage für die Richtlinien bot.

Katy Aldrich Betriebsleiter, LearnSci

Die Lösung

Das Unternehmen implementierte ISMS.online zur Verwaltung der ISO 27001-Konformität und nutzte die Plattform zur Zentralisierung von Richtlinien, Aufgaben, Risikomanagement, Beweiserhebung und mehr. In Zusammenarbeit mit dem Customer Success Manager und der Assured Results Method (ARM) von ISMS.online verfolgte LearnSci einen schrittweisen Compliance-Ansatz und verankerte die Informationssicherheit unternehmensweit.

„Die vorgefertigten Richtlinien- und Kontrollvorlagen boten eine gute Grundlage – 90 % unserer Anforderungen waren bereits vorhanden. Wir konnten Teile entfernen, die für uns nicht relevant waren, und Dinge hinzufügen, die relevant waren.“

Katy Aldrich Betriebsleiter, LearnSci

Katy fügte hinzu: „Bei Null anzufangen und herauszufinden, wie man den sehr spezifisch formulierten Standard anpasst und ihn dann in unser Unternehmen einfügt, wäre viel schwieriger gewesen. Dieser Ausgangspunkt war für uns wirklich wichtig.“

LearnSci nutzte außerdem die Policy-Packs-Funktion der Plattform, um ein Bewusstsein für Compliance zu fördern. Die Nutzung der Policy Packs entspricht den Schulungs- und Sensibilisierungsanforderungen der ISO 27001 und hilft LearnSci sicherzustellen, dass die Mitarbeiter im gesamten Unternehmen ihre Rollen und Verantwortlichkeiten im Bereich Informationssicherheit kennen.

Wir nutzen ISMS.online, um wichtige Richtlinien zu teilen. Neue Mitarbeiter erhalten ein Richtlinienpaket mit 15 bis 20 wichtigen Richtlinien, die sie in ihrer täglichen Arbeit berücksichtigen müssen. Dieses Richtlinienpaket veröffentlichen wir dann regelmäßig neu und bitten alle Mitarbeiter, zu überprüfen, ob sie die Richtlinien noch kennen. Denn man kann leicht etwas lesen und dann vergessen. Das war bei unserem Zertifizierungsaudit hilfreich, da wir nachweisen konnten, dass wir den Mitarbeitern die relevanten Richtlinien vorgelegt und sie diese auch gelesen haben.

Das Ergebnis

„Die ARM-Methode hat uns geholfen, die Bereiche zu identifizieren, auf die wir uns konzentrieren mussten, um Fortschritte zu erzielen.“

Katy Aldrich Betriebsleiter, LearnSci

Das LearnSci-Team hat im Laufe von drei Jahren sein ISMS ausgebaut und Informationssicherheitsprozesse in das Unternehmen integriert und 27001 erstmals erfolgreich die ISO 2025-Zertifizierung erlangt.

„Als wir mit den Audits begannen, hatten wir ein System, das wir seit einigen Jahren aufgebaut hatten, das gut für uns funktionierte und mit dem wir uns bestens auskannten. Das gesamte Unternehmen war mit der Plattform vertraut, da wir die Mitarbeiter bereits mehrmals dazu gebracht hatten, ihre Richtlinienpakete zu lesen und andere Personen dazu zu bewegen, Risiken zu erfassen oder den Vorfall-Tracker zu nutzen“, sagte Katy. „Wenn die Auditoren uns also etwas fragten, konnten wir sie in die richtige Richtung weisen. Sie meinten, die Plattform sei wirklich gut eingerichtet.“

Die ISO 27001-Zertifizierung dürfte Katy und ihrem Team bei der Zusammenarbeit mit Universitäten wertvolle Zeit und Ressourcen sparen. Die größten Auswirkungen werden sich zeigen, wenn LearnSci neue Partner an Bord holt: Die ISO 27001-Zertifizierung erspart dem Team in vielen Fällen das Ausfüllen umfangreicher Fragebögen zur Informationssicherheit. Stattdessen belegt die Zertifizierung das robuste Informationssicherheitsmanagement des Unternehmens.

„Die ISO 27001-Zertifizierung gibt dem Partner die Gewissheit, dass wir extern zertifiziert sind und den Aspekt der Datensicherheit abgedeckt haben. Das ist ein großer Gewinn für uns und auch für sie.“

Katy Aldrich Betriebsleiter, LearnSci

„Einige Fragebögen zur Informationssicherheit, die ich letztes Jahr ausgefüllt habe, bestanden aus einem langen Formular, und die erste Frage lautete: ‚Sind Sie ISO 27001-zertifiziert?‘ Wenn Sie dieses Kästchen ankreuzen und Ihre Zertifikatsnummer angeben können, müssen Sie das Formular nicht ausfüllen.“

LearnSci konnte durch die Nutzung der ISMS.online-Plattform außerdem erhebliche Kosteneinsparungen erzielen.

Wenn man die Kosten des Systems und unseren Zeitaufwand berücksichtigt, sind die Kosten deutlich geringer als die für die Einstellung eines Compliance Officers. Wir könnten dafür niemanden auf der entsprechenden Ebene einstellen, da wir weiterhin die Zeit anderer Mitarbeiter im Unternehmen benötigen würden.

Was kommt als Nächstes?

Das LearnSci-Team ist stolz auf die ISO 27001-Zertifizierung und plant, dies bekannt zu machen und die Einhaltung der hohen Standards zu gewährleisten. Die Zertifizierung wird in den nächsten Monaten bei Diskussionen über bevorstehende Verkäufe und Verlängerungen berücksichtigt, da die Universitäten mit der Ressourcenplanung für das kommende akademische Jahr beginnen.

„Unsere ISO 27001-Zertifizierung wird in den nächsten sechs Monaten, wenn wir in die Hochsaison für den Verkauf eintreten, wirklich zum Tragen kommen.“

Katy Aldrich Betriebsleiter, LearnSci