Wie Paymenttools die ISO 27001-Zertifizierung und ein einheitliches Compliance-Management erreicht hat

„Die IO-Plattform ist nun unser strategisches Dachsystem für die Verwaltung unserer gesamten Sicherheits- und Compliance-Landschaft.“

Jan Oetting CISO, Paymenttools

Key Take Away

Erfahren Sie, wie Paymenttools funktioniert:

• Die ISO 27001-Zertifizierung wurde in neun Monaten erreicht.
• Wir nutzten die IO-Plattform, um ein robustes ISMS zu implementieren und die Einhaltung der ISO 27001-Norm sicherzustellen.
• Wir nutzten die Unterstützung und Expertise von SGG, um den Zertifizierungserfolg zu erzielen.
• Nutzen Sie weiterhin die IO-Plattform, um Ihre gesamte Sicherheits- und Compliance-Landschaft zu verwalten.

Über Paymenttools

Paymenttools ist ein Team aus Technologieexperten und Zahlungsspezialisten mit umfassender Erfahrung im Einzelhandel. Das Unternehmen hat es sich zur Aufgabe gemacht, Zahlungslösungen zu entwickeln, die allen Beteiligten – vom Kassenpersonal bis zum Endkunden – das Leben erleichtern und das Einkaufserlebnis langfristig verbessern.

Da Paymenttools seine Wurzeln im Handel hat, versteht das Team, dass Zahlungstransaktionen kein Nebenaspekt, sondern ein strategisches Instrument für moderne Geschäftsmodelle sind. Sie verfolgen einen ganzheitlichen Ansatz und berücksichtigen dabei alles – von Zahlungsprozessen und Kundenbindungsprogrammen bis hin zu unserer Vision eines unabhängigen europäischen Zahlungssystems.

Sie werden von einem gemeinsamen Ziel angetrieben: Zahlungssysteme zukunftssicher zu gestalten – mit Lösungen, die heute zuverlässig funktionieren und morgen echte Unabhängigkeit schaffen.

Die Herausforderung

Da die Ressourcen für Sicherheit und Risikomanagement begrenzt waren, benötigte das Paymenttools-Team eine schlanke und pragmatische Lösung, die von einem kleinen, fokussierten Team betrieben werden konnte, um die ISO-27001-Zertifizierung erfolgreich zu erreichen. Als Cloud-natives Unternehmen mit starkem Fokus auf Entwicklung waren viele traditionelle, bürokratische Sicherheitskontrollen für das Geschäft nicht relevant. Daher war die einfache Identifizierung und Implementierung relevanter Kontrollen von zentraler Bedeutung.

„Unsere Herausforderung bestand darin, ein hohes Sicherheitsniveau und die Einhaltung der Vorschriften aufrechtzuerhalten, ohne unsere Ingenieure auszubremsen.“

Jan Oetting CISO, Paymenttools

Jan und sein Team nutzten zwar Tools wie Google Workspace zur Definition von Richtlinien und zum Risikomanagement, erkannten aber, dass dies kein effizienter Ansatz war. Sie benötigten eine dedizierte Plattform zur Verwaltung und Pflege ihres Informationssicherheitsmanagementsystems (ISMS) anstelle von uneinheitlichen Tools und Dokumentationen.

Sie benötigten außerdem fachkundige Unterstützung und Beratung, um den ISO-27001-Konformitäts- und Zertifizierungsprozess erfolgreich zu durchlaufen. Das Team brauchte jemanden, der ihre zentrale Sicherheitsphilosophie als „Co-Pilot“ teilte: jemanden, der als Partner und nicht als Hindernis agiert, den Erfolg ermöglicht und sichere Wege zum Ziel findet.

„Diese Gesamtmaßnahme ist Teil unseres strategischen Wandels von reaktiver Einhaltung von Vorschriften hin zu proaktiver Kontrolle über unser Verteidigungsumfeld.“

Jan Oetting CISO, Paymenttools

Die Lösung

Paymenttools beauftragte SGG mit der Implementierung eines ISO 27001-konformen ISMS und der Durchführung von Vorzertifizierungsaudits, sowohl vor Phase 1 als auch vor Phase 2. Das Unternehmen nutzte außerdem die IO-Plattform und verwendete die vorgefertigten ISO 27001-Vorlagen und -Workflows der Plattform, um eine schnelle Implementierung und Ausrichtung zu gewährleisten.

„SGG hat entscheidende Hinweise zum Verständnis des Standards und zur pragmatischen, geschäftsorientierten Herangehensweise an den Zertifizierungsprozess gegeben.“

Jan Oetting CISO, Paymenttools

Durch den Einsatz der IO-Plattform konnte Paymenttools die Einhaltung der ISO 27001-Norm optimieren und die zugehörigen Kontrollen und Prozesse effizient implementieren und verwalten. Chris Gill, Leiter Cybersicherheit, GRC und Auditierung bei SGG, erklärte: „Die vorgefertigten, auf ISO 27001 abgestimmten Vorlagen und Workflows sparten dem Unternehmen viel Zeit und reduzierten die Komplexität.“

Mit Unterstützung von SGG nutzte Paymenttools die intuitive, benutzerfreundliche IO-Plattform und die IO 11-stufige Assured Results Method (ARM), um die Zertifizierungsanforderungen strategisch zu erfüllen.

„Die Methoden zur Sicherstellung von Ergebnissen (ARM) funktionierten wie versprochen einwandfrei und verschafften uns einen enormen Vorsprung, da rund 70 % der Richtlinien sofort einsatzbereit waren. Dadurch konnten wir uns auf unsere Sicherheitsstrategie konzentrieren: Festlegen, was wir tun, Risiken bewerten und dann verbessern.“

Jan Oetting CISO, Paymenttools

Die vorgefertigten Elemente der Plattform bildeten die Grundlage, auf der Paymenttools ein maßgeschneidertes, hochgradig individualisiertes ISMS entwickeln und weiterentwickeln konnte. Zu den Kernbereichen, die das Unternehmen nutzte, gehörten das Risikoregister, das Anlagenverzeichnis, die Stakeholder-Übersicht, das Sicherheitsmanagement und der Bereich für Korrekturmaßnahmen und Verbesserungen.

Die Zusammenarbeit war ebenfalls ein wesentlicher Bestandteil der Partnerschaft. Um den anhaltenden Erfolg zu gewährleisten, stimmten SGG und Paymenttools ihre Bemühungen um die Einhaltung der Vorschriften konsequent ab und stellten so sicher, dass die Umsetzung der ISO 27001-Norm planmäßig verlief.

„Das SGG-Team führte bei Bedarf Workshops mit den Mitarbeitern von Paymenttools durch, um sicherzustellen, dass die Konzepte der ISO 27001:2022 klar und verständlich vermittelt wurden.“

Chris Gil Leiter Cybersicherheit, GRC und Auditierung, SGG

Das Ergebnis

Paymenttools hat die ISO 27001-Zertifizierung innerhalb von neun Monaten erfolgreich erhalten. Jan schätzt, dass das Unternehmen durch die Zusammenarbeit mit IO und SGG im Vergleich zu einem manuellen Vorgehen bei der Ersteinrichtung rund 100 Personentage eingespart hat, zuzüglich der Zeitersparnis bei der laufenden Wartung.

„Der Zeitaufwand für die Verwaltung verschiedener Vorschriften und Prüfungen wird deutlich reduziert.“

Jan Oetting CISO, Paymenttools

Für Paymenttools waren die wertvollsten Elemente der IO-Plattform die moderne Richtliniendokumentation und das Anlageninventar, die in der ISO 27001-Projektstruktur bereitgestellt wurden: „Das wichtigste Element der IO-Plattform waren die vordefinierten Richtlinien, insbesondere weil sie für ein modernes Unternehmen wie unseres optimiert sind.“

Das Paymenttools-Team profitierte zudem vom zentralisierten Informationssicherheitsansatz der Plattform in den Bereichen Risikomanagement, Anlagenverwaltung, Korrekturmaßnahmen und Reaktion auf Sicherheitsvorfälle. Dadurch konnte das Unternehmen den Aufwand für die Einhaltung von Vorschriften konsolidieren und den Einsatz spezialisierter Tools bis zum absoluten Bedarf hinauszögern.

Die strategische Beratung und die fachkundige Unterstützung von SGG waren maßgeblich für die Erlangung der ISO 27001-Zertifizierung durch Paymenttools und lenkten das Sicherheitsmanagement des Unternehmens in die richtige Richtung, um den Zertifizierungserfolg sicherzustellen.

„Chris von SGG hat uns entscheidende Hinweise zum Verständnis des Standards und zur pragmatischen, geschäftsorientierten Herangehensweise an den Zertifizierungsprozess gegeben. Er agierte wie ein echter Co-Pilot. Er besprach kritische Punkte mit den externen Prüfern, begründete unsere Entscheidungen und leistete zudem wertvolle Unterstützung beim Risikomanagement.“

Jan Oetting CISO, Paymenttools

Was kommt als Nächstes?

Das Unternehmen hat zwar die ISO 27001-Zertifizierung erfolgreich erhalten, doch ist kontinuierliche Verbesserung Voraussetzung für die dauerhafte Einhaltung der Vorschriften. Daher konzentrieren sich Paymenttools und SGG weiterhin darauf, das Informationssicherheitsmanagementsystem (ISMS) des Unternehmens weiterzuentwickeln und etwaige Mängel zu beheben.

„Seit Paymenttools die ISO 27001:2022-Zertifizierung erhalten hat, hat SGG dazu beigetragen, eine Reihe von Paymenttools-Prozessen weiterzuentwickeln, darunter das Lieferantenmanagement, die Rückgabe von Vermögenswerten und die Informationssicherheit im Projektmanagement.“

Chris Gil Leiter Cybersicherheit, GRC und Auditierung, SGG

Seit der Erlangung der ISO 27001-Zertifizierung haben Jan und sein Team den Umfang ihrer Compliance auf PCI DSS und die deutsche KRITIS-Verordnung ausgeweitet – alles innerhalb der IO-Plattform. Paymenttools nutzt die IO-Plattform nun auch als allgemeines Richtlinien- und Risikomanagement-Tool für das Unternehmen und erweitert damit deren Einsatzmöglichkeiten über die reine Sicherheit hinaus.

„Die IO-Plattform ist nun unser strategisches Dachsystem für die Verwaltung unserer gesamten Sicherheits- und Compliance-Landschaft.“

Jan Oetting CISO, Paymenttools

Das Team integriert derzeit NIS 2, um die Übereinstimmung mit den Vorschriften sicherzustellen, das NIST Cybersecurity Framework (CSF) zur Messung des Reifegrads und CoBit als allgemeines Kontrollrahmenwerk.

„Wir setzen unseren Weg fort, unsere Sicherheitsarchitektur von ‚Compliance‘ zu ‚Command‘ weiterzuentwickeln.“

Jan Oetting CISO, Paymenttools