Ganzheitliches Informationssicherheits-managementsystem für den Regionalverband Ruhr

Von einzelnen Sicherheitsmaßnahmen zu einem einheitlichen und auditfähigen ISMS nach ISO/IEC 27001

Informationssicherheits-managementsystem (ISMS) nach ISO/IEC 27001

Der Regionalverband Ruhr (RVR) stand vor der Herausforderung, Informationssicherheit strukturiert und normkonform zu etablieren. Gemeinsam mit Materna hat der Verband ein ganzheitliches Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 aufgebaut. Dazu zählen insbesondere ein systematisches Risikomanagement, klare und einheitliche Richtlinien sowie umfassende Awareness-Maßnahmen. Ergebnis ist ein nachhaltiges, auditfähiges Sicherheitsniveau sowie die gezielte Vorbereitung auf die externe Zertifizierung Anfang 2027.

Kunde

  • Kunde: Regionalverband Ruhr (RVR)
  • Branche: Öffentliche Verwaltung
  • Mitarbeitende: > 500 Mitarbeitende
  • Haushaltsvolumen 2026: rund 128 Mio. €

Projektumfang

  • Zeitraum: 09/2024 bis 02/2027
  • Projektvolumen: > 180 Personentage
  • Rolle Materna: Lead- und Umsetzungspartner

Informationssicherheit strukturiert etablieren

Die Anforderungen an Informationssicherheit im öffentlichen Sektor steigen kontinuierlich. Neben regulatorischen Vorgaben gewinnen insbesondere Transparenz, Nachvollziehbarkeit und die strukturierte Steuerung von Risiken zunehmend an Bedeutung.

Beim RVR waren bereits einzelne Sicherheitsmaßnahmen etabliert. Es fehlte jedoch ein übergreifendes ISMS, das Prozesse, Verantwortlichkeiten und Risiken ganzheitlich abbildet. Ziel war es daher, Informationssicherheit strategisch zu verankern und ein auditfähiges ISMS nach ISO/IEC 27001 aufzubauen, das nicht nur normkonform ist, sondern auch im operativen Alltag wirksam funktioniert.

Klare Ziele für ein nachhaltiges Sicherheitsniveau

• Aufbau eines normkonformen ISMS nach ISO/IEC 27001
• Erhöhung der Security-Reife und Risikotransparenz
• Integration von Informationssicherheit in bestehende Prozesse
• Vorbereitung auf eine erfolgreiche Zertifizierung
• Nachhaltige Sensibilisierung von Mitarbeitenden und Führungskräften

Schritt für Schritt zum ganzheitlichen ISMS

Materna begleitete den RVR ganzheitlich – von der strategischen Konzeption bis zur operativen Umsetzung des ISMS.

Zu Beginn hat das Projektteam die bestehende Sicherheitslandschaft analysiert und ein Zielbild für das zukünftige ISMS definiert. Darauf aufbauend entstand eine konsistente Richtlinien- und Governance-Struktur inklusive einer übergreifenden Sicherheitsleitlinie.

Ein zentraler Bestandteil des Projekts war die Einführung eines systematischen Risikomanagements. Gemeinsam mit dem etablierten ISMS-Team sowie den Fachbereichen hat Materna Risiken identifiziert, bewertet und geeignete Maßnahmen zur Behandlung definiert. Parallel dazu erfolgte die Umsetzung organisatorischer und technischer Sicherheitsmaßnahmen gemäß ISO/IEC 27002.

Besonderer Fokus lag dabei auf der Praxistauglichkeit des Managementsystems. Dazu gehörten unter anderem die Weiterentwicklung der IT-Sicherheitsarchitektur, Maßnahmen in den Bereichen Netzwerksicherheit, Organisation und Endpoint Protection sowie die Einbindung externer Dienstleister und Lieferanten in das ISMS.

 

Daniel Braun
Manager Cyber Security, Materna

„Ein wirksames ISMS entsteht nicht durch Dokumentation allein. Entscheidend ist, dass Prozesse in der Organisation erfolgreich identifiziert, bewertet und gelebt werden, um darauf aufbauend ein Risikomanagement als integralen Bestandteil eines ISMS zu etablieren und geeignete Sicherheitsmaßnahmen ableiten zu können. Genau darauf haben wir im Projekt mit dem RVR konsequent hingearbeitet.“

Ergänzend haben die Cyber Security-Experten ein zielgruppenspezifisches Schulungskonzept entwickelt. Durch Trainings, Workshops und Unterstützung bei Phishing-Simulationen wird das Sicherheitsbewusstsein in der Organisation nachhaltig gestärkt.

Zur Vorbereitung auf die Zertifizierung nach ISO/IEC 27001 führt Materna interne Audits durch, identifiziert Optimierungspotenziale und bereitet die Mitarbeitenden gezielt auf die Auditsituation vor. Die Begleitung erfolgt bis zur geplanten externen Zertifizierung.

Mehr Transparenz und belastbare Sicherheitsprozesse

Durch die strukturierte Umsetzung wurde ein belastbares und auditfähiges ISMS etabliert. Klare Sicherheitsprozesse ermöglichen heute eine systematische Steuerung von Informationssicherheitsrisiken und schaffen Transparenz über den aktuellen Sicherheitsstatus.

Gleichzeitig wurden das Sicherheitsbewusstsein auf allen Ebenen gestärkt und eine belastbare Grundlage für die bevorstehende ISO/IEC 27001 Zertifizierung geschaffen.

Paul Grossmann
Informationssicherheitsbeauftragter, Regionalverband Ruhr

„Mit Materna haben wir ein ISMS aufgebaut, das nicht nur den Anforderungen der ISO/IEC 27001 entspricht, sondern sich auch im Alltag bewährt. Besonders überzeugt hat uns die strukturierte Vorgehensweise und die enge Zusammenarbeit mit unseren Fachbereichen.“

Praxisorientierter Aufbau

Ein zentraler Erfolgsfaktor des Projekts war die enge Zusammenarbeit zwischen dem ISMS-Team, den Fachbereichen, der Referatsleitung und der IT. Der Fokus lag dabei nicht ausschließlich auf regulatorischer Konformität, sondern insbesondere auf einer praxisnahen und nachhaltigen Umsetzung.

Die Kombination aus methodischer ISO/IEC 27001-Expertise und technischer Sicherheitsberatung ermöglichte einen ganzheitlichen Ansatz, der Organisation, Technik und Mensch gleichermaßen berücksichtigt.

Informationssicherheit nachhaltig weiterentwickeln

Mit dem aufgebauten ISMS verfügt der RVR über eine belastbare Grundlage für Informationssicherheit und regulatorische Anforderungen. Im nächsten Schritt steht die externe Zertifizierung nach ISO/IEC 27001 im Fokus.

Parallel dazu entwickelt das Projektteam   das Managementsystem kontinuierlich weiter, um auf neue Bedrohungen, technologische Entwicklungen und regulatorische Veränderungen flexibel reagieren zu können und die eigene Resilienz zu stärken. Ziel ist es, Informationssicherheit langfristig als festen Bestandteil der Organisation zu verankern und nachhaltig zu stärken.