New Business: "Wir haben die Trans­for­ma­tion früh an­ge­stossen."

Marco Häfliger, Sicherheitsbeauftragter (links) und Christof Eugster, "Mister ISO" von Achermann ICT-Services
Warum Achermann ICT-Services viel Geld und Hirnschmalz in eine ISO-Zertifizierung gesteckt hat. Und was es gebracht hat.
 
Am Anfang war ein Missverständnis. Als Achermann ICT-Services letzten Herbst stolz informierte, man habe die Zertifizierung nach ISO 27001 erreicht, haben wir die Sache ignoriert. So eine Zertifizierung nach ISO XY hat doch jeder – haben wir gedacht. Und uns dabei gründlich und mehrfach getäuscht.
 
Zum einen ist der Aufbau und die Zertifizierung eines Informationssicherheits-Managementsystems nach ISO 27001 nicht einfach zu erreichen. Und für einen relativ kleinen ICT-Dienstleister wie Achermann mit rund 50 Mitarbeitenden eine grosse Herausforderung.
 
Zum anderen ist der Entscheid, das Zertifikat nach ISO 27001 anzustreben, langfristig und Ausdruck einer Strategie. Inside-channels.ch hat sich mit Christof Eugster, Marco Häfliger und Gregor Naef von Achermann zu einem Hintergrund-Gespräch getroffen. Eugster ist Projektleiter und "Mister ISO", Häfliger ist Sicherheitsbeauftragter und Naef ist als Geschäftsführer für die Strategie des Luzerner ICT-Service-Providers verantwortlich.
 
Erst die Strategie, dann die Kunden
"Wir haben die Transformation unseres Unternehmens früh angestossen und Services als Produkte entwickelt", sagt Gregor Naef. "Wir bieten nicht nur klassische Cloud-Services an, sondern haben LAN-as-a-Service oder Devices-as-a-Service entwickelt. Der Trend zu as-a-Service-Modellen ist bei den KMU angekommen. Sie wollen nicht mehr alle drei bis fünf Jahre in Infrastruktur investieren. Mit unserer Marketing- und Verkaufsbotschaft sprechen wir gezielt jene Kunden an, die an as-a-Service-Modellen interessiert sind."
 
Achermann peilt den klassischen KMU-Markt der Firmen und Organisationen bis 250 Mitarbeitende an. Hochstandardisierte Lösungen bietet man aber auch Kleinfirmen an, so Naef. Auch der Government-Markt (Schulen, Gemeinden) liegt im Fokus des Zentralschweizer ICT-Dienstleisters. Achermann hat eine dedizierte Cloud für den Public-Bereich gebaut. Naef: "Das hat es uns erlaubt, auch Kunden ausserhalb des Kantons Luzern zu gewinnen."
 
Eineinhalb Mannjahre investiert
Wer mit grösseren Organisationen ins Outsourcing-, respektive Cloud-Geschäft kommen will, muss aber bestimmte Bedingungen erfüllen. So ist ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem ein Must. "Gemeinden haben die Zertifizierung im Pflichtenheft", erklärt Achermanns "SIBE" (Sicherheitsbauftragter) Marco Häfliger. Die Zertifizierung ist auch Bedingung, wenn man Kunden aus der Finanzindustrie gewinnen will. "Wir konnten 2018 die Nidwalder Kantonalbank als Kunden gewinnen. ISO 27001 war eine zwingende Voraussetzung. In anderen Branchen ist die Zertifizierung ein Differenzierungsmerkmal. Ich glaube, in Zukunft wird es schwierig sein, ohne diese überhaupt an Ausschreibungen teilzunehmen", so Christoph Eugster.
 
Mit dem Standard für Informationssicherheits-Managementsysteme werden alle Geschäftsprozesse abgedeckt. Voraussetzung, um die Zertifizierung überhaupt anzupacken, war also, dass Achermann sämtliche Geschäftsprozesse dokumentiert hat. Der richtige Umgang mit Sicherheitsvorschriften, zum Beispiel die konsequente Verschlüsselung von Daten oder die Überprüfung von neuen Mitarbeitern, wird in den Geschäftsprozessen definiert.
 
Der Aufwand für die Zertifizierung war gross. Naef sagt, seine Firma habe etwa eineinhalb Mannjahre investiert und drei Mitglieder der Geschäftsleitung immer wieder beschäftigt.
 
Von der Projekt- zur Serviceorganisation
Eine Zertifizierung nach ISO bedeutet, dass man die Umsetzung von Prozessen nicht nur standardisiert, sondern diese von einem externen Dienstleister überprüfen lässt.
 
Achermann macht heute rund einen Drittel des Umsatzes mit Cloud-Dienstleistungen respektive Managed Services, einen Drittel mit Regie-Dienstleistungen und einen Drittel mit Trading. "Unsere Organisation muss sich von einer Projekt- zu einer Service-Organisation wandeln", sagt Naef.
 
Die Strategie und der grosse Aufwand, den man für die Zertifizierung nach ISO 27001 betrieben hat, scheint sich auszuzahlen. Achermann konnte 2018 zehn Mitarbeitende neu anstellen. Die Spezialisten aus dem Projektgeschäft braucht es trotzdem weiterhin. Naef: "Wir haben durchaus auch noch klassische IT-Ingenieure, die beim Kunden Lösungen bauen. Diese Leute haben unser Datacenter designed und gebaut." (Christoph Hugenschmidt)