Das Management der ZF Lenksysteme GmbH weiß: Wissen sichert ihren Wettbewerbsvorsprung. Deshalb realisierte der Automobilzulieferer gemeinsam mit dem Dienstleister HP frühzeitig ein lückenloses Konzept für den Informationsschutz. Als Basis dient ein zertifiziertes Managementsystem – mit klaren Richtlinien, Prozessen und Rollen.
In Schwäbisch Gmünd laufen viele Fäden zusammen. Von dort steuert die ZF Lenksysteme ihre Geschäfte in aller Welt. Sie tauscht mit Niederlassungen und Partnern Informationen aus, schickt Mitarbeiter um den Globus. Je mehr Daten die Reise auf unterschiedlichen Wegen antreten, desto größer ist allerdings das Risiko des Datendiebstahls. Über eine Billion US-Dollar sollen Unternehmen laut einer aktuellen Studie des Softwareanbieters McAfee durch Spionage verloren haben.
Wissen von Technologieführern ist in wirtschaftlich schwierigen Zeiten besonders vielen Angriffen ausgesetzt. Umso mehr rechnen sich jetzt die bisherigen Projekte für den Informationsschutz, die ZF Lenksysteme gemeinsam mit HP durchgeführt hat.
Die Gefahren lauern überall: So können Hacker Produktionsstraßen lahmlegen oder Spione in sensible Werksbereiche eindringen. Doch nicht nur technische Systeme wie die IT oder physische Zugangskontrollen sind anfällig. Auch der Mensch gilt als Risiko.Fremde horchen Mitarbeiter etwa über sogenanntes „Social Engineering“ aus, ohne dass diese es bemerken. Ein häufiger Vorfall: Passwörter werden telefonisch preisgegeben, weil sich der Anrufer als fürsorglicher IT-Kollege ausgibt. Auch der Zufall kann anderen Unternehmen wertvolle Informationen in die Hände spielen. Telefonate im Flugzeug oder Zug haben schon so manches Betriebsgeheimnis preisgegeben.
Und so haben in einer zunehmend mobilen und globalen Arbeitswelt immer häufiger kleine Unachtsamkeiten große Folgen. Qualitativ minderwertige Raubkopien der eigenen Produkte kommen auf den Markt und ziehen teure Haftungsklagen nach sich. Sensible Daten eines Kunden gehen verloren und wieder wird finanzieller Ausgleich eingeklagt. Der Wettbewerbsvorsprung ist dahin, das gute Image ebenfalls.
Sicherheit wird deshalb bei der ZF Lenksysteme seit vielen Jahren als zentrale Managementaufgabe begriffen, für die man sich regelmäßig externe Unterstützung holt. HP ist Partner beim Informationsschutz, weil der Dienstleister beim geschäftlichen Nutzen und nicht bei der Technologie ansetzt.
Maximaler Informationsschutz umfasst Prozesse, Menschen und Technik gleichermaßen, was einen hohen Aufwand bedeutet. HP-Consultant Zoltan Kerekes rät deshalb dazu, „sich auf wesentliche Geschäftsrisiken zu konzentrieren, diese aber unternehmensweit und umfassend sowie unter einem klaren Wirtschaftklichkeitsaspekt abzudecken und immer am Ball zu bleiben.“ Im Jahr 2006 entschied sich ZF Lenksysteme für ein Information Security Management System (ISMS), mit dem sich alle Aktivitäten steuern und überwachen lassen – von Awareness-Maßnahmen bis zur Zertifizierung der hauseigenen Entwicklungsprozesse.
Im Kern ist ein ISMS eine unternehmensspezifische Dokumentation von Regelungen, Prozessen, Verfahren und Rollen, mit denen sich Informationssicherheit nachhaltig gewährleisten lässt. Ein ISMS beantwortet Fragen wie: Welches Wissen ist wie zu schützen? Mit welchen Kontrollmechanismen lassen sich Sicherheitslücken schnell aufdecken? Werden alle gesetzlichen und internen Compliance-Richtlinien eingehalten?
Ob das neue ISMS den anspruchsvollen Anforderungen gewachsen ist, sollten unabhängige Sicherheitsexperten prüfen. Das Unternehmen entschloss sich deshalb für eine Zertifizierung – zuerst für das Konzern-Rechenzentrum, später für andere Fachbereiche. Auf Anraten von HP entschied sich das Unternehmen für die Norm ISO 27001, „weil diese im Gegensatz zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik als internationaler Standard anerkannt ist“, so Kerekes von HP. ISO 27001 spezifiziert die Elemente eines ISMS und die Anforderungen an das Management der Informationssicherheit.
Bereits beim Aufbau des Systems mussten die Verantwortlichen also die spätere Zertifizierung im Blick haben. HP leistete umfassende Beratung, führte eine Gap-Analyse durch und erstellte das Gesamtkonzept. Eine anspruchsvolle Aufgabe, denn in der letzten Projektphase, der Umsetzung des Konzepts im Rechenzentrum, waren es nur noch drei Monate bis zum externen Audit. „Ohne HP hätten wir den Zeitplan nie einhalten können“, sagt IT-Leiter Hans Frank und sein Kollege, Sicherheitsbeauftragter Alexander Häußler ergänzt: „Man merkte tagtäglich die Projekterfahrung und das fundierte Wissen.“ Beispiel Gap-Analyse: Hier konnte HP in kurzer Zeit den Status quo mit einem erprobten Soll-Prozess abgleichen. Dabei zeigte sich, dass die ZF Lenksysteme bereits über eine grundlegende Policy verfügte, die alle gesetzlichen und internen Anforderungen beinhaltete. Allerdings waren die Security-Abläufe größtenteils nicht auf eine Zertifizierung nach ISO 27001 ausgelegt. So existierten bereits Teillösungen, etwa für einen sicheren Client oder den Umgang mit Schadsoftware. Diese bildeten aber meist funktionale Inseln.
Ein ISMS nach ISO 27001 basiert dagegen auf durchgängigen Prozessen, mit denen sich Risiken und Bedrohungen erkennen, bewerten und minimieren lassen. Aus der Gap-Analyse leitete das HP-Team deshalb gemeinsam mit den internen Verantwortlichen einen Projektplan mit vorbereitenden Maßnahmen für die geplante Zertifizierung ab. Die Aufgabenliste fiel umfangreicher als erwartet aus. Viel Aufwand mussten die ZF Lenksysteme und der Dienstleister beispielsweise in das Incident Management stecken, um Vorfälle in der IT ISO-konform aufnehmen, behandeln und auswerten zu können.
Damit nicht genug: Das Unternehmen betraute Mitarbeiter mit neuen Aufgaben und Verantwortlichkeiten, das Team musste deshalb so manche Überzeugungsarbeit leisten. Nicht zuletzt sieht die ISO-Norm vor, dass einzelne Prozesse über Kennzahlen gemessen und die Ergebnisse samt Handlungsempfehlungen an die Geschäftsleitung gemeldet werden. Diese hat die Fakten zu prüfen und entsprechend zu entscheiden. „Der Regelkreis von Planen-Umsetzen-Messen-Handeln stellt sicher, dass wir unseren Informationsschutz ständig verbessern können“, sagt IT-Leiter Frank.
Auch das Zusammenspiel mit anderen Geschäftsprozessen sollte reibungslos funktionieren. So wurde das ISMS in ein bereits bestehendes, übergreifendes Managementsystem eingebunden. Es deckt neben dem Qualitätsmanagement die Themen Arbeits-, Umwelt- und Gesundheitsschutz ab.
Dass sich die ZF Lenksysteme frühzeitig des Themas Informationsschutz angenommen und ein ISMS aufgebaut hat, kommt ihr heute zugute. Als BMW seine Zulieferer jüngst aufforderte, ihren Entwicklungsprozess nach ISO 27001 zertifizieren zu lassen, hatte ZF Lenksysteme dieses Vorhaben schon auf der Agenda. Es wird in den kommenden Monaten auf Basis des ISMS schnell in die Tat umgesetzt – ebenso wie der weltweite Rollout des Informationsschutzes. „Bei diesen Folgeprojekten möchten wir HP wieder mit im Boot haben“, sagt Sicherheitsbeauftragter Häußler, „auch dann, wenn es darum geht die Mitarbeiter zu sensibilisieren.“
Eine allgemeine Awareness-Kampagne für Informationsschutz fuhr ZF Lenksysteme gemeinsam mit HP bereits im Jahr 2007, das vom gesamten ZF-Konzern zum „Jahr des Informationsschutzes“ erklärt wurde. Medien hatten ausgiebig über das „Risiko Mensch“ berichtet und Mitarbeiter sollten deshalb für den richtigen Umgang mit Informationen sensibilisiert werden.
Weil sich alle Unternehmen im Konzern an der Initiative beteiligten, waren für alle Kosten und Aufwand überschaubar. HP unterstützte eine eigens gegründete, konzernweite Arbeitsgruppe bei der Planung und Umsetzung der Awareness-Kampagne. Außerdem lieferte der Dienstleister einige Module, beispielsweise Videoclips für das Intranet, die unter anderem den Arbeitsplatz, das Verhalten in der Öffentlichkeit oder soziale Attacken thematisierten. Der Aufbau der Themenvideos orientiert sich an der Fernsehsendung zur Verkehrssicherheit „Der 7. Sinn“. Sie zeigen typisches Fehlverhalten und seine Konsequenzen, danach klärt ein Sprecher aus dem Hintergrund die Situation auf, und zuletzt wird die Situation mit korrektem Verhalten wiederholt – mit Aha-Effekt, aber nicht erhobenem Zeigefinger.
Weitere Module der Initiative waren Artikel im Intranet und der Mitarbeiterzeitschrift, Broschüren, Plakate und eine Veranstaltung für Führungskräfte, die als Multiplikatoren in ihre Abteilungen fungieren.
Heute kann ZF Lenksysteme mit seinen Projekten rund um den Informationsschutz Umsatz- und Imageverlusten nachhaltig vorbeugen und damit langfristig Arbeitsplätze sichern. Schrittweise wird das Konzept gemeinsam mit HP ausgebaut. Ein Fahrplan für die nächsten vier Jahre steht bereits.
Eva Schulz Freie Journalistin in Passau
ISMS und ISO 27001
Um ein höchstmögliches Maß an Informationssicherheit in allen betrieblichen Facetten sicherzustellen, hat sich in der Praxis der Einsatz eines Informations-Sicherheits-Management-Systems (ISMS) bewährt. Dieses legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert). Wie ein ISMS einzurichten ist, schreiben internationale Standards fest. Die Konformität mit diesen Standards ist zertifizierbar. Damit lässt sich ein Nachweis gegenüber Dritten erbringen. Der meistverbreitete Standard ist der ISO/IEC 27001:2005; kurz ISO 27001.
Marktchancen
Heute ist der Informationsschutz bei ZF Lenksysteme so weit gediehen, dass das Unternehmen schnell und gezielt auf neue Bedrohungen und Entwicklungen reagieren kann, weil es seine Sicherheitsregeln nachhaltig in Organisation und Geschäftsprozessen verankert hat. Sicherheitsbeauftragter Häußler sagt: „Mit HP haben wir eine Basis geschaffen, um künftigen Zertifizierungsanforderungen der Geschäftsleitung, aber auch von Kunden zeitnah zu entsprechen.“
Unsere Webinar-Empfehlung
Teilen:
