Stets auf der Hut
Bei DACHSER hat der Schutz von Daten und Systemen höchste Priorität. Die Herausforderungen an die Informationssicherheit von heute und morgen erläutert Christian von Rützen, Department Head IT Strategy Implementation bei DACHSER. Mit seinem internationalen IT-Security-Team ist er unter anderem für das Management der Informationssicherheit bei DACHSER zuständig.
Herr von Rützen, warum ist die IT-Sicherheit wichtig in der Logistik? Welche verschiedenen Aspekte sind unter dem Begriff zu sehen?
Christian von Rützen: In einer digitalisierten Welt können die hochkomplexen und stark optimierten Wertschöpfungsketten nur funktionieren, wenn parallel zu den Warenströmen auch die entsprechenden Daten fließen. Diese Daten müssen verfügbar, korrekt und mitunter vertraulich sein. Sie müssen zudem weltweit allen gesetzlichen Anforderungen genügen. Verfügbarkeit, Integrität, Vertraulichkeit und Compliance: An diesen vier Dimensionen richtet sich auch die Informationssicherheit bei DACHSER konsequent aus.
DACHSER ist bereits seit knapp zehn Jahren nach der international anerkannten Norm für Informationssicherheit, ISO 27001, zertifiziert. Wie hat sich das Thema IT-Sicherheit in den letzten Jahren entwickelt?
DACHSER ist im vergangenen Jahrzehnt stark gewachsen. Wir sind noch internationaler geworden, haben unsere IT-Systeme weltweit integriert und standardisiert und wir bauen anspruchsvolle Schnittstellen zu den Systemen unserer Kunden. Nicht zuletzt gibt uns das Engagement im Bereich Corporate Research & Development einen starken Innovationsschub. In diesem dynamischen Umfeld sind gute Prozesse in der Sicherheit sehr wichtig, zum Beispiel wenn es um die Bewertung von Risiken oder die Behandlung von Schwachstellen und Vorfällen geht. Wir sind froh, dass wir diese Prozesse durch die ISO 27001-Zertifizierung recht früh etabliert hatten und in den betrieblichen Alltag einflechten konnten.
Haben die Gefährdungen denn im Zeitverlauf zugenommen?
Das Muster für Angriffsversuche fächert sich seit einigen Jahren immer weiter auf. Qualität und Quantität zeigen, dass sich die organisierte Kriminalität immer weiter professionalisiert. Dementsprechend sehen wir bei DACHSER auch alle Angriffsversuche, denen man als aktiver Nutzer des Internets ausgesetzt ist – und diese nehmen zu. Wir beobachten beispielsweise zahlreiche Angriffe über E-Mails. Teilweise kommen diese sogar von echten Geschäftspartnern, deren Systeme erfolgreich angegriffen wurden.
Department Head IT Strategy Implementation bei DACHSER
Wie ist DACHSER beim Thema IT-Sicherheit aufgestellt?
Ganz grundsätzlich ist Sicherheit eine Teamaufgabe. An einer Stelle steht das Management der Informationssicherheit, welches in einem risikobasierten Ansatz die Regeln und Vorgaben festlegt und deren Einhaltung überprüft. Dann haben wir das Security Operations Center, das Angriffsversuche frühzeitig erkennt und abwehrt. Nicht zuletzt leisten alle IT-Teams und alle Benutzer in ihrem jeweiligen Arbeitsumfeld ihren Beitrag zur Sicherheit. Von zentraler Bedeutung ist, dass das Informationssicherheitsmanagement einen engen Kontakt zu den beteiligten und betroffenen Teams hält. Alle Beteiligten wachsen dabei mit ihren Aufgaben und entwickeln sich weiter, um den sich verändernden Anforderungen gerecht zu werden.
Wie kann jeder Einzelne und jedes Unternehmen zu mehr Cyber-Sicherheit beitragen?
Sicherheit entsteht immer durch das Zusammenwirken von Technik und der richtigen Bedienung. Dies ist nicht nur in der IT so: Es reicht nicht, ein Schloss an der Haustür zu haben – man muss es auch abschließen und sollte keinen Reserveschlüssel unter den Fußabtreter legen. Deshalb ist der Beitrag, den jede Kollegin und jeder Kollege täglich leistet, nicht hoch genug zu schätzen. Dies betrifft vornehmlich drei Aspekte: Ein gesundes Maß an Vorsicht und Aufmerksamkeit im Umgang mit E-Mails und Web, das Melden von Vorfällen und das Befolgen der Sicherheitsrichtlinien.
Was erwarten die Kunden von DACHSER beim Thema IT-Sicherheit und wie verändern sich diese Erwartungen?
Unsere Kunden finden sich genauso wie wir in der digitalen Transformation, erweitern ihre IT-Systeme erheblich oder bauen sie von Grund auf neu und schaffen neue wertschöpfende Schnittstellen. Dieser Innovationsschub findet in einer gereiften globalen IT-Branche statt. Anders als noch im Dotcom-Boom vor gut 20 Jahren stehen nun also große Werte und das Funktionieren ganzer Volkswirtschaften auf dem Spiel. Deshalb sind Sicherheit und Zuverlässigkeit in dieser dynamischen Innovationsphase unabdingbar. Dies gilt wie gesagt gleichermaßen für unsere Kunden, Partner und für uns selbst.
In der Informationssicherheit spiegeln sich die Herausforderungen der digitalen Transformation wider: Das Bestehende schützen, gleichzeitig viel Neues schaffen und alle Beteiligten in diesem Prozess mitnehmen. Diesen Dreiklang sauber zu spielen sehen wir als die größte Herausforderung der kommenden Jahre. Die sicherheitsrelevanten Aspekte müssen mehr denn je berücksichtigt werden, um den Wandel der Corporate IT zu einem Orchestrator von Softwareprodukten erfolgreich zu bestreiten, das heißt die eigenen Systeme im Einklang mit den besten, am Markt verfügbaren Applikationen zu managen.
Zertifizierte IT-Sicherheit:
Die international anerkannte Norm ISO 27001 (aktuelle Fassung: ISO/IEC 27001:2005) beschreibt den sicheren Umgang mit Informationen im Unternehmen. Sie deckt dabei alle Aspekte der Informationssicherheit ab: von den technischen Disziplinen Virenschutz, Spam-Abwehr und Sicherheit der Internetanwendungen über die Ausfallsicherheit und Notfallplanung, bis hin zu organisatorischen Aspekten wie Vertraulichkeitsregelungen mit externen IT-Dienstleistern und Beratern oder IT-Benutzerrichtlinien. In jährlichen Überwachungsaudits müssen Fortschritte bei der Informationssicherheit nachgewiesen werden, um die Zertifizierung zu erneuern.