21.10.2011 Die Funktionen des inet TMS werden hauptsächlich als Software-as-a-Service genutzt. Deshalb hat inet in besonderer Weise Verantwortung für den Umgang mit Kundendaten. Um Werteverluste und Haftungsrisiken zu vermeiden, richten wir die Informationssicherheit nach der internationalen Sicherheitsnorm ISO/IEC 27001:2005 aus. Alle Dokumente, Prozesse und Verfahren sollen in Anlehnung an diese Norm aufgebaut, implementiert, kontrolliert und verbessert werden. Das Ziel aller Maßnahmen ist, zu gewährleisten dass Informationen vertraulich, integer und verfügbar sind.
Die Sicherheitsziele von inet:
- störungsfreier und hochverfügbarer Betrieb der IT-Systeme
- keine wesentliche Beeinträchtigung der Kommunikation und IT-Schnittstellen zu Kunden und Geschäftspartnern
- Sicherung der Vertraulichkeit, Korrektheit und Manipulationssicherheit von Kunden- und Unternehmensdaten
- Erfüllung von gesetzlichen und regulativen Anforderungen sowie Einhaltung vertraglicher und Vertragsrelevanter Vorschriften
Viele Anforderungen der Norm wurden seit unserer Entscheidung für ISO 27001 umgesetzt. Daten wurden verschlüsselt, Sicherheitsrichtlinien und verschärfte Kontrollen eingeführt sowie Maßnahmen hinsichtlich der Sicherheit in den Rechenzentren umgesetzt. Begleitet wird inet dabei von der TÜV Rheinland i-sec GmbH , die inet auch in den Vorbereitungen für das baldige Pre-Audit mit fachlich profundem Know-how unterstützt.
Wichtig sind vor allem auch organisatorische Änderungen. Darunter fallen neue Rollen und Verantwortlichkeiten. Benutzerrollen und -rechte stellen sicher, dass nur bestimmte Personen in bestimmte, für ihre tägliche Arbeit notwendige Bereiche Einsicht nehmen können. Bei inet wurden der Prozess der Rechtevergabe und die Zugriffsrechte neu definiert sowie Autorisierungsworkflows eingeführt. So können Datenbank-Administratoren beispielsweise nicht mehr ohne weiteres in die Daten einsehen – das schränkt die Anzahl der Leser weiter ein und erhöht so die Sicherheit. Wenn andere MitarbeiterInnen mit entsprechenden Rechten auf die Produktivdaten zugreifen müssen, werden die vorgenommenen Änderungen protokolliert.
Keine Sicherheit ohne Awareness
Als Cloud Computing Provider muss inet die Sicherheit von Informationen und den Schutz von Assets (Unternehmenswerten) garantieren indem Risiken aus menschlichem Irrtum, Diebstahl, Betrug oder Missbrauch von Einrichtungen reduziert werden. Deswegen wurde ein ISMS-Team (Information Security Management System Team) – geführt von einem Informationssicherheitsverantwortlichen und einem Informationssicherheitskoordinator etabliert. Sie sind das wachsame Auge von inet-logistics. Sie erstellen Sicherheitskonzepte und -richtlinien, die an die Anforderungen von inet-logistics angepasst sind und stimmen diese sowohl mit dem Management als auch mit der TÜV Rheinland i-sec GmbH ab. Die wahrscheinlich größte Herausforderung ihrer Aufgabe besteht jedoch darin Awareness, also Bewusstsein und Sensibilität zu schaffen und immer wieder ins Gedächtnis zu rufen. Alle Mitarbeiter müssen sich der Bedrohungen bewusst sein und über angemessene Mittel zur Unterstützung der organisationseigenen Sicherheitspolitik verfügen.
„Unsere Herausforderung ist bei allen Mitarbeitern ein Bewusstsein für Informationssicherheit zu schaffen. Verschlüsselte Datenbanken oder strenge Zugriffsrechte nützen nichts wenn Ausdrucke am Drucker liegen bleiben, Türen offen stehen, Telefonate an öffentlichen Orten geführt oder der Bildschirm des Laptops für Dritte einsehbar ist. Sensibilisierte Mitarbeiter zeigen Mängel aktiv auf und sind die besten Quellen für Verbesserungsvorschläge.“ (Rene Leimegger, information security officer)
Diese Awareness soll durch regelmäßige Schulungen, zukünftig aber auch durch interne Audits verstärkt werden. Weitere Punkte wie strengere, vertragliche Regelungen im Supplier Management sowie weitere technische Verbesserungen folgen im Rahmen des angestrebten Zertifizierungsprozesses.
Anfang 2012 wird das inet Hauptquartier in neue Räumlichkeiten ziehen. Das neue Office bedeutet auch neue Herausforderung im Sicherheitsbereich. Besonders die Frage des sicheren Zutritts muss durch die Kombination verschiedener Maßnahmen (Türen mit Alarmschaltung, Videoaufzeichnung, elektronische Zutrittskontrollen) gewährleistet sein.
