Informationssicherheit bei Herth+Buss

30. Jun 2019 | Ausbildung + Karriere

Mobiles Banking, Smartphones, Cloud – mit der Digitalisierung und dem technologischen Wandel haben einige neue, spannende Entwicklungen Einzug in unseren Alltag erhalten, die unser Leben in vielerlei Hinsicht beeinflussen. Informationen und Daten sind derart wichtige Güter, dass sie zu einem bevorzugten Ziel Krimineller geworden sind. Das Thema Informationssicherheit und damit zusammenhängend auch Business Continuity Management sind dadurch gegenwärtig immer mehr im Fokus und im Alltag von Unternehmen präsent.

Ihr fragt euch jetzt sicher, inwiefern Herth+Buss als Großhändler von Autoteilen, mit Informationssicherheit zu tun hat? Um die Antwort darauf zu finden, ist ein kleiner Einblick in meine Arbeit und hinter die Kulissen notwendig.

Das papierlose Büro

Wir bei Herth+Buss sind nämlich tatsächlich äußerst digital unterwegs! Unsere Arbeitsprozesse sind in digitalen Workflows abgebildet, zudem arbeiten wir nahezu papierlos, indem bspw. sämtliche Papierdokumente in unserem Dokumentenmanagementsystem digital archiviert werden. Weiterhin ist ein Arbeiten in unserem Unternehmen ohne funktionierende IT nahezu unmöglich, da sämtliche Prozesse und Datenströme über unsere IT-Infrastruktur laufen und demnach entweder IT-gesteuert oder IT-unterstützt sind.

Die Konsequenz davon ist jedoch, dass wir in unserem täglichen Arbeiten mit der IT auch entsprechend anfällig für Ausfälle der Technik sind. Im Falle des Ausfalls unserer wichtigsten Systeme würden nahezu alle Prozesse im Unternehmen stillstehen. Die Folgen? Wir könnten unsere Kunden nicht mit der gewünschten Ware beliefern, unser Warenversandsystem könnte nicht eingehalten werden, Umsatz- bis hin zu Kundenverlusten wären zu erwarten.

Wo befinden sich die Risiken?

Um genau solchen Szenarien vorzubeugen, ist es meine Aufgabe, als Informationssicherheitsbeauftragter, Risikoanalysen für unsere wichtigsten Systeme und Anwendungen (auf denen Informationen von uns verarbeitet werden) durchzuführen. Dies geschieht dabei gemeinsam mit den für die jeweiligen Verantwortlichen der Systeme/Anwendungen.

Bei diesen Risikoanalysen werden sämtliche Risiken betrachtet und dahingehend beurteilt, wie hoch die Eintrittswahrscheinlichkeit ist, wie die Schadenshöhe bei einem Risikoeintritt einzuschätzen ist und was die Folgewirkungen bei einem Risikoeintritt auf das Geschäft sein könnten. Außerdem werden die möglichen Eintrittsursachen diskutiert. Im Fokus der Analysen stehen dabei stets die drei Säulen der Informationssicherheit: Vertraulichkeit, Verfügbarkeit und Integrität.

Sobald die Risikoanalysen abgeschlossen sind, wird entschieden, wie mit den Risiken verfahren wird. Dabei gibt es verschiedene Handlungsalternativen. Wir können das Risiko akzeptieren und die möglichen Folgen in Kauf nehmen, bspw., weil die Gefahr eines Eintritts und die Schadenshöhe als gering eingestuft werden. Risiken können jedoch auch eine sehr hohe Eintrittswahrscheinlichkeit, in Kombination mit erheblichen Schäden, haben. In einem solchen Fall sind Maßnahmen sinnvoll, um den Risiken zu begegnen und der Gefahr eines Ausfalls vorzubeugen.

Das Business Continuity Management

Natürlich kann es trotz ausgiebiger Risikoanalysen und Maßnahmenplänen trotzdem zu Ausfällen kommen, da man auf bestimmte externe Faktoren wie die Umwelt nur bedingt Einfluss nehmen kann. Auch für solche Fälle müssen wir gewappnet sein.

Entsprechend ist es hier meine Aufgabe als Business Continuity Manager, den laufenden Betrieb auch im Notfall so gut es geht am Leben zu halten. Hierfür haben wir im Rahmen des Business Continuity Managements mit sämtlichen am Lieferprozess beteiligten Bereichen sogenannte Business Continuity-Pläne erstellt. In diesen ist detailliert beschrieben, welche Maßnahmen der jeweilige Bereich in einem Notfall ergreifen kann, um weiterarbeiten zu können. Unsere oberste Prämisse lautet hierbei: Wir müssen an unsere Kunden liefern können! Und da unsere IT hierfür so wichtig ist, sind natürlich auch dafür Notfallpläne vorhanden, um für alles vorbereitet zu sein.

Hierbei handelt es sich nur um einen Teil meiner Arbeit; Informationssicherheit ist nämlich noch weit umfassender mit Inhalten wie Datensicherung, physische Sicherheit usw., die ich euch künftig in Folgebeiträgen noch gerne erklären werde!