Normen in der IT: Herausforderung für Chefs und die Sicherheitsstrategie

Hallo Boris, welche Normen und Standards sind für die Informationssicherheit bei Sulzer relevant? Nach welchen Kriterien werden diese ausgewählt und angewendet?

Um unser Unternehmen aus Sicht der Informationssicherheit zu schützen, wenden wir die entsprechend der Themen relevanten Normen und Standards an. Bezogen auf die IT-Sicherheit sind das also die ISO 27001, Tisax®* sowie BSI IT Grundschutz.

Die Auswahl ergibt sich durch die Anforderungen unserer Kunden und unserer Geschäftsführung. Verantwortlich für die Umsetzung und für das Nachhalten ist unser ISMS (Information Security Management System).

Welche Herausforderungen oder Schwierigkeiten hast Du bei der Umsetzung oder Einhaltung der Normen in der internen IT erlebt oder erwartest Du in Zukunft? Wie planst Du, diese zu bewältigen oder zu vermeiden?

Zu den schwierigsten Aspekten gehören meist die richtige Interpretation der Normen und die Erkenntnis für die Sinnhaftigkeit einer Normanforderung. Gerade letzteres führt häufiger zu Diskussionen. Hinzu kommen noch eine gute Dokumentation und das Nachhalten sowie die kontinuierliche Verbesserung der Prozesse. Das bedeutet kontinuierlich eine Menge Arbeit, die aber notwendig und sinnvoll ist.

Die oben genannten Herausforderungen bewältigen wir Dank der Unterstützung des ISMS-Teams und durch eine kontinuierliche Weiterbildung unserer Teams im Bereich Informationssicherheit.

Wie definierst Du Normen in der internen IT und welche Rolle spielen sie für die Qualität und Sicherheit der Dienstleistungen deiner Abteilung?

Wie für andere Bereiche in unserem Unternehmen ist auch für die Interne IT wichtig durchgängige Prozesse und erprobte Standards zu etablieren und zu leben. Da helfen uns die Normen schon die richtigen Prioritäten zu setzen. Prozesse wie Configuration Management, Patchmanagement, Incident Management oder Change Management sind längst etabliert und werden seit Jahren bewusst gelebt und kontinuierlich verbessert. Die Qualität wird stets besser, was wir anhand unserer eigenen Auswertungen von Mitarbeiter-Feedbacks und durch die Ergebnisse der jährlichen Mitarbeiterumfrage beobachten.

Vor welchen Herausforderungen steht Eure Abteilung oder auch du bei der Einhaltung von Normen in der internen IT, insbesondere in Bezug auf die Anforderungen von externen Stakeholdern wie Kunden, Lieferanten oder Regulierungsbehörden?

Momentan stellen unsere Kunden die größte Herausforderung dar. Als Dienstleister im Bereich Softwareentwicklung haben wir meist starke Abhängigkeiten mit der IT-Infrastruktur der Kunden zu bewältigen und vor allem mit den stark differenzierten Lösungsansätzen unserer Kundschaft. Man würde sagen, dass alle mit Wasser kochen, aber trotzdem hat jeder unserer Kunden andere Schwerpunkte bei der Umsetzung der IT-Sicherheit. Alleine die Antragsprozessen zum Erhalt von entsprechenden Zugängen und Berechtigungen variieren bspw. enorm.

Die Partner, mit denen wir gemeinsam Kundenprojekte realisieren, müssen auch entsprechend der Kundenanforderungen befähigt werden. D.h. von Kunde zu Kunde sieht es auch da immer anders aus.

Vor welchen Herausforderungen stehst du in deiner Rolle, sobald es Konflikte bzw. sich vielleicht auch widersprechenden Anforderungen gibt? Ich

Als interne IT ist man durchgehend in Interessenskonflikte und Widersprüche verwickelt. Z.B. die ureigene Aufgabe der IT ist unsere Kollegen und das Unternehmen IT-technisch bestens zu befähigen, andererseits müssen wir auf Standards, Informationssicherheit, Datenschutz etc. achten. Das kann schon mal widersprüchlich werden.

Ein anders Beispiel ist die Nutzung eigener Hardware, was viele Kollegen sich gewünscht haben und andererseits eine ganze Menge andere Kollegen aber auch ablehnen, die eine strikte Trennung von dienstlich und privat fordern.

Es ist klar, dass man nicht alle Mitarbeitenden zufrieden stellen kann und vor allem kann man nie allen Anforderungen gerecht werden. Ich versuche sinnvolle und brauchbare Kompromisse zu finden und denjenigen, die ich nicht unterstützen kann, gebe ich möglichst nachvollziehbare Begründungen, warum etwas nicht realisiert werden kann. Dazu versuche ich immer mit meinen Kollegen von der Internen IT auch Risiken abzuschätzen und Priorisierungen vorzunehmen.

Wie förderst Du eine Kultur der Normenkonformität in Euren Teams und wie geht Ihr mit Widerständen oder Abweichungen um?

Die Kultur der Normenkonformität im Team kann man nur wie die Kindererziehung in der eigenen Familie machen – vorleben, wiederholen, korrigieren, wieder vorleben, auch mal schimpfen und natürlich loben…

Wie geht ihr mit Änderungen oder Anpassungen von Normen um?

Bei Änderungen bzw. bei Anpassungen der Normen werden wir tatkräftig von unserem ISMS-Team unterstützt, daher haben wir hier kein Stress, sondern reagieren professionell und lösungsorientiert. Aktuell arbeiten wir gemeinsam an einem Normenmigrationsprojekt, um bei der ISO/IEC 27001:2022 zum Beispiel die verschärften Anforderungen bei der Informationssicherheit umzusetzen (bspw. Data Leckage Prevention). So ein Projekt dauert dann schon mal seine Zeit lang, da es darum geht, die neuen Anforderungen in die Firma zu bringen. Es muss also analysiert werden, die Implementierung geplant werden und alle relevanten Stakeholder einbezogen werden.

Wie ist das Informationssicherheitsmanagementsystem (ISMS) bei der Sulzer GmbH aufgebaut und implementiert? Welche Rolle spielst Du als Chef der internen IT dabei?

Das ISMS wird grundsätzlich durch unsere Management Systeme gesteuert bzw. nachgehalten. Durch regelmäßige Audits und durch regulären Austausch mit den zugehörigen Kollegen aus dem ISMS-Team fällt es uns nicht schwer, Prozesse aufzubauen und nachzuhalten. In meiner Rolle sorge ich dafür, dass sowohl ein produktiver Austausch als auch die Umsetzung festgelegter Maßnahmen sichergestellt wird.

Als Chef der internen IT ist es aber natürlich auch meine Aufgabe den Markt zu beobachten und strategisch Veränderungen unserer IT-Landschaft zu planen. Dabei spielen natürlich auch Normen usw. eine Rolle. Hier gilt es immer abzuwägen und zu beurteilen.

Wie haltet Ihr Euch über die neuesten Entwicklungen und Trends in den Normen für die interne IT auf dem Laufenden und wie implementiert Ihr Sie sie in Prozesse und Systeme?

Sowohl durch die Unterstützung unserer Kollegen aus dem ISMS-Team als auch durch eigene Initiativen sind wir auf dem Laufenden, was die Trends betrifft. Die Implementierung notwendiger Maßnahmen managen wir in Zusammenarbeit mit der Geschäftsführung.

Wie messt Ihr die Wirksamkeit und den Nutzen von Normen in der internen IT und wie kommuniziert Ihr diese an Mitarbeitende und andere Interessengruppen?

Die Messung der Wirksamkeit ist tatsächlich nicht nur eine Normanforderung, sondern auch eine der schwierigsten Aufgaben. Normalerweise sollte man bereits bei der Implementierung jeder Maßnahme überlegen wie man anschließend die Wirksamkeit überhaupt messen kann. Nur meist denkt man noch gar nicht daran.

Wir betrachten in erster Linie unseren kritischen Pfad, d.h. alle Services, die für die unterbrechungsfreie Service-Erbringung relevant sind. Da muss die Verfügbarkeit bei 99,5% liegen und dieses Niveau halten wir erfolgreich schon seit Jahren. Der beste Beweis dafür waren die „Corona-Jahren“, wo alle unsere Kollegen von heute auf morgen ins Homeoffice gegangen sind und erfolgreich weiterarbeiten konnten.

Wie werden Informationssicherheitsrisiken bewertet und behandelt? Welche Methoden und Werkzeuge empfiehlst du bzw. nutzt du selbst?

Die größte Herausforderung ist meist nicht in der Bewertung oder die Behandlung von Sicherheitsrisiken, sondern vorab deren Identifizierung. Das Ganze ist nur sinnvoll, wenn Risiken proaktiv identifiziert werden, damit auch präventiv geeignete Maßnahmen ergriffen werden können. Genau da ist geeignetes „Kopfkino“ gefragt und genau da ist natürlich die Herausforderung die Wirksamkeit zu werten.

Aus meiner Perspektive ist hier wichtig mit kompetenten und erfahrenen Kollegen und Partnern zusammenzuarbeiten, um wirklich relevante Sicherheitsrisiken zu identifizieren, zu bewerten und anschließend angemessene Maßnahmen umzusetzen.

Wie stellst Du sicher, dass die internen IT-Prozesse und -Systeme den gesetzlichen Anforderungen und den Erwartungen der Stakeholder entsprechen? Wie gehst Du mit Änderungen oder Konflikten um?

Grundsätzlich versuche ich immer Anforderungen und Erwartungen aus dem Blickwinkel unserer Möglichkeiten und Bedürfnissen zu betrachten. Man kann nicht allem gerecht werden und dort, wo wir nicht handeln können, sorgen wir dafür, dass eine nachvollziehbare Begründung den Stakeholdern präsentiert wird. In Konfliktsituationen suchen wir das Gespräch und versuchen gemeinsam Kompromisse zu finden. Über gesetzliche Rahmenbedingungen lässt sich aber zum Beispiel nicht diskutieren. Die müssen umgesetzt werden.

Wie förderst Du die Sicherheitskultur und das Sicherheitsbewusstsein in deiner Organisation? Welche Maßnahmen ergreift ihr zur Schulung und Sensibilisierung der Mitarbeiter?

Die Sicherheitskultur und das Sicherheitsbewusstsein in meiner Organisation fördere ich so wie ich es mit meinen eigenen Kindern mache. Also wie bereits erwähnt vorleben, wiederholen, korrigieren, wieder vorleben, auch mal schimpfen und natürlich loben.

Um die Schulungen und die Sensibilisierung der Mitarbeiter kümmern sich unsere Kollegen vom ISMS-Team. Wir unterstützen hier technisch oder mit Hinweisen aus dem täglichen Betrieb.

Wie lassen sich die Wirksamkeit und der Reifegrad des ISMS messen und überwachen? Welche Kennzahlen und Berichte bieten sich an bzw. werden angewendet?

Bei solchen Themen hilft natürlich auch unser ISMS. Sicher sind bei solchen Themen eben entsprechende KPI oder SLA relevant, um die Wirksamkeit und den Reifegrad zu messen. Hinzu kommen so einfache Dinge wie das Zählen von sicherheitsrelevanten Ereignissen. All das wird in der regelmäßigen Managementbewertung überprüft und durch die Geschäftsführung bestätigt. Verbesserungen und Ziele werden bei uns durch interne wie externe Audits auf den Weg gebracht.

Gewisse Standards wie zum Beispiel Tisax®* verpflichten im Assessment auch dazu, die Informationssicherheitsprozesse intern und extern bewerten zu lassen (Prozessreifegrad).

Wie empfiehlst du auf Sicherheitsvorfälle oder -verletzungen zu reagieren? Aus deiner Rolle als Chef der internen IT heraus – welche Prozesse oder Verfahren sollten etabliert sein?

Das, was ich immer empfehlen kann, ist Sicherheitsvorfälle oder -verletzungen immer ernst zu nehmen und nicht wegen der Audits irgendwelche „Luftnummern“ abzuspielen. Wichtig ist dabei ein festes Team von kompetenten und entscheidungsfähigen Kollegen zu haben. Klare Prozesse und Verantwortlichkeiten helfen genauso wie auch ein dedizierter „IT-Krisenraum“ – gut erreichbar und sogar mit ein wenig Proviant ausgestattet.

Wie gestaltet ihr die Zusammenarbeit mit externen Partnern oder Dienstleistern im Bereich der Informationssicherheit? Welche Anforderungen oder Vereinbarungen sind empfehlenswert?

Mit allen Partnern, die mit uns im Bereich Informationssicherheit zusammenarbeiten, müssen im Vorfeld immer entsprechende Formalitäten bezüglich Geheimhaltung und Datenschutz erledigt werden. Bei der Auswahl der Partner achten wir insbesondere auf gute Referenzen und falls im Laufe der Projekte unsere Anforderungen nicht entsprechend den getroffenen Vereinbarungen erfüllt werden, dann unterbrechen wir die Zusammenarbeit.

Wir haben gute Erfahrungen auch damit gemacht bei solchen Kooperationen nach festen Stundensätzen auf Basis von Time and Material abzurechnen. Darüber hinaus sind wir aktiv bei der Konzeption und der Umsetzung der Projekte beteiligt.

Vielen Dank Boris für das Gespräch. Hast du noch ein paar abschließende Worte oder Tipps?

Im IT-Alltag können Normen sehr hilfreich sein – man sollte diese nicht als 30er-Schilder interpretieren, sondern eher als Wegweiser sehen.

*Tisax® ist eine eingetragene Marke der ENX Association.