FACHTHEMA | APPLIKATION «Früher haben wir einzelne Steinchen optimiert, jetzt das ganze Mosaik.» Roland Hürlimann, CIO, Rittmeyer AG / BRUGG GROUP «Informationssicherheit ist uns ein echtes Anliegen. Würde diese allein intern getrieben werden, besteht immer ein gewisses Risiko, dass man andere Dinge höher priorisiert und wichtige Entscheidungen aufschiebt.» Das Mandatsverhältnis mit einem externen Anbieter und Überprüfungen im Wochenrhythmus gab dem Thema Informationssicherheit die nötige Aufmerksamkeit. Einerseits werden die Mitarbeitenden dadurch laufend mit den entsprechenden Fragestellungen konfrontiert. Wichtiger jedoch: Massnahmen für potenzielle neue Bedrohungsszenarien können früh definiert, geplant und zeitgerecht umgesetzt werden. Begonnen hat man 2018 mit einer Gap-Analyse bei der organisatorischen und technischen Sicherheit. Auf dieser Basis wurden ab Mitte 2019 auf Rittmeyer zugeschnittene Prozesse und Richtlinien entwickelt. «Bei Rittmeyer waren neben VertreterInnen der verschiedenen Unternehmensbereiche auch regelmässig CEO und CFO mit im Boot. Das ist nicht immer so», ist Herzog erfreut. Dadurch konnte einerseits der sportliche Zeitrahmen eingehalten werden. Vor allem habe man dadurch aber sichergestellt, dass nicht nur etwas ‹on top› gebaut wird, sondern das Thema Informationssicherheit vom obersten Management unterstützt und somit tief in die Organisation hineingetragen wird, so der Berater. Ein Voraudit im darauffolgenden Jahr gab Aufschluss über den aktuellen Stand der organisatorischen Sicherheit. Diese Vorbesprechung dient dazu, letzte Verbesserungen vor dem eigentlichen Zertifizierungsaudit umsetzen zu können. Im Juli dieses Jahres wurde das Audit dann von der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) durchgeführt und erfolgreich bestanden. Viele kleine Steinchen? Ein ganzes Mosaik. Cyber Security war Rittmeyer seit den Anfängen des Internets ein grosses Anliegen. Risikobewertungen und entsprechende Investitionen in einzelne Systeme wurden deshalb bereits vor der Zertifizierung kontinuierlich durchgeführt. «Vor der Einführung des Standards haben wir jedoch eher einzelne Steinchen optimiert. Jetzt optimieren wir das ganze Mosaik, das Zusammenspiel dieser Steine», macht Hürlimann klar. Rittmeyer liefert Systeme in kritische Infrastrukturen. Die ISO 27001 berücksichtigt in einem eigenen Kapitel die Sicherheit bereits in der Entwicklung. «Unter anderem setzen wir auf das Vier-Augen-Prinzip. Am Ende jedes Entwicklungszyklus wird ein abschliessender Sicherheits-Check durchgeführt. Entwicklungs-, Test- und Produktivumgebung sind selbstverständlich ohnehin strikt voneinander getrennt», so Hürlimann. Selbst das Supply Chain Management ist in das Regelwerk integriert, gibt Herzog Aufschluss: «Rittmeyer ist genauso wie seine Kunden auf Lieferanten angewiesen. Der Standard stellt sicher, dass auch an deren Sicherheit gewisse Mindestanforderungen gestellt werden.» Endlich zurücklehnen? Es sei schon anspruchsvoll, die Motivation bei allen Beteiligten über diesen langen Zeitraum zu halten, muss Hürlimann eingestehen. Die Vorteile sichtbar zu machen, mit Abwehrhaltungen umzugehen, weil bislang fixe Prozesse geändert werden. «Aber heute kann ich stolz sagen: Wir haben unseren Job in Bezug auf Informationssicherheit gemacht.» Das sei jedoch nur eine Seite der Medaille, gibt Herzog abschliessend zu bedenken: «Rittmeyer kann seinen Beitrag zur Sicherheit nur bis zu einer gewissen Grenze leisten.» Es sei vor allem auch das Verhalten der Kunden und deren Mitarbeitenden, das für nachhaltige Informationssicherheit im laufenden Betrieb kritischer Infrastrukturen ausschlaggebend ist. 02| 2020 16 | 17
RkJQdWJsaXNoZXIy NTkxNzY=