Foto:
Mit der Zusammenlegung der Rechenzentren ist die Integration zweier Organisationen längst nicht erledigt. Diese Erfahrung machten auch die österreichischen Pensionsversicherungsanstalten der Arbeiter und der Angestellten, die Anfang 2003 zur Pensionsversicherungsanstalt (PVA) fusionierten. Vor etwa anderthalb Jahren hat sie ein Großprojekt im Rahmen der Zusammenlegung abgeschlossen: die Einführung eines einheitlichen qualitätsgesicherten Information-Security-Management-Systems (ISMS) nach ISO/IEC 27001.
Geleitet wurde das Projekt von Herbert Walzer, seines Zeichens zertifizierter Risiko-Manager bei der PVA. "Die beiden ehemals selbständigen Anstalten hatten für ihre IT jeweils eigens entwickelte und gut funktionierende Anwendungen und Prozesse etabliert", berichtet er, "aber da man unterschiedliche Ansätze gewählt hatte, wäre eine Zusammenführung zu aufwendig gewesen." Besser erschien es, beide Systeme auf eine standardisierte Plattform zu heben.
Zweierlei war dazu notwendig: eine Norm, nach der sich die vorhandenen Qualitäts-, Risiko- und Dokumenten-Management-Lösungen standardisieren ließen, sowie eine technische Plattform, die Prozesse aus unterschiedlichen Abteilungen abbilden und zusammenführen konnte. Als Leitlinie wählte Walzer den einzigen auditierbaren und international etablierten Standard, der alle Anforderungen zur Umsetzung eines ISMS beschreibt: ISO/IEC 27001. Damit musste die Technik in der Lage sein, ISO-konform zu arbeiten.
ISO/IEC 27001
-
Die ISO/IEC 27001-Norm beschreibt einen Qualitätsstandard für das Management von Informationssicherheit auf der Basis einer Risikobeurteilung.
-
So definiert der Standard zugleich die Anforderungen an ein Information-Security-Management-System (ISMS).
-
Das Herstellen von Informationssicherheit wird dabei nicht als einmalige Leistung verstanden, sondern als Plan-Do-Check-Act-Regelkreis.
-
Die Norm ist international etabliert und auditierbar: Es gibt anerkannte Kriterien für den Nachweis, dass die Informationssicherheit die jeweiligen Anforderungen erfüllt.
Anpassung des Datenmodells - ein Kraftakt
Foto: Walzer/PVA
"Unsere Anforderungen an ein ISMS sind sehr hoch", erläutert Walzer, "immerhin verwaltet die Anstalt einen der größten Datenbestände der Republik Österreich." Die PVA kümmere sich heute um zirka 2,97 Millionen Versicherte und 1,75 Millionen Pensionäre.
Mit der Suche nach einer passenden Lösung beauftragte die PVA damals das Beraterteam von Comparex, das schon bei der Zusammenlegung der Rechenzentren geholfen hatte. Bei der Evaluierung setzte sich die Softwaresuite "HiScout" des Berliner Anbieters DB3 GmbH durch. Dabei handelt es sich um ein Management-System mit einem objektorientierten Datenbankmodell, das als Werkzeug zum Dokumentieren, Analysieren, Abbilden, Steuern und Überwachen der Informationssicherheit eingesetzt werden kann. Ausschlaggebend für die Entscheidung war unter anderem die Tatsache, dass in HiScout die ISO/IEC-27001-Norm hinterlegt ist. Hinzu kam der hohe Detaillierungsgrad, den die Lösung in Bezug auf das Datenmodell und die Abbildung von Prozessen zuließ.
Im Herbst 2006 erwarb die PVA die Module "Risk Management" und "Security Management" sowie 50 Einzelplatzlizenzen. Die Basisinstallation - einschließlich Server-Hardware, Betriebssystem und Datenbank - verlief laut Projektleiter Walzer unkompliziert; sie sei nach einem halben Tag abgeschlossen gewesen: "Aber dann ging die Arbeit erst richtig los." Denn nun musste das Datenmodell ISO-27001-konform abgebildet werden.
Das Team aus PVA- und Comparex-Mitarbeitern erfasste alle relevanten Assets und Prozesse, also Daten, Anwendungen, Standorte, IT-Systeme, Netze, Fachbereich und Rollen, unter Berücksichtigung der vielfältigen Beziehungen und gegenseitigen Abhängigkeiten. Dabei entstanden Tausende von Datensätzen, so dass das Customizing die Aufmerksamkeit des Teams über mehr als eineinhalb Jahre in Anspruch nahm.
Konkreter Schutzbedarf für Assets und Prozesse
Foto: PVA
Auch die Einrichtung von Risiko-Management und ISMS hielten Herausforderungen bereit: Da die PVA kein profitorientiertes Unternehmen ist, sollten die identifizierten Risiken im System nicht auf monetärer Basis gemessen werden, sondern anhand von beeinträchtigten Geschäftsfällen. Das sind einzelne Aktenbewegungen oder Datenverarbeitungsschritte. Ein Ausfall eines kritischen Systems kann Millionen von Geschäftsfällen beeinträchtigen oder behindern.
In das ISMS waren alle sicherheitsrelevanten Vorfälle - von offenen Türen über kaputte Schlösser, Diebstahl und Einbruch bis zu Viren oder Ausfällen von Systemen und Netzbereichen - einzupflegen. Überdies hatte das Team zu diesen Vorfällen jeweils Gegenmaßnahmen zu definieren, die im Ernstfall sofort im Information-Security-Modul abgerufen werden konnten.
Gegen Ende 2008 waren die Module komplett aufgesetzt. Nun war die PVA in der Lage, den konkreten Schutzbedarf für Assets und Prozesse zu ermitteln. Zudem ließen sich erste Risiko-Reports generieren. Das Loggen der Sicherheitsvorfälle konnte beginnen. In der Anlaufphase wurden die errechneten Ergebnisse jedes Mal sorgfältig geprüft und die notwendigen Anpassungen umgesetzt.
Im ersten Quartal 2009 ging das System in den normalen Betrieb über. Effektiv arbeiten heute immer zwischen fünf und zehn Mitarbeiter gleichzeitig mit der Lösung; sie übernehmen das Einpflegen von Server-Umstellungen, neuen Softwareanwendungen etc.
Das IS-Management der PVA kann sich nun beispielsweise Risikobewertungen für einzelne Systeme oder Systemgruppen, Notfallpläne für den Brandfall oder Reaktionspläne für den Ausfall bestimmter Mitarbeiter ausgeben lassen. Die Unternehmensspitze wird periodisch mittels eines Management-Review über den Status des Regelwerks informiert.
Erste Erfolge haben sich schon eingestellt
Auf der Basis der Auswertungen konnte die PVA bereits erste Maßnahmen umsetzen, mit denen sich die festgestellten Risiken verringern lassen. Um eine bessere Business-Continuity sicherzustellen, wurden Standards für die Infrastruktur von IT-Räumen etabliert, die Vorgehensweise bei der Entsorgung von IT-Equipment verbessert und ein Workflow für die Dokumentation solcher Vorfälle definiert, die sich möglicherweise negativ auf die Informationssicherheit auswirken.
"Die Softwarelösung verringert den Aufwand zum Erhalt der Informationssicherheit nach ISO/IEC 27001", bestätigt Walzer: "Der Nachweis für Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ist immer gewährleistet."
Darüber hinaus ist die Abbildung des Datenmodells aus Walzers Sicht eine Investition in die Zukunft: "Sollten wir einmal ein eigenständiges System für die Sicherung der Business-Continuity oder das Quality-Management aufsetzen, so stehen die eingepflegten Daten auch für diese Module bereichsübergreifend zur Verfügung." Und auf diese Weise hat die PVA bereits eine wichtige Hürde für die Einführung einer unternehmensweiten Strategie für Governance, Risk, Compliance (GRC) genommen.
Was ist GRC?
-
Governance, Risk, Compliance, kurz: GRC - diese drei Buchstaben rauben Geschäftsführern und Vorständen, aber auch IT-Chefs vielfach den Schlaf.
-
GRC vereint Regeln, Strukturen und Prozesse, die dafür sorgen, dass die Ressourcen eines Unternehmens (oder im Falle der IT-Governance: die IT-Ressourcen) im Sinne der Unternehmensziele eingesetzt werden.
-
Das Ziel einer GRC-Strategie ist es, nachzuweisen, dass die Compliance eingehalten wird, also den externen und internen Vorgaben Genüge getan ist - unter Berücksichtigung der eigenen Unternehmensziele und der individuellen Risikobereitschaft.
-
Auf die IT bezogen manifestiert sich GRC häufig im Einsatz international etablierter Verfahren und Rahmenwerke wie Cobit oder Itil.
-
Die strenge Orientierung an Best-Practice-Vorgaben soll helfen, Unklarheiten zu beseitigen und transparente Prozesse zu schaffen.
-
Damit sinkt entweder die Wahrscheinlichkeit, dass ein negatives Ereignis eintritt, oder es steigt die Chance, dass im Ernstfall schnell auf Notfallprozesse zugegriffen werden kann.