SECURITY insight 6/10

Organisation
Im Fokus: Logistik und Verkehr
auch hier sowohl die Haftung mit dem
Privatvermögen als auch eine Haftstrafe
nach sich ziehen können.
Um die IT-Risiken im Sinne der gesetzlichen
Regelungen beachten zu können,
muss es ein permanentes IT-Risikomanagement
und IT-Sicherheitsprozesse
geben, die auf die spezielle Unternehmenssituation
ausgerichtet sind. Ein
wesentlicher Erfolgsfaktor dafür ist die
organisatorische Positionierung des IT-
Risikomanagements und der verantwortlichen
Personen innerhalb des Unternehmens.
Insbesondere die Ausgestaltung
der Rolle eines „Chief Information Security
Officers“ (CISO) sowie seine Einordnung
in die Aufbauorganisation und das
Zusammenspiel mit dem Gesamtrisiko-
Management ist wesentlich.
Der CISO sollte den direkten Berichtsweg
zur Geschäftsleitung und dem für
das Gesamtrisikomanagement Verantwortlichen
haben. Zudem sollte ihm die
Geschäftsführung mit dem notwendigen
Handlungsspielraum ausstatten, um die
erforderlichen Maßnahmen im Unternehmen
durchzusetzen. Bei der Einordnung in
die Organisation ist zu beachten, dass der
CISO nicht in die IT-Organisation eingegliedert
wird! Es besteht sonst die Gefahr,
dass auf aufwändige Sicherheitsmaßnahmen,
die im Interesse des Gesamtunternehmens
liegen, zu Gunsten kurzfristiger
Einsparungen in der IT-Organisation
verzichtet wird. Ebenso sollte dem CISO
neben den Durchsetzungs- und Kontrollaufgaben
nicht zusätzlich die Durchführungsverantwortung
obliegen (mögliche
Interessenkonflikte).
IT-Compliance erreichen und
IT-Risiken beherrschen
Optimale organisatorische Positionierung
allein ist noch kein Garant für den Erfolg.
Ohne eine systematische Methode, die
an den individuellen Erfordernissen des
Unternehmens ausgerichtet ist, dabei
alle branchenspezifischen Anforderungen
abbildet, die Compliance berücksichtigt
und die vollständige Analyse und
Behandlung aller IT-Risiken erlaubt, wird
Foto: gradt - Fotolia.com
Sicherheits- und IT-Verantwortliche sind
haftbar, wenn sie die (IT-)Risiken ihres
Geschäfts ignorieren und kein Überwachungssystem
eingerichtet haben. Wer
da nicht rechtzeitig vorgesorgt hat, für
den wird es eng…
Am Ende des Tages sollte jeder Sicherheits-
und IT-Verantwortliche entspannt
seinen Computer herunterfahren können.
das IT-Risikomanagement nur schwerlich
das gewünschte Resultat bringen.
Die WMC Wüpper Management Consulting
GmbH hat dafür die Business-
Management-Lösung QSEC-Suite entwickelt,
mit der Unternehmen bereits
erfolgreich im In- und Ausland vom TÜV
auditiert wurden. Es handelt sich dabei
um eine komplette Lösung für Aufbau und
Betrieb des Compliance- und IT-Risikomanagements.
Neben der Methode bietet
das System viele Unterstützungsfunktionen
und ist in der Lage, die umfassenden
Abhängigkeiten methodisch, flexibel und
mandantenfähig zu managen. Technisch
erlaubt die Lösung alle erzielten Erkenntnisse
über die Nutzung der integrierten,
datenbankgestützten Funktionen regelmäßig
zu überprüfen, mit dem Ziel, abzugleichen
und entsprechende Maßnahmen
zu entwickeln, zu managen und in
die Praxis umzusetzen.
Dabei werden, ausgehend von den
Geschäftsprozessen, die wesentlichen
Fakten und Bestände im Complianceund
Risikomanagement erkannt, Bedrohungen
identifiziert und Schwachstellen
ermittelt. Die daran anschließende Maßnahmenplanung
ist so gestaltet, dass der
optimale Einsatz von Mitarbeitern und
Budget erzielt wird. Durch die geführte
Vorgehensweise, umfangreiche Musterdokumente,
Fragenkataloge und Bewertungshilfen
nach Best Practice und internationalen
ISO-Standards werden interne
und externe Aufwendungen nachhaltig
reduziert (30 bis 50 Prozent Einsparung
bei internen und externen Kosten). Alle
Veränderungen und Verbesserungen
werden in einem sich ständig wiederholenden
Kreislauf („Plan-Do-Check-Act“,
PDCA-Verfahren) verfolgt, dokumentiert
und eine lückenlose Historie über das
integrierte Dokumentenmanagement
sichergestellt. Es besteht die Möglichkeit,
Standardberichte tagesaktuell und umfassend
zu erstellen und einzusehen sowie
um individuelle Berichte zu ergänzen. Das
erhöht ganz nebenbei das Vertrauen und
die Zufriedenheit der Geschäftspartner.
Die so gemanagten Prozesse reduzieren
Ausfälle, gewährleisten den schnelleren
Wiederanlauf und steigern die Rentabilität
im Unternehmen.
www.wmc-direkt.de
Foto: Deutsche Post DHL
Wir sind drin!
Ein ehrgeiziges Projekt: Die Deutsche Post DHL vernetzt ihre Sicherheitstechnik in Deutschland
Von Rainer Henß
Die Vernetzung von Menschen und Organisationen durch Nachrichten und
Waren ist für die Deutsche Post DHL Kerngeschäft. So bringt der internationale
Logistikdienstleister täglich mit über 70 Millionen Brief- und Paketsendungen
Menschen in Deutschland buchstäblich einander näher. Möglich wird dies
durch ein effektives Netzwerk von Sortier- und Verteilzentren. In Deutschland
sind 33 Paket- und 82 Briefsortierzentren so miteinander verbunden, dass mehr
als 95 Prozent aller Briefe und fast 90 Prozent der Pakete am Folgetag beim Empfänger
ankommen.
Weitsichtig
In diesem Jahr hat der Konzern begonnen,
auch seine Sicherheitstechnik in
Deutschland zu vernetzen, um sie noch
flexibler und bedienfreundlicher, aber
auch kosteneffizienter zu gestalten.
Damit wird die zunächst letzte Phase
eines Prozesses eingeläutet, der bereits
im Jahre 2002 begann und der sicherlich
innerhalb der Logistikbranche als
Meilenstein gelten kann. Damals wurde
für die Betriebsgebäude des Brief- und
Paketbereichs in Deutschland neue
Sicherheitstechnik ausgeschrieben,
die zum einen Zutrittskontroll- und Einbruchmeldefunktionen
in einer nach
VdS-Klasse C zertifizierten Zentrale vereinigt
und zum anderen netzwerkfähig
war, um auf künftige Organisationsveränderungen
flexibel reagieren zu können.
Welche Weitsicht die Verantwortlichen
der Konzernsicherheit durch die
Standardisierung und Ausflächung der
Sicherheitstechnik damals bewiesen,
wurde schnell klar, als 2004 die Organisation
der Deutschen Post geändert und
die Zahl von bislang 115 auf nur noch 49
Niederlassungen reduziert wurde.
Durch die einheitliche Technik konnte
diese Veränderung unkompliziert und mit
42
Security insight 6/2010 43