Anwenderbericht : Corporate-Security und BCMS
Künftige Anforderungen an Unternehmen setzen etablierte Sicherheitskonzepte in zunehmendem Maße unter Druck. Bereits seit Jahren arbeiten Arvato Systems und HiSolutions daher eng zusammen, um eine richtungsweisende Resilienz zu etablieren und das Unternehmen auf neue Herausforderungen vorzubereiten. Der vorliegende Beitrag gibt einen Einblick in die Corporate-Security von Arvato Systems und zeigt am Beispiel des Business-Continuity-Managements (BCM), wie HiSolutions Sicherheitsprojekte in hochdynamischen Umgebungen realisiert.
Von Theo Nick, Berlin, Jann-Christoph Sowa, Aurich und Roger Schranz, Gütersloh
Als international agierender IT-Spezialist und Experte für künstliche Intelligenz sowie Multi-Cloud-Services unterstützt Arvato Systems namhafte Unternehmen bei der digitalen Transformation. Rund 3000 Mitarbeiterinnen und Mitarbeiter an weltweit über 25 Standorten stehen für höchstes technisches Verständnis. Schwerpunkte von Arvato Systems sind dabei Unternehmen aus Handel, Medien, Gesundheitswesen sowie der Energie- und Versorgungswirtschaft.
Mit seinem Kundenspektrum unterliegt Arvato Systems einer Vielzahl unterschiedlicher rechtlicher, regulatorischer und vertraglicher Anforderungen an die Sicherheit der erbrachten Dienstleistungen. Hierunter fallen neben allgemeinen Anforderungen, wie der Sorgfaltspflicht der Geschäftsführung oder dem Handelsgesetz, auch hoch spezialisierte Anforderungen wie Auflagen für Dienstleister im Umfeld kritischer Infrastrukturen oder europäisches sowie nationales Arzneimittelrecht.
Als besondere Herausforderung erweist es sich dabei, trotz unterschiedlicher Anforderungen ein einheitlich hohes Sicherheitsniveau zu gewährleisten. Um dies zu erreichen, wurde eine übergeordnete Sicherheitsstrategie festgelegt und in einer unternehmensweiten Leitlinie verankert. Diese gibt die von allen Unternehmensbereichen mindestens umzusetzenden Sicherheitsanforderungen vor. Bestehen in einzelnen Bereichen darüber hinausgehende Anforderungen, werden diese dort aufgenommen, evaluiert, mit den zentralen Vorgaben der Leitlinie abgeglichen und in lokale Sicherheitsprozesse aufgenommen. Dieses Vorgehen ermöglicht es, einerseits ein einheitlich hohes Sicherheitsniveau zu erzielen, andererseits aber auch die notwendige Flexibilität der Unternehmensbereiche zu erhalten.
Aufbauorganisation
Die Sicherheit von Arvato Systems basiert auf einer Reihe von ineinander verzahnten Sicherheitsdisziplinen. Gesteuert werden diese durch die zentrale Stelle „Risk, Security and Compliance (RSC)“. Aus den Anforderungen des RSC werden alle weiteren Sicherheitsdisziplinen abgeleitet und gesteuert. Hierunter fallen etwa Themen wie Informationssicherheit, Business-Continuity, Cloud-Security, physische Sicherheit, personelle Sicherheit, die Schnittstellendisziplin Risikomanagement und vieles mehr.
Zur Umsetzung aller Sicherheitsdisziplinen in der Organisation verfügen die einzelnen Unternehmensbereiche über eigene Ansprechpartner für jeden Themenkomplex. Sie alle setzen die zentralen Vorgaben des RSC operativ um und gleichen diese mit lokalen Anforderungen ab.
Awareness und Know-how
Der Erfolg der Sicherheitsstrategie und der damit verbundenen Sicherheitsdisziplinen wird durch eine Reihe von Faktoren erreicht, wobei der wesentlichste die bei allen Beteiligten und auf allen Ebenen verankerte Awareness ist: Alle Beteiligten verstehen Sicherheit nicht als Selbstzweck, sondern als integralen Bestandteil des Geschäfts. Die Geschäftsführung als Gesamtverantwortliche für die Sicherheit von Arvato Systems trägt mit ihrer Einstellung, Sicherheit als Teil des Geschäftsmodells und Business-Enabler zu verstehen, dazu bei, den Sicherheitsgedanken stetig in der Organisation vorzuleben.
Doch das Bewusstsein über die Relevanz von Sicherheit allein reicht nicht aus. Eine umfassende Schulungsplanung und die regelmäßige Teilnahme aller Beteiligten an zielgruppenspezifischen Lehrgängen tragen dazu bei, das bestehende Wissen in den verschiedenen Sicherheitsdisziplinen stets zu erweitern und die Bereiche untereinander zu vernetzen.
Zudem arbeitet Arvato Systems mit HiSolutions zusammen. Als einer der am längsten am Markt agierenden und größten Security-Consulting-Spezialisten hat HiSolutions die Entwicklung verschiedener Standards, wie des BSI IT-Grundschutzes oder internationaler Standards für Informationssicherheit und Business-Continuity, in den vergangenen Jahrzehnten etabliert und mit vorangetrieben. Verschiedene Themen, wie etwa der Wirtschaftsgrundschutz oder der BSI-Standard 100-4 und sein Nachfolger, der demnächst erscheinende 200-4, wurden und werden zudem von HiSolutions initiiert und federführend entwickelt.
HiSolutions unterstützt Arvato Systems besonders in Bereichen, in denen Fachwissen und Erfahrung benötigt werden, die über bestehende Best Practices hinausgehen oder in denen gemeinsam innovative Sicherheitsarchitekturen zu entwickeln sind. Ein Beispiel ist etwa das Ausrollen eines Business-Continuity-Managements in hochvolatilen Rechenzentrums-Umgebungen, die dynamisch wachsen und sich zeitgleich organisch verändern.
Abbildung 1: Aufbau der Corporate-Security der Arvato Systems
BCMS im dynamischen RZ
Arvato Systems betreibt einen Verbund von Rechenzentren, die sowohl die Infrastruktur für das Unternehmen selbst als auch für eine Vielzahl an Kunden darstellen. Die zugrunde liegende Technik sowie Organisation passen sich täglich an die jeweils aktuellen Rahmenbedingungen an. Dies ermöglicht einerseits eine hohe Flexibilität, erfordert jedoch eine Sicherheitsarchitektur, die sich ebenfalls kurzfristig agil anpassen kann.
Um die sich daraus ergebenen Anforderungen an die Sicherheit langfristig zuverlässig erfüllen zu können, haben Arvato Systems und HiSolutions im Rahmen eines gemeinsamen Projekts das bestehende Business-Continuity-Management-System (BCMS) aktualisiert und weiterentwickelt. Das Projekt verfolgte die folgenden Ziele:
- Die Resilienz und Reaktionsfähigkeit der zentralen Rechenzentrumsprozesse sollte gegenüber geschäftsunterbrechenden Faktoren weiter erhöht werden. Hierzu sollten einerseits auf die Rechenzentrumsprozesse wirkende Risiken schneller identifiziert und reduziert, andererseits eben jene Rechenzentrumsprozesse durch eine umfangreiche Notfallplanung schneller in einen sicheren Notbetrieb überführt werden können.
- Die Qualität des weiterentwickelten BCMS sollte zusätzlich zur bestehenden ISO-27001-Zertifizierung auch nach ISO 22301 „Business Continuity Management Systems“ zertifiziert werden können.
- Die weiterentwickelten Methoden des BCMS sollten so flexibel gestaltet sein, dass diese in darauf aufbauenden Projekten innerhalb eines BCMS von Arvato Systems effizient weiterverwendet werden können.
Um diese Ziele zu erreichen, wurde im ersten Schritt eine umfassende Statusanalyse durchgeführt, um gemeinsam den Ist-Stand der vorhandenen BCM-Methoden zu evaluieren sowie die internen und externen Leitlinien, Anforderungen, aber auch informellen Erwartungen an das BCM des Rechenzentrumsprozesses zu identifizieren. Darauf aufbauend wurde ein gemeinsamer Umsetzungspfad definiert, der die Grundlage des weiteren Projektvorgehens bildete.
Bei der Konzeption des BCMS wurde dabei darauf geachtet, den Scope der Leitlinie so exakt wie möglich auf die zentralen Rechenzentrumsprozesse zu legen, sodass sich der Fokus explizit auf die Aufrechterhaltung der IT fokussieren kann.
Gleichzeitig wurde der Scope jedoch auch so dynamisch definiert, dass er sich flexibel an die sich stetig ändernden Strukturen anpassen und dennoch immer eindeutig allen mit dem Rechenzentrumsbetrieb verbundenen Prozessen und Ressourcen zugeordnet werden kann. Hierdurch wurde überdies vermieden, die Leitlinie bereits bei kleinen Änderungen an der Struktur des IT-Betriebs anpassen, erneut freigeben und kommunizieren zu müssen.
Die Methoden und Prozesse des BCMS wurden so definiert, dass sie ausreichend flexibel sind, um modular auf weitere Bereiche von Arvato Systems ausgedehnt werden zu können – und gleichzeitig so geregelt bleiben, dass sie sich effizient umsetzen lassen.
Abbildung 2: PDCA-Zyklus eines BCMS
Business-Impact-Analyse (BIA)
Ein Beispiel ist die durchgeführte Business-Impact-Analyse (BIA), mit der unter anderem identifiziert wird, welche Tätigkeiten und Ressourcen nach welchen Zeiträumen spätestens wieder anlaufen müssen. Um die notwendigen Anforderungen an die Notfallplanung zu erhalten, wurde in der BIA zudem sondiert, welche Tätigkeiten und Ressourcen des Rechenzentrumbetriebs in welchem Maße abgesichert werden müssen. Während die Projektpartner zur Durchführung der BIA bereits bestehende Parameter, wie Schadenskategorien und Zeithorizonte, verwendet haben, wurde die Methodik so angepasst, dass sie sich flexibel auf andere Bereiche erweitern und schnell automatisiert auswerten lässt. Mehraufwände, um die BIA im Nachgang für andere Bereiche anpassen zu müssen, entfallen somit.
Mit den Ergebnissen der BIA wurde festgelegt, für welche Prozesse und Ressourcen Wiederanlaufpläne zu definieren sind und für welche Tätigkeiten und Prozesse – bis zu deren Wiederanlauf – temporäre Geschäftsfortführungspläne konzipiert werden müssen. Um beide Plantypen parallel erstellen zu können und gleichzeitig die internen Ressourcen der Arvato Systems zu schonen, teilte sich die Projektsteuerung dabei in zwei Ansätze auf: HiSolutions übernahm die vollständige Steuerung der Geschäftsfortführungsplanung. Dies umfasste die Terminierung von Abstimmungsrunden, die Entwicklung der Pläne sowie deren Qualitätssicherung und Freigabe in Abstimmung mit den jeweiligen Verantwortlichen. Der ressourcenschonende Projektansatz ermöglichte es Arvato Systems wiederum, die Wiederanlaufplanung zu koordinieren und umzusetzen. HiSolutions unterstützte die Projektansprechpartner hierbei coachend und als fachlicher Ideengeber.
Um die vorhandenen Ressourcen weiter zu schonen, wurde sowohl in der Geschäftsfortführungs- als auch Wiederanlaufplanung soweit möglich auf bestehende Dokumentation wie Handbücher und Betriebsanweisungen gesetzt. Die Geschäftsfortführungs- und Wiederanlaufpläne fungierten in diesem Kontext als Verzeichnis der relevanten Dokumente oder ergänzten diejenigen Stellen, an denen der Detailgrad oder die fachlichen Schwerpunkte zur effektiven Notfallbewältigung weiter konkretisiert werden mussten.
Dieses Vorgehen reduzierte einerseits notwendige Aufwände bei sich verändernden Strukturen – andererseits führten geänderte Maßnahmen und Verfahren des Rechenzentrumbetriebs nicht umgehend zu einer vollständigen Anpassung der Notfalldokumentation. Um dennoch sicherzustellen, dass sämtliche Dokumentationen im Notfall verfügbar waren, wurden sämtliche Dokumente im Kontext des Rechenzentrumbetriebs im gleichen Maße abgesichert wie die Notfalldokumentation selbst.
Drei-Stufen-Organisation
Um die Aufrechterhaltung des Rechenzentrumbetriebs sowie die Umsetzung der Pläne in einem Notfall zu koordinieren, wurde eine dreistufige Organisationsform etabliert:
- Auf operativer Ebene übernehmen Notfallteams die konkrete Notfallbewältigung, indem sie die vorab erstellten Notfallpläne umsetzen.
- Ein technischer Krisenstab koordiniert die Zusammenarbeit der Notfallteams und steuert zentral alle weiteren erforderlichen Maßnahmen, um den Rechenzentrumsbetrieb aufrechtzuerhalten.
- Damit sich der technische Krisenstab sowie die Notfallteams vollständig auf die Aufrechterhaltung des Rechenzentrumbetriebs fokussieren können, wurde als strategische Instanz der geschäftsführende Krisenstab etabliert. Er übernimmt die Koordination von Ereignissen, die nicht auf einzelne Bereiche beschränkt sind, sondern eine Arvato-Systems-übergreifende Notfallbewältigung erfordern. In seiner Rolle als Knotenpunkt klärt der geschäftsführende Krisenstab zudem Fragestellungen im Bereich Recht, Kommunikation, Personal und anderen Querschnittsthemen.
Um die Effektivität der Krisenstäbe und Notfallteams sowie der jeweiligen Notfallpläne zu prüfen, wurde ein Übungs- und Testmanagement etabliert. Dieses gewährleistet sowohl eine langfristige Planung von Übungen und Tests als auch eine gleichbleibend hohe Qualität der Übungs- und Testergebnisse durch einheitliche Vorlagen und Checklisten.
Die Leistung des BCMS wird darüber hinaus regelmäßig intern durch den Compliancebereich und extern von unabhängigen Auditoren geprüft. Die Geschäftsleitung von Arvato Systems steuert aktiv im Rahmen von Aktivitäten in Reaktion auf regelmäßige Managementberichte.
Um das BCMS langfristig zu betreiben, weiterzuentwickeln und stetig mit weiteren Sicherheitsdisziplinen zu vereinen, wurde zudem ein BCM-Gremium geschaffen. In diesem tauschen sich alle BCM-Rollenträger regelmäßig über den aktuellen Stand des BCMS sowie mögliche Korrektur- und Verbesserungsmaßnahmen aus. Um die Transparenz des BCMS zu erhöhen und Schnittstellen tiefer in das BCMS zu integrieren, nehmen regelmäßig weitere Rollen aus anderen Gremien, wie dem Risk-Board, daran teil.
Abbildung 3: Aufbau des präventiven und reaktiven Business-Continuity-Managements
Erfolgsfaktoren
Der Erfolg des BCM-Projekts zeichnet sich durch fünf wesentliche Faktoren aus:
- die umfassende Unterstützung durch das Top-Management,
- eine gelungene Kommunikation im Unternehmen,
- die optimale Besetzung der Projektbeteiligten,
- die Reaktionsfähigkeit aller Beteiligten auf dynamische Entwicklungen sowie
- einen agilen Projektansatz.
Das Projekt genoss von Beginn an eine hohe Awareness des Top-Managements. Durch dessen regelmäßige Abstimmung mit dem Projektteam ließen sich die Entwicklung des Rechenzentrumbetriebs und die Weiterentwicklung des BCMS synchronisieren. Diese Aufmerksamkeit wirkte ebenfalls in die beteiligten Unternehmensbereiche hinein und schuf zusätzliche Awareness für das BCMS bei den Mitarbeitenden. Trotz der intensiven Arbeit im Regelbetrieb konnte das Projektteam so stets mit der fachlichen Unterstützung aller Bereiche rechnen.
Die Rolle des BC-Managers wurde innerhalb der Projektphase durch den „Director Operations Center & Operations Excellence“ wahrgenommen, was dem Projektteam eine unmittelbare Kommunikation zu den fachlichen Ansprechpartnern ermöglichte. Notwendige Abstimmungen und Entscheidungen konnten so kurzfristig herbeigeführt und die Ergebnisse in das BCMS zurückgespielt werden.
Neben der hervorragenden lokalen Vernetzung bestand gleichzeitig eine enge Zusammenarbeit der BC-Manager der verschiedenen Unternehmensbereiche untereinander: Erreichte Meilensteine des Projekts wurden kontinuierlich zwischen den bestehenden BCM-Systemen sowie weiteren Sicherheitsdisziplinen, etwa der Informationssicherheit, kommuniziert und synchronisiert. Innovationen, die beim Aufbau des BCMS gelungen waren, ließen sich so auch in anderen Bereichen verankern – aktuelle Weiterentwicklungen aus anderen Bereichen wiederum direkt im Bereich des Rechenzentrumbetriebs berücksichtigen.
Die gute Ausgangssituation ermöglichte es, einen agilen Beratungsansatz umzusetzen. Dieser war notwendig, da das BCMS inmitten einer Phase implementiert werden musste, in der die Ansprechpartner stark in den Betrieb und die Weiterentwicklung des Rechenzentrumbetriebs eingebunden waren. Der Beratungsansatz schaffte eine kurzfristige Variation zwischen der Übernahme vollständiger Teilprojekte in arbeitsintensiven Phasen und einem rein begleitenden Coaching-Ansatz, in dem Arvato Systems einen Großteil der Projekttätigkeiten übernahm und HiSolutions als Begleiter und Ideengeber agierte.
Der durch das Projektvorgehen entstandene Wissenstransfer, aber auch der bewusst eingehaltene Freiraum haben bereits in der Implementierungsphase dazu geführt, dass Arvato Systems Themen selbstständig übernehmen konnte und das BCMS über die ursprünglichen Projektziele hinaus vorangetrieben wurde. Nach der arbeitsintensiven Projektphase wurde das Management des weiterentwickelten BCMS in den Regelbetrieb überführt und an eine speziell geschaffene Stabsstelle übergeben.
Fazit
Arvato Systems ist es in Zusammenarbeit mit HiSolutions gelungen, ein an der ISO/IEC 22301 ausgerichtetes BCMS pragmatisch und zügig zu etablieren. Im März 2019 wurde die erfolgreiche Implementierung eines funktionsfähigen BCMS durch eine Zertifizierung bestätigt. Das Managementsystem wird ressourcenschonend betrieben, kontinuierlich weiterentwickelt und berücksichtigt alle Stakeholder-Anforderungen.
In mehreren Bereichen wird das weiterentwickelte BCMS bereits als Benchmark genutzt: So dienten die Projektergebnisse etwa dazu, um das von Arvato Systems entwickelte „National Medicines Verification System“ zur Eingrenzung von illegalem Medikamentenhandel (erneut in Kooperation mit HiSolutions) bereits in der Entwicklungsphase abzusichern. Dass das BCMS dabei auch in der Realität erfolgreich ist, wurde neben einer großen Bandbreite an Übungen und Tests auch im Rahmen der Covid-19-Pandemie unter Beweis gestellt.
Das bei Arvato Systems seit vielen Jahren – unter anderem mit Unterstützung von HiSolutions – stetig erweiterte Security-Knowhow wird zudem auch den eigenen Kunden zugänglich gemacht: Ähnlich wie HiSolutions bietet Arvato Systems Unterstützung in der IT-Security an. Während HiSolutions im konkreten Schadensfall persönlich vor Ort unterstützt und forensische Arbeit leistet, bietet Arvato Systems mit „Cyber Care“ ein erweitertes Security-Operations-Center (SOC) an, das dabei unterstützt, Angriffen vorzubeugen, sie zu erkennen und bei Bedarf schnell und angemessen reagieren zu können.
Theo Nick und Jann-Christoph Sowa sind Berater im Bereich „Business Security“ der HiSolutions AG. Roger Schranz ist Head of Information Security der Arvato Systems GmbH.