Secaron implementiert Unternehmens-sicherheit bei der DZ BANK
RSA Archer eGRC Solutions hilft bei der Security-Automatisierung –
Ein Bericht von Lars Rudolff, Management Consultant, Secaron AG
Die Steuerung von Sicherheit in großen Unternehmen wird für Sicherheitsmanager mehr und mehr zu einer aufwendigen und komplexen Herausforderung. Die DZ BANK – viertgrößte Bank in Deutschland und Zentralinstitut der Genossenschaftsbanken – hat sich dieser Herausforderung gestellt und ein Projekt zur Integration, Standardisierung und Automatisierung ihrer Prozesse im Bereich Unternehmenssicherheit gestartet. Basis für den Roll-Out der Prozesse sind dabei die RSA Archer eGRC Solutions.
Die meisten Unternehmen beschäftigen sich schon seit Jahren intensiv mit dem Thema Sicherheit, sowohl im Bereich Informationssicherheit als auch in anderen Bereichen wie der physischen Sicherheit. In vielen Fällen ist der Blick jedoch auf eine Organisationseinheit oder Abteilung beschränkt oder es werden einzelne Themen isoliert betrachtet („Silos“). Sowohl der Zusammenhang mit anderen Prozessen, als auch die Sicht auf das Gesamtunternehmen kommt dabei oft zu kurz. Auch ein Überblick über den Status der Sicherheit im Ganzen ist meist schwierig.
Kernfelder bei der DZ BANK
Die Unternehmenssicherheit in der DZ BANK behandelt die Kernfelder Personelle, Physische und Informationssicherheit sowie Notfall- und Krisenmanagement. Darüber hinaus gibt es zentrale Services wie etwa eine zentrale Sicherheitsvorfallbehandlung und das Berechtigungsmanagement.
Die DZ BANK suchte nach einer flexiblen Softwarelösung zur Unterstützung der Prozesse in der Unternehmenssicherheit. Verschiedene Faktoren wurden bei der Auswahl berücksichtigt, darunter die Flexibilität. Die ist besonders wichtig, da jedes Softwaretool für einen bestimmten Anwendungsfall entwickelt wird. Weil kein Prozess in jedem Unternehmen gleich aussieht, ist es entscheidend, dass ein Tool flexibel mit den jeweiligen Rahmenbedingungen wie Prozesse, Rollen, und Datenquellen umgehen kann. Gefordert wurde auch eine umfasssend konfigurierbare Reporting-Engine, denn die gesammelten Daten in der Datenbank müssen auf jeweils passende Art und Weise ausgewertet werden können. Natürlich legte die DZ BANK besonders hohen Wert auf ein umfassendes Berechtigungskonzept. Schließlich ist die Unternehmenssicherheit ein sensibler Bereich, die Informationen aus allen Kernfeldern und zentralen Services müssen zuverlässig geschützt werden.
Die DZ BANK entschied sich nach einem sorgfältig durchgeführten Auswahlprozess für die Lösung RSA Archer eGRC Solutions und setzte in der ersten Projektphase zunächst die Themen Notfallmanagement, Krisenmanagement, Sicherheitsrisikomanagement und Physische Sicherheit um. In einer weiteren Projektphase in 2013 wird die bestehende Lösung um weitere Kernfelder und zentrale Services erweitert.
Bei den einzelnen Kernfeldern erfolgt die technische Unterstützung der Prozesse sehr individuell. Im Bereich Notfallmanagement werden beispielsweise die Business Impact Analysen und Geschäftsfortführungspläne direkt mit RSA Archer erstellt und gepflegt. Darüber hinaus wurde für die Notfallkoordinatoren in den einzelnen Geschäftsbereichen ein Cockpit erstellt, um die Arbeit mit dem Tool so einfach wie möglich zu gestalten. Für die physische Sicherheit wird die Klassifikation einzelner Gebäude und Sicherheitszonen in RSA Archer führend verwaltet und durch Audits die Einhaltung der zentralen Vorgaben überwacht.
Insbesondere bei den zentrales Services kommt der Vorteil des integrierten Ansatzes der Prozesse und der zentralen Datenhaltung voll zur Geltung. In den einzelnen Themenfeldern werden Risiken erfasst, bewertet und daraus Maßnahmen zur Reduktion dieser Risiken definiert. Das übergreifende Sicherheitsrisikomanagement kann auf die dezentral erfassten Informationen zugreifen, um die Aufgabe der zentralen Koordination der Unternehmenssicherheit der DZ BANK wahrnehmen zu können. Für die Behandlung von Sicherheitsvorfällen wurde für alle Themenfelder ein Prozess definiert, egal ob es sich dabei um einen Einbruch in einen Standort oder einen Hacking-Angriff handelt. Dadurch ergeben sich viele Synergien innerhalb des gesamten Managementsystems.
Gemeinsame Sprache
Immer wenn mehrere Prozesse, mehrere Abteilungen oder auch nur mehrere Personen eine Software nutzen, ist es wichtig, dass dieselbe Sprache gesprochen wird. Dies betrifft beispielsweise Begrifflichkeiten („Was verstehen wir genau unter einem Risiko?“) oder Bewertungsschemata (z.B. Schadens- und Wahrscheinlichkeitsklassen für ein Risiko).
Wenn diese Voraussetzungen nicht im Vorfeld geschaffen wurden, können weder bestehende Prozesse harmonisiert noch kann ein Softwarewerkzeug sinnvoll in unterschiedlichen Prozessen eingesetzt werden. Viele Projekte scheitern nicht, weil die fachlichen Ergebnisse nicht ausreichend waren, sondern weil wichtige Rahmenbedingungen über das Inhaltliche hinaus nicht berücksichtigt wurden. Die Unterstützung des Managements und das frühzeitige Einbinden aller Interessengruppen sind gerade bei Projekten, die tief in das tägliche Arbeiten von Mitarbeitern eingreifen, entscheidend für den späteren Erfolg.
Fazit
Die DZ BANK hat zusammen mit der Secaron AG als Implementierungspartner erfolgreich die RSA Archer eGRC Solutions eingeführt. Die Lösung ist die Grundlage für die neuen Prozesse in der Unternehmenssicherheit und die Basis dafür, dass sich die Vorteile dieses integrierten Managementsystems in der täglichen Arbeit auch wirklich auszahlen. Verbessert wurden beispielsweise die Steuerungsmöglichkeiten indem Bewertungsschemata harmonisiert und Ergebnisse über die Grenzen der Themenfelder hinweg vergleichbar wurden. Darüber hinaus konnten Prozesse zusammengeführt und automatisiert werden, die Kernforderung bei der Suche nach einem passenden Produkt. Der Aufwand ließ sich dadurch sowohl bei der Unternehmenssicherheit als auch in den Fachbereichen spürbar reduzieren. Zu guter Letzt stärkten die integrierten Prozesse die Akzeptanz der Unternehmenssicherheit innerhalb der Bank.
Zum Autor:
Lars Rudolff ist Management Consultant der Secaron AG. Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt das Unternehmen höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Die Secaron AG hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen. www.secaron.de