Acht wichtige Punkte
Ein für den Roll-out nötiges Sicherheitskonzept lässt sich mit dem folgenden Acht-Punkte-Plan entwickeln. In der Praxis bewiesen hat sich das beschriebene Vorgehen innerhalb eines Joint Ventures, in dem ein System zur Steuerung logistischer Prozesse und präventiver Maßnahmen zur Qualitätssicherung an erweiterte Sicherheitsanforderungen angepasst wurde.
1. Verantwortlichkeiten klären
Zunächst war zu klären, wer für die verschiedenen Informationen verantwortlich ist (Data Owner) und wer das Sicherheitskonzept letztendlich abnimmt. IT-Abteilung, Fachbereiche und Management unterstützten das Projekt. Die Abteilung Konzernsicherheit und der CISO (Chief Information Security Officer) wurden früh eingebunden, um den Schutzbedarf zu definieren und geeignete Maßnahmen zu erarbeiten.
2. Team aufbauen
Foto: Fotolia, Yuri Arcurs
Der Schutz der Daten gestaltete sich komplex, weil ein bereichsübergreifender Informationsfluss gewahrt bleiben sollte. Mit der frühzeitigen Einbindung der Data Owner, Systemeigner und Fachbereiche in die Entscheidungsprozesse wurden jedoch praktikable Lösungen gefunden. Die Bedeutung der IT-Sicherheit wurde dem Team von Beginn an klar kommuniziert, um ein besseres Bewusstsein zu schaffen. Ein besonderer Schwerpunkt lag auf der Einhaltung des "Need-to-know-Prinzips" (jeder weiß nur so viel, wie er für die Erledigung eienr bestimmten Teilaufgabe wissen muss) im Joint Venture in allen Projektphasen und im kompletten Software-Lebenszyklus.