20100304zc Insentis IT-Compliance für BSN-Medical

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  11-12 2011
E-Paper  9-10 2011
E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

IT-Compliance für BSN-medical nach Ablösung von Beiersdorf

Wenn ein Unternehmen sich abnabelt, muss die IT auf den Prüfstand

Kaum etwas stellt an IT-Abteilungen höhere Herausforderungen als ein Spin-Off des eigenen Unternehmens. Die Abspaltung vom Mutterkonzern erfordert eine akribische Überprüfung und komplette Neustrukturierung der Konzernsteuerungssysteme. Auf den Prüfstand kommen vor allem Systemsicherheit, Risikomanagement und Einhaltung gesetzlicher Auflagen: Risiken müssen neu bewertet, Prozesse neu definiert und Hierarchien neu aufgebaut werden.

 

W

ie ein großer Konzern diesen »Abnabelungsprozess« effizient und in kurzer Zeit meistert, zeigt das Beispiel von BSN medical GmbH (Hamburg). Mit weltweit mehr als 3.500 Mitarbeitern und Produktionsstandorten in zehn Ländern ist das Unternehmen vor allem als Produzent von »Leukoplast« ein Begriff.

Der Hersteller medizinischer Produkte war unlängst aus den Konzernen Beiersdorf und Smith & Nephew ausgegliedert und vom Private-Equity-Investor Montagu (London) übernommen worden. Um weiterhin mit gewohnter Stärke auf dem Weltmarkt zu operieren, kam es für ihn darauf an, seine IT möglichst schnell vom Netz der ehemaligen Muttergesellschaft abzukoppeln und neu zu strukturieren. Voraussetzung ist die Sicherstellung der IT-Compliance: die Einhaltung gesetzlicher, unternehmensinterner und vertraglicher Regelungen zu Sicherheit und Risiken.

Zunächst plante BSN medical, eine international führende Unternehmensberatung mit der Aufgabe zu betrauen. Jedoch erwies sich deren Ansatz als zu zeitaufwendig und langwierig. Die Umsetzung des streng am CobiT-Modell (Control Objectives for Information and Related Technology) orientierten Angebots hätte mehrere externe Berater mindestens ein Jahr lang beschäftigt. Zugleich wären eigene Mitarbeiter viel zu lange in das Projekt einbezogen gewesen.

»Quick Check« empfiehlt »Quick Wins«

Es musste schneller gehen. So wählte der CIO des Unternehmens einen anderen Weg: Er beauftragte Insentis mit einer Analyse seiner IT-Compliance. Nach nur drei Monaten hatte die Unternehmensberatung alle wesentlichen Risiken identifiziert und in einem Statusreport aufgelistet. Sie empfahl eine Reihe sogenannter »Quick Wins«. Insentis versteht darunter nach Kosten-Risiko-Verhältnis optimierte Vorschläge zur Verbesserung der IT-Sicherheitsstandards, des Risikomanagements und zu weiteren IT-Compliance Themen. Die Kartierung des Status Quo enthielt standortübergreifend einheitliche Regelungen, um alle die IT-Compliance betreffenden Prozesse mit angemessenem Aufwand schnell auf den Weg zu bringen.

»In Deutschland stehen bei unserer Analyse die Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Mittelpunkt«, beschreibt Insentis-Berater Pascal Böhm das Quick-Check-Verfahren. Darin sind unter anderem die Sicherheitsansprüche für Datenschutz, Backup und Archivierung formuliert. Darüber hinaus prüfte Insentis das Risikomanagement und die Berücksichtigung branchenspezifischer Gesetze und Vorschriften in den IT-Prozessen. Kontrolliert wurden zudem die Vorgaben deutscher Gesetze wie KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), BDSG (Datenschutzgesetz) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). Hinzu kamen die IT-Vorschriften der Auslandsmärkte des Unternehmens. So spielt für den Konzern etwa die GMP (Good Manufacturing Practice) der US-Gesundheitsbehörde eine wichtige Rolle. Böhm: »Gleich in welchem Land – es bestätigt sich immer wieder, wie sinnvoll die Gesetze bezüglich der IT-Sicherheit sind. Ihre strikte Befolgung ist nicht übertrieben, sondern vielmehr von existenzieller Bedeutung.«

IT-Regeln für weltweit 21 Standorte

Insgesamt überprüfte Insentis 21 Standorte in zehn Ländern: jeweils vier in Deutschland und in den USA, je drei in Frankreich und Mexiko und je einen in Großbritannien, Italien und Belgien sowie in den Niederlanden, Kanada und Südafrika. IT-Verantwortliche der Länder sandten den Insentis-Beratern die entsprechenden Unterlagen zwecks Prüfung zu. Darüber hinaus führte die Unternehmensberatung auf zwei Stunden begrenzte Interviews mit den IT-Managern der Standorte. In deren Mittelpunkt standen IT-Security-Management, Datenschutz, Desaster Recovery sowie Backup und Restore. Weitere Themen waren Risikoeinschätzungen sowie im organisatorischen Bereich angemessene Vertretungsregelungen. Abgefragt wurden auch Informationen zu Datenverschlüsselung und Archivierung sowie zu Virenschutz, Zugangs-/Zutritts- und Zugriffsberechtigungen.

»In nur drei Monaten Prüfungszeit schauten wir überall hin, wo es darauf ankam«, berichtet Böhm. »So überprüften wir auch Datenschutz- und Backup-Pläne oder ob Restore-Tests gefahren werden.« Weiter ins Detail zu gehen war dann Aufgabe der IT-Experten des Auftraggebers. Der Quick Check von Insentis bot für sie alle Voraussetzungen, das Top-Down Verfahren in Eigenregie bis zur gewünschten Tiefe fortzusetzen – mit eigenen Mitarbeitern und nach eigenen Zeitvorgaben.

Sicheres Management der Informationen

Für BSN medical war die Insentis-Analyse die Initialzündung. Das Unternehmen startete einen regelmäßigen Überprüfungsprozess, der in der Etablierung eines Information Security Management Systems (ISMS) mündet. Mittelfristig wird eine Zertifizierung nach ISO 27001 angestrebt. Die erforderliche Informationssicherheitsorganisation beinhaltet eine maßgeschneiderte und an strategischen Aspekten orientierte Informationssicherheitsrichtlinie: die ISP (Information Security Policy). Sie trägt die Unterschrift des Vorstands. Inzwischen berichten Informationssicherheitskoordinatoren von allen Unternehmensstandorten an die globale Sicherheits- und Compliance-Beauftragte Iris Winter und setzen deren Weisungen vor Ort um.

Zu den Quick Wins zählten die Installation und Ernennung eines Datenschutzbeauftragten und die Einführung einer automatisierten, gesetzeskonformen E-Mail-Signatur. Ebenfalls höchste Priorität hatten die Formulierung und unternehmensweite Verbreitung der Information Security Rules (ISR): der Informationen zum verantwortungsbewussten Umgang mit IT-Equipment (Desktop und Laptop), dem E-Mail-Account und PDAs. Diese wenige Seiten umfassenden Sicherheitsregeln erhielten alle IT-Anwender des Unternehmens. Sie enthalten grundlegende Beachtungshinweise wie etwa den Laptop immer mit aus dem Auto zu nehmen und reichen bis zum korrekten Umgang mit Passwörtern. Als schnell umsetzbar erwies sich auch die Einführung eines global einheitlichen Non-Disclosure Agreements (NDA) mit Klauseln zur Geheimhaltung für Verträge mit externen IT-Dienstleistern. Zu den aufwendigeren Empfehlungen gehörten die Einführung einer E-Mail-Archivierung über den aktuellen Provider sowie die Erstellung eines alle Standorte umfassenden Risikoinventars.

Die Sicht des Kunden

Für BSN war der Quick Check der Ausgangspunkt für umfangreiche Maßnahmen im Bereich IT-Compliance. Mit den Ergebnissen des Quick Checks und den vorgeschlagenen Quick Wins gab es einen ersten »»Fahrplan»« IT-Compliance. Dieser Fahrplan wurde von Iris Winter in Projektmeilensteine und Aktivitäten überführt und wird seit 2009 mit konkreten Maßnahmen umgesetzt:

Etablierung einer global verantwortlichen Information Security und IT Compliance Beauftragten

Sensibilisierung der BSN User für Compliance Anforderungen

Konzernweite Information Security Policy

Regelmäßige User Handouts und User Trainings zu Compliance Themen

Wenig Aufwand, große Wirkung

»Obwohl das Thema IT-Compliance komplex ist, verblüfft immer wieder, wie schnell man die IT auf gravierende Veränderungen von Unternehmensstrukturen anpassen kann«, erläutert Böhm die Erfahrungen aus dem Projekt mit BSN medical. »Die Abarbeitung bestimmter Vorschriften – wie in diesem Fall aus den BSI Grundschutz-Katalogen – erfüllt oft automatisch andere national und international relevante Auflagen und Gesetze. So entspricht der Quick Check dem ersten Gebot betriebswirtschaftlichen Handelns: Mit wenig Aufwand viel erreichen!«

Ulrich Mattner

Folgen Sie »manage it« auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH