502_8-22_Flippingbook

24

25

IT und Digitalisierung

IT und Digitalisierung

50,2 Magazin | 08.2022

50,2 Magazin | 08.2022

verschiedene Prozesse und Freigabeworkflows abzubilden. Für Marcus Berghaus, Prokurist/Bereichsleiter der Stadtwerke Velbert GmbH, ist die Zusammenarbeit ein voller Erfolg: Die Ressourcen der Stadtwerke können nunmehr anhand eines leistungsfähigen Regelwerkes zentral verwaltet werden. „Durch die neudefinierte Verwaltung ersparen wir uns erheblichen Administrationsauf wand und können Risiken im Vorfeld vermeiden und stets com pliant handeln“, so Marcus Berghaus. Durch die Automatisierung würden zudem Kapazitäten freigesetzt und deutliche Kosten ein Der Experte rät Entscheider:innen aller Branchen, so auch KRITIS Betreibern und EVU, vor der Einführung eines IAM-Systems eine sorgfältige Anforderungs- und Reifegradanalyse vorzunehmen und alle Beteiligten – sowohl Mitarbeitende als auch Stakeholder – früh zeitig mit ins Boot zu holen: „Neben einer sauber strukturierten Pro jektplanung entscheidet genau diese gelebte Identity Awareness über den nachhaltigen Projekterfolg.“ IT-Sicherheit sollte stets Chefsa che sein und das IT-Krisenmanagement permanent und bereichs übergreifend in der Praxis überprüft und gegebenenfalls nachjus tiert werden. Nur so könnenmögliche Schwachstellen systematisch ausgebessert werden. Mit Blick auf die begrenzten personellen Ressourcen setzen viele EVU inzwischen auch auf kompetente Partner: In sogenann ten Security Operations Centers (SOC) etwa stellt hochqualifizier tes Personal 24/7 den reibungslosen Betrieb der IT-Infrastruktur sicher und garantiert ein frühzeitiges und professionelles Incident Response Management, flankiert durch die notwendigen Konfigu rations-, Monitoring-, Analyse- und Reporting-Dienstleistungen. In der Praxis hat es sich auch bewährt, analog zum Datenschutz und unter klarer Definition der Verantwortlichkeiten, eine externe infor mationssicherheitsbeauftragte Person (ISB) hinzuzuziehen – nicht nur imRahmen einer geplanten Zertifizierung gemäß ISO 27001 und IT-Grundschutz. Durch den Aufbau gemeinsamer IT-Sicherheits strukturen mit anderen Unternehmen entstehen wertvolle Syner gien, die die eigenen Personal-, Anschaffungs- und Administrations kosten erheblich senken. Das empfiehlt auch Whitehat-Hacker und Cybersecurity-Ex perte Tim Philipp Schäfers, TeamManager - Security Development Center der OEDIV Oetker Daten- und Informationsverarbeitung KG. Er rät: „Vernetzen Sie sich mit anderen Unternehmen und ver stehen Sie IT-Sicherheit als einen kontinuierlichen, gemeinsamen Verbesserungsprozess! Teilen Sie partnerschaftlich Ihr Wissen und Know-how! Bringen Sie sich aktiv in Verbänden und Arbeits gruppen ein und seien Sie offen für Kollaborationen und neue Technologien!“ (pq) www.oediv.de www.secusys.de www.ailaa.de gespart, ergänzt Patrick Piotrowski. Kultur und Kooperation

D ie Zahl der Cyberattacken auf die Kritische Infrastruktur hat in den letzten Monaten dramatisch zugenommen, damit ge raten auch immer mehr Versorger ins Fadenkreuz privater oder staatlich gesteuerter Tätergruppen. Das Problem: In der aktu ellen Situation, die eigentlich besondere Sicherheitsanstrengungen erfordern würde, erreichen viele Unternehmen bereits im opera tiven Tagesgeschäft die Grenzen der Belastbarkeit. Hinzu kommt wohl auch eine gewisse Hilflosigkeit. „Nicht selten haben wir in un seren Gesprächen eine gewisse Überforderung gespürt, angesichts der hohen Komplexität dieses Themas die Kosten und Risiken sinn voll gegeneinander abzuwägen und passende Lösungen bereichs übergreifend zu verankern“, berichtet André Fritsch, Chief Digital Officer (CDO) der OEDIV Oetker Daten- und Informationsverarbei tung KG. Unter dem Namen „Ailaa“ entwickelt die OEDIV Oetker Da ten- und Informationsverarbeitung KG eine Cybersecurity-Lösung, die nicht nur bestehende Risiken erkennt, sondern auch konkrete und einfach umzusetzende Lösungen aufzeigt. Zu den Kund:innen gehört zum Beispiel die Flughafen München GmbH. Für den Einstieg und eine erste Orientierung bietet Ailaa einen kurzen, kostenlosen Basis-Check: „Zehn Minuten reichen, um den individuellen Cybersecurity-Reifegrad initial zu bestimmen. Ent scheider:innen erhalten damit einen schnellen, einfachen und leicht verständlichen Überblick über Stärken, Schwächen und mögliche Verbesserungspotentiale ihrer Organisation“, erläutert Fritsch. Diese erste Standortanalyse kann dann um zusätzliche Be ratungs- und Dienstleistungsangebote erweitert werden. Das reicht in der Praxis von Security Assessments, Phishing-Simulationen und Komplexität beherrschen Durch ein flexibel skalierbares IT-Sicher heitsmanagement lassen sich auch die stark steigenden Anforderungen in KRITIS-Unternehmen bewältigen. OEDIV entwickelt gemeinsammit der Tochter OEDIV SecuSys spezifische Konzepte und Lösungen.

Foto: jijomathaidesigners / shutterstock.com

Awareness-Trainings bis hin zum Aufbau einer Identity & Access Ma nagement (IAM)-Lösung. Digitale Identitäten als Sicherheitsfaktor Derartige Lösungen ermöglichen die prozessgestützte Verwaltung von Personen und Zugriffsberechtigungen und sind für Sales Mana ger Patrick Piotrowski von der OEDIV SecuSys GmbH ein wesentlicher Schlüssel zumehr Sicherheit, Transparenz und Compliance: „Hybride IT-Infrastrukturen, Cloud Computing, neue Arbeits- und Zugriffsmög lichkeiten über mobile Endgeräte, Remote Work oder Homeoffice und die wachsende internationale Verflechtung vieler Unternehmen stellen immer höhere Anforderungen an die Cybersecurity“, konsta tiert er. „Damit tatsächlich nur autorisierte User:innen einen sicheren Zugriff auf die von ihnen benötigten Ressourcen haben und sensible Daten vor Ausspähung und Missbrauch geschützt werden können, kommt dem IAM eine zentrale Bedeutung zu.“ In der Lösung „SecuIAM“ von OEDIV SecuSys werden Personen beim Eintritt ins Unternehmen Rollen zugewiesen, durch die sie mit bestimmten Berechtigungen ausgestattet werden. Im Falle von Wechsel- oder Austrittsprozessen werden die Berechtigungen auto matisch angepasst beziehungsweise entzogen. Über sämtlichen im Unternehmen eingesetzten Systemen sowie den Identitäten und Zugriffsberechtigungen liegt ein vordefiniertes Regelwerk, dessen Vorgaben in sämtlichen Prozessen berücksichtigt werden. „Unsere Produktsuite SecuIAMdeckt die Gesamtheit aller Joiner-Mover-Lea ver-Rejoiner-Prozesse ab – von der Vergabe der initialen Zugriffs rechte beim Einstieg in das Unternehmen über die adäquate Abbil

dung der einzelnen beruflichen und persönlichen Veränderungen bis hin zur vollumfänglichen Entziehung aller Berechtigungen der jeweiligen Personen beim endgültigen Ausscheiden aus dem Unter nehmen. So schützen wir sensible Daten vor unautorisierten Zugrif fen und vereinfachen die Administration der konkreten Befugnisse über den gesamten User Lifecycle hinweg“, ergänzt Piotrowski. Das diene nicht nur dem Schutz kritischer Daten und Anlagen, sondern erleichtere überdies die Compliance. Zentrales Sicherheitskonzept für die Stadtwerke Velbert Diese ist bei KRITIS-Unternehmen wie den Stadtwerken Velbert von erheblicher Bedeutung, denn sie unterliegen durch das IT-Si cherheitsgesetz 2.0 speziellen Auflagen. Bei der Modernisierung der IT-Infrastruktur und Applikationslandschaft stand daher die Frage imMittelpunkt, wie durch die vorausschauende Entwicklung einer ganzheitlichen Cybersecurity-Strategie auch die Einhaltung der Compliance-Richtlinien forciert werden kann. Das gemein same Projekt mit der OEDIV SecuSys umfasste eine sichere Infor mationsverwaltung, eine automatische Provisionierung unter an derem von Accounts und Berechtigungen, eine Prozessberatung sowie eine Richtlinienverwaltung. Im Ergebnis entstand ein über geordnetes Konzept, mit dem User:innen und deren Berechtigun gen automatisiert verwaltet, kritische Berechtigungen überwacht und ein revisionssicheres Reporting eingeführt werden konnten. Den Stadtwerken Velbert war es dabei auch wichtig, die Personal- und Organisationsstammdaten automatisiert einzulesen sowie