Der Weg zu einer umfassenden Compliance-Strategie Ganzheitlicher Security-Ansatz erhöht die Verfügbarkeit

Redakteur: Dr. Andreas Bergler

Sicherheit ist nicht nur eine technische Herausforderung, sondern vor allem ein organisatorisches Problem. Lafarge Granulat Services (LGS), der interne IT- und Servicedienstleister der französischen Lafarge-Gruppe, baut seit 2004 auf die IAM-Lösung (Identity- und Access-Management) »Access Master« von Evidian. IT-BUSINESS sprach mit dem Chief Security Officer José Vincent über seine Erfahrungen auf dem Weg zu mehr Sicherheit.

Firmen zum Thema

José Vincent, Chief Security Officer bei Lafarge Granulat Services (LGS)
José Vincent, Chief Security Officer bei Lafarge Granulat Services (LGS)
( Archiv: Vogel Business Media )

ITB: Wie groß war die Bereitschaft innerhalb der LGS, in die Sicherheit zu investieren?

Vincent: Wie in den meisten Unternehmen dauerte es eine Weile, bevor die Wichtigkeit von Sicherheitsmaßnahmen und -techniken bei uns voll akzeptiert wurde. Die Initialzündung dafür ging von der Optimierung der Geschäftsprozesse aus. Damit ist innerhalb der Gruppe das Qualitätsbewusstsein und damit auch die Sensibilität für die Sicherheit des Geschäfts gestiegen. Ein weiterer Impuls für mehr Sicherheit, in dem Fall rechtlicher Sicherheit, kam 2004 von der New York Stock Exchange. Um dort gelistet zu sein, musste Lafarge den Anforderungen des Sarbanes-Oxley-Act genügen. Damit war auch der CEO von Lafarge, der im Fall eines Falles haften müsste, sensibilisiert. All das hat der Sicherheit innerhalb der Gruppe einen gehörigen Push verliehen.

ITB: Wie ist LGS das Sicherheitsprojekt angegangen?

Vincent: Wir verfechten von Anfang an eine IT-Sicherheits-Strategie, die die gesamte Gruppe adressiert. Dazu gehörte auch eine Sicherheitsanleitung für unsere Softwareentwickler und zur Handhabung von Dokumenten, um das Sicherheitsbewusstsein durchgehend zu schärfen. Was über die richtige Sicherheitspolitik hinaus wichtig ist, ist eine genaue Kenntnis der potenziellen Sicherheitslücken innerhalb der Gruppe und der Risiken, die daraus entstehen können, um die neue Security-Lösung auf solidem Grund zu bauen. Wir haben dazu eine umfassende Risikoanalyse aufgesetzt, die Risiken im Einzelnen bewertet, Zeitpläne für die Behebung geschäftsrelevanter Risiken gesetzt und den Sicherheits-Fortschritt über Software-Tools regelmäßig gemessen. Ausgangspunkt und Entscheidungsgrundlage für diese Maßnahmen war die Entwicklung einer Inventar-Datenbank, in der wir alle eingesetzten Systeme und Applikationen detailliert registriert haben. Auch das Sicherheits-Level, das diese Systeme und Applikationen beisteuern, sowie die möglichen Ansätze, dieses Niveau bei Bedarf zu heben, sind hier hinterlegt.

ITB: Bereits von der Software-Entwicklung kann eine mangelnde Sicherheit ausgehen. Wie hat LGS diese Problemstellung gelöst?

Vincent: Die Softwareentwicklung für die Lafarge Gruppe spielt in unserem Haus eine wesentliche Rolle. Deshalb haben wir für unsere Entwickler verbindliche Methoden vorgegeben, die potenzielle Sicherheitslücken schon bei der Programmierung soweit wie möglich ausschließen. Dazu gehört auch eine hinreichende physische Absicherung von Systemen, Applikationen, Daten und Räumen bis hin zu Disaster Recovery für Notfall-Situationen. Zusätzlich haben wir einen erhöhten Wert auf die operationale Sicherheit gelegt, also wer eintreten und wer auf welche Systeme und Anwendungen zugreifen darf. Geregelt wird das alles über Rollen für die einzelnen Verantwortlichen und Zuständigen, hinterlegt im IAM-System. Diese physischen und operationalen Vorkehrungen schotten letztlich unsere gesamte IT verlässlich ab. Sie tragen damit zu mehr Sicherheit innerhalb der gesamten Unternehmensgruppe bei.

ITB: Und wenn die Mitarbeiter selbst kein ausreichendes Sicherheitsbewusstsein an den Tag legen?

Vincent: Auch hier haben wir Vorsorge getroffen. Wir haben für die rund 4.000 Mitarbeiter der LGS eine User Charta entwickelt. Darin steht beispielsweise, wie Daten abzusichern sind und wie Passwörter syntaktisch aufgebaut sein müssen, um als sicher zu gelten. Das Human-Resource-Team von LSG hilft uns dabei, diese Sicherheits-Charta bei den Mitarbeitern der gesamten Gruppe zu etablieren.

ITB: Sind Sie mit dem erreichten Sicherheitsstand jetzt zufrieden?

Vincent: Unsere Maßnahmen sowie unser ganzheitlicher Sicherheitsansatz über das IAM-System haben zu guten Ergebnissen, also zu mehr Sicherheit für das Geschäft der Gruppe, geführt. Sichtbares Zeichen dafür sind die Hilferufe, die bei der LSG-Hotline auflaufen. Im Schnitt 800 Anrufe waren es, solange IAM einschließlich des Moduls Single Sign-on noch nicht im Einsatz waren. Heute liegt die Zahl der Anrufe pro Monat bei weniger als 80. Darüber hinaus hat sich, dank der lückenlosen Abschirmung unserer Systeme und Applikationen vor Attacken jeder Art, deren Verfügbarkeit erhöht.

ITB: Wie beurteilen Sie den Return on Investment?

Vincent: Wir halten wenig von strikten RoI-Kalkulationen. Aber gerade die höhere Verfügbarkeit von Systemen und Applikationen ist ein stichhaltiges Kostenargument. Sie steht für weniger betriebswirtschaftliche Schäden durch Angriffe von Innen und Außen sowie effizientere und damit profitablere Geschäftsabläufe. Direkte Einsparungen sind gut. Wir halten mehr davon, die Sicherheitsrisiken in den Griff zu bekommen und damit das Geschäft auf Dauer abzusichern. Das ist Profitabilität genug.

(ID:2007146)