Im Sommer 2019 begann ein Projektteam rund um den CISO der DB Vertrieb, Stefan Gaul, mit Unterstützung der IT-Security-Expert*innen der usd AG unter der Leitung von Andrea Rupprich mit dem Aufbau eines performance-getriebenen ISMS innerhalb des Geschäftsfeldes DB Vertrieb der Deutschen Bahn AG. Für das umfangreiche Projekt zum Aufbau des ISMS und zur Umsetzung der entsprechenden Prozesse nutzte das Team einen neuartigen Ansatz, der bereits maßgebliche Erfolge trägt.
Zum Aufbau des ISMS und zur Umsetzung der entsprechenden Prozesse habt ihr einen neuartigen Ansatz verfolgt. Könnt ihr uns einige der Besonderheiten nennen?
Stefan Gaul: Ein wichtiger Faktor zur Umsetzung unserer Informationssicherheitsstrategie ist die Schaffung von schlagkräftigen, also effektiven Governancestrukturen. Hierfür haben wir eine ISMS-Richtlinie und eine Richtlinie zu Organisation, Verantwortlichkeiten und Rollen des ISMS entwickelt und verabschiedet. Die Rollen der Informationssicherheit werden offiziell per Bestell-Urkunde ernannt, worin deren Verantwortlichkeiten detailliert festgelegt sind.
Andrea Rupprich: Die Ziele der Informationssicherheits-Strategie werden konkret über Initiativen ausgestaltet, wobei die Ziele der Initiativen prozessgesteuert etabliert werden. Dabei verfolgt jede Initiative die folgenden Schritte: Prozess-Entwicklung inklusive interner Abstimmung, Zusammenführung mit dem integrierten Managementsystem der DB Vertrieb, Vorstellung und Beschlussfassung innerhalb der etablierten Gremien zur Informationssicherheit bis hin zur formalen Veröffentlichung und Umsetzung der Inhalte über das Portfoliomanagement.
S.G.: Dabei ist ein wesentlicher Bestandteil der Prozess „Awareness für Informationssicherheit schaffen“, über den auch der Change-Prozess im Unternehmen zur erfolgreichen Etablierung der neuen oder geänderten ISMS-Prozesse adressiert wird. Der Reifegrad der jeweiligen Prozesse wird über ein Performance-Management gesteuert und durch Assurance Prozesse geprüft. Durch ein entsprechendes Kennzahlensystem wird es der Geschäftsführung ermöglicht, die Performance des ISMS zu überwachen und frühzeitig zu reagieren, wenn etwas anders läuft als geplant.
Andrea, du hast das Projekt als Projektleiterin der usd AG begleitet. Ihr habt das ISMS von Grund auf konzeptioniert und aufgebaut. Wie seid ihr dabei vorgegangen?
A.R.: Bei einem solch groß angelegten Projekt gibt es natürlich viele Prozesse, die zunächst ganz neu entwickelt, abgestimmt und mit dem bereits bestehenden Managementsystem im Konzern zusammengeführt werden müssen. Der Erfolg ist dabei immer ganz erheblich von der Mitwirkung aller Stakeholder im Unternehmen abhängig – angefangen bei der Geschäftsführung. So müssen alle Maßnahmen beispielsweise in etablierten Gremien der Informationssicherheit vorgestellt und beschlossen werden. Bis zu formalen Veröffentlichung von Richtlinien und der Umsetzung von Maßnahmen sind da einige Schritte notwendig.
Im ersten Schritt haben wir die Informationssicherheitspolitik mit dem Leitbild der DB Vertrieb zur Informationssicherheit entwickelt. Hier sind verschiedene Rollen, Verantwortlichkeiten und der Managementprozess der Informationssicherheit festgelegt. Darauf aufbauend haben wir eine Informationssicherheitsstrategie entwickelt, die auf vier Jahre ausgerichtet ist, und die rasch von der Geschäftsführung angenommen wurde.
Gab es besondere Herausforderungen, die ihr im Laufe des Projekts bewältigen musstet?
A.R.: In jedem ISMS-Projekt gibt es natürlich Herausforderungen. Ein klassisches Beispiel: Viele Stakeholder müssen mit ins Boot geholt werden. In diesem Projekt hatten wir zusätzlich die Schwierigkeit, dass in einem solch großen Konzern mit vielen Geschäftsfeldern natürlich Abhängigkeiten bestehen, mit denen man umgehen muss. So haben verschiedene interne Dienstleister beispielsweise ihre eigenen Maßgaben und Vorgaben, die es zu beachten gilt. Durch intensive Kommunikation mit den beteiligten Verantwortlichen, beispielsweise in gemeinsamen Workshops und regelmäßigen Abstimmungstreffen, konnten wir das aber gut bewältigen.
S.G.: Man muss bedenken, dass in unserem Unternehmen eine enorm große Zahl von Mitarbeitern aus ganz verschiedenen Bereichen von dem ISMS-Projekt betroffen ist: Prozessverantwortliche wie etwa für die Ticketautomaten oder die Reisezentren, Softwareentwickler, Systembetreiber und Einkauf – um nur einige Bespiele zu nennen. Hier ist eine gute Vorbereitung und die Mitwirkung des Managements sehr wichtig. Die Deutsche Bahn AG misst den Fähigkeiten in Bezug auf Cybersecurity in ihren Geschäftsfeldern eine hohe Priorität bei. Unser ISMS ist beispielsweise in der Unternehmensstrategie „Starke Schiene“ verankert – und das macht sich sehr bemerkbar. So konnten wir die unterschiedlichen Abteilungen pragmatisch auf unsere geplanten Maßnahmen einstellen und eine gute wechselseitige Kommunikation mit der Geschäftsführung aufrechterhalten.
Herr Gaul, zwei Jahre sind nun seit Projektbeginn vergangen – was ist Ihr persönliches Zwischenfazit?
S.G.: Dank der effizienten und zielgerichteten Arbeit haben wir in den zwei Jahren seit Projektbeginn wirklich viel erreicht. Mir ist dabei insbesondere die Strukturiertheit und sehr gute Organisation des usd-Teams in Erinnerung geblieben. Die usd hat uns zudem mit der hohen Kundenorientiertheit beeindruckt, welche ich bei vielen anderen Beratungsfirmen der Informationssicherheit oftmals vermisse. Bis heute konnten wir neben der Informationssicherheitsstrategie diverse Grundlagen und Maßnahmen zur Governance der Informationssicherheit sowie neun dedizierte ISMS-Prozesse etablieren. Um nur einige Beispiele zu nennen: Wir haben die Prozesse der Informationssicherheit stark vereinheitlicht und bestehende technische Komponenten massiv ausgebaut. Sicherheits- und Risikomanager der ersten Verteidigungslinie sind in einer personell verstärkten, zentralen Sicherheitsfunktion verortet. Dadurch hat sich nicht nur unsere Übersicht über Sicherheitsthemen massiv gebessert – die Priorisierung und Umsetzbarkeit von Maßnahmen ist auch deutlich effizienter geworden.
Andrea, du begleitest Unternehmen bereits seit vielen Jahren beim Aufbau ihrer Informationssicherheitsmanagementsysteme. Was hat dieses Projekt für dich besonders gemacht?
A.R.: Ganz klar die partnerschaftliche und höchst konstruktive Zusammenarbeit mit dem Team der DB Vertrieb und die Tatsache, dass wir von Beginn auf die volle Unterstützung der Geschäftsführung bauen konnten. Oft müssen wir in ähnlichen Projekten bei vielen der Beteiligten im Unternehmen erst eine Menge Überzeugungsarbeit leisten, damit die von uns erarbeiteten Prozesse und Maßnahmen auch angenommen werden. Über den gesamten Projektverlauf war die Geschäftsführung der DB Vertrieb aber stark involviert und bestens organisiert – in einem Ausmaß, das auch für mich in all meinen Jahren als Beraterin bisher einmalig war.
