Emons und HITGuard - eine Success Story
Hybridmodell: mit zwei anerkannten Normen zur ganzheitlichen Informationssicherheitsorganisation
Über Emons
Emons, in Köln beheimatet, ist ein etabliertes und weltweit agierendes Transport- und Logistikunternehmen mit hohem Qualitäts- und Umweltanspruch. Der Name steht seit der Firmengründung im Jahre 1928 für Kontinuität, ein hohes Maß an Zuverlässigkeit, flexible Dienstleistungen sowie für eines der wenigen mittelständisch-privaten Logistiknetzwerke in Deutschland. Das internationale Standortnetz und Know-how ermöglicht Kunden den Anschluss an alle wichtigen Zentren der Welt.
Als international tätiges Logistikunternehmen ist Emons besonders am Schutz der kritischen Informationswerte gelegen, die das Fundament der erfolgreichen Kundendienstleistungen bilden. Im Zentrum dieser Werte stehen die Sendungsverfolgung mit Barcodes sowie eine Reihe innovativer digitaler Dienste für die Optimierung der Transport- und Logistikdienstleistungen. „Die Informationsverarbeitung nimmt bei Emons eine Schlüsselrolle für die Erfüllung wesentlicher Prozesse und Dienstleistungen ein und bildet die Basis operativer Prozesse sowie zur Befriedigung des steigenden Informationsbedarfs auf Seiten von Kunden und Partnern“, so René Koch, CISO bei Emons. „Der Schutz dieser Informationswerte sowie unserer geschäftskritischen Prozesse in einem risikobasierten und ganzheitlichen Sicherheitsprozess wird im Zeitalter der Digitalisierung immer wichtiger für Emons.“
Der Use Case: Hybrides ISMS nach BSI IT-Grundschutz und ISO 27001
Ein Motto von Emons ist: „Was einem besonders wichtig ist, vertraut man nicht jedem an“. Um dem gerecht zu werden und das Vertrauen seiner Kunden zu untermauern, hat das Unternehmen mit der Position des Chief Information Security Officers den Grundstein einer konzernweiten, ganzheitlichen Informationssicherheitsorganisation gelegt. René Koch implementierte ein hybrides Informationssicherheitsmanagementsystem (ISMS), das maßgeblich auf der internationalen Normenfamilie der ISO sowie den Empfehlungen des IT-Grundschutz-Kompendiums des BSI basiert. Weiterhin wurden interne Vorgaben und gesetzliche Rahmenbedingungen, wie die der europäischen Datenschutz-Grundverordnung (DSGVO), in die Konzipierung des ISMS einbezogen.
Warum HITGuard?
HITGuard bietet die Möglichkeit einer Hybridimplementierung, weil die beiden Normen für Informationssicherheit gemeinsam und aufeinander abgestimmt verwendet werden können. „Man muss sich nicht für das eine oder das andere entscheiden, sondern kann die verfügbaren Normen und Standards sowie die in HITGuard zu beziehenden Wissensdatenbanken in Kombination verwenden,
um punktgenau die eigenen Bedürfnisse abzudecken.“
Ein weiterer großer Vorteil ist für René Koch die smarte Strukturanalyse im Tool. Sie stellt ein wichtiges Instrument in der Verwaltung der kritischen und schützenswerten Information Assets dar. „Der graphische Editor und die flexiblen Auswertungsmöglichkeiten der eingepflegten Informationen im Analysemodus erleichtern uns das Management der Ressourcen und aller damit verknüpften Daten.“ Für all das bietet HITGuard eine angemessene Implementierungstiefe. Für René Koch bedeutet dies „ressourcenschonend und schnell die gewünschten Ergebnisse zu erzielen“.
Die Arbeit mit dem Tool
Die IT-Mitarbeiter und IT-Security nutzen bei Emons neben den abonnierten Wissensdatenbanken auch eine eigens erstellte, die die internen Compliance-Vorgaben des Unternehmens zu Informationssicherheit und Datenschutz mit den Vorgaben und Empfehlungen der beiden Standards kombiniert. Zu diesen Controls aus den Standards wurden in HITGuard Mappings gesetzt, wodurch die Erfüllung aller internen und externen Vorgaben parallel ausgewertet werden können. Dies erlaubt es Emons, die internen Richtlinien und Policies im Rahmen der eigenen Wissensdatenbank direkt im Managementsystem zu entwickeln.
Bei der Modellierung der Strukturanalyse ist für Herrn Koch, der bei Emons für die Informationssicherheitsorganisation einer sehr heterogene Unternehmensstruktur verantwortlich ist, der graphische WYSIWYG-Editor gemeinsam mit den diversen Importmöglichkeiten nicht mehr wegzudenken. Er und seine Kollegen können direkt und einfach arbeiten, ohne Barrieren in der Modellierung, wie beispielsweise zusätzliche Queries, überwinden zu müssen. Die dadurch entstehende Datenqualität überträgt sich auch in die daraus entstehenden Berichte, auf die er besonders beim Reporting zum C-Level sehr viel Wert legt.
In der täglichen Arbeit mit HITGuard schätzen die Benutzer, dass ihnen die Zusammenarbeit und Kommunikation, die Ländergrenzen überschreitet, so leicht gemacht wird: von Terminen und Erinnerungen bis zur Entwicklung von Umsetzungsfortschritten und Folge-Maßnahmen. Die Planung und Kollaboration direkt im Tool mindert ihren zeitlichen Aufwand erheblich, da beispielsweise weniger Reisen nötig sind.
Highlights
Für Emons als großes und komplexes Unternehmen ist einer der größten Vorteile von HITGuard seine Flexibilität. Einerseits können die verschiedenen Managementsysteme jeweils ihre eigenen Risikomatrizen konfigurieren und dabei die Risiken, Schutzziele, Schadensausmaße und damit verbundenen Klassifikationen an ihre unterschiedlichen Scopes anpassen. Andererseits ist das Risikomanagement integriert und erlaubt die Anpassung der Strukturanalyse an die Anforderungen aller Managementsysteme.
Es ist möglich, Information Assets transparent zu behandeln und sie zu teilen – daher können die einzelnen Managementsysteme mit den gleichen Daten arbeiten und diese aus ihrer jeweiligen Perspektive bewerten und entsprechend schützen. Die Datengrundlage wird damit harmonisiert und ist im Gegensatz zu manuell gepflegten Listen oder vollkommen separaten Systemen weniger fehleranfällig.
Die Interaktion und die Abhängigkeiten von Information Assets und den Personen, die für sie verantwortlich sind, werden in der Arbeit mit HITGuard genauso deutlich wie die Konstellation der schützenswerten, kritischen Assets. Das kann Verantwortlichen die Augen öffnen und ermöglicht ihnen damit neue und klare Sichtweisen, auf denen zielgerichtete Prozesse aufgebaut werden können.
Empfehlung
Herr Koch, der in seiner Berufslaufbahn schon mit mehreren vergleichbaren Tools Erfahrungen gesammelt hat, empfiehlt HITGuard einer breiten Gruppe von Anwendern:
- jenen, die mit Ressourcenmangel in der Informationssicherheit zu kämpfen haben,
- jenen, die ein ISMS neu einführen oder als KRITIS-Betreiber gewisse Anforderungen erfüllen müssen, und
- jenen, die von einem Tool zu einem neuen wechseln möchten und sich schnelle Erfolge wünschen.
HITGuard führt schnell und effizient zu Ergebnissen und ist daher prädestiniert für alle, die den hohen Anforderungen der heutigen Zeit gerecht werden müssen.
Eckdaten | |
---|---|
Unternehmen | Emons Holding GmbH & Co. KG |
Branche | Transport- und Logistik |
Hauptsitz | Köln, Deutschland |
Mitarbeiterzahl | 3.650 |
HITGuard Module und Add-ons im Einsatz |
Basismodule Risikomanagement, Maßnahmen und Kontrollen, Auditmanagement Add-on Datenschutz Add-on Wissensdatenbank Informationssicherheit nach ISO 27001, Wissensdatenbank Informationssicherheit nach BSI IT-Grundschutz |
Managementsysteme | 3 |
aktive User | 7 |