Warum sind Informationssicherheit und IT-Security in der Logistik heute wichtiger denn je?

Man standing on a hill

Verlader und Spediteure achten bei der Wahl ihrer Partner in Zeiten zunehmender Digitalisierung und vertikaler Vernetzung verstärkt auf Fragen der Informationssicherheit. Schließlich müssen Verlader und Spediteure strenge gesetzliche Anforderungen und interne Richtlinien erfüllen – und umfassende über IT-Security hinausgehende Bemühungen für Informationssicherheit auch gegenüber ihren Auftraggebern belegen. Kann dann nicht auf einen objektiven Nachweis wie das ISO/IEC-Zertifikat vom Partner zurückgegriffen werden, müssen die Unternehmen selbst zeitaufwendig prüfen, wie sorgsam ihre Kooperationspartner mit Daten umgehen und welches Risiko die Partnerschaft für die eigene Geschäftstätigkeit bedeuten kann. Es ist aber nahezu unmöglich, alle Sicherheitsaspekte individuell abzufragen.

Wie komfortabel und zeitsparend ist es dann, wenn Verlader und Spediteure mit einem Dienstleister zusammenarbeiten können, dessen Informationssicherheit nach ISO 27001 zertifiziert ist? Die Norm bietet klare Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit und hilft, die Informationssicherheit und die IT-Security systematisch und strukturiert zu optimieren.

Im Zentrum von ISO 27001 stehen ein Informationssicherheits-Managementsystem (ISMS) und der Informationssicherheitsbeauftragte (Information Security Officer). Er überwacht den Aufbau, die Ausgestaltung und den Betrieb des ISMS. Dadurch finden eine kontinuierliche Risikoanalyse, Risikobewertung und -minimierung durch geeignete Maßnahmen statt, so dass die Anforderungen der ISO 27001, welche weit über technische Sicherheitsmaßnahmen hinaus gehen und viele organisatorische Themen umfassen, erfüllt werden. Um erfolgreich zertifiziert zu werden, muss ein ISMS implementiert werden, dass die Verfügbarkeit, die Vertraulichkeit und die Integrität von Daten effektiv schützt -- das bezieht sich ebenso auf Kunden- wie unternehmenseigene Daten.

Informationssicherheit als kontinuierlicher Verbesserungsprozess

Betreiber von Cloud-Plattformen, beispielsweise für logistische Services, verfolgen ein Geschäftsmodell, das auf dem Austausch von Informationen zwischen verladenden Unternehmen und Spediteuren basiert. Dementsprechend kommt effektivem Schutz der Kundendaten eine herausragende Bedeutung zu. Wie die ISO/IEC-Norm 27001 vorsieht, hat die Transporeon Group daher ein Informationssicherheits-Managementsystem (ISMS) aufgebaut und die Verantwortlichkeit für Informationssicherheit und IT-Security bei der Geschäftsführung angesiedelt. Die Geschäftsführung wird von einem Senior Information Security Officer unterstützt.

Einmal pro Jahr legt die Geschäftsführung Maßnahmen auf Basis einer Bewertung von Messgrößen (KPI) inklusive Risikoanalyse und -bewertung gemeinsam mit dem Senior Information Security Officer Maßnahmen zum Schutz der Informationssicherheit fest. Im Vorfeld werden hierfür unter anderem interne Audits durchgeführt. Sie dienen der Prüfung, inwieweit Informationssicherheits-Maßnahmen umgesetzt werden und Informationssicherheit über IT-Security hinaus gelebt wird. Vierteljährlich kommen Regeltermine zur Information der Geschäftsleitung über die Aktualität und Effektivität der laufenden Maßnahmen hinzu.

Informationssicherheit und IT-Security unternehmensweit verfolgen

Informationssicherheit ist aber nicht nur Aufgabe des obersten Managements. Prozesse und Maßnahmen erstrecken sich auf alle Abteilungen und Mitarbeiter, deren Tätigkeiten und Funktion für einen umfassenden Schutz von Kundendaten wichtig sind. Hierzu zählen allem voran die IT, aber auch die Personal- oder Rechtsabteilung sowie der Kundenservice. Je nach Funktion, Stellung und Arbeitsfeld kommt den Mitarbeitern der verschiedenen Abteilungen eine mehr oder weniger aktive Rolle beim Thema Informationssicherheit zu. Zudem sollten in jeder involvierten Abteilung Informationssicherheitsverantwortliche benannt werden, die auf die tatsächliche Umsetzung der Ziele und Maßnahmen in der Praxis achten.

Letztendlich trägt jeder Einzelne Sorge, die hohe Verfügbarkeit der Logistik-Plattformen, die Vertraulichkeit und Integrität der gespeicherten und verarbeiteten Daten sowie die Einhaltung aller gesetzlichen und vertraglich vereinbarten Anforderungen zu gewährleisten. Hierfür sollten alle Mitarbeiter in regelmäßigen Schulungen und Trainings zu Themen wie Gefahren im Internet (Malware, Phishing, usw.), Betrugs-Anrufen oder Compliance sensibilisiert werden.

Reibungsloser Betrieb der Plattformen stellt Informationssicherheit her

Über cloudbasierten Plattformen wickeln verladende Industrie- und Handelsunternehmen sowie ihre Zulieferer transportlogistische Prozesse in Zusammenarbeit mit Spediteuren ab. Dafür muss jederzeit ein störungsfreier Zugriff auf die gespeicherten Transport- und Kundendaten gewährleistet sein, da die Transportlogistik ins Stocken geraten würde, wenn die Daten auf der Plattform über Stunden oder gar Tage nicht erreichbar wären.

Um dieser Verfügbarkeit Sorge zu tragen können umfassende technische Maßnahmen für IT-Security umgesetzt werden, wie z.B. die räumlich getrennte Sicherung von Daten und IT-Komponenten, Verschlüsselungsverfahren, Software-Aktualisierungen, Anti-Malware-Schutz oder Firewalls. Der Zugang zu Bürogebäuden und -räumen sollte zum Schutz der Informationssicherheit nur mit Besucher- oder Mitarbeiterausweis gestattet sein.

Im Rahmen des ISMS werden im Zuge der Risikoanalyse zusätzlich eine Vielzahl von Szenarien durchgespielt, die den Angriff bzw. Zugriff auf Kundendaten und Services der Plattformen simulieren. Aufbauen auf den Ergebnissen dieser Test sollten wirksame Maßnahmen zur Risikominimierung ergriffen werden. Hier einige Beispiele:

  • Ein zweites Rechenzentrum wird aufgebaut, auf das bei einem Standortausfall in kürzester Zeit umgestellt werden kann. Für noch mehr IT-Security können die Server in den Rechenzentren in Eigenregie statt nicht von externen Anbietern betrieben werden.
  • Externe Dienstleister werden damit beauftragt, die Plattform in Penetrationstests wiederholt auf Schwachstellen zu überprüfen. Das dient dem Schutz vor Hackerangriffen und beugt der Manipulation von Daten vor.
  • Im Ernstfall übernimmt ein Krisenstab die Regie. Ihm steht ein separater Krisenraum zur Verfügung. Der Zutritt ist auf einen engen Personenkreis beschränkt. Für die Besetzung existiert eine Vertreterregelung – wie für alle wichtigen Positionen im Unternehmen.

Informationssicherheit zum Schutz der Vertraulichkeit und Integrität sensibler Kundendaten

Die durch Cloud-Anbieter verarbeiteten Daten sind vertraulich und damit nicht für alle Augen bestimmt und sie müssen vor Manipulation geschützt werden (Integritätsschutz). Hierzu sollteHhHh genau geprüft werden, wer zu welcher Funktion der Plattformen Zugang hat und wer in welchem System Änderungen vornehmen kann.

  • Auf Kundenseite kann auf Ebene der IT-Security die Nutzung der Services auf IP-Adressen eingeschränkt werden, die den PC-Arbeitsplätzen zuvor definierter Mitarbeiter zugeordnet sind. Individuell vom Kunden anpassbare Rechtekonzepte bestimmen, wer die Daten bearbeiten darf.
  • Mitarbeiter des Cloud-Anbieters bekommen je nach ihrer Funktion „Rollen“ zugewiesen, die über Berechtigungen Zugriff auf Kundendaten gewähren – oder eben nicht. Die Vergabe zusätzlicher Zugriffsrechte erfolgt über einen eigens hierfür aufgelegten Prozess, in den immer auch der Vorgesetzte involviert ist.
  • In Deutschland kann bei neuen Mitarbeiter in kritischen Positionen vor der Einstellung das polizeiliche Führungszeugnis überprüft werden.
  • Jeder Mitarbeiter bestätigt durch seine Unterschrift die Einhaltung der Arbeitsplatz-Sicherheitsrichtlinie. Sie weist auf grundlegende Regeln der Informationssicherheit hin, wie das Tragen des Mitarbeiterausweises oder die Sperrung des PC-Arbeitsplatzes mit Hilfe eines sicheren Passwortes.
  • Durch E-Learning-Kurse kann die gesamte Belegschaft zusätzlich zu Themen rund um Informationssicherheit, Datenschutz und Compliance geschult werden.
  • Alle Mitarbeiter sollten zudem dafür sensibilisiert werden, sicherheitsrelevante Vorkommnisse umgehend zu melden, so dass möglichst schnell und effektiv reagiert werden kann.

Fazit: Informationssicherheit und umfassende IT-Security sind ein wichtiges Signal für Kunden

Das Erfüllen der ISO/IEC-Norm 27001 stärkt das Vertrauen der Kunden in Cloud-Anbieter wie die Transporeon Group und in die über ihre Plattformen bereitgestellten Anwendungen. Die Kunden von Transporeon, Mercareon und Ticontract können sicher sein, dass hier Informationssicherheit mit Nachdruck verfolgt und kontinuierlich an Verbesserungen gearbeitet wird. Das bleibt nicht ohne Wirkung, wie jährliche Penetrationstests der Systeme durch einen externen Dienstleister zeigen: Diese konnten zuletzt keine als kritisch einzustufenden Sicherheitslücken mehr aufdecken – ein gutes Signal für die Kunden!