Moderne Informations- und Kommunikationstechnologien und ihre Vernetzung bereichern unser Leben in vielen Belangen. Sie garantieren uns Komfort, Sicherheit und Zeitersparnis. Die zunehmende Abhängigkeit von digitalen Systemen schafft aber auch Gefahren. Etwa in Bezug auf die Handhabung sensibler Daten – und damit verbunden auf die betriebliche Kontinuität von Unternehmen. Mit zunehmendem Vernetzungsgrad in automatisierten industriellen Prozessen vergrössert sich die Angriffsfläche entsprechend.
Für ein hochspezialisiertes Unternehmen wie Bouygues Energies & Services Prozessautomation, das umfassende Leistungen in vielen sensiblen Industrie- und Infrastrukturbereichen erbringt, sind Investitionen in die Informations- und Datensicherheit elementar für die Glaubwürdigkeit am Markt und die betriebliche Kontinuität. Das «Vulnerarbility Management» («Verwundbarkeitsmanagement») soll das Bewusstsein für Risiken schärfen sowie die Schwachstellen der IT-Infrastruktur einer Organisation aufdecken und ausmerzen. Ziel des Vulnerability Managements ist, das Wissen der Mitarbeitenden zu vertiefen und den Umgang mit sensiblen Daten noch bewusster zu gestalten. Denn Mitarbeitende sind ein tragendes Element in der Brandmauer gegen die Kompromittierung von Daten.
Um den eigenen Umgang mit Daten und Informationen einer unabhängigen Prüfung zu unterziehen, hat Bouygues E&S Prozessautomation eine Auditierung nach ISO-Norm 27001 beantragt. Diese formuliert die «Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation». Eine erfolgreiche Zertifizierung ist ein wichtiger Nachweis gegenüber Kunden und Partnern, dass ein Unternehmen einen hohen Sicherheitsstandard im Umgang mit Daten pflegt.
Zunächst galt es jedoch, die Organisation auf die Zertifizierung vorzubereiten und Projektteams zu bilden, die sich auf relevante Handlungsbereiche fokussieren. Auf Basis einer Sicherheitsanalyse waren zuvor organisatorische und technische Massnahmen definiert worden, die es umzusetzen galt. Das betraf zum Beispiel lokale Zutrittsbeschränkungen, technische Erweiterungen am Netzwerk oder die Erarbeitung von Richtlinien und Arbeitsanweisungen für Mitarbeitende.
Die erforderliche Dokumentation des Informationssicherheits-Managementsystems hat das Projektteam mittels einer neuen Software-Plattform erzielt, welche im Stil eines einfachen Unternehmens-Wiki aufgebaut ist und u.a. Workflows zur Nachverfolgung bestimmter Tasks enthält. Somit sind alle Massnahmen der ISO-Norm transparent einseh- und nachvollziehbar, was deren Umsetzung und Einhaltung betrifft.
Die potenziellen Schwachstellen in der Datensicherheit, welche Massnahmen erfordern, sind in allen Bereichen anzutreffen, wie die Sicherheitsanalyse zu Beginn des Projekts zeigte. Welche Bereiche sind schützenswert? Welche Massnahmen gilt es, zu ergreifen, um die gewünschten Ziele zu erreichen? Welcher Aufwand ist angezeigt, um eine angemessene Dokumentation Implementierung zu erzielen? Die Vorbereitung des eigentlichen Audits nahm rund ein Jahr in Anspruch. Die Frage der richtigen Balance zwischen Schutzmassnahmen und Aufwand begleitete das Projektteam dabei immerzu.
Im Zuge der Umsetzung technischer Aspekte wie Zutrittskontrollen, Archivierungen sowie der Verbesserung der Netzwerksicherheit am Standort Olten konnte das Projektteam auf die Unterstützung der Kollegen aus anderen Bereichen von Bouygues Energies & Services zählen. Neben den Kollegen aus dem Gebäudetechnikbereich unterstützten auch die IT sowie der Fachbereich Qualität um Ursina Schori das Projektteam bei der Vorbereitung des Audits.
Der Audit erfolgte schliesslich über zwei Stufen und dauerte rund drei Tage. In dieser Zeit war das Projektteam gefordert, den erfahrenen Auditoren minutiös die angemessene Umsetzung auf das Geschäftsmodell von Bouygues E&S Prozessautomation darzulegen. Die Zertifizierung im Sommer 2022 war schliesslich der angemessene Lohn für ein intensives Jahr der gewissenhaften Vorbereitung und der internen Zusammenarbeit. Gleichwohl ist die Auszeichnung nicht das Ende, sondern der Anfang einer neuen Sicherheitskultur bei Bouygues E&S Prozessautomation AG.
