Auf Nummer sicher
Interview mit dem DACHSER IT-Sicherheitsbeauftragten Christian von Rützen.
Warum hat DACHSER seine zentralen IT-Services gemäß ISO 27001 zertifizieren lassen?
Bei der Zertifizierung haben wir in erster Linie an unsere Kunden gedacht. Diese übermitteln uns nicht nur ihre Daten. Sie vertrauen zudem darauf, dass wir verantwortungsbewusst mit ihren sensiblen geschäftlichen Informationen umgehen. Den Anforderungen an die Informationssicherheit müssen wir als international tätiger Logistikdienstleister weltweit nachkommen und dies auch entsprechend nachweisen können.
Die ISO 27001 ist die international anerkannte Norm für Informationssicherheit, hier sprechen alle dieselbe Sprache. Das ISO-Zertifikat stellt klar: Daten sind bei DACHSER in sicheren Händen.
Weitere Gründe für die ISO-Zertifizierung sind Optimierung und Effizienz. Auch zehn Jahre nach Etablierung der IT-Sicherheit wollen wir unsere Technik und Prozesse kontinuierlich weiterentwickeln. Mit dem Zertifikat vereinfachen sich darüber hinaus reguläre Auditprozesse durch Wirtschaftsprüfer, Zertifizierungen wie AEO oder andere.
Wie wichtig ist die Informationssicherheit in der Logistik?
So wichtig, dass das globale Sicherheitskonzept bei nahezu jedem Neugeschäft und auch bei Bestandskunden im Rahmen von Audits mit Fragenkatalogen abgefragt wird. Dazu ist es wichtig zu wissen, dass ein Großteil der Auftragsdaten heute schon elektronisch übermittelt wird – mit steigender Tendenz. Kunden wissen dabei, dass ihre eigenen Prozesse von der Verfügbarkeit der DACHSER-Systeme abhängen. Gerade im Lebensmittelbereich müssen produzierte Waren oft kontinuierlich und sehr zeitnah abgeholt werden. Wenn der Lkw nicht kommt, gibt es rasch einen Rückstau in die Fertigungslinie, und die Bänder stehen still. Oder wenn wir ein Warehouse für einen Automobilzulieferer betreiben: Wenn die Teile nicht just-in-time in die Fertigung geliefert werden, dann steht die Produktion.
Bezieht sich die Zertifizierung nur auf die IT-Zentrale in Kempten?
Wir haben unsere zentralen IT-Services, Rechenzentren, Infrastrukturen und IT-Fachbereiche zertifizieren lassen, das ist korrekt. Allerdings zeichnet sich die DACHSER-IT durch ein hohes Maß an Zentralisierung und damit Einheitlichkeit und Integrationstiefe aus. Die IT-Zentrale in Kempten definiert und entwickelt die Transport- und Warehouse Management Systeme sowie die eLogistics-Internetanwendungen selbst und stellt sie weltweit zur Nutzung bereit. In diesem Sinne hat die Zertifizierung eine dezidiert internationale Dimension. Hier gehen wir ein gutes Stück weiter als die meisten unserer Wettbewerber, die – wenn überhaupt – einzelne dezentrale Teile ihrer IT zertifiziert haben. Für uns macht die zentrale Zertifizierung Sinn: Wie wir sind unsere Kunden global aufgestellt und möchten überall auf die gleichen Sicherheitsstandards vertrauen, wenn sie mit DACHSER arbeiten.
Diese umfangreiche Zertifizierung war sicher aufwändig.
Ja, der zweistufige Audit-Prozess hat bei uns circa sechs Monate gedauert. Wobei man aber ganz klar sagen muss: Die Zertifizierung nach ISO 27001 ist nicht als Momentaufnahme gedacht, für die man sich punktuell aufhübscht. Nur wer dauerhaft an seinen Sicherheitsprozessen arbeitet, kann im jährlichen Überwachungsaudit bestehen und die Zertifizierung schließlich erneuern. Unser Ziel ist es, in jedem Punkt immer besser zu werden – und da haben uns die Prüfer vom TÜV SÜD einige sehr gute Anregungen gegeben.
ISO 27001
Die international anerkannte Norm ISO 27001 (aktuelle Fassung: DIN EN ISO/IEC 27001:2017) beschreibt den sicheren Umgang mit Informationen im Unternehmen. Inhaltlich deckt die Zertifizierung alle Aspekte der Informationssicherheit ab: von den technischen Disziplinen Virenschutz, Spam-Abwehr und Sicherheit der Internetanwendungen über die Ausfallsicherheit und Notfallplanung, bis hin zu organisatorischen Aspekten wie Vertraulichkeitsregelungen mit externen IT-Dienstleistern und Beratern oder IT-Benutzerrichtlinien. Was die inhaltliche Tiefe angeht, fordert die Norm ein Risikomanagementsystem auf allen Ebenen, um die Vielzahl an Risiken sinnvoll einzustufen und bewältigen zu können. Die Zertifizierung nach ISO 27001 ist darüber hinaus als kontinuierlicher Verbesserungsprozess angelegt. In jährlichen Überwachungsaudits müssen Fortschritte bei der Informationssicherheit nachgewiesen werden, um die Zertifizierung zu erneuern.
Die IT-Zertifizierung ist nur ein Baustein einer Vielzahl von Zertifizierungen und Assessments in den verschiedenen DACHSER Landesorganisationen.