Herausforderungen und Zielstellungen
Durch die vielfältigen Einrichtungen generiert und verarbeitet das Diakoniewerk Westsachsen täglich umfangreiche Datenmengen. Diese umfassen neben den allgemeinen Unternehmensdaten insbesondere personenbezogene Daten von Mitarbeitern und Kunden sowie von den Patienten der Pflegeeinrichtungen.
Zum Schutz der IT-Systeme, auf denen diese Daten verarbeitet und gespeichert werden, und zur Sicherung des Geschäftsbetriebes, musste das Diakoniewerk Westsachsen mit all seinen Einrichtungen bis Ende 2017 ein einheitliches IT-Sicherheitskonzept nach den Standards 100-1 bis 100-4 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erstellen.
Die Anforderung kam von der Evangelischen Kirche Deutschland (EKD), der das Diakoniewerk Westsachsen unterstellt ist, mit dem Ziel, die IT-Sicherheit in allen zugehörigen Organisationen zu verbessern.
Lösung
Vor dem Projekt gab es bei der Diakonie Westsachsen kein IT-Sicherheitskonzept. Jedoch waren die eingesetzten IT-Systeme und das Netzwerk sowie getroffene Sicherheitsmaßnahmen bereits gut dokumentiert.
Das IT-Sicherheitskonzept sollte den Stand der IT, der IT-Sicherheit und das zugehörige Risiko- und Notfallmanagement im Unternehmen abbilden. Dabei sollten potenzielle Schwachstellen und Risiken identifiziert und analysiert werden.
Nach einem gemeinsamen Vorgespräch wurde von der N+P Informationssysteme GmbH (N+P) ein Angebot erstellt. Letztlich überzeugte das Meeraner Unternehmen durch den Einsatz speziell für den Bereich IT-Sicherheit vom TÜV zertifizierter Mitarbeiter bei der Projektumsetzung.
Umsetzung
Zunächst erfolgte eine Vorbesprechung zwischen dem IT-Leiter des Diakoniewerkes Westsachsen und der N+P, um Informationen zu sammeln, eine Kommunikationsstrategie festzulegen und das weitere Vorgehen zu planen. In diesem Rahmen wurde auch der Informationsverbund definiert.
Im Anschluss begann die Projektarbeit mit einer Analyse der IT-Struktur des Diakoniewerkes Westsachsen. Dabei wurden alle btroffenen Anwendungen, IT-Systeme, Kommunikationsverbindungen, Räume und Gebäude in einer Datenbank abgebildet. Ergänzend wurden im Rahmen einer Schutzbedarfsfeststellung alle Objekte hinsichtlich ihrer Verfügbarkeit, Vertraulichkeit und Integrität bewertet.
Anschließend erfolgte die konkrete Modellierung des IT-Grundschutzes für das Unternehmen. Dafür wurden passende Bausteine aus dem IT-Grundschutz-Katalog des BSI ausgewählt. Diese wurden nun im Rahmen des Basis-Sicherheitschecks mit den beim Diakoniewerk Westsachsen bereits umgesetzten Sicherheitsmaßnahmen verglichen und somit der aktuelle Umsetzungsstatus der Maßnahmen aus dem Katalog des BSI festgestellt.
In einer ergänzenden Sicherheitsanalyse wurden Objekte für die Risikoanalyse identifiziert. Bei dieser erfolgte die konkrete Identifikation, Bewertung und Einordnung von Risiken sowie die Entwicklung von Maßnahmen zur Risikobeseitigung, die in einem Risikobehandlungsplan dokumentiert wurden.
Im letzten Schritt wurde das finale IT-Sicherheitskonzept sowie dessen Ergebnisse dem Management des Diakoniewerkes Westsachsen vorgestellt.
Mehrwert
Mit dem neuen IT-Sicherheitskonzept konnte das Unternehmen einen konkreten Überblick über seine IT-Struktur und -Sicherheit über alle Standorte hinweg gewinnen. Dadurch können IT-Sicherheitsmaßnahmen in Zukunft besser geplant und priorisiert werden. Zudem wurden IT-Risiken und Schwachstellen aufgedeckt, die nun mithilfe des Risikobehandlungsplanes beseitigt bzw. reduziert werden können.
Um die jährliche Fortführung und Aktualisierung des IT-Sicherheitskonzeptes zu vereinfachen, wurde die N+P zusätzlich mit der Erstellung einer Dokumentation beauftragt. Diese unterstützt bei der Pflege der Datenbank und der Informationsabfrage zur Aktualisierung des IT-Sicherheitskonzeptes.
Neben diesem Projekt betreut die N+P das Diakoniewerk Westsachsen bereits seit 2001 mit der eingesetzten ERP-Lösung APplus.