Als Basis für ihre Gemeinschaftsentwicklung nutzen die beiden Beratungshäuser das schlanke System ISIS12. In zwölf Schritten können mittelständische Unternehmen damit ein ISMS implementieren, das die gesetzlichen Vorgaben erfüllt und zertifiziert werden kann. Das Regelwerk, das vom Bayerischen IT-Sicherheitscluster entwickelt wird und von der DQS zertifiziert werden kann, verfügt über einen deutlich geringeren Umfang als die etablierten Standards IT-Grundschutz vom Bundesamt für Informationssicherheit (BSI) und ISO 27001. „Besonders für mittelständische Logistik-Unternehmen sind die gängigen Normen viel zu komplex und überdimensioniert“, berichtet Alexander Hoppe, Senior-Berater von A’PARI Consulting. „Für Speditionen kommt es vor allem darauf an, grundsätzlich mit einer systematischen Vorgehensweise den Betrieb ihrer IT-Systeme abzusichern.“ Dazu gehört das erforderliche Bewusstsein aller Mitarbeiter ebenso wie die notwendigen organisatorischen Voraussetzungen. Darüber hinaus müssen die IT-Struktur dokumentiert, Service- und Wartungsprozesse geplant sowie die kritische Prozesse identifiziert werden. „Auf dieser Basis können wir dann ein Sicherheitskonzept mit konkreten Maßnahmen modellieren“, erklärt Claus Möhler, Leiter Consulting bei apsec.
Pragmatische Vorgehensweise
Dafür nutzen die Beratungshäuser das System ISIS12 und bringen dabei jeweils ihre fachliche Expertise ein. Als ISIS12-Lizenznehmer und IT-Sicherheitspezialist ist apsec mit den Anforderungen an ein alltagstaugliches ISMS bestens vertraut. Die Experten von A’PARI Consulting verfügen darüber hinaus aus ihrer langjährigen Beratungspraxis über fundierte Kenntnisse der marktüblichen Logistiksoftware und deren Prozess- und Systemanforderungen. Mit diesem Know-how entwickeln sie nun bis zum Herbst einen Leitfaden „Logistik für ISIS12“. Dieser enthält die gängigen Anforderungen an die Informationssicherheit bei Speditionen und Kontraktlogistikern und trägt so dazu bei, die Implementierung eines ISMS in diesen Unternehmen zu beschleunigen. „Beispielsweise werden wir ein Grundmodell der Kommunikationsbeziehungen zwischen allen Leistungserbringern von Stückguttransporten aufstellen. Damit können die einzelnen Regionalbetriebe sicherstellen, dass sie zu jeder Zeit über alle erforderlichen Daten für die Sendungsbearbeitung verfügen“, erläutert Alexander Hoppe. Weiter gehören der elektronische Datenaustausch (EDI) allgemein, Netzwerksicherheit und Datensicherung zu den Gebieten, für die die Berater Grundanforderungen definieren.
Effizienzpotenziale nutzen
„Eine so grundsätzliche Analyse der IT-Struktur von Unternehmen erschließt auch Effizienzpotenziale“, sagt Claus Möhler. Der IT-Sicherheitsexperte empfiehlt in diesem Zusammenhang, den regelmäßigen Austausch von Routine-Nachrichten zu automatisieren. „Schon mit der bestehenden Technologie kann so rein über organisatorische Veränderungen der Einstieg zum automatischen Datenaustausch im Sinne von Industrie 4.0 gelingen.“