• Stollfuß
• Süddeutscher Verlag
• Clarins
• VdS Schadenverhütung
• WEBIT
• Main-Kinzig-Kreis
• Beissbarth
• Deutsche Welle
• Bayer Business Services

Umfassendes Sicherheitsaudit bei der VdS Schadenverhütung GmbH

Als Unternehmen, das sich ausschließlich dem Thema Sicherheit verschrieben hat, lag ein Sicherheitsaudit der eigenen Informationstechnik nahe. Gemäß des eigenen Leitsatzes „Nur wer sich sicher fühlt, kann kreativ arbeiten und leben", entschloss sich VdS zur Durchführung eines umfassenden IT-Sicherheitsaudits.

Die Herausforderung

Im Rahmen eines gemeinsamen Workshops loteten beide Unternehmen zunächst aus, welchen Umfang und welche Bereiche das IT-Sicherheitsaudit überhaupt umfassen sollte. Grob lässt sich das Security Audit in eine technische und eine organisatorische Ebene unterteilen. Das technische Audit setzt primär bei den IT-Komponenten an wie Systeme, Anbindungen und Netzwerke. Das organisatorische Audit befasst sich mit einer Prozess- bzw. Betriebsanalyse. Dieses liefert Daten darüber, wie sicher die verschiedenen IT-Prozesse ablaufen. VdS entschied sich für ein Sicherheitsaudit in beiden Bereichen.

Die Lösung

Das Audit begann zunächst mit reiner Schreibtischarbeit. Im Fokus der Betrachtung lagen dabei Netzwerkpläne, Notfallkonzepte und Beschreibungen über Sicherheitskomponenten auf den Systemen und wie diese implementiert wurden. Diese Dokumente wurden zunächst auf Vollständigkeit und anschließend hinsichtlich ihrer Inhalte und vor allem auf Aktualität geprüft.

Den ersten Teil der Gesamtanalyse hatte VdS erfolgreich bestanden. Nun galt es sicherzustellen, dass VdS die beschriebenen und festgelegten Prozesse auch wirklich mit Leben füllt. Dazu entwickelte arxes einen Fragebogen, um per Interview Informationen von IT-Mitarbeitern und -Verantwortlichen zu erhalten.

Im Sicherheits-Auditing mit der VdS simulierte arxes verschiedene Szenarien. Im Rahmen dieser Vorfälle erläuterten die IT-Mitarbeiter, wie sie im Falle eines Virus-Befalls bestimmter IT-Systeme agieren. Mit diesen Fragen wurde sichergestellt, dass bei den Mitarbeitern das notwendige Verständnis für Rollen und Verantwortlichkeiten vorhanden ist. Darüber hinaus sollten die IT-Verantwortlichen einschätzen können, welche Auswirkungen ein Virus bzw. der Ausfall bestimmter IT-Systeme hat. Das galt besonders für geschäftskritische Systeme wie beispielweise das ERP-System von VdS. Bei dem technischen Sicherheits-Audit galt es, die IT-Sicherheit auf physikalischer Ebene zu überprüfen. Dazu unterzogen die arxes-Spezialisten unter anderem das Rechenzentrum und die Verteilerräume einer genauen Betrachtung.

Der Mehrwert

Das von arxes erstellte Ergebnisdokument bescheinigte VdS ein hohes IT-Sicherheitsniveau. Der Sicherheitsaufwand, den VdS für die Systeme betrieb, entsprach der Wichtigkeit der Systeme. Besonders geschäftskritische Komponenten zeichneten sich sowohl auf der organisatorischen als auch auf der physikalischen Ebene durch ein hohes und angemessenes Maß an Sicherheitsvorkehrungen aus. „Das positive Ergebnis gibt uns und unseren Kunden die Gewissheit, dass wertvolle und sensible Daten mit bestmöglichen Mitteln gesichert werden. Das arxes-Team führte das Sicherheits­audit professionell und reibungslos durch, so dass der IT-Betrieb während der ganzen Zeit ungestört weiter laufen konnte", erläutert Robert Reininghaus Leiter IT Services bei VdS abschließend.

Der Kunde

VdS Schadenverhütung, ein Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. (GDV), ist gegliedert in vier operative Bereiche: Brandschutz, Security, Schulung & Information und den VdS-Fachverlag.
Am Hauptsitz des Unternehmens in Köln und in den Außenbüros der Technischen Prüfstelle in Deutschland und im europäischen Ausland beschäftigt VdS Schadenverhütung rund 300 Mitarbeiter. Mit hoher Fachkompetenz und großem Engagement leistet jeder einzelne seinen Beitrag zum Erfolg des Unternehmens.