Effizienter Schutz für digitale Kernprozesse und Ihren guten Ruf

Datenschutz bei Chefkoch, ein Erfahrungsbericht vom CTO

Die EU-DSGVO und das neue BDSG setzten in den letzten Jahren und auch heute noch viele Unternehmen unter Druck, den neuen und vor allem verbindlichen Anforderungen gerecht zu werden.
Cassini Consulting unterstützte Marco Meisen, CTO der Chefkoch GmbH dabei, entsprechende Datenschutz-Maßnahmen in dem Bonner Unternehmen umzusetzen.

Ein Erfahrungsbericht von Marco Meisen:
Chefkoch hat in der Vergangenheit in überschaubarem Maße eine Verarbeitung von personenbezogenen Daten vorgenommen. Da wir Datenschutz ernst nehmen, musste sich auch Chefkoch mit der Veröffentlichung der neuen Datenschutzgrundverordnung auseinandersetzen und notwendige Anpassungen vornehmen. Dies haben wir gemeinsam mit unserem Mutterkonzern Gruner + Jahr erfolgreich projektiert. Doch trotz der guten Unterstützung der Rechtsabteilung von Gruner + Jahr haben wir im Verlauf des Projektes gemerkt, dass wir vor Ort immer wieder auf rechtliche Fragestellungen gestoßen sind, die Einfluss auf unser Projektvorgehen haben. Wir brauchten dafür vor Ort einen Ansprechpartner mit relevanten Kenntnissen, der gemeinsam mit uns die richtigen Maßnahmen identifiziert.
Diese Unterstützung haben wir bei einem Berater der Cassini Consulting gefunden - er ist studierter Rechtswissenschaftler und stand uns bei den relevanten Fragestellungen mit Rat und Tat zur Seite. Insbesondere bei der Priorisierung in Bezug auf die Wichtigkeit der Themen war seine Unterstützung und Beratung sehr hilfreich und zielführend.

Der Zeitraum dieser Unterstützung belief sich auf circa drei Monate. Während der Initiierungsphase hat uns Cassini Consulting dabei unterstützt, die wesentlichen Handlungsfelder zu identifizieren und in eine sinnvolle Reihenfolge zu bringen. Zudem wurden für uns relevante Prozessdokumente erstellt. Der rechtswissenschaftliche Hintergrund des Beraters in Kombination mit seiner technischen Expertise aus anderen Projekten war retrospektiv die größte Unterstützung, da er sehr schnell unsere Problemstellungen verstehen, aber auch weitere antizipieren konnte. Er hat so dazu beigetragen, dass wir erfolgreich zum Inkrafttreten der EU-DSGVO alle wichtigen Punkte erledigen konnten.

Nun, da das Projekt abgeschlossen ist, werden wir dem Datenschutz selbstverständlich weiterhin große Aufmerksamkeit widmen, da wir uns der Verantwortlichkeit gegenüber unseren Usern bewusst sind.

ITDZ Berlin – Perpetuum mobile der Informationssicherheit

Als einer der ersten öffentlichen IT-Dienstleister wurde das ITDZ Berlin mit dem BSI-Zertifikat ISO 27001 auf Basis von IT-Grundschutz für seine Informationssicherheit zertifiziert. Cassini begleitete den IT-Partner der Berliner Verwaltung auf dem Weg dorthin. Neben der Steuerung des Gesamtvorhabens hat Cassini fachlich beraten und seine Sicherheitsexpertise eingebracht. Ein Prozess der kontinuierlichen Verbesserung wurde in Gang gesetzt.

Im ITDZ Berlin schlägt das digitale Herz der Berliner öffentlichen Verwaltung. Hochsensible Bürger- und Verwaltungsdaten liegen im Rechenzentrum des zentralen IT-Dienstleisters der Hauptstadt. Sämtliche Geschäftsprozesse sowie der Schutz der Informationen und Daten müssen deshalb höchste Sicherheitsmaßstäbe erfüllen.

Wie können wir unsere Sicherheit über den Status quo hinaus nachhaltig stärken und noch besser werden? Gemeinsam mit dem IT-Sicherheitsbeauftragten initiierte der Vorstand des ITDZ Berlin die Sicherheitszertifizierung seines Hauses. Die Informationssicherheit im ITDZ Berlin sollte ganzheitlich geprüft werden, angefangen von Geschäftsprozessen bis hin zur technischen Absicherung von IT-Komponenten. Das Ziel war die offizielle Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Cassini, über zentrale Rahmenverträge mit dem ITDZ Berlin verbunden, sollte die Erlangung des Zertifikats ISO 27001 auf Basis von IT-Grundschutz im engen Schulterschluss mit der Unternehmensführung und der Stabsstelle für Informationssicherheit in Angriff nehmen.

Cassini leitet universelles Vorgehen ein. Entsprechend umfassend war der Ansatz von Cassini. Neben dem internen IT-System zur Abwicklung aller kaufmännischen Prozesse wurden alle wesentlichen IT-Komponenten und Dienste in die Analyse mit einbezogen. Dem High Security Data Center und den Dienstgebäuden galt ebenso das Augenmerk wie der Beleuchtung der kritischen Geschäfts- und Sicherheitsprozesse. Dabei unterstützte Cassini das ITDZ Berlin auch fachlich auf breiter Ebene. Um IT-Grundschutz zu etablieren, prüfte und bewertete Cassini im Austausch mit den einzelnen Fachbereichen Risiken, entwickelte gezielte Sicherheitsmaßnahmen und führte begleitende Coachings durch. Der wichtigste Fokus neben der Gesamtbetrachtung der Abläufe und Technik lag jedoch auf der Einbindung und Sensibilisierung der Beschäftigten. Sie mitzunehmen und aktiv einzubinden war ein wesentlicher Erfolgsfaktor des Vorhabens.

Was Cassini in die Wege leitete, sollte das Denken und Handeln des ITDZ Berlin langfristig prägen. Elementare Verbesserungen fassen dauerhaft Fuß: Aus den Steuerungskreisen, die Cassini im Zuge der Projektsteuerung zur Zertifizierung einrichtete, wurde eine feste Institution. Hier tagen Vorstand, IT-Sicherheitsbeauftragter sowie die Abteilungs- und zentralen Fachbereichsleiter regelmäßig zu strategischen und aktuellen Sicherheitsfragen. Was an Rahmenbedingungen und Maßnahmen für ein integriertes strategisches, taktisches und operatives Informationssicherheitsmanagement (ISMS) definiert wurde, wird laufend weiterentwickelt. Verantwortlichkeiten und Abläufe sowie die Absicherung der Gesamtorganisation und der IT erfolgen nun auf Basis von IT-Grundschutz. Auch die Berliner Verwaltung profitiert maßgeblich von dem hohen Sicherheitsstandard.

Das BSI bescheinigte dem ITDZ Berlin im Juli 2015 initial die Umsetzung der Anforderungen des IT-Grundschutzes. Bis heute wurde jährlich bestätigt, dass die Sicherheitsstandards im ITDZ Berlin nicht nur eingehalten werden, sondern dass sich das Sicherheitsniveau auch weiter erhöht hat: Zeugnis für den Anspruch des ITDZ Berlin, Informationssicherheit als wesentlichen Bestandteil der Digitalisierung und fortlaufenden Prozess der Verbesserung zu begreifen. Cassini begleitete auch den jüngsten Re-Zertifizierungsweg: Im Sommer 2018 übereichte BSI-Präsident Arne Schönbohm das bundesweit erste Zertifikat nach modernisiertem Grundschutz an das ITDZ Berlin.