Im digitalen Zeitalter gibt es viele technische Schreckgespenster. Ein einziger Stromausfall oder ein Festplattencrash haben weitreichende Folgen. Ganz zu schweigen vom Schaden, den ein enttäuschter Mitarbeiter oder ein professioneller Hacker anrichten könnte.
Vor diesem Hintergrund hat sich die Stückgutkooperation Cargoline mit ihren Partnerunternehmen dazu entschlossen, diesen Gefahren entgegenzuwirken.
Aber auch aus wirtschaftlichen Erwägungen ergibt es Sinn, sich gegen Ausfälle abzusichern. Denn laut Cargoline hält das Thema Datensicherheit bei Ausschreibungen verstärkt Einzug. Grund genug, sich gemäß ISO/IEC 27001 zertifizieren zu lassen.
Die Datensicherheit legt einen wichtigen Grundstein
"Darüber hinaus dient das Cargoline-Siegel als qualifizierter Nachweis gegenüber Dritten", erklärt Cargoline-Geschäftsführer Jörn Peter Struck. Dabei denkt er nicht nur an Ausschreibungen von potenziellen Kunden im In- und Ausland. Auch bei Revisionen von Wirtschaftsprüfern und bei Datenschutz-Audits seien die damit dokumentierten Maßnahmen nicht zu unterschätzen.
Generell legt die Datensicherheit auch einen wichtigen Grundstein, damit Transport- und Logistikdienstleister als Zugelassener Wirtschaftsbeteiligter (AEO) anerkannt werden. Wobei rund ein Drittel der Cargoline-Partner bereits AEO-zertifiziert sind – fast alle davon nach der höchsten Stufe C.
Bereits im Jahr 2009 gab es eine Selbstverpflichtung der Cargoline-Partner, für eine hohe Informationssicherheit sowie die Hochverfügbarkeit der IT-Systeme zu sorgen. Das schon damals formulierte Ziel war, existenziell bedrohliche Schäden weitestgehend auszuschließen. "Dazu nahmen die Unternehmen in den vergangenen drei Jahren dann auch einiges an Geld in die Hand", erzählt Struck.
Die IT-Landschaft innerhalb der Cargoline ist sehr heterogen
Wie bei einer Kooperation üblich, bot sich jedoch kein einheitliches Bild. "Die IT-Landschaft innerhalb der Cargoline ist sehr heterogen. Das gilt auch für die Hardware", erklärt der IT-Experte Reinhard Reichl vom Ingenieurbüro für Informationssicherheit und Datenschutz, Technologie und Management (IDTM), der den Umstellungsprozess begleitet hat. Um überhaupt eine Grundlage für die Planung zu haben, wurde ein dreistufiger Prozess angestoßen. Dem ging noch eine Checkliste mit mehr als 400 Fragen zu den Bereichen Hardware, Software und Back-up voraus. "Allerdings waren die Fragenstellungen und empfohlenen Maßnahmen im Rahmen der Überprüfung und Selbstbewertung sehr eindeutig", sagt Reichl.
Die Stufen 1 und 2, in der die notwendige organisatorische und technische Dokumentation durch die Mitglieder erfolgte, dienten der Vorbereitung auf das Audit in Stufe 3. Je nach Betrieb musste anhand der Checkliste mehr oder weniger optimiert beziehungsweise investiert werden.
So mussten die Mitglieder etwa die Ersatzstromkreise vom Hauptstromkreis baulich so trennen, dass im Falle eines Brands oder Hochwassers im Bereich der Hauptstromleitung das Back-up unbeeinträchtigt funktionieren kann. Die nötigen Schritte musste jedes Partnerunternehmen für sich machen. Unterstützung gab es durch das Ingenieurbüro IDTM und das Informationssicherheits-Gremium von Cargoline, welches eigens für dieses Audit geschaffen wurde.
Vor Ort arbeiten die Speditionen mit den IT-Dienstleistern ihrer Wahl zusammen
Zudem gab es während des gesamten Prozesses Schulungen von Seiten der Cargoline-Systemzentrale. Vor Ort wiederum arbeiteten die Speditionen mit den IT-Dienstleistern ihrer Wahl zusammen. Denn die kennen die Firmennetzwerke ohnehin. Ähnliches gilt auch für die externe Datensicherung. Hierbei wandte sich jedes Unternehmen an einen Dienstleister seines Vertrauens, der die vom Netzwerk ausgegebenen Vorgaben erfüllt.
Doch selbst mit den baulichen sowie Software-technischen Änderungen ist das Projekt nicht einfach abgeschlossen. Um dauerhafte Sicherheit zu gewährleisten unterliegen bei der Kooperation seitdem einige Prozesse einer permanenten Überprüfung. Dazu gehören die Auftragserfassung und -abwicklung inklusive Disposition ebenso wie das Erstellen von Dokumenten, die Datenkommunikation mit Kunden, Partnern und Lieferanten. Auch die Abwicklung inklusive Hallenscannung sowie der Sendungsein- und -ausgang gehören mit in dieses Sicherheitspaket. Soll heißen, alle damit verbundenen IT-Systeme stehen unter einer ständigen Kontrolle. Sollte es dennoch zum Ernstfall kommen, bestehen entsprechende Notfallszenarien, die konkrete Handlungsoptionen enthalten.
"Umfang und Tiefe der Prüfung entsprechen vergleichbaren Sicherheitsmaßnahmen in sehr sensitiven Branchen wie Chemie und Pharma. Unter den Stückgutkooperationen nimmt Cargoline hiermit einmal mehr eine Vorreiterrolle ein", sagt Firmenchef Struck. Zwar sei Cargoline keine Bank, Telekommunikations- oder Kreditkartenunternehmen. "Daher ist die Motivation, unsere Server zu hacken, sicher geringer als bei Unternehmen, die mit deutlich sensibleren Kundendaten arbeiten". Nichtsdestotrotz sei man aber auch als Spediteur und Logistiker nicht vor derartigen Attacken gefeit.
Aufgrund des Wandels in der Technik sind derartige Sicherheitsmaßnahmen aber niemals endgültig abgeschlossen. Daher verifizieren die Prüfer weiterhin regelmäßig die Aktualität, Vollständigkeit, Wirksamkeit – aber auch die Schwachstellen – der Maßnahmen und passen diese bei Bedarf und unter Berücksichtigung der Bedrohungslage beziehungsweise der verbleibenden Restrisiken an. Das ist wohl der Grund, warum jeder Mitarbeiter angewiesen ist, Vorfälle, die die Sicherheit betreffenden, umgehend zu melden. Verstöße gegen die Sicherheitsvorgeben werden daher auch geahndet. Damit hat man dem digitalen Schreckgespenst so viele technische und organisatorische Steine in den Weg gelegt, dass es hoffentlich lieber wo anders Angst und Schrecken verbreitet.
Die Zertifizierung
Die internationale Norm ISO/IEC 27001 ist mit "Information technology – Security techniques – Information security management systems – Requirements" überschrieben. Sie spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Dabei werden auch IT-Risiken innerhalb einer Organisation berücksichtigt. Die Norm legt die Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen fest, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen.
Die IT-Experten
Das Ingenieurbüro für Informationssicherheit und Datenschutz, Technologie und Management (IDTM) hat seinen Sitz im nordrhein-westfälischen Leichlingen. Es ist spezialisiert auf Dienstleistungen rund um die Themen ISO/IEC 27001, professionelles Datenschutzmanagement nach Bundesdatenschutzgesetz und das Erstellen von Gutachten und Expertisen. Gegründet wurde es von Diplom-Ingenieur Reinhard Reichl, der auch Cargoline mit Rat und Tat zur Seite stand.
