Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Informationssicherheit managen

IT-Dokumentation

Informationssicherheit managen

1. Juli 2010, 13:09 Uhr | Ralf Ladner

Zertifikate wie der BSI-Grundschutz oder ISO 27001 sind wichtig, machen aber viel Arbeit. Gerade bei zuvor unstrukturierter IT und schlechter Dokumentation steht die Auditierungsprozedur für viele Unternehmen noch als Hürde vor einer aktuellen Zertifizierung. Doch es geht auch anders. Der Dienstleister für Straßenbenutzungsgebühren AGES setzt bereits seit sechs Jahren auf IT-Dokumentation, steigt sukzessive in das IT-Service-Management ein, ist frisch nach ISO/IEC 27001 zertifiziert und sieht jeder weiteren Begutachtung gelassen entgegen.

Da wir schon früh und IT-gestützt dokumentieren, ist die Zertifizierung für uns sehr einfach gelaufen.« blickt der AGES-IT-Leiter Heinz Maier auf den jüngsten Informationssicherheits-Check zurück. »Unsere Dokumentation selbst, aber auch die darin abgebildeten Vorgänge waren bereits so gut, dass wir nichts grundlegend ändern mussten.« Damit erweisen sich gute ITSM-Tools für IT-Dokumentation, Netzmanagement und Ticketing einmal mehr als Garanten sowohl für qualitativ hochwertigen IT-Betrieb als auch für die entsprechende Zertifizierung gegenüber Auftraggebern.

Auf beide ist die AGES angewiesen, denn der in Langenfeld bei Düsseldorf ansässige Mautspezialist bietet europaweit Dienstleistungen im Bereich Kundenadministration, Betrieb von Verkaufsstellennetzen sowie die Erhebung von Straßennutzungsgebühren an. Zu den bekanntesten Produkten des Unternehmens gehört der Betrieb und die Weiterentwicklung des Mautstellennetzes, aber auch die Abrechnung mit den Mautpflichtigen der LKW-Maut in Deutschland. Dabei garantiert AGES die pünktliche Zahlung der jährlichen Gesamteinnahmen von knapp 4 Milliarden Euro.

Zentrale Anwendung für die IT-Dokumentation bei AGES ist das Open-Source-Tool »i-doit« des Düsseldorfer Anbieters adaptiver Netzwerklösungen synetics. Thomas Mensch, IT-Experte bei AGES, bewertet insbesondere den modularen Aufbau und die integrierte Arbeitsweise der Software positiv: »Wir haben unser primäres Hauptanliegen zentrale Systemdokumentation inklusive Notfallplanung realisiert und können bei Bedarf um Folgeprojekte erweitern. Alle Server, PCS, Peripheriegeräte, Netze und Applikationen sind in der Software logisch verknüpft, so dass ich beispielsweise bei einem Serverproblem sofort erkenne, welche Dienste betroffen sind. Wir können sehr schnell einschreiten, sofort das Richtige tun und sind in der Schadensbehebung wesentlich schneller als bisher.«

Ein solches Regelwerk war damit beste Voraussetzung für eine zertifizierte Bestätigung sicherer Informationssysteme. International gilt inzwischen die ISO 27001 als Standard für Informationssicherheit. Diese bietet hierzulande auch das BSI an, allerdings mit dem Nachteil, dass das BSI nicht international akkreditiert ist. EU-weit tätigen Unternehmen fehlt daher Maier zufolge neben der nationalen BSI-Zertifizierung ein international gültiges Attest. Darum hat AGES kurzerhand beides absolviert: den BSI-Grundschutz und nach Ablauf des BSI-Zertifikates hat man sich für den Erwerb des ISO-27001-Testats von der Frankfurter DQS GmbH entschlossen.

Die DQS prüfte hierfür das vierstufige ISMS (Informations-Sicherheits-Management-System) nach ISO 27001. Für Maier eine runde Sache: »Mit dem bis Ende 2012 gültigen Testat haben wir nicht nur die Zertifizierung unseres eigenen IT-Betriebs, sondern eine globale Qualitätsbescheinigung über alles, was die AGES-IT tut. Damit sind auch im Outsourcing bezogene Leistungen wie SAP- oder Netzbetrieb, im Wesentlichen die EC-Kartenzahlungsabwicklung auf HP-Integrity-Nonstop Servern, gesichert.«

Wichtigste Anforderung für BSI und DQS ist die Dokumentation: In ihr muss festgehalten sein, welche Prozesse definiert sind, wie sie aufgesetzt wurden und welche Sicherheitsrichtlinien und Anweisungen für Problemfälle bestehen. Dazu muss die so genannte Papierlage stimmen und alle rund 50 bis 70 bei AGES täglich zu absolvierenden Serviceprozesse müssen dokumentiert sein. Maier dazu: »Sie können alles richtig machen. Wenn es aber nicht dokumentiert ist, gibt es keine Zertifizierung.« I-doit unterstützt AGES hierbei an mehreren Stellen: Es bietet dem Operating eine entsprechende Dokumentation der Checklisten. Auch sind alle Informationen des Rechenzentrums in I-doit hinterlegt. Wenn mit einem Server oder PC ein Problem auftaucht, ist also nachvollziehbar, bei welcher Firma das Gerät in Wartung ist und wie die Wartungsnummer lautet. Daneben sind alle Konfigurationsdaten einschließlich Hotline-Nummer, Servicezyklen und vereinbarten Reaktionszeiten hinterlegt.

Im gesamten Projektverlauf ist Heinz Maier zum Open-Source-Befürworter geworden: »Wir haben uns insgesamt für offene Systeme entschieden, weil für uns die Anwendungs- und nicht die Vertriebskompetenz eines Partners wichtig ist.« Zusätzliches Kriterium für Open-Source ist Mensch zufolge, dass Anpassungen bei freien Tools deutlich preiswerter und vor allem schneller zu haben sind. Es entstehen Projektteams, die auf behördenähnliche Strukturen verzichten und neue Anforderungen sofort umsetzen können.

Konrad Buck ist freier Journalist in Düsseldorf

E-Mail: konrad@redbuck.de

  1. Informationssicherheit managen
  2. Virtualisierung und Green-IT
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
nexspace data centers GmbH

nexspace data centers GmbH
Panduit

Panduit

KONZEPTUM GmbH

KONZEPTUM GmbH
easybell GmbH

easybell GmbH
Zyxel Networks A/S

Zyxel Networks A/S
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH