IT-Grundlagen

Wie bei alten griechischen Tempeln ist die Auswahl und der Bau von passenden, langfristig belastbaren Säulen von höchster Wichtigkeit für ein verläßliches und strapazierfähiges Design. Analoge und der Moderne entsprechende ähnliche Grundlagen müssen konstruiert werden, um unternehmerische Anforderungen für störungssichere und dauerhafte IT-Lösungen zu erfüllen. In dieser Kompetenz haben wir vier Hauptsäulen identifiziert, die nach unserer Erfahrung Ihre IT-Grundlagen stärken und somit Ihren Geschäftserfolg stützen:

Jeder dieser Bereiche leistet einen nicht zu vernachlässigenden Beitrag zum sicheren, erfolgreichen und effizienten IT-Betrieb.
Weil beispielsweise diese Elemente und Bauteile Ihrer IT-Architektur oder die Informationssicherheit so wichtig für Ihr Unternehmen sind, werden wir oft gebeten, eine Prüfung dieser Komponenten wie bei einem Audit durchzuführen. Das gibt Ihnen innerhalb kurzer Zeit wertvolles Feedback zur aktuellen Situation und zum Verbesserungspotential hinsichtlich des unternehmensspezifischen Aufbaus.


IT-Architektur & EAM

Für uns bedeutet der Begriff IT-Architektur sowohl Management oder anwendungsspezifische Planung, Design und Implementierung von IT-Systemen als auch die Etablierung eines funktionierenden Managements der Unternehmensarchitektur (EAM = Enterprise Architecture Management).

Je nach Dimension und allgemeiner in Ihrer IT-Landschaft vorliegender Struktur analysieren wir verschiedene Elemente dieser Systeme, einschließlich

  • Software,
  • Hardware,
  • IT-Managementprozesse,
  • operationale (menschliche) Fähigkeiten sowie
  • Informationsflüsse und Schnittstellen,

die alle zu deren Leistungserfüllung beitragen. Diese Aktivität ist die Grundlage einer Definition des Ist-Zustandes und kann nicht nur als Input für Folgeschritte wie EAM sondern auch für sich allein zur Identifizierung von Risiken und Engpässen genutzt werden.

    Auf abstrakter Aktionsebene und falls notwendig unter Nutzung der Ergebnisse der Systemanalysen unterstützen wir die Weiterentwicklung Ihres Managements der Unternehmensarchitektur, um die künftige Soll-Landschaft zu erreichen. Dabei konzentrieren wir uns auf diese Hauptaktivitäten:

    • Ableitung und Erstellung von Architektur-Richtlinien unter Berücksichtigung und gegenseitiger Anpassung von beiden, Unternehmens- und IT-Strategien, wodurch es möglich wird,
    • Migrationspfade von Ist- zu Soll-Zustand zu liefern und dadurch aktiv die
    • weitere Standardisierung und Effizienz der Betriebsprozesse zu fördern.

    Informationssicherheit

    100% Sicherheit in Informationssystemen zu erreichen ist nicht möglich.

    Wenn Sie diese Aussage bei Projektbeginn akzeptieren, arbeiten wir gerne mit Ihnen zusammen, um Ihr Unternehmen diesem unerreichbaren Ziel so nahe wie möglich zu bringen, soweit Ihre Organisation die Auswirkungen der Umsetzung akzeptiert.

    In den letzten zwei Jahrzehnten haben wir Revisionen und Analysen für unsere Kunden durchgeführt und die Bereitstellung von Sicherheitslösungen für Informationssysteme entwickelt und unterstützt.

    Je nach Bedarf oder vorliegendem Sicherheitszwischenfall haben wir den IT-Sicherheitsteams unserer Kunden auf verschiedenen organisatorischen Ebenen geholfen:

    • Zusammen mit dem Chief Information Security Officer (CISO) oder einem vergleichbaren Manager haben wir beispielsweise folgende Punkte erarbeitet und eingeführt:
      • IT-Sicherheitsstrategie,
      • lokale, regionale und globale Richtlinien für Anwender, Systeme und Prozesse,
      • Security Awareness-Programme und ethisches Training,
      • Informationssicherheit & Risikomanagement Regelwerk(„Information Security & Risk Management System“, ISRMS),
      • Risikoregister usw.
    • Zur Verbesserung der betrieblichen Sicherheit, haben wir zum Beispiel
      • IT-Sicherheitsbewertungen ausgeführt oder unterstützt,
      • sensitive interne Prozesse analysiert,
      • Cloud-basierte Sicherheitslösungen und Standards geprüft,
      • PKIs (Public Key Infrastructures) auf Konzernebene implementiert,
      • elektronische Unterschriftenprozesse eingerichtet und
      • Informations- und Datenklassifizierungsmodelle entworfen.
    • aus technischer Sicht erstrecken sich unsere Sicherheitsprojekte nahezu über alle Ebenen des ISO OSI-System-Modells (Open Systems Interconnection Model), von OSI-Ebene 1 bis 7.

     

    Unsere gesamte Arbeit in dem Bereich Informationssicherheit orientiert sich streng an den weltweit akzeptieren Best-Practice-Standards, unter anderem COSO, COBIT, ISO/IEC 27000 Serie, ITIL, um nur einige zu nennen.


    Erfüllung regulatorischer Vorgaben & der Gesetze

    Aus der Perspektive der IT-Grundlagen ist die frühestmögliche Übernahme und „unternehmerische Anerkennung“ gesetzlicher und regulatorischer Regeln für den betrieblichen Arbeitsalltag eine der Hauptantriebskräfte auf dem Weg zu einem betrieblichen IT Reife.

    Das beruht auf den beiden systemimmanenten Voraussetzungen für regelkonforme Betriebsführung, nämlich Vorausplanung vor der Ausführung sowie Beachtung von Prozessen.

    Unabhängig von einem bestimmten regulierten Bereich bilden

    • das Bedürfnis, eigene Aktionen zu überdenken,
    • die Berücksichtigung der Eingaben und möglicher Ergebnisse,
    • die Durchführung von Tests vor der finalen Umsetzung,
    • die Erstellung einer Rückzugsstrategie,
    • die Dokumentation des Vorgangs in Form der Erstellung eines Änderungsvorschlages („Change Request“),
    • die Anforderung einer formellen Prüfung und Genehmigung durch eine andere Stelle und
    • in einigen Fällen auch die Bereitschaft, die Vorgehensweise zu rechtfertigen

    zusammen mit anderen möglichen Aufgaben eine der Hauptstützen für die Weiterentwicklung des Reifegrades des IT-Betriebes.

    Unsere Kunden müssen branchenspezifische Compliance-Anforderungen erfüllen, wie beispielsweise pharmazeutische Regelungen oder die der Medizingeräteindustrie sowie mehr allgemeingültige Vorschriften zum Datenschutz und zur Wahrung der Privatsphäre. Beide Arten von Regelungen wirken sich bis tief in das Gefüge von Design und Durchführung von IT-Prozessen aus.

    Branchenspezifische Compliance wird in den meisten davon betroffenen Unternehmen schon lange praktiziert, allerdings birgt die Prüfung und mögliche Umstrukturierung Potential für Effizienzsteigerungen aufgrund der neuen risikobasierten Methode des „Good Automated Manufacturing Practice Guide for Validation of Automated Systems in Pharmaceutical Manufacture“, Version 5 (GAMP 5). Da diese Richtlinie die bekannteste Richtlinie der ISPE (International Society for Pharmaceutical Engineering) ist, behandelt sie fast alle Bereiche der Produktion und die Art und Weise, wie Daten in der Produktion und als Folge davon verarbeitet werden.

    Regelungen zum Datenschutz und zur Wahrung der Privatsphäre, GDPR (General Data Protection Regulation) der Europäischen Union (EU) wie sie in 2016 verabschiedet und seit Ende Mai 2018 für alle Individuen innerhalb der Europäischen Union implementiert wurden, sind „neue Spielregeln“ auf dem Markt.

    Da diese Regelungen auch ohne nationale Gesetzgebung direkt bindend innerhalb der EU und des europäischen Wirtschaftsraumes sind, präsentieren sie eine Fülle von teilweise neuen Konzepten zur Handhabung von Daten und geben Individuen Kontrollrechte bezüglich der Verarbeitung und Speicherung von personenbezogenen Daten. Die daraus entstehenden Anforderungen müssen von IT-Bereichen ebenso erfüllt werden und sie sind von allen weltweit operierenden Unternehmen, die mit Konsumenten aus Ländern der EU Geschäfte tätigen, umzusetzen.

     

      In beiden dieser regulatorischen Domänen schließen unsere in Zusammenarbeit mit unseren Kunden entwickelten Lösungen auch ein:

      • volle und effiziente, risikobasierte Qualifizierung der vollständigen IT-Infrastruktur,
      • GxP-/FDA-kompatibles Design von Verarbeitung und Verwaltung von Labordaten,
      • Durchführung von Sicherheitsaudits in GxP-Produktionsumgebungen und
      • GDPR-gesteuertes Prozeßdesign und Implementierung IT-relevanter Aufgaben.

      Identitäts- und Zugriffsmanagement

      Idealerweise sollte es für jedes Individuum, das mit elektronischen Systemen interagieren muß, nur eine einzige korrespondierende, elektronische oder digitale Identität geben.

      Diese elektronische Identität ermöglicht

      • die Identifizierung des Anwenders,
      • den Schutz der Anwenderdaten,
      • die Anmeldung innerhalb anderer unternehmensinterner IT-Systeme (Single Sign On),
      • die Autorisierung zur Zuweisung bestimmter Rollen und Zugangsberechtigungen,
      • die Durchsetzung von Richtlinien gegenüber den Anwendern,
      • den Entzug von Rechten, wenn ein Anwender das Unternehmen verläßt

      und vieles mehr. 

      In der Praxis kann aber folgendes beobachtet werden:

      • Jedes Unternehmen bietet On- und Offboarding für seine Mitarbeiter in der Regel in der Verantwortung von und ausgeführt durch die Personalabteilung an. Listen mit neuen oder abgegangenen Mitarbeitern werden üblicherweise an andere Abteilungen zur Verarbeitung weitergeleitet.
      • Einzelne Abteilungen erwerben Cloud-Ressourcen, um z. B. Daten für externe Partner bereitzustellen und verwalten die eigenen Konten selbst.
      • Der Zugriff auf das Unternehmensnetzwerk beruht auf verschiedenen Berechtigungsnachweisen, die separat von internen Anmeldedaten gehandhabt werden.
      • Das Lagermanagementsystem bietet eigene Anmeldeprozeduren und zusätzliche Konten für die Anwender in der Lagerdatenbank, um diese „besser zu sichern“.

      Kennen Sie das? Aus unserer Erfahrung sind Sie nicht allein. Historisch gewachsene und durchgehend praktizierte Instandhaltung von Datensilos ist eine gängige Vorgehensweise, die fast in jedem Unternehmen zu finden ist. Besonders im Bereich der Verwaltung digitaler Identitäten, also im Kern des IAM (Identity and Access Management), werden die meisten Versuche solche Implementierungen zu durchdenken  zwar begonnen, bleiben aber auf dem gleichen technischen Niveau und in besagtem Silo. 

      Im Gegensatz zu dieser gelebten Praxis ist der Ansatz, IAM von Anfang an als Ziel zu betrachten, welches auf Unternehmensebene abgestimmt werden muß, der einzig erfolgversprechende Weg, um dieses Thema in Bezug auf Anwenderakzeptanz und Informationssicherheit zu meistern.

      Bei der Arbeit mit unseren Kunden in diesem Bereich haben wir uns immer darauf konzentriert und unser Engagement damit begonnen, abstrakte Diskussionen von der erforderlichen technischen Implementierungsarbeit zu trennen. Das ist notwendig, um potentielle Barrieren zu vermeiden, die den Prozeß der Lösungsfindung blockieren, noch bevor er begonnen hat.

      Diese Methodologie ermöglichte uns zusammen mit unseren Kunden folgende Punkte zu realisieren:

      • Etablierung eines zentralen Speicherortes für digitale Identitäten auf Unternehmensebene,
      • Integration der Aktivitäten verschiedener Abteilungen deren miteinander verflochtenen Aufgaben vom Identitätssystem der IT-Abteilung durchgeführt werden,
      • Erstellung von standardisierten und sicheren, aus einer Sicherheitsperspektive heraus optimierten Prozessen für das Identitätsmanagement (z. B. Zwei-Faktor-Authentifizierung, wo notwendig),
      • Konnektivität zu Cloud-Anbietern, um die unternehmensrelevanten digitalen Identitäten in einer mandantenfähigen („Multi-Tenant“) Umgebung zu verwalten,
      • Bewußtsein für und mittelfristige Akzeptanz von Konzepten für das Dateneigentum, die wiederum Berechtigungs- und Zugangskontrollkonzepte beeinflussen und unterstützen.