Wie wir einem Logistiker geholfen haben, die Vorgaben aus dem IT-Sicherheitsgesetz zu erfüllen

Anfang 2017 kam der IT-Leiter eines norddeutschen Logistikers mit mehreren Standorten in Deutschland auf uns zu. Sein Personal bestehe aus exzellenten Netzwerk-, Datacenter- und ERP-Spezialisten. Er wolle aber sichergehen, dass die Netzwerke des Unternehmens gegen Angriffe gesichert seien. Und vom IT-Sicherheitsgesetz habe er auch gehört. Ob das eigene Unternehmen nun Kritische Infrastruktur sei und was dann zu tun wäre, dazu würde er aus dem Gesetz aber nicht schlau und habe auch neben dem Tagesgeschäft keine Zeit, sich intensiv mit Gesetzestexten zu befassen. Ein Projekt, wie für FIDES gemacht.

Das Ziel: Die Frage zur Kritischen Infrastruktur klären und eine hoch verfügbare, sichere IT einrichten

Der erste Wunsch des Kunden: feststellen, ob er als Logistiker zur Kritischen Infrastruktur gehört. Ein Standardprojekt für uns, so dachten wir anfangs zumindest. Aber ganz so einfach wurde es nicht.
Zusätzlich führten wir Interviews, um herauszufinden, was das Unternehmen in der IT-Sicherheit braucht. Einerseits sprachen wir mit Mitarbeitern aus der EDV-Abteilung über Datensicherheit und Prozesse. Aber auch mit der Geschäftsleitung haben wir intensive Diskussionen geführt. Dabei ging es um die Verfügbarkeit der IT:

Wie viel Ausfall der IT-Netzwerke kann das Unternehmen wirtschaftlich ertragen? Was kostet eine Stunde Downtime? Bei wie viel Ausfallzeit ist der Betrieb gefährdet?

Die Antwort: Der Logistiker macht ab der ersten Sekunde ohne IT-Infrastruktur massive Verluste – denn einige Prozesse passieren „just in time“. Die müssen ohne IT nicht nur pausieren, sondern sind derart gestört, dass sie nicht wieder einfach anlaufen können. Das legt die Messlatte für die Störungssicherheit der IT hoch.

Die Inhouse-IT eines Logistikers hat andere Aufgaben als IT-Sicherheit
Wir bemerken auch bei diesem Projekt wieder: Mittelständler mit großen IT-Abteilungen sind selten. Das kommt immer nur dann vor, wenn die IT massiv in die Produktion oder Entwicklung der Produkte oder Dienstleistungen eingebunden ist. Bei unserem Logistiker arbeiten einige Netzwerkadministratoren, die im Tagesgeschäft bei Problemen helfen und zum Beispiel neue Workstations einrichten. Und dann sind da ein paar hoch spezialisierte ERP-Entwickler, die programmieren und Mitarbeiterfragen beantworten. Ein Teil des Storage ist als Managed Service ausgelagert. Aber gerade in der IT-Sicherheit lohnt sich selbst im größeren Mittelstand nur sehr selten ein Inhouse-Spezialist.

Vor-Ort-Aufnahme als Grundlage
Nach einem langen Kick-Off-Workshop mit dem IT-Leiter und Interviews in der EDV und Geschäftsleitung gab es für unsere Experten ein weitläufiges Gelände zu begehen. Der Hauptstandort und das riesige, angeschlossene Lager sind ein beeindruckendes Miteinander von Maschinen, Menschen und Informationstechnologie. Wir mussten verstehen, wie die logistischen Prozesse organisiert sind und welchen Anteil die IT daran hat, kurz: wie die Zahnräder in der Abfertigung mit der IT-Infrastruktur verflochten sind. So lernten wir den Logistiker aus Sicht der analogen und digitalen Warenwege noch genauer kennen. 

Herausforderung 1: Welche Logistik-Aktivitäten sind Kritische Dienstleistung?

Als das Projekt Anfang 2017 begann, rechneten wir damit, dass die Frage nach KRITIS relativ einfach würde. Ein Logistiker ist es gewohnt, mit Zahlen umzugehen. Quantitative Werte würden wir also zu Genüge vorfinden. Und es stimmte, unser Kunde konnte uns eine vorbildliche Buchführung und Dokumentation vorlegen – nur waren es nicht die Daten, von denen das BSI in der KRITIS-Verordnung spricht. Denn der Logistiker misst den Containerumschlag in der Kennzahl TEU, einer genormten internationalen Frachteinheit für ein Raummaß (Twenty-foot Equivalent Unit, also: Zwanzig-Fuß-Standardcontainer).

Die KRITIS-Verordnung misst die Dienstleistung eines Logistikers in umgeschlagenen Tonnen pro Jahr - eine Zahl, die für unseren Kunden im täglichen Geschäft eher uninteressant ist.

Wie viel Tonnen pro Container können wir für die Behörde nachvollziehbar ansetzen? Diese Messgröße mussten wir mit dem Kunden manuell aus der EDV und der Buchhaltung erarbeiten.

Sind leere Container relevant für die Kritische Infrastruktur? Kommt drauf an, wohin sie reisen!
Container gehen regelmäßig leer auf Reisen, etwa wenn sie zurück an ihren Heimathafen gehen - zählen diese leeren Container zum Grenzwert für Kritische Dienstleistung? Leere Container wiegen meist über 2 Tonnen. Wenn das BSI also in Tonnen misst, fallen leere Container auf jeden Fall ins Gewicht. Unsere Vermutung: Hier verschifft der Logistiker zwar keine Inhalte. Aber würden die Container zu Tausenden nicht an die jeweiligen Häfen zurückgehen, würde die Infrastruktur auch zusammenbrechen - schon nach wenigen Wochen wären also Menschen davon betroffen.
 
Das bestätigte dann auch eine anonymisierte Anfrage an das BSI: Die leeren Container zählen auch zum KRITIS-Schwellenwert, wenn sie an ihren Ursprungsort zurückgehen. Leercontainer, die das Unternehmen innerhalb eigener Standorte verschiebt, nicht. Auch diese Unterscheidung war aus dem ERP-System nicht ersichtlich, weil es für den Alltag des Unternehmers unerheblich ist. Um das herauszufinden, mussten wir entsprechende Auswertungskonzepte entwickeln.
 

In einem Executive Summary haben wir unser Ergebnis übersichtlich aufbereitet: Der Logistiker ist Kritische Infrastruktur - und muss investieren.

Herausforderung 2: Betriebssysteme von der Jahrtausendwende

Veraltete Betriebssysteme in der Industrie sind ein erstaunliches Problem. Erstaunlich, weil das Problem sehr verbreitet ist und mangels Alternativen in Kauf genommen wird. Während Industriemaschinen oder EDV-gesteuerte Anlagen für den Containerumschlag zum Beispiel für einen Zeitraum von 20-40 Jahren gekauft und genutzt werden, ist die Lebenszeit eines Betriebssystems viel kürzer. Viele dieser Anlagen liefen daher mit einem vollkommen veralteten und damit unsicheren Betriebssystem. Bei unserem Logistiker alle Steuerungscomputer auszutauschen wäre allerdings sehr, sehr teuer gewesen. Es wäre die sicherste Lösung, ist kaufmännisch aber nicht vertretbar. Unsere Lösung: eine saubere Netzwerktrennung. Die Maschinensteuerung des Logistikers wird physikalisch vom restlichen Netz getrennt und erhält ausschließlich dedizierte Computeranlagen, mit so wenig Zugängen wie möglich. Das ist auch aufwendig, aber kostenseitig nicht vergleichbar mit einem Austausch der Steuerungscomputer. Wenn das gut konzipiert und dokumentiert ist, akzeptiert das BSI diese Lösung. Aber:

Für Logistiker gibt es keinen Branchenstandard. Wir einigten uns mit dem Kunden auf den frisch veröffentlichten KRITIS-Prüfungshinweis des IDW als Prüfmaßstab.

Einsparpotenzial für unseren Kunden: Der Logistiker hat relativ wenige kritische Daten

Gleich vorweg: Natürlich sind alle Unternehmens- und Kundendaten schützenswert, von den Personaldaten bis zum Gesprächsprotokoll im Vertrieb. Aber ein Logistiker benötigt nicht die gleichen Technologien für die Datensicherheit wie ein Rüstungskonzern oder Ingenieurbüro. Unser Logistiker hält keine Patente oder sensible Entwicklungsdaten vor. Auch Preislisten sind in der Logistikbranche nicht unbedingt geheim. Außerordentlich komplexe Verschlüsselungstechnologie und besondere interne Zugriffschutzlösungen waren also nicht nötig. So haben wir den Administrationsaufwand für den Kunden gering gehalten und den Fokus auf die sehr hohe Verfügbarkeit der Infrastruktur gelegt. 

Gute IT-Beratung bedeutet auch, die IT des Betriebs nicht aufzublähen. Administrationsaufwand, tägliches Handling und Kosten müssen im Gleichgewicht sein.

Alle Projekte haben ein Ziel: Ein gutes Audit als Grundlage für einen kontinuierlichen Verbesserungsprozess
Die erste Phase der Zusammenarbeit beendeten wir mit Coachings und der Vorbereitung auf das KRITIS-Audit. Das Audit liefert uns und dem BSI ein Ergebnis. Wir stellten unsere Prüfgrundlage - bei unserem Logistiker also den KRITIS-Prüfungshinweis des IDW - gegen die umgesetzten Maßnahmen. Nach dem Erstaudit zeigte sich der unperfekte Normalfall: 

Ein Mängel- und Maßnahmenkatalog ging an das BSI - denn die KRITIS-Vorgaben sind selten sofort umsetzbar. Wir unterstützen den Kunden weiter bei der Anpassung seiner IT.

Das ist das Standardverfahren. Das Unternehmen muss das Audit laut IT-Sicherheitsgesetz alle zwei Jahre wiederholen. Bis dahin begleiten wir den Kunden bei der Umsetzung des Maßnahmenkatalogs.

Sie möchten mehr darüber erfahren, was wir machen und wer wir sind? Lesen Sie hier, was wir im Bereich Kritische Infrastruktur für Sie machen oder wie ein IT-Sicherheitsaudit für KRITIS-Unternehmen abläuft.