Was macht eigentlich ein Informationssicherheits-beauftragter bei d.vinci?

Wir bei d.vinci sind eine bunte Mischung aus verschiedenen Teams und Aufgaben. Warum uns jede einzelne Position so wichtig ist und warum jeder zum Gesamterfolg der Firma beiträgt, klären wir in diesen Interviews.

Heute stellen wir unseren Informationssicherheitsbeauftragten Ralf Meissner vor.  

Hallo Ralf! Schön, dass du dir die Zeit nimmst! Stell dich doch mal kurz vor.

Ich komme ursprünglich aus Stuttgart (ich hoffe immer, es hört keiner) und lebe seit mehr als 20 Jahren in Hamburg. Nach dem Informatikstudium habe ich meine ersten Berufsjahre mit Softwareentwicklung und Qualitätsmanagement verbracht. Bei d.vinci bin ich nun schon seit – mein Gott! – fast 11 Jahren. Anfangs habe ich die Entwicklung und Wartung insbesondere unseres Altsystems verantwortet. Seit bald sieben Jahren ist das Informationssicherheitsmanagement meine Hauptaufgabe, in der ersten Zeit auch noch das Qualitätsmanagement, da wir damals noch nach ISO 9001 zertifiziert waren.

Du bist ja schon ein paar Jahre in der Rolle des Informationssicherheitsbeauftragten bei d.vinci. Warum wolltest du diese Rolle gerne einnehmen? Was schätzt du besonders?

Damals wurde die Stelle frei und ich wollte/musste mir gerade ein weiteres Tätigkeitsfeld suchen. Insofern hat wie so oft der Zufall eine Rolle gespielt. Offen gestanden war ich aber auch überhaupt nicht glücklich damit, wie wir bis dahin mit Informationssicherheitsmanagement umgegangen waren; es war alles viel zu theoretisch und papierlastig. Wir hatten im Grunde dafür ein Gebilde neben der eigentlichen Organisation errichtet, das mehr hinderlich als nützlich war.

Und genau darin liegt die besondere Herausforderung, die mich reizt: Die verschiedenen Tätigkeiten in den Arbeitsalltag der Mitarbeiter:innen zu integrieren, so dass sie ein natürlicher Teil der Arbeit werden und möglichst nicht als zusätzliche und damit wenig sinnvolle Arbeit wahrgenommen werden.

Ich weiß natürlich, dass sich die meisten meiner Kolleg:innen nicht vorstellen könnten, meinen Job zu machen, aber mir gefallen eben auch die Aspekte daran, die andere vielleicht nicht so mögen: Die auf den ersten Blick dröge Materie (die aber gar nicht dröge ist, wenn man mal einen Einstieg gefunden hat), das Beschreiben von Prozessen (ich mag Sprache und schreibe gern), das Verhandeln mit anderen. Und mir gefällt auch, dass sich mein Aufgabengebiet auf das ganze Unternehmen bezieht, so dass ich mit vielen Menschen in Kontakt komme.

Zudem schätze ich die Freiheiten sehr, die ich bei der Umsetzung habe. Meine Bibel ist ja die ISO 27001, aber anders als allgemein vielleicht vermutet, macht diese Norm wenig konkrete Vorgaben, sondern formuliert eher abstrakt. So dass alles zuerst aufs Unternehmen abgebildet werden muss, bevor es umgesetzt werden kann. Je besser einem das gelingt, umso eher vermeidet man die Erschaffung eines sinnlosen Paralleluniversums. Und ich kann dabei beweisen, dass man das Ganze auch angemessen für eine agile Unternehmenskultur wie unsere gestalten kann.

Und zu guter Letzt ist das ganze Gebiet so umfangreich (und damit auch abwechslungsreich), dass man sich gut selbst organisieren muss. Selbstorganisation ist schon fast eins meiner Hobbys, und in der Rolle kann ich mich da richtig austoben.

Was machst du in deiner Position als Informationssicherheitsbeauftragter? Worum kümmerst du dich hauptsächlich?

Ich fange mal auf der abstrakten Ebene an: Formal besteht meine Hauptaufgabe im Aufbau und in der Aufrechterhaltung und Verbesserung des Informationssicherheitsmanagementsystems. Dieses Wort hat 40 Buchstaben. So ein System besteht letztlich aus einer Reihe von eigenen Prozessen (z. B. Wertemanagement, Risikomanagement, Umgang mit Vorfällen), aber auch einzelnen Tätigkeiten in operativen Prozessen (z. B. müssen Sicherheitsaspekte bei der Auswahl von Software berücksichtigt werden). Ich definiere und beschreibe solche Prozesse in Absprache mit den Beteiligten und achte auf deren Einhaltung.

Um es etwas greifbarer zu machen, einige Beispiele:

• Regeln festlegen zum sicheren Umgang mit Informationen (insbesondere IT)
• Austausch mit Mitarbeiter:innen über geltende Regeln (u. a. um zu erfahren, welchen Einfluss diese auf ihre tägliche Arbeit haben)
• Risikomanagement
• Vorfälle analysieren und Lehren daraus ziehen
• Dienstleister auswählen, Dienstleister auditieren (d. h. prüfen)
• Zutrittsregelungen
• Auskunft gegenüber Interessenten und Kunden

Alle diese Punkte beziehen sich natürlich auf die Informationssicherheit. Und ich mache das auch nicht alleine. In vielen Aufgaben arbeite ich mit unserem Datenschutzberater Matthias zusammen, denn da gibt es thematisch viele Überschneidungen. Und ein erheblicher Anteil der Themen liegt in der IT-Administration; da bin ich dann eher Berater und auch mal Kontrolleur.

Gibt es auch mal Herausforderungen oder Situationen, die dich länger beschäftigen?

Ja, die gibt es. Das betrifft aber eher nicht einzelne Vorfälle, denn dafür haben wir ein definiertes Vorgehen, und akute Probleme sind eigentlich immer schnell gelöst.

Dauerbrenner sind dagegen eher solche Themen, die einfach aufgrund ihrer Natur der Alptraum von Datenschützern und Informationssicherheitsbeauftragten sind: BYOD (Bring your own device), Mobile Office, Videokonferenzsysteme, Chatprogramme. Mein Leben wäre einfacher, wenn wir die alle verbieten würden. Aber wir wollen die Mitarbeiter:innen natürlich nicht an die Kette legen (und ihnen damit nebenbei bemerkt den Spaß verderben). Wir müssen also immer einen Mittelweg finden, das heißt die Sicherheitsrisiken möglichst kleinhalten, ohne die Freiheit der Mitarbeiter:innen zu sehr einzuschränken. Dazu ein einfaches Beispiel: Wer auf seinem privaten Smartphone das Firmenchatprogramm benutzt (das ist bei uns erlaubt), der muss das Smartphone mit einem Code schützen und darf keine Nachrichten des Programms auf dem Lockscreen anzeigen lassen.

Das sind gleichzeitig auch Themen, in denen viel Bewegung ist. Das heißt, wir müssen immer wieder auf neue Entwicklungen reagieren. Die Pandemie etwa hat dem Mobile Office einen ganz anderen Stellenwert verliehen. Auch ein Chatprogramm hatten wir vor drei Jahren noch nicht.

Warum ist die Position des Informationssicherheitsbeauftragten so wichtig?

Weil sich ohne einen Kümmerer kein gutes Informationssicherheitsmanagement aufbauen lässt. Dafür ist das Gebiet zu vielfältig und zu breit. Es braucht jemanden, der die vielen Einzelthemen untersucht und entscheidet, welche Prozesse notwendig sind und welche Tätigkeiten in die operative Arbeit der einzelnen Mitarbeiter:innen integriert werden müssen. Viele dieser Einzelteile greifen im besten Fall auch ineinander, dazu bedarf es zentraler Koordination. Sodann müssen solche Prozesse beschrieben und überwacht werden. Das lässt sich nicht einfach Mitarbeiter:innen zusätzlich aufbürden.

Ich sehe mich in meiner Rolle zudem nicht nur als Ansprechpartner, sondern auch als Werbeträger und Botschafter. Ich muss meine Kolleg:innen davon überzeugen, dass diese Prozesse und Tätigkeiten einen Sinn haben, sonst werden sie nicht gelebt.

Wie profitieren unsere Kunden von deiner Rolle als Informationssicherheitsbeauftragter?

Wir konnten in den letzten Jahren beobachten, dass Interessenten und Kunden immer mehr Wert auf Informationssicherheit legen. Diese Entwicklung hat stark mit der DSGVO zu tun. Die Kunden wissen: Wenn d.vinci ein tadelloses Informationssicherheitsmanagement hat, dann sind ihre Daten dort sicher. Die ISO-Zertifizierung ist da nur die Grundlage, wir werden immer häufiger von Interessenten und Kunden zu unseren Prozessen und Maßnahmen diesbezüglich befragt. Insofern ist unser Informationssicherheitsmanagement (gemeinsam mit dem Datenschutzmanagement) ein Wettbewerbsvorteil für uns.

Die Kolleg:innen profitieren dadurch, dass sie in Matthias (Datenschutzberater) und mir Ansprechpartner haben. Wir beraten beispielsweise unser Produktmanagement, wenn es um sicherheitskritische Anforderungen geht. Oder den Customer Service, etwa bei der Frage, wie ein sicheres Authentifizierungsverfahren für anrufende Kunden aussieht.

Erzähl mal: Wie sieht ein klassischer Arbeitsalltag von dir als Informationssicherheitsbeauftragter aus? Gibt es Dinge, die sich wiederholen oder ist jeder Tag anders?

Sowohl als auch. Es gibt schon sehr viele wiederkehrende Aufgaben, oft monatlich, wie das Aktualisieren von Kennzahlen. Diese regelmäßigen Aufgaben stehen in einem besonderen Kalender, und es gibt fast 30 davon! Außerdem sind die Prozesse und Regeln, die das Informationssicherheitsmanagement ausmachen, in etwa 80 Dokumenten beschrieben, die einmal im Jahr auf Aktualität geprüft und ggfs. angepasst werden müssen. Da ich von diesen Dokumenten allein mehr als 30 verantworte, ist das auch eine recht regelmäßige Arbeit.

Dann gibt es einige Arbeiten, die sich nicht vorher planen lassen, insbesondere Anfragen von Interessenten oder Kunden, sowie Sicherheitsvorfälle. Für die Interessenten und Kunden lassen wir natürlich alles stehen und liegen. Das schätze ich übrigens sehr, dass ich an der Stelle einen ganz direkten Beitrag zur Kundenzufriedenheit leisten kann. Ansonsten agiere ich ja eher im Hintergrund.

Was mir darüber hinaus an Zeit verbleibt, stecke ich in die Verbesserung und Weiterentwicklung des Systems. Das sind dann ganz vielfältige Aufgaben: Die Vereinfachung eines Prozessschritts, eine neue Kennzahl entwickeln, eine Regelung anpassen, etc.

Danke Dir Ralf für den spannenden Einblick in deinen Arbeitsalltag. Informationssicherheit ist ein wichtiges Thema und überhaupt nicht langweilig!

Wenn Sie wissen möchten, was ein Agile Coach bei d.vinci macht, geht’s hier zum Interview: Interview Agile Coach