Ein Einblick: Wie Trimble Datenschutz und Sicherheit gewährleistet
Ville Rousu teilt in diesem Artikel seine Gedanken über Trimbles digitale Entwicklung, das Thema Datenschutz und die ISO 27001 für Informationssicherheit. Ville ist Senior Director und leitet die Strategic Portfolio Engineering-Gruppe bei Trimble.
Ich arbeite seit 26 Jahren mit den Tekla-Softwareprodukten von Trimble. In dieser Zeit habe ich aus erster Hand erfahren, wie sich im Laufe der Zeit der Ansatz des Unternehmens in Bezug auf Datenschutz und Sicherheit entwickelt hat. Zuverlässige Richtlinien und Prozesse gegenüber unseren Kunden und in unserem eigenen Geschäftsbetrieb sind heute wichtiger denn je.
Das Home Office hat sich mit der Covid-Pandemie weit verbreitet und die Art und Weise, wie Unternehmen den Zugang zu ihren Daten verwalten müssen, wesentlich verändert. Zudem schreitet die Digitalisierung rasant voran. Verschiedene Tools und Datenströme erhöhen dabei die Komplexität, Sicherheitsprozesse zu handhaben. Traditionelle, manuelle To-Do-Listen reichen einfach nicht mehr aus.
Früher lag unser Hauptaugenmerk auf der Etablierung hervorragender Prozesse - insbesondere bei der Rationalisierung unserer Entwicklungsarbeit -, aber in den letzten fünf Jahren haben wir immer mehr die umfassenden Auswirkungen der europäischen Datenschutzvorschriften gespürt. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO, engl. GDPR) hat uns und andere Unternehmen gezwungen, Informationen anders zu betrachten. Ich war Teil des Lenkungsausschusses, den wir eingesetzt haben, um festzulegen, wie wir diese neuen Datenschutzbestimmungen einhalten.
Unternehmensrichtlinien definieren und Verantwortlichkeiten festlegen
Trimble hat schon immer gute Richtlinien für den Umgang mit Informationen - insbesondere mit personenbezogenen Informationen - gehabt, aber die DSGVO hat die Relevanz dieses Themas noch deutlich erhöht.
Externe Berater haben uns bei der Umsetzung der DSGVO geholfen. Wir haben zusammen mit ihnen Vermögenswerte (sogenannte Assets) identifiziert und Unternehmensrichtlinien definiert. Dazu gehörte auch die Festlegung der Art der Informationen, die wir speichern sollten, wo sie sich befinden, wer darauf zugreifen kann und welche Richtlinien wir gegenüber unseren Kunden im Umgang mit ihnen haben.
Bei der Einhaltung der DSGVO geht es im Wesentlichen um die Zuweisung von Verantwortlichkeiten in Ihrem Unternehmen. Das heißt, es muss festgelegt werden, welche Personen für die Daten verantwortlich sind, welche Abläufe zu befolgen sind und wie die richtige Kommunikation innerhalb des Unternehmens aussieht. Diese Richtlinien sind absolut sinnvoll und stellen eine gute "digitale Hygiene" dar.
Zu Beginn meiner Karriere bei Trimble habe ich mich mit der internen Prozessautomatisierung auseinandergesetzt. Die Arbeit rund um Maßnahmen des Datenschutzes war dann eine lehrreiche zweite Phase meiner Reise im Bereich Informationssicherheit. Sie hat mein allgemeines Verständnis dafür erweitert, was digitale Reife in der heutigen Welt bedeutet, und sie hat mich auf meine zunehmenden Verantwortlichkeiten im Bereich der Cybersicherheit vorbereitet.
Man mag es kaum glauben, aber jedes Unternehmen ist ein Ziel von Cyberangriffen. Das können kleine oder schwerwiegende Angriffe sein. Datenschutzverletzungen oder Angriffe auf die Cybersicherheit betreffen nicht immer direkt Ihre Kernprozesse. Sie können nur Randbereiche betreffen, aber auch auf diese Weise verlieren Sie Informationen und der Verlust kann schwerwiegende Folgen für Ihr Unternehmen haben.
Es ist ein ständiger Wettlauf mit den Tücken der Digitalisierung und deshalb entwickelt Trimble kontinuierlich immer strengere Richtlinien für unsere Arbeitsweise.
Dies geschieht in erster Linie durch unseren Trimble Secure Development Life Cycle Framework. Ich bin Teil des Teams, das verfolgt, wie diese Kontrollen implementiert werden und inwieweit sie Teil des ISO-Zertifizierungsprozesses für unser Produktportfolio sind. In diesem Rahmen habe ich bei der Einrichtung der Ausschüsse für die Geschäftskontinuitätsplanung mitgeholfen. Diese sind für jeden Geschäftsbereich erforderlich, um zertifiziert zu werden.
Unsere Arbeit baut auf den allgemein anerkannten Best Practices der Branche auf. Diese Vielzahl von Kontrollmaßnahmen lässt sich in 10 Hauptkategorien unterteilen - von der Kontrolle von Vermögenswerten (den sogenannte Assets) bis zur Durchführung verschiedener Analyseverfahren. Die meisten dieser Analysen können mit Software von Drittanbietern durchgeführt werden, die für diese Zwecke entwickelt wurden. Wir führen zudem externe Audits unserer Entwicklungsprozesse, Richtlinien und Vorfallsreaktionen durch und verfügen über eine breite Anzahl von Leitfäden für verschiedene Rollen und Funktionen.
Zertifiziert nach der ISO 27001 für Informationssicherheit
Bei Trimble ist ein großer Teil unserer Sicherheitskonzepte auf die Anforderungen der ISO 27001-Zertifizierung abgestimmt - dem internationalen Standard für das Management von Informationssicherheit. Um die Zertifizierung zu erhalten, müssen wir nachweisen, dass die erforderlichen Prozesse und Kontrollen für Cyber Security implementiert sind. Unser Sicherheits-Framework definiert diese Kontrollen und die ISO-Zertifizierung bestätigt, dass wir die Best Practices der Branche anwenden.
Eine der Anforderungen der ISO-Norm 27001 besteht darin, dass das Thema Sicherheit durch ein Team auf höchster Ebene gehandhabt wird, das alle Funktionen einer Organisation abdeckt. In mittelgroßen Unternehmen würde dieses Team in der Regel den CEO und alle direkt unterstellten Mitarbeiter umfassen. In einem größeren Unternehmen wie Trimble decken wir diese Verantwortung durch Ausschüsse auf verschiedenen Ebenen ab.
Diese Ausschüsse haben unter anderem die Aufgabe, Notfallpläne zu erstellen, die die wichtigsten Maßnahmen für den Fall eines Cyber-Angriffs festlegen. Ein solcher Wiederherstellungsplan bezieht sich nicht nur auf die Cybersicherheit. Er kann auch andere Arten von Ausfällen abdecken, z. B. wenn Sie bei einem Brand des Büros keinen Zugriff auf wichtige Dienste und Systeme haben. Sie sollten immer einen Plan haben, wie Ihr Unternehmen solche Situationen bewältigt.
Alles in allem glaube ich, dass die Rationalisierung von Prozessen, die Gewährleistung der Einhaltung von Richtlinien sowie einer guten Sicherheitsstruktur zusammen zu einer gut funktionierenden, reifen und vertrauenswürdigen Organisation führen. Deshalb sollten Sie die Themen Datenschutz und Sicherheit in den Mittelpunkt Ihrer Unternehmenskultur und Ihrer Marke stellen. Sowohl Ihre Mitarbeiter als auch Ihre Kunden müssen sehen, dass Sie diese Themen ernst nehmen.
Trimble arbeitet kontinuierlich und gewissenhaft an den Themen Datenschutz und Sicherheit. Weitere Informationen dazu finden Sie im Tekla Trust Center und in unseren Whitepapers.