Keine «Single Points of Failure»

Bei «Verbund» stand der pragmatische Ansatz weit oben. «Als Betreiber von kritischer Infrastruktur gibt es bei ‹Verbund› viele Sicherheitsthemen. Eine homogene Landschaft ist uns wichtig, um Single Points of Failure zu vermeiden», sagt Zapf. Aus diesem Grund steht bei der Wahl des Partners nicht nur die Software mit ihrer technischen Funktionalität im Vordergrund. Erst das Paket aus Technik und Know-how, sprich der klare Fokus auf IT-Sicherheit und entsprechende fachliche Expertise, waren ausschlaggebend. Obendrauf liefert wikima4 die unabhängige Lösung, mit der auch das Monitoring des Hosting-Partners durchgeführt werden kann.

«Die finanzielle Belastung durch die neue Software und die fallweise externe Begleitung hält sich im Rahmen», hebt Altorfer hervor. «Diese Kosten sind ständig einer Performance-Analyse unterzogen. Flexibilität ist ein weiterer Schlüssel. Die Betriebsunterstützung können wir dank langjähriger Zusammenarbeit flexibel gestalten und erreicht, je nach Aufgabenintensität, ein paar Personentage pro Monat.»

Zapf würde wieder einen gleichen Ansatz für das Projekt wählen. Unternehmen in der gleichen Situation empfiehlt er: «Wir würden den Hersteller schon bei Grundüberlegungen früher mit in die Konzeption einbinden.»

Bei allen Unternehmen ist die IT-Sicherheit ein Dauerthema. Der Nutzen lässt sich nur schwer beziffern. Umso wichtiger ist das firmenweite Bewusstsein für dieses Thema, damit es auch ganzheitlich und nachhaltig im Unternehmen verankert wird. «Um die damit einhergehenden Herausforderungen bewältigen zu können, braucht es das Commitment aller Management-Stufen – sowohl von der IT als auch vom Business. Bei ‹Verbund› hat Thomas Zapf Awareness für Security geschaffen und dafür gesorgt, dass das Thema sehr breit und nachhaltig aufgestellt ist», betont Altorfer. Die interdisziplinäre Abstimmung des Know-hows wie auch der Anforderungen unter den Abteilungen ist nicht zu unterschätzen. Voraussetzung ist die gute Projektsteuerung und das reibungslose Zusammenspiel zwischen Abteilungen, dem Business, der IT mit ihrem Know-how und Umsetzungspartnern, um alle relevanten Informationen in eine harmonische Umsetzung zu bringen.

Ein nächster Schritt in Richtung ganzheitlicher Compliance- und IT-Sicherheit ist die Vereinfachung bei der temporären Vergabe von Berechtigungen in SAP, besonders diejenige von kritischen Rollen. Zwei Ziele werden verfolgt: Einerseits kann das Business an Flexibilität gewinnen. Die Monate mit Home Office und die damit verbundenen, teilweise dringlichen externen Zugriffsanfragen haben die Notwendigkeit für eine flexible Lösung ins Bewusstsein gerufen. Andererseits kann sich die IT bei einer technischen Lösung neue Freiräume schaffen – und zugleich alle hohen Sicherheits- und Compliance-Anforderungen erfüllen.