"Einer für alle, alle für Einen" - Erfahrungen und Konsequenzen aus einem KRITIS-Audit

Betreiber kritischer Infrastrukturen (KRITIS) müssen regelmäßig einen Nachweis über geeignete Vorkehrungen zur Informationssicherheit erbringen und damit belegen, dass sie die gesetzlichen Vorgaben in zuverlässige und sichere Prozesse integrieren.

Die Deutsche Rentenversicherung ist Betreiber einer kritischen Infrastruktur. Förderale Strukturen und verteilte Verantwortlichkeiten sind nur ein Teil der Komplexität, um die kritische Dienstleistung für die Gesellschaft zu erbringen. Wie auch bei anderen KRITIS-Betreibern gehört das wiederkehrende Audit zur regelmäßigen Pflichtveranstaltung. Das Ziel: Weiterentwicklung des Information Security Management und Business Continuity Management. Hier hilft der ehrliche Blick durch einen unabhängigen Dritten. Der Auditprozess ist mit vielfältigem Aufwand verbunden, jedoch zahlt sich dieses Invest recht schnell aus.

Im Impulsvortrag wurden die Erfahrungen eines regionalen Rentenversicherungsträgers – als Teil der gesamten Organisation – beschrieben. Axel Allerkamp beleuchtete in seinem Beitrag die Aspekte Technik – Prozesse – Personen und schilderte seine Eindrücke und Erkenntnisse mit seiner Task Force zur Audit-Vorbereitung. Einen Fokus richtete der Vortrag auf die „menschlichen Faktoren“ im Rahmen des Audits, Kommunikation und Führung.