Schenker Deutschland AG: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Die HiSolutions AG unterstützte die Schenker Deutschland AG bei der Vorbereitung und Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Auf Basis des bestehenden Information Security Management Systems (ISMS) und der Konzernvorgaben wurde im Projekt ein Sicherheitsprozess etabliert, der es der Schenker Deutschland AG zukünftig ermöglicht, flexibel auf alle Sicherheitsanforderungen zu reagieren.

Success Story als PDF herunterladen

 

Die Schenker Deutschland AG

Die Schenker Deutschland AG mit Sitz in Frankfurt am Main ist mit rund 15.700 Mitarbeitern an mehr als 100 Standorten und einem Umsatz von etwa 3,7 Milliarden Euro im Jahr 2016 führender Anbieter für integrierte Logistik im deutschen Markt.

Die Schenker Deutschland AG ist das einzige Unternehmen der Logistikbranche, das integrierte Lösungen über alle Verkehrsträger anbietet (nationale und internationale Landverkehre, Luft- und Seefracht sowie Schienenverkehre). Das flächendeckende Standortnetzwerk ermöglicht ein Höchstmaß an Qualität der Transport- und Unterstützungsdienstleistungen.
 

Ausgangssituation

Ein für Schenker Deutschland AG wichtiger Kunde hat, zum Schutz der verarbeiteten Informationen und um das angemessene Erbringen der vereinbarten Dienste sicherzustellen, einen Nachweis der Informations­sicherheit in Form eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz gefordert. Die Schenker Deutschland AG hat daraufhin eine Erweiterung des vorhandenen ISMS sowie eine Zertifizierung für die Bereitstellung und den Betrieb der hierzu notwendigen zentralen Komponenten beschlossen.
 

Herausforderung

Verschiedene Herausforderungen waren gemeinsam zu meistern. Das bestehende, bereits grundsätzlich nach den Vorgaben der ISO 27001 aufgebaute ISMS war an die Prinzipien des IT-Grundschutzes anzupassen. Aufgrund der Zugehörigkeit zur Deutsche Bahn AG, waren eine Vielzahl spezifischer Vorgaben zur Informations­sicherheit einzuhalten und zum Teil auf den IT-Grundschutz zu ergänzen.

Während des Projekts gab es Änderungen in der Anwendungslandschaft und der IT-Infrastruktur, die abgestimmt und in das Konzept integriert werden mussten, beispielsweise die Implementierung neuer Softwareprodukte für zentrale Logistik- und Speditionsanwendungen sowie der Umzug des Rechenzentrums.

Ausgelagerte Komponenten und Dienstleister waren unter Berücksichtigung der Konzernstruktur und der Dienstleistungs­arten in Abstimmung mit dem BSI über Cloud-Anwendungen einzubinden.
 

Zum Themenbereich IT-Grundschutz

Projektziel

Primäres Ziel des Projektes war das Erlangen des ISO 27001-Zertifikats auf der Basis von IT-Grundschutz für den Nachweis gegenüber dem Kunden. 

Daraus ergaben sich folgende weitere Ziele:

  • Erweiterung der Maßnahmen des bestehenden ISMS entsprechend IT-Grundschutzes
  • Ausstrahlen der zusätzlichen Sicherheitsaspekte des IT-Grundschutzes auf die gesamte Schenker Deutschland AG und die Infrastruktur außerhalb des Verbunds, damit auch diese vom erhöhten Sicherheitsniveau profitieren
  • Schaffung einer Basis für weitere Zertifizierungen
  • Nachweis angemessener Standards auch gegenüber anderen Kunden
     

Umsetzung

Der erste Projektschritt umfasste eine umfangreiche GAP-Analyse, inklusive Strukturanalyse, Modellierung und Basissicherheitschecks sowie die repräsentative Auswahl der Zielobjekte als Grundlage für die genaue Ermittlung interner und externer Aufwände.

Im Folgenden wurde das Sicherheitskonzept gemäß der Vorgaben des BSI-Standards 100-2 umgesetzt. Aus der GAP-Analyse resultierende Erkenntnisse wurden aufbereitet und im ISMS-Tool HiScout erfasst. Schutzbedarfsfeststellungen wurden durchgeführt und Basissicherheitsangaben ergänzt.

Parallel wurden die konzernspezifischen Vorgaben dahingehend analysiert, inwieweit sie dem Grundschutz entsprechen. Ergänzende Anforderungen des IT-Grundschutzes wurden in ein neu erstelltes Sicherheits­regelwerk integriert.

Die in den Basissicherheitschecks als offen identifizierten Punkte wurden mit den Fachbereichen besprochen, ihre Umsetzung geplant und in HiScout dokumentiert. Entsprechende Referenzdokumente wurden zur Zertifizierung durch HiScout erstellt und an die Auditoren übergeben. 

Erfahrene, zertifizierte ISO 27001-Auditoren der HiSolutions unterstützten die Schenker Deutschland AG während des intensiven fünftägigen Audits auf der Basis von IT-Grundschutz, welches an drei Standorten stattfand. Alle Fachfragen konnten so detailliert beantwortet werden. Der Auditor konnte ein positives Votum ausstellen.
 

Ergebnis

Das vorhandene ISMS wurde im Laufe des Projektes so erweitert, dass ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz für den betrachteten Verbund ohne schwerwiegende Abweichungen und Auflagen erteilt wurde.

Obwohl der Verbund nur einen Teil der Schenker Deutschland AG abdeckt, verbessern die Ergebnisse die Informationssicherheit im gesamten Unternehmen. 

Die im Projekt etablierten Sicherheitsprozesse ermöglichen es der Schenker Deutschland AG, schnell und flexibel auf alle sicherheitsrelevanten Ereignisse zu reagieren.

Die wesentlichen Grundlagen für weitere Zertifizierungen wurden gelegt, falls andere Kunden dies ebenfalls fordern.
 

Zum Themenbereich ISO 27001

Das sagt unser Kunde

„Mit einem erfahrenen Partner an der Seite kann eine Erstzertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz effizient umgesetzt werden.“

Gabriele Töllner
Datenschutz- und Informationssicherheitsbeauftragte; DB Schenker D/CH und BeNeLux

 

Über die HiSolutions AG

Seit über 25 Jahren engagieren wir uns in der Planung, Umsetzung und Überprüfung technischer sowie organisatorischer Informationssicherheitsmaßnahmen für Kunden aus nahezu allen Branchen und aus der öffentlichen Verwaltung.

Die Vielzahl erfolgreich durchgeführter Kundenprojekte hat uns zu einem der Marktführer in Deutschland gemacht.

Unsere Spezialisten verfügen über ein­schlägige Zertifizierungen. Wir beschäftigen ISO 27001 Lead Auditoren, Audit-Teamleiter, IS-Revisoren, CISAs, CISSPs, ISO 22301 Lead Auditoren etc. Unsere zertifizierten Datenschützer werden als externe Sicherheits- oder Datenschutzbeauftragte bestellt.

Jetzt teilen: