Schutz & Rettung ist die grösste, zivile Rettungsorganisation der Schweiz und hat den Auftrag Menschen, Tiere, Sachwerte und die Umwelt zu schützen und zu retten – und dies rund um die Uhr. Um dem Credo nach bestmöglichem Schutz und optimaler Sicherheit gerecht zu werden, sieht sich Schutz & Rettung Zürich auch in der Pflicht, die eigenen Strukturen immer von Neuem wirksam vor Cyberrisiken abzusichern. Daher entschied sich Schutz & Rettung präventiv für einen Check der IT-Infrastruktur mittels eines IT-Security Assessments von United Security Providers.
Der Bereich Einsatz & Prävention spielt bei Schutz & Rettung Zürich eine zentrale Rolle – schliesslich ist er mit der Einsatzleitzentrale (Koordination, Alarmierung und Disposition der Rettungsdienste und Feuerwehren) die Drehscheibe für die gesamte Einsatzplanung in Notfallsituationen. In der Einsatzleitzentrale (ELZ) werden auch all jene Fäden gebündelt, die bei ausserordentlichen Ereignissen, wie Grossereignissen und besonderen Situationen, miteinander zusammengehalten werden müssen.
Dazu braucht es im Inneren eine stabile und höchst zuverlässige IT-Infrastruktur, die reibungslos und absolut robust funktioniert. Die rasante Entwicklung der Digitalisierung, die zunehmende Zahl an Hackerangriffen und die sich ständig verändernden Anforderungen an Sicherheit machen auch vor Schutz & Rettung nicht Halt. Dies hat die Organisation mit der Frage konfrontiert, wie der Schutz der eigenen IT-Infrastruktur und die zugehörigen Geschäftsprozesse weiter optimiert werden können: Der kontinuierliche Verbesserungsprozess der IT Sicherheit, nach der Methode PDCA (Plan, Do, Check, Act), steht im Zentrum der Betrachtungen.
Kritische Selbstprüfungen für einen kontinuierlichen Verbesserungsprozess in der IT-Sicherheit
Schutz & Rettung Zürich durchlief ein IT-Security Assessment des Sicherheitsexperten United Security Providers. Dieses hatte das Ziel, die IT-Infrastruktur und die Geschäftsprozesse von Schutz & Rettung zu untersuchen und sämtliche Risiken, auch aus dem Self Assessment der Gap-Analyse «Handbuch Informationssicherheit» der Stadt Zürich, im zentralen Risikomanagement-System der Organisation, zusammenzufassen.
IT-Security Assessment schafft raschen Durchblick in einer hochkomplexen Infrastruktur
United Security Providers erstellte im Rahmen des IT-Security Assessments eine umfangreiche Auslegeordnung der Risiken rund um die Prozesse und die IT-Infrastruktur.
Die hochkomplexe IT-Umgebung des Einsatzleitsystems (ELS) war bei der technischen Untersuchung der Infrastruktur ein zentraler Faktor: Schutz & Rettung ist 24/7 Stunden im Einsatz, die Infrastruktur muss jederzeit verfügbar sein und unterliegt den höchsten Verfügbarkeitsanforderungen. Eine Störung der Infrastruktur hätte beträchtliche Folgen für den Betrieb der Einsatzleitzentrale – Folgen die mitunter über Leben und Tod entscheiden.
Die Interviews mit den Fachverantwortlichen zu spezifischen Themen wie beispielsweise Firewalls, Remote-Zugänge, Datenmanagement, Mobile Applikationen, Benutzer- und Rechtemanagement sowie die absolvierten Konfigurationsprüfungen verschafften den Beratern von United Security Providers ein Bild über die IT-Architektur und den Sicherheitszustand der IT-Landschaft.
Die Ergebnisse des IT-Security Assessments wurden in einer ausführlichen Risikoanalyse ausgewertet und die umzusetzenden Massnahmen zur Risikominimierung in einer detaillierten Roadmap priorisiert. «Die Roadmap der aufgezeigten Risiken und die vorgeschlagenen Lösungsansätze sind für uns die perfekte Basis, um weiterhin an einer kontinuierlichen Verbesserung arbeiten zu können. Aufgrund der Erkenntnisse des IT-Security Assessments (pdf) haben wir heute ein noch tieferes Wissen, um gegen Cyberattacken frühzeitig reagieren und gewappnet sein zu können. United Security Providers hat es verstanden, die komplexen Sicherheitsanforderungen in umsetzbare Schritte zu gliedern und in das Projektportfolio einzubinden.» so Martin Schellenberg, Leiter ICT, Schutz & Rettung Zürich.
Fazit: Ein Security Assessment als präventive Massnahme
Das IT-Security Assessment von United Security Providers unterstützt Schutz & Rettung Zürich bei der Umsetzung präventiver Massnahmen zum Schutz vor Cyberattacken und ermöglicht damit eine noch intensivere Auseinandersetzung mit den eigenen Geschäftsprozessen. Der kontinuierliche Verbesserungsprozess der IT-Sicherheit, mit einem zentral geführten Risikomanagement sorgt dafür, dass Business und IT-Verantwortliche eine einheitliche Sicht auf die möglichen IT-Risiken erhalten und so ein verbessertes Verständnis füreinander entwickeln. Dies ist ein weiterer Grundstein, der Schutz & Rettung Zürich auch für zukünftige Herausforderungen wappnet, welche die Digitalisierung mit sich bringt.
Wie steht es um die Sicherheit in Ihrem Unternehmen?
Genügt Ihre IT-Sicherheit den aktuellen Anforderungen? Ein IT-Security Assessment liefert Ihnen Antworten zu allen wichtigen Fragen der IT-Sicherheit und weist Ihnen den Weg für eine sichere Zukunft.
Teresa Schmidt ist seit Juni 2017 als Marketing & Communications Specialist bei United Security Providers tätig.