Die REWE und PENNY gehören aufgrund ihrer Bedeutung für die Versorgung der Bevölkerung zu den Kritischen Infrastrukturen („KRITIS“, siehe Kasten). Ein Ausfall der Versorgung mit Lebensmitteln hätte dramatische Folgen für das alltägliche Leben in Deutschland. Deshalb gelten für KRITIS, wie Strom- und Wasserversorgung, Finanzen oder eben Ernährung besonders strenge Vorschriften für die IT-Sicherheit.
Mit der Zertifizierung nach der ISO-Norm 27001 kommt die REWE Systems nicht nur den Anforderungen des IT-Sicherheitsgesetzes nach, sie setzt auch ein klares Signal: Ihr ist bewusst, dass Digitalisierung Schutzmaßnahmen erfordert. Allein im dritten Quartal 2017 stieg die Gesamtzahl aller Hacker-Angriffe im Internet einer Studie zufolge im Vergleich zum Vorjahreszeitraum um mehr als zwei Drittel. Träfe ein solcher Angriff den Lebensmittelhandel, könnte das für die Versorgung schwerwiegende Folgen haben.
„Wir setzen mit der Zertifizierung ein klares Signal auch an die Kunden, dass uns die Sicherheit der Versorgung wichtig ist“, so Thomas Heger, Geschäftsbereichsleiter des Bereichs Holdingfunktionen bei der REWE Systems. „Und ein wichtiger Nebeneffekt ist natürlich auch, dass wir im Falle einer Krise Umsatz sichern.“
Ein wirksames Informationssicherheits-Management muss also für die REWE Group höchste Priorität haben. Dabei geht es nicht ausschließlich um Investitionen in IT-Sicherheitstechnik. Vielmehr gilt es, Prozesse auf den Prüfstand zu stellen, anzupassen und zu optimieren. Klar definierte Prozesse sind eine wichtige Voraussetzung für den Fall eines Hacker-Angriffs. Dann ist entscheidend, ob zuvor eindeutige Handlungsvorgaben entwickelt und Verantwortlichkeiten verteilt wurden. Davon profitieren mitunter nicht nur die IT-Sicherheit, sondern auch andere Bereiche des Unternehmens.
Anderthalb Jahre hat das 120-köpfige Projektteam um Franjo Pelstring an der Erstzertifizierung nach ISO 27001 gearbeitet – eine Rekordzeit, wenn man die Größe der REWE Group bedenkt, zumal alle Kollegen die Aufgabe unter enormem Zeitdruck neben ihrer normalen Tätigkeit erledigen mussten. „Entscheidend für die Zertifizierung war neben dem Einsatz der Kollegen die Unterstützung der Führungskräfte“, so Pelstring. Nach der Erst-Zertifizierung geht das Projekt nun unter der Leitung von Stefan Goldhorn in die zweite Runde, damit auch die nächsten Audits erfolgreich absolviert werden.
Es verpflichtet Anbieter von kritischen Infrastrukturen zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit.
- Transport und Verkehr
- Energie
- Informationstechnik und Telekommunikation
- Finanz und Versicherungswesen
- Staat und Verwaltung
- Ernährung
- Wasser
- Gesundheit
- Medien und Kultur