CIO des Jahres 2022
CIO Nötzel transformiert Online-Portal der ZSVR
Klingt nicht besonders sexy, ist aber enorm wichtig: das Verpackungsgesetz. Das VerpackG setzt die europäische Gesetzesaforderung für Deutschland um, die den Hersteller eines Produktes auch für dessen Verpackung verantwortlich macht. Produzenten müssen sich also um Müllvermeidung, Wiederverwendung und Verwertung kümmern. In diesem Zusammenhang beaufsichtigt die Bundesbehörde Stiftung Zentrale Stelle Verpackungsregister (ZSVR) in Osnabrück, dass die Produktverantwortlichen sich registrieren, weisen sie auf ihre Aufgaben wie zum Beispiel die Meldung ihrer Daten hin und sorgen so für Transparenz und Rechtsklarheit.
Seit dem 1. Juli 2022 gilt zudem eine erweiterte Registrierungspflicht für alle Verpackungsarten. In Deutschland darf verpackte Ware nur noch vertrieben werden, wenn ihr Hersteller im Verpackungsregister "LUCID" registriert ist. Das Online-Portal gibt es schon seit 2019, auch aufgrund der Gesetzesnovelle greifen jedoch mittlerweile mehr als 500.000 Anwender auf LUCID zu.
Erreichbar und sicher
Damit das Portal für die Nutzer zu jeder Zeit erreichbar ist und gleichzeitig die darin gespeicherten Daten sicher sind, musste eine Neuauflage her. Die ZSVR hat das Projekt selbst umgesetzt. Angeleitet von CIO Wolfram NötzelWolfram Nötzel waren insgesamt zehn weitere Mitarbeiterinnen und Mitarbeiter beteiligt. Die Erreichbarkeit und die IT-Sicherheit der Plattform waren die entscheidenden, aber auch herausforderndsten Punkte für Nötzel und sein Team. Profil von Wolfram Nötzel im CIO-Netzwerk
Das Portal verfügte zwar dank Firewalls, Antiviren-Scannern, Festplattenverschlüsselung, Anti-Spam und VPN bereits über grundlegende Sicherheitsmaßnahmen. Diese reichten jedoch "angesichts der Business-kritischen Datenlage" nicht aus. Stattdessen wollten die Osnabrücker ein Cloud-natives 24x7-Security-Framework mit einem SOC-Dienst (Security Operations Center) etablieren. Das erklärte Ziel für LUCID: Isolation von Angreifern, bei laufendem Betrieb und ohne Einschränkungen.
Cyber-Resilienz im Dreiklang
Mit diesem Projekt überzeugte Nötzel auch im Wettbewerb CIO des Jahres 2022 und kam unter die Finalisten in der Kategorie Public Sector. Als ganzheitlich, klar strukturiert und fokussiert beschreibt Thomas Mannmeusel, CIO von Webasto und Jury-Mitglied des "CIO des Jahres", das Leuchtturmprojekt der ZSVR.
"Wir haben alle bestehenden Komponenten, Services und Sicherheitsarchitekturen auf den Prüfstand gestellt, hinterfragt und zum Großteil neu formuliert", berichtet Nötzel. Für folgende Bereiche haben der CIO und sein Team Anforderungen formuliert:
Prozess-Automation: Einrichtung einer Ende-zu-Ende-Absicherung der Cloud-Landschaft ohne manuelle Eingriffe;
Technologie: Bewertung und Klassifizierung neuer Applikationen bereits in der Entwicklungsphase per Network Detection & Response, Machine LearningMachine Learning und Künstlicher Intelligenz, um Anomalien und Sicherheitslücken zu erkennen; Alles zu Machine Learning auf CIO.de
Menschen: Entwicklung der sogenannten RACI-Matrix (Responsible, Accountable, Consulted, Informed), die die vertragliche Zusammenarbeit zwischen der ZSVR, Cybersecurity-Herstellern und SOC-Dienstleistern regelt sowie die Anforderungen für alle internen und externen Mitarbeiter abbildet.
Transformation mit Hindernissen
Obwohl sie gut organisiert war, stießen Nötzel und sein Team bei der Security-Transformation von LUCID auf einige Herausforderungen. "Viele Hersteller im Cloud-Umfeld bieten zwar passende Lösungen an, aber zum Großteil leider nicht als On Premise Ready", erklärt Nötzel. Dies sei jedoch für die ZSVR durch die Rechts- und Fachaufsicht in Form des Umweltbundesamtes als zusätzliche Sicherheitsvorkehrung vorgegeben.
Konkret bedeutet 'On Premise Ready', dass eine Sicherheitslösung für die ZSVR in der dortigen Private Cloud im RechenzentrumRechenzentrum laufen muss und nicht von einem externen Cloud-Anbieter gehostet werden darf. "Wir haben sehr lange nach dem passenden Anbieter gesucht. Diesen Zeitaufwand darf man bei der Projektplanung nicht vernachlässigen", sagt Nötzel. Alles zu Rechenzentrum auf CIO.de
Lessons Learned
Weitere Lektionen, die das Team der ZSVR gelernt haben, sind:
Den Cybersicherheitsexperten Raum geben und richtig zuhören;
Best Practices und neue Denkweisen miteinander kombinieren;
Verträge mit externen Dienstleistern realistisch gestalten und klare Anforderungen schaffen;
Bei der Partnerauswahl für das SOC ist die Technologie die erste Voraussetzung, die Chemie zwischen den Teams muss aber auch stimmen.
"Ich bin sehr stolz auf mein Team, dass das Projekt so gut gelaufen ist. Vor allem die Zusammenarbeit mit externen Experten zu koordinieren ist immer eine Herausforderung, da die Erwartungen klar aufeinander abgestimmt sein müssen. Das war eine klasse Teamarbeit", schließt Nötzel, der auch schon im Jahr 2019 erfolgreich am Wettbewerb CIO des Jahres teilgenommen hatte - damals mit der ersten Version von LUCID. (kf)