Weltweit einheitliche IT-Sicherheitsstandards

T-Systems erarbeitet Security Konzept für die OMV

Als international tätiger Energiekonzern setzt die OMV Aktiengesellschaft auf optimale IT Sicherheitsstandards. Mit Hilfe von T-Systems hat das führende zentral und osteuropäische Öl- und Erdgasunternehmen ein umfassendes Konzept erstellt, das die Basis für weltweite Sicherheitsrichtlinien bildet.

Die OMV ist ein Unternehmen mit Tochtergesellschaften in vier Kontinenten. Nahezu alle Standorte sind via Netzwerk mit dem Headquarter in Wien verbunden. Dies stellt hohe Anforderungen an die IT-Sicherheit. Um die entsprechenden Sicherheitsstandards zu optimieren, untersuchte T-Systems über Auftrag des Konzern-IT-Managements die Netzwerksicherheit bei der OMV und erstellte ein leistungsfähiges Gesamtkonzept.

Gemeinsam mit dem OMV-internen IT-Dienstleister SNO (Service Netzwerk OMV) unterteilten T-Systems-Experten die gesamte Netzwerkinfrastruktur in Module. Mit Hilfe der Netzwerkdokumentation bereiteten die Spezialisten Fragenkataloge vor, führten Interviews und werteten die Ergebnisse aus. In enger Abstimmung mit der OMV entstand so die Grundlage des IT-Sicherheitskonzepts, das sich auf allgemein anerkannte Methoden stützt (ISO9001, BS7799, BSI Grundschutzhandbuch).

Im zweiten Schritt formulierten die Sicherheitsexperten die OMV Network Security Policy, die Sicherheitsrichtlinien für Netzwerke, auf Grund der vereinbarten Module sowie das notwendige ISMS (Information Security Management System) Framework. Konkret ging es dabei um Maßnahmen, zum Schutz vor unerlaubtem, zufälligem oder absichtlichem Preisgeben, Ändern oder Zerstören aller Informationen, Daten und Programme, die das SNO speichert, verarbeitet oder transportiert, sowie um den Schutz aller technischen Einrichtungen (Hardware, Infrastruktur usw.).

Die T-Systems-Experten definierten die Beschaffenheit der Verbindungen zwischen den Standorten. Weiters wurden die Kosten für das Umsetzen der Richtlinien für jeden Standort evaluiert. Mit Hilfe dieser Kalkulation entscheidet das Management, ob und inwieweit die Richtlinien in den einzelnen Standorten in Kraft treten. Interconnection Security Agreements regeln schließlich, auf welchen Kommunikations-wegen und -systemen die Tochtergesellschaften Zugriff auf die Unternehmensdaten bekommen.

„Das heißt, hat ein SNO-Kunde beispielsweise einen laut der konzernweit festgelegten Network Security Policy unzureichend gesicherten Internet-Zugang, der nicht kontrollierbar ist, so kann er auch nicht in den Genuss der zentralen Dienstleistungen des OMV-Konzerns kommen, “ beschreibt Wilhelm Bogner, Sicherheitsverantwortlicher der Service Network OMV, das Sicherheitskonzept. „Jede Location – egal ob Plattform, Tankstelle oder Filialbetrieb – muss gewisse Security-Mindeststandards erfüllen, um am SAP R/3 System, der Exchange-Mailanbindung oder der Integration in ein zentrales Directory teilhaben zu können.“

Die international durchgängige Network Security Policy erlaubt es Österreichs größtem börsennotierten Unternehmen, seine IT-Sicherheit nun weltweit zu standardisieren und zu optimieren.