70 Länder auf einen Blick

Die Struktur des Unternehmens hat zur Folge, dass sich seine IT mit etwa 3500 Client- und 700 Server-Systemen nicht vollständig zentralisieren lässt. Zwei wichtige Rechenzentren befinden sich am Haupt­standort, aber die weltweit verteilten Vertretungen arbeiten je nach Bedarf mehr oder weniger selbstständig. Sie nutzen beispielsweise eigene Zugänge zum Internet, da eine zentrale Führung der Gesamtkommunikation aufgrund möglicher Übertragungsverzögerungen und mit Rücksicht auf die Konse­quenzen des Geo-IP-Konzepts nicht in Frage kommt. Außerdem schlägt zu Buche, dass das Arbeitsfeld von KWS eben nicht primär in den internationalen Metropolregionen liegt, sondern in länd­lichen Bereichen mit teilweise nur schmalbandiger Internet-Anbindung.

KWS hat seine operative IT weitgehend in die Hände von Service-Providern übergeben. Manche dieser Dienstleister betreuen nur eine Region, andere auch mehrere. Gesteuert werden der IT-Betrieb und die Tätigkeit der Service-Provider von fünf KWS eigenen Service Centern aus, die ebenfalls für unterschiedliche Regionen verantwortlich sind: Deutschland, Westeuropa, Osteuropa, Nordamerika und Südamerika.

Diese Konstellation verlangt der IT-Leitung und den Sicherheitsverantwortlichen großes organisatorisches Geschick ab, wenn es darum geht, den Sicherheitsstatus der Systeme im gesamten KWS Netzwerk zu prüfen, Schwachpunkte zu erkennen und gezielt zu beheben. Die Einhaltung eines definierten Mindestniveaus in der IT-Security hat für KWS hohe Priorität, denn für die Marktchancen des Saatgut-Anbieters stellen die Ergebnisse seiner IT-gestützten Forschung und Entwicklung einen wesentlichen Faktor dar. Auch der weltweite Vertrieb und die Steuerung der Produktion sind eng mit der IT verzahnt, sodass hohe Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik bestehen. „Unsere IT unterliegt derzeit zwar keinen dedizierten Compliance-Anforderungen von außen“, erläutert Andreas Sternberg, IT Security Officer bei KWS, den Stellenwert des Sicherheitsniveaus im Unternehmen, „aber wir definieren unsere eigenen Standards und müssen Wege finden, sie international durchzusetzen und den Erfolg zu messen.“

Auf der menschlichen Ebene setzt KWS dabei erfolgreich auf Mitarbeiter, die die Kulturen vor Ort kennen und wissen, wie sie die Vorgaben aus der Unternehmenszentrale den jeweiligen Belegschaften und den Dienstleistern an den Standorten am besten nahebringen. Für die Lösung der technisch-organisatorischen Herausforderungen des globalen Security Level Managements fehlte dem Unternehmen allerdings noch ein im gleichen Maße ausgefeiltes Konzept. Vor allem den Prozess zur technischen Statusbestimmung im Bereich IT-Sicherheit wollte man effizienter gestalten. „Wir haben mit regelmäßig übermittelten, umfangreichen Excel-Listen gearbeitet, um den Überblick über den Bestand an IT-Systemen und die darauf installierte Software sowie über Sicherheitswerkzeuge, ausgerollte Patches, Viren-Patterns und andere wichtige Daten zu behalten“, berichtet Sternberg und räumt ein: „Dieses Verfahren verschaffte uns jedoch nicht den unmittelbaren Zugriff auf die weltweiten Statusinformationen, den wir uns wünschten.“ Das Security-Team bei KWS sah die Gefahr, dass das bereits erkannte Delta zwischen der tatsächlichen Sicherheitssituation und den darüber verfügbaren Daten mit dem Wachstum des Unternehmens und seiner IT stetig zunehmen würde.