Ein Gastbeitrag von Christina Schlichting, Head of Group Information Security Programs & Projects, Volkswagen AG

Die gesamte Wirtschaftswelt befindet sich im digitalen Umbruch. Davon ist keine Branche ausgenommen. Der Volkswagen Konzern treibt Modernisierung und Digitalisierung mit Hochdruck voran, in seinen Produkten und dem gesamten Ökosystem. Als Konzern-Informationssicherheit konzentrieren wir uns mit unseren Aufgaben und Verantwortungen im Wesentlichen auf die Unternehmens-IT mit vielen Schnittstellen auch zu Software, die im Fahrzeug verbaut wird, oder auf die Kundenschnittstelle, die beispielsweise im Handel eine wichtige Rolle spielt.

Mit unseren zwölf Marken, 120 Fertigungsstätten, mehr als 670.000 Mitarbeiter*innen im Konzern, 153 Ländern, in denen unsere Fahrzeuge angeboten werden und der Fahrzeugproduktion gehören weitere Geschäftsfelder wie Großdieselmotoren, Dampf- und Gasturbinen, Kompressoren, Batteriefertigung, Finanzen, Ökostrom u.v.m. dazu – das zeigt die hohe Komplexität, in der wir uns mit der Informationssicherheit bewegen.

Historie

Großprojekte und Programme in der IT sind bei uns an der Tagesordnung. So hat der Volkswagen Konzern bereits 2011 ein konzernübergreifendes Informationssicherheitsprogramm aufgesetzt.

Das Programm beinhaltete zwölf sehr komplexe Projekte und Themen, die sich im Wesentlichen mit der konzernübergreifenden Erhöhung des Informationssicherheitsniveaus, einheitlichen Prozessen, Standards und technischen Lösungen befasste. Als 2019 dieses Programm abgeschlossen wurde, bescheinigte PWC:
„Die großen IT-Sicherheitsinitiativen bilden die Grundlage zur Erhöhung des Informationssicherheitslevels im gesamten Konzern, die Vereinheitlichung von Standards und Tools sowie für den Einsatz zentraler Lösungen in den Marken und Gesellschaften.“ (PWC-Audit ITSP2)

Und das sollte sich auch fortsetzen, allerdings unter etwas neuen Vorzeichen und Rahmenbedingungen:
•    Kürzere, schnellere Intervalle – auf Basis jährlich neu definierter Schwerpunkte
•    Weiterhin marken- und regionenübergreifend
•    Noch mehr Synergien zwischen den Marken
•    Leichte Adaptierbarkeit, damit ein gut orchestrierter Rollout ermöglicht wird

Vorgehensweise

Das konzernübergreifende Gremium der Informationssicherheit bestehend aus den CISOs (Chief Information Security Officer) der Marken analysiert jährlich gemeinsam das Bedrohungsradar des Information Security Forum (ISF) und leitet entsprechende Risiken ab. Aus diesen Risiken werden Maßnahmen definiert, die dann priorisiert in das Group Information Security Programm (GISP) einfließen.  

Das Programm umfasst jährlich andere Schwerpunkte. Die Projekte werden durch verschiedene Markenvertreter und einen Promotor besetzt, der als Mitglied des CISO Gremiums für das Programm das gesamte Gremium vertritt und nicht nur die Interessen seiner Marke im Auge hat.

Gesteuert werden die Projekte über ein querschnittlich organisiertes Global Program Management (GPM) mit Reporting, Finanzen, Kommunikation, Qualitätssicherung und Risikomanagement.    

Seit Beginn 2022 kam ein weiteres Querschnittsthema hinzu: der Rollout der Arbeitsergebnisse in den Marken und Standorten. Die in den ersten zwei Jahren entwickelten Arbeitsergebnisse werden jetzt systematisch und priorisiert in die Linienfunktionen der Marken integriert. Dabei werden die Marken durch dezidierte Rolloutmanager, einen engen Austausch zwischen den Projektleitern zu Best-Practice-Ansätzen und mit buchbaren Rolloutpaketen bei der Umsetzung unterstützt.

Zu den aktuellen Projekten im GISP gehören die Themen Cloud Security, Identity&Access Management, PKI Enhancement, Shopfloor Security, Cross Functional Monitoring, Endpoint Security, Secure Software Development und Governance.

Erfolgsfaktoren

Rückblickend sind die PWC-Empfehlungen auch gleichzeitig Erfolgsfaktoren für die Umsetzung des Programms. Die weiter oben genannten Empfehlungen wie schnellere Intervalle und Adaptierbarkeit sind ein wesentlicher Aspekt.
Aber auch die markenübergreifende Besetzung in den Projektverantwortungen und die aktive Rolle des Promotors tragen zur hohen Akzeptanz des Programms bei.  
Für die Programmsteuerung sind es die folgenden Faktoren:

•    Regelmäßige Projektleitermeetings
•    Regelmäßige Retrospektiven
•    Feedback & Maßnahmen umsetzen
•    Regelmäßige Prüfung der Abhängigkeiten zwischen den Projekten
•    Risiken aktiv managen
•    New Work (Covid19): Neue Methoden ausprobieren!

Aus früheren Programmen haben wir natürlich auch gelernt. Diese Aspekte sind ebenfalls wichtige Erfolgsfaktoren:  

•    Keine Überregulierung
•    Geringe Administration
•    Professionelles Programmmanagement
•    Hohe Selbstorganisation in den Teams
•    Rollout nicht sich selbst überlassen

Die Zusammenarbeit zwischen den Konzernmarken auf Management- und Mitarbeiterebene wurde verstärkt und die aktive Kommunikation des Programms mit Best Practices und Erfahrungswerten trägt dazu bei, dass sich aus der Konzern-Informationssicherheit eine globale Community entwickelt.