Von Helmuth Fuchs
Moneycab: Herr Nazari-Azari, Sie haben bei der Evonik gerade ein System für die sichere Übermittlung von E-Mails eingeführt. Was war die geschäftliche Motivation für das Projekt, welche Strategie liegt dem Entscheid zu Grunde, welche Ziele verfolgen Sie mit dem Projekt?
Arijo Nazari-Azari: Evonik nutzt das E-Mail System als wichtiges Kommunikationsmedium zum Austausch von Informationen mit Kunden, Lieferanten, Behörden und anderen Partnern. Täglich werden sehr viele E-Mails über das Evonik E-Mail System an externe Empfänger versendet. Eine unverschlüsselte E-Mail bietet aber keinerlei Schutzmechanismen, die darin enthaltenen Informationen vor unbefugtem Abfangen, Mitlesen oder dem Verfälschen zu schützen.
«Mit der Totemo-Lösung geben wir unseren Mitarbeitern das richtige Werkzeug, um die notwendige Vertraulichkeit und Integrität im Bereich der E-Mail Kommunikation sicherzustellen.» Arijo Nazari-Azari, IT Compliance & Qualitymanagement bei Evonik
Neben gesetzlichen und Evonik IT-Sicherheits-Anforderungen, sensible Informationen geschützt zu übertragen, erwarten unsere Kunden aber auch andere Geschäftspartner, dass wir einen sicheren E-Mail Schriftverkehr unterstützen. In vielen Fällen ist dies sogar Voraussetzung für eine Geschäftsbeziehung. Die Evonik Richtlinie zur IT-Sicherheit unterstützt diese Anforderungen und fordert, speziell für streng vertrauliche Informationen, dass diese in einer E-Mail verschlüsselt werden. Eine kompromittierte E-Mail mit unverschlüsselten streng vertraulichen Daten kann einerseits zu wirtschaftlichen Schäden führen, andererseits bedeutet dies immer Reputationsverlust für ein Unternehmen. Wir sprechen hier beispielsweise auch von Know-How-Schutz. Mit der Totemo-Lösung geben wir unseren Mitarbeitern das richtige Werkzeug, um die notwendige Vertraulichkeit und Integrität im Bereich der E-Mail Kommunikation sicherzustellen.
«Es war von vorne herein klar, ein möglicher Schaden, der durch Kompromittierung von vertraulichen Informationen beispielsweise bei bestimmten Forschungsergebnissen entstehen kann, steht in keinem Verhältnis zu den Kosten der Verschlüsselungslösung.»
Sie haben bei den Beweggründen für das Projekt den Schutz des geistigen Eigentums (intellectual property), die Vermeidung von Reputations-Schäden und die Erfüllung rechtlicher Vorgaben (Compliance Richtlinien) erwähnt. Haben Sie intern diese Werte auch quantifiziert, um für das Projekt einen return on investment (ROI) zu kalkulieren, oder haben Sie die Kosten des Projektes auf eine andere Art gerechtfertigt?
Es war von vorne herein klar, ein möglicher Schaden, der durch Kompromittierung von vertraulichen Informationen beispielsweise bei bestimmten Forschungsergebnissen entstehen kann, steht in keinem Verhältnis zu den Kosten der Verschlüsselungslösung. Wir hatten daher den Auftrag, eine entsprechende Lösung zu entwickeln, die in einem angemessenen Kostenrahmen pro Nutzer steht. Eine mögliche Schadenshöhe impliziert zahlreiche Annahmen und sollte von Fall zu Fall betrachtet werden.
Nach einer ausführlichen Evaluation, der tieferen Einsicht in einige ausgewählte Lösungen und einer eingehenden Prüfung in ihrem Hause (proof of concept) haben Sie sich für die Lösung von Totemo entscheiden. Was waren die Gründe für diesen Entscheid?
Ein sehr wichtiger Punkt bei der Entscheidungsfindung ist die Benutzerfreundlichkeit der angebotenen Lösung. Es hilft nichts, wenn eine technisch gute Lösung beim Anwender auf Grund komplizierter Bedienung nicht akzeptiert und genutzt wird. Aufwändige Schulungen der Mitarbeiter sollten möglichst vermieden werden. Darüber hinaus wollten wir eine zusätzliche Installation auf dem Client (PC, Notebook) vermeiden und mussten die Kompatibilität mit den E-Mail Systemen Lotus Notes von IBM und Exchange von Microsoft sicherstellen. Hinzu kommt, dass Evonik bereits eine eigenständige Public Key Infrastruktur (PKI) zur Verschlüsselung und Signatur des internen E-Mail Verkehrs nutzt. Auch hier gab es mit der Integration der Lösung von Totemo keine Probleme. Die gängigen Verschlüsselungstechnologien S/Mime und PGP werden von Totemo unterstützt, sodass ein verschlüsseltes Senden oder Empfangen nahezu immer möglich ist – insbesondere wenn der Empfänger über keinerlei Verschlüsselungsinfrastruktur verfügt. All diese Voraussetzungen konnte Totemo abbilden.
«Kurz und knapp, wir konnten das Projekt in angemessener Zeit und Qualität erfolgreich durchführen.»
Sie haben von Beginn weg klar auf ein Konzept mit einem Verschlüsselungs-Gateway gesetzt und nicht auf eine end-to-end Lösung zwischen zwei Clients. Was waren Ihre Beweggründe dafür?
Architekturbedingt setzen klassische end-to-end Verschlüsselungen voraus, dass der Empfänger ebenfalls über eine entsprechende Infrastruktur zur Verschlüsselung von E-Mails verfügt, was häufig nicht der Fall ist. Somit wäre bei dieser Lösung in vielen Fällen eine Verschlüsselung erst gar nicht möglich. Darüber hinaus ist die Hürde des ersten Austauschs von verschlüsselten E-Mails bei Ende-zu-Ende Lösungen sehr hoch, da vorab die Schlüsselpaare ausgetauscht werden müssen. Wir wollten unseren Anwendern dieses verhältnismäßig komplizierte Vorgehen ersparen. Zusätzlich besteht bei einer Ende-zu-Ende Verschlüsselung das Risiko, dass unerwünschte Inhalte oder Schadsoftware direkt auf dem PC des Anwenders aufschlagen, da eine Überprüfung auf Schadsoftware von Ende-zu-Ende verschlüsselten E-Mails nur sehr schwierig möglich ist. Gateway-Lösungen bieten hier durch die Möglichkeit des zentralen Managements des Regelwerks durch die IT-Abteilung, sowie Prüfmöglichkeiten, die notwendige Benutzerfreundlichkeit und Flexibilität sowie die erforderliche Sicherheit.
$$PAGE$$
Seite 2…
Im gesamten Sicherheitskonzept (Datenklau, Virenschutz, Schutz gegen Hacker, Spam-Schutz?), was ist der Stellenwert der sicheren Übertragung und wie ist diese im Sicherheits-Konzept eingebettet?
Wie bereits erwähnt, ist die sichere Übertragung vertraulicher Informationen Bestandteil des Evonik IT-Sicherheitskonzeptes. Dies ist unter anderem auch ein Schutz gegen Datendiebstahl und Hackerangriffe, (zum Beispiel von man-in-the-middle Attacken).
«Das Projekt wurde ausschließlich mit dem internen IT-Dienstleister durchgeführt und so waren bei der Produktivsetzung nur wenige Tage Unterstützung durch Totemo notwendig.»
Zu Beginn des Projektes haben Sie sicher einige Ziele gesetzt, die erfüllt sein müssen, damit die Einführung des Projektes als Erfolg gewertet wird. Wie sehen diese Zielsetzungen aus und bis zu welchem Grad haben sie sich schon erfüllt?
Wir haben im Vorfeld des Projektes die Anzahl potentieller Nutzer einer Emailverschlüsselungslösung ermittelt und auf dieser Basis den Bereitstellungspreis kalkuliert. Wir können heute für den definierten Benutzerkreis der Verschlüsselungslösung die notwendige Sicherheit in der E-Mail-Kommunikation gewährleisten und das mit einer kostenoptimierten Lösung.
Da die Evonik eine eigene Informatik-Einheit hat, konnten Sie das Projekt in eigener Regie durchführen. Wo und in welchem Umfang haben Sie noch auf externes Wissen zugegriffen und was waren die wichtigsten Meilensteine des Projekts (inklusive Zeitangaben)?
Das Projekt wurde ausschließlich mit dem internen IT-Dienstleister durchgeführt und so waren bei der Produktivsetzung nur wenige Tage Unterstützung durch Totemo notwendig. Das Projekt war im Wesentlichen in die Phasen Erstellung des Anforderungskatalogs, Durchführung eines Beauty Contest, Vertragsverhandlungen mit potentiellen Lieferanten, Proof of Concept, einem dreimonatigen Piloten, dem Aufbau des Produktivsystems und final dem Go Life der Lösung unterteilt.
Evonik hat als weit verzweigter Konzern mit rund 40’000 Mitarbeitern wahrscheinlich einen imposanten Mailverkehr zu bewältigen. Welches Mengengerüst haben Sie dem Projekt zu Grunde gelegt, wie viele Benutzer werden zum Projektstart von der Verschlüsselung Gebrauch machen, wie viele E-Mails werden zu Beginn verschlüsselt?
Von den 40.000 Mitarbeitern sind ca. 28.000 IT Anwender. Täglich werden sehr viele E-Mails über das Evonik E-Mail System an externe Empfänger versendet. Wir haben uns jedoch gegen eine verpflichtende Einführung der Lösung für alle Anwender entschieden. Stattdessen haben wir ermittelt, wie hoch der tatsächliche Bedarf im Konzern für solch eine Lösung ist und kamen zu dem Ergebnis, dass sich eine deutliche Anzahl von E-Mail Nutzern für die Notwendigkeit der Verschlüsselung ausgesprochen hat. Dieser Benutzerkreis wurde bei der Einführung der Verschlüsselungslösung berücksichtigt. Und wir gehen von weiter steigenden Nutzerzahlen aus.
Wenn Sie jetzt gerade nach der Einführung ein erstes Fazit bezüglich Budget, geplanter Einführungszeit und Qualität der Lösung ziehen, wie fällt das aus?
Kurz und knapp, wir konnten das Projekt in angemessener Zeit und Qualität erfolgreich durchführen.
Wenn Sie sich mit Ihren Mitbewerbern vergleichen, wo stehen Sie mit der neuen Lösung und welchen Stellenwert bezüglich Wettbewerbsvorteil messen Sie einer sicheren E-Mail Kommunikation bei?
Letztlich zeigt Evonik mit der Einführung solch einer Lösung, dass wir den Umgang mit vertraulichen Informationen sowie die Erfüllung von externen Anforderungen sehr ernst nehmen. Dies schafft zusätzlich Vertrauen bei unseren Kunden, Partnern und Lieferanten.
Was sind nach dem geglückten Start die nächsten Schritte im Projekt, wie soll die sichere E-Mail Kommunikation bei Evonik verbreitet werden?
Wie bereits erwähnt ist der Go-Live gerade wenige Wochen her. Auch wenn im Piloten und proof-of-concept alles Denkbare getestet wurde, letztlich zählt das Urteil des Anwenders. Wir werden natürlich weiter an der Awareness für die Themen IT-Compliance und IT-Sicherheit arbeiten. Nur wenn auch die Mitarbeiter ausreichend für das Thema sensibilisiert sind, können Lösungen für die sichere E-Mail Kommunikation effizient genutzt werden.
Der Gesprächspartner
Arijo Nazari-Azari wurde am 22.06.1979 in Marl (NRW) geboren; seit seiner Geburt ist er seiner Heimatstadt treu geblieben.
Seine praxisnahe Ausbildung zum Informatikkaufmann absolvierte er im Essener RAG-Konzern bei der RAG Coal International AG. Von dort aus wechselte er zur Konzernmutter RAG Aktiengesellschaft in den Fachbereich «IT-Communication & Security».
Seit 2007 ist er neben parallelem Studium der Wirtschaftsinformatik Referent bei der Evonik Industries AG im Bereich Corporate IT «Compliance und Qualitätsmanagement» tätig. Dort liegen seine Tätigkeitsschwerpunkte bei der Durchführung von Konzernweiten IT Projekten, der Erstellung von IT Security Policies sowie IT Security Konzepten und strategischen Planungen zur Sicherstellung der IT-Compliance und IT-Sicherheit.
Das Unternehmen
Evonik ist ein moderner Industriekonzern aus Deutschland mit Aktivitäten in der ganzen Welt. Die Geschäftsfelder Chemie, Energie und Immobilien verfügen in ihren Märkten über Spitzenpositionen, die konsequent ausgebaut werden. Evonik gibt wesentliche Antworten auf die ökonomischen Megatrends Energieeffizienz, Gesundheit & Wellness sowie Globalisierung & Demografie und erschließet dadurch neue, zukunftsträchtige Wachstumsmärkte. Evonik wird nach klaren Methoden des modernen Wertmanagements geführt: Im Vordergrund stehen profitables Wachstum und Wertsteigerung.
Im Jahr 2008 erwirtschafteten die rund 41.000 Mitarbeiter des Evonik-Konzerns einen Umsatz in Höhe von rund 15,9 Milliarden Euro, davon 60 Prozent außerhalb Deutschlands. Das operative Ergebnis (EBIT) betrug 1,3 Milliarden Euro. Evonik erzielte eine Kapitalrendite (ROCE) von 9,1 Prozent und übertraf damit deutlich die Kapitalkosten von 8 Prozent. Der operative Cashflow belief sich auf 388 Millionen Euro.