Als Branche mit kritischen IT-Infrastrukturen (KRITIS) bauen Unternehmen aus dem Transport- und Verkehrssektor täglich darauf, dass sämtliche IT-Systeme und Tools, die sie einsetzen, einwandfrei funktionieren. Zertifizierungen sind ein wertvolles Tool, um das zu gewährleisten. Sie dienen als neutrales Instrument der Qualitätssicherung – schließlich wird von einer unabhängigen Stelle bestätigt, dass die geschulten Personen sicher und effizient mit den Programmen umgehen. Das sorgt für eine Win-win-Situation: Die Mitarbeitenden entwickeln sich professionell weiter, und der Kunde wird bestmöglich betreut.
Zuallererst soll geklärt werden, was es mit dem Begriff der kritischen Infrastruktur auf sich hat. Aus diesem Grund wird im Folgenden die Definition des BSI für den Begriff eingeblendet:
“Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.”Quelle: Bundesamt für Sicherheit in der Informationstechnik
Kritische Infrastruktur bedeutet in diesem Kontext also KRITIS. Auch der Transport- und Verkehrssektor zählt zu den kritischen Infrastrukturen, und fällt somit unter das kritische Infrastruktur Gesetz (BSIG). Dieses greift aber erst, wenn ein Unternehmen dieses Sektors bestimmte Schwellenwerte bei den jährlichen Sendungen erreicht, die man dem Anhang 7 des kritische Infrastruktur Gesetzes entnehmen kann. Um eine grobe Übersicht zu geben, werden im Folgenden die Schwellenwerte für Logistik-Unternehmen eingeblendet.
Anlage oder System zum Betrieb eines Logistikzentrums/Anlage oder IT-System zur Logistiksteuerung oder -verwaltung (versch. Brereiche):
Die Weiterbildung und Zertifizierung der Mitarbeiter in der Logistikbranche ist essenziell, wenn es um die Aufrechterhaltung kritischer Infrastrukturen geht – Durch gezielte Schulungen und Zertifizierungen können Sie sicherstellen, dass ihre Mitarbeiter nicht nur technologisch kompetent, sondern auch sicherheitsbewusst sind.
Die Zertifizierung Ihrer Mitarbeiter birgt also nicht nur, wie später in diesem Beitrag erwähnt wird, ein großes Kostensparpotenzial, sondern unterstützt Sie auch bei der Sicherstellung der Geschäftskontinuität (Business Continuity). Die Entwicklung der vergangenen Jahre im Bereich der Cybersicherheit hat gezeigt, dass die Investition in sicherheitsrelevante Maßnahmen von großer Bedeutung für die Geschäftskontinuität ist. Nachfolgend werden wir Ihnen einen Überblick darüber geben, was Zertifizierungen sind, und was es bei der Zertifizierung Ihrer Mitarbeiter zu beachten gibt.
Generell wird, wie oben schon angeklungen, zwischen Herstellerzertifizierungen und herstellerneutralen Zertifizierungen unterschieden. Der Name gibt hierbei schon ungefähr vor, wonach differenziert wird: Geht es um Produkte eines bestimmten Herstellers, beispielsweise um Microsoft-Software, oder um die AWS-Cloud (Amazon Web Services), oder handelt es sich um ein globaleres Thema wie Projektmanagement, das nicht von Produkten eines Herstellers abhängig ist?
Nicht nur nach der Art der Zertifizierung wird unterschieden, sondern auch nach dem Niveau. So gibt es das Einsteiger-Level (Associate) sowie die weiteren Stufen Professional und Expert. Einige Hersteller weichen von diesem Aufbau ab und unterscheiden nur in ein bis zwei Kenntnisniveaus für ihre Produkte, manche herstellerneutralen Themen können hingegen auch in fünf bis sechs Stufen aufgeteilt sein.
Auch zwischen den Ansprechpersonen, an die sich eine Schulung richtet, wird unterschieden: So sind für Techniker, die sämtliche Details bis in die Tiefe verstehen müssen, andere Schulungsinhalte vorgesehen als bei Vertrieblern, die eher ein generelles Verständnis vom Produkt brauchen.
Doch nicht nur Systeme wie eine Avisierungssoftware sorgen dafür, dass der Sendungsumschlag reibungslos funktioniert und Ihre Logistik läuft. Im Hintergrund sollten ebenfalls IT-Sicherheitstools im Einsatz sein, die die ganze digitale Infrastruktur 24/7 schützen. Denn was nützt einem die beste Software, wenn sie einem Cyberangriff nicht standhalten kann?
Trojaner, Malware, Viren – sie alle sorgen schon bei einem falschen Klick auf einen Mailanhang dafür, dass Hacker schnell an Unternehmensdaten gelangen. Ein solcher Angriff wird nicht immer direkt bemerkt, umso schlimmer sind dann häufig die Auswirkungen. Besonders in der Logistik, wo viele Unternehmen entlang der Supply Chain im ständigen Datenaustausch miteinander stehen, kann der Ausfall bei einem Beteiligten schon mal die gesamte Supply Chain lahmlegen. Wenn die kritischen Systeme wie das TMS nicht mehr funktionieren, ist die Kommunikation mit Partnern nicht mehr möglich, es werden keine Sendungen mehr umgeschlagen und keine Daten gespeichert oder ausgetauscht, kurz: Es bricht Chaos aus.
Egal, ob es sich um eine Associate-Zertifizierung oder um ein Expert-Level handelt: Zertifizierungen werden allgemein immer komplexer und anspruchsvoller. Das Positive: Dadurch werden sie gleichzeitig viel wertvoller. Dennoch gibt es im Aufwand und Ablauf natürlich Unterschiede zwischen den verschiedenen Leveln.
Die eigene Arbeitserfahrung reicht bei Einsteigerschulungen mitunter aus, um die Prüfung zu bestehen. Bei den höheren Levels ist das nicht der Fall: Meist werden die Prüflinge in einer Schulung ein bis zwei Wochen ausführlich auf die Prüfungsinhalte vorbereitet, bevor dann die Lernzeit ansteht. Um sicherzustellen, dass genug Zeit zum Verinnerlichen des Stoffes bleibt, findet die Prüfung häufig erst einige Wochen nach der Schulung statt – bei den großen Enterprise-Schulungen liegen mitunter sogar neun bis zwölf Monate zwischen Schulung und Prüfung.
Bei den Einsteigerniveaus findet die Prüfung manchmal remote statt, meist wird sie jedoch in einem Testcenter abgelegt. Ob die Hersteller sich hierfür in einem neutralen Testcenter einmieten, wo die Prüfung unter kontrollierten Bedingungen abläuft, oder die Prüfung bei sich im Haus abwickeln, variiert.
Wie ein Unternehmen dieses „Fortbildungsbudget“ mit den Mitarbeitern regelt, sieht oft unterschiedlich aus. Da jedoch immer beide Seiten davon profitieren, wenn die Teammitglieder möglichst umfassend zertifiziert sind, wird stets nach der bestmöglichen Lösung gesucht – Mitarbeiter können beispielsweise ein gewisses Kontingent an „Lernstunden“ erhalten.
Updates sind in der Software an der Tagesordnung. Manche sind größer, manche kleiner, doch prinzipiell steht fest: Die Programme werden kontinuierlich weiterentwickelt. Die logische Konsequenz daraus? Auch die Mitarbeiter müssen sich immer wieder aufs Neue mit den Anpassungen vertraut machen. Ihre Firewall ist fortlaufend neuen Bedrohungen ausgesetzt, weshalb es wichtig ist, dass sich Ihre Mitarbeiter im Bereich der IT-Security stets weiterbilden. So stellen Sie sicher, dass ihre kritische Infrastruktur geschützt bleibt.
Und um sicherzustellen, dass das regelmäßig geschieht, sind die Zertifikate daher meist nur für einen bestimmten Zeitraum gültig. Üblich ist hierbei eine Gültigkeitsdauer von zwei Jahren. Entwickelt sich ein Produkt besonders schnell, kann es auch einmal vorkommen, dass diese Dauer auf ein Jahr oder weniger verkürzt wird.
Ist das alte Zertifikat abgelaufen, gibt es zwei Möglichkeiten: In rund 50 % der Fälle reicht es aus, eine Rezertifizierung zu absolvieren. Das ist meist eine kurze Schulung, in der die wichtigsten Neuerungen vorgestellt werden, an deren Ende man die notwendige Unterschrift erhält. Hat sich bei dem Produkt jedoch besonders viel verändert, kann auch eine komplett neue Schulung erforderlich sein, inklusive Prüfung.
Vertriebszertifikate stellen hier die Ausnahme dar: Sie müssen meist nur einmal erworben werden und sind dann für immer gültig. Hintergrund ist dabei, dass davon ausgegangen wird, dass die Vertriebler ein eigenes Interesse daran haben, sich informiert zu halten, um die Produkte gut vermarkten zu können.
Als IT Service Provider muss man sicherstellen, dass im Unternehmen die notwendigen Kompetenzen vorhanden sind, um die Software auch bei Kunden implementieren zu dürfen. Einige Hersteller vergeben beispielsweise den Partner-Status nur dann an einen IT Provider, wenn dieser nachweisen kann, dass die Teammitglieder die erforderlichen Qualifikationen haben, das Produkt beim Endkunden richtig einzusetzen und zu warten. Die einfachste Art, das sicherzustellen: Zertifizierungen.
Wie viele Personen die gleiche Zertifizierung haben sollten, kann das Unternehmen meist selbst entscheiden – sinnvoll ist jedenfalls immer, nicht nur eine Person mit den nötigen Kenntnissen auszustatten, sondern gewisse Redundanzen aufzubauen. Es kann außerdem sinnvoll sein, dass die Mitarbeiter unterschiedliche Stufen des Zertifizierungsprozesses durchlaufen und beispielsweise drei Leute Associates sind, jedoch nur einer der absolute „Spezialist“ ist und das Expert-Level hat.
Zertifizierungen sind nicht nur für ein Unternehmen und die Kunden sinnvoll, die so wissen, dass die Teammitglieder sich bestens mit den Produkten auskennen. Besonders für die Mitarbeiter selbst sind Zertifizierungen ein wahrer Benefit, weil sie eine wertvolle Ergänzung im Lebenslauf sind und eine tolle Möglichkeit zur Fortbildung und Vernetzung darstellen.
Auch finanziell kann es sich für ein Unternehmen lohnen, den Mitarbeitern Zertifizierungen zu ermöglichen. Haben sie beispielsweise eine Cyberversicherung, so wird die Versicherungspolice häufig günstiger, wenn zertifizierte Mitarbeiter für das Unternehmen arbeiten. Logisch – die Versicherung kann dann von einem qualifizierten Netzwerk ausgehen, weshalb Cyberstörungen unwahrscheinlicher werden. So kann sichergestellt werden, dass alle Personen, die mit der IT betraut sind, bestens ausgebildet sind und bestimmte Qualitätsstandards erfüllen. Es lohnt sich, bei den Versicherungen proaktiv nachzufragen, ob eine solche Minderung der Versicherungspolice möglich sei.
Der Aussage „Mitarbeiter XY ist zertifizierter Projektmanager“ müssen Unternehmen und potenzielle Arbeitgeber übrigens nicht blind vertrauen: Jede Zertifizierung ist mit einem bestimmten Code und dem Namen der Person verknüpft. Auch das Unternehmen, bei dem eine Person derzeit tätig ist, muss dort angegeben werden – so kann sichergestellt werden, dass ein Mitarbeiter seine Zertifizierung nicht bei fünf verschiedenen Unternehmen gleichzeitig einsetzt. Diese Codes laufen ab, wenn es an der Zeit für eine Rezertifizierung ist. Auch wenn das Handeln der Person nicht den Richtlinien entspricht, wenn also jemand beispielsweise wegen Hacking unter Verdacht steht, kann der Code deaktiviert und die Zertifizierung somit zurückgerufen werden. So können sich alle Beteiligten darauf verlassen, dass die Zertifizierung Hand und Fuß hat und tatsächlich der Qualitätssicherung dient.
Für Kunden, Mitarbeiter und Unternehmen bieten Zertifizierungen also viele Vorteile: Sie sind gewissermaßen ein Win-win-win-Tool. Auch wenn ein Unternehmen für eine Ausschreibung einen Teil des Teams in eine bestimmte Richtung hin entwickeln muss – es lohnt sich, in puncto Zertifizierungen möglichst vielseitig aufgestellt zu sein. Als neutrales Instrument zur Qualitätssicherung gewinnen sie immer weiter an Bedeutung. Auch, um den Partner-Status von bestimmten Herstellern verliehen zu bekommen, sind Zertifizierungen meist notwendig. Wichtig ist es hierbei, das Gleichgewicht im Team im Blick zu behalten: Es ist nicht ratsam, „Wissens-Monopole“ aufzubauen, denn ein Personalwechsel kann dann schnell für Probleme sorgen.
Auch für die Teamdynamik sind diese kontinuierlichen Weiterbildungen ein Gewinn: Der Austausch mit Externen bringt wertvolle Kontakte und Ansprechpartner, die zukünftig bei einem Problem unterstützen können. Gibt der zertifizierte Kollege das neue Wissen dann intern weiter, stärkt das gleichzeitig den Zusammenhalt im Team und sorgt für noch höhere Fachkompetenz. Darüber hinaus schützen Sie Ihre kritische Infrastruktur, wenn Ihre IT-Security stets auf dem neuesten Stand ist. Eine gute Sache!
Einen Kommentar schreiben