Das oberste Ziel der IT Security ist es eine sichere IT-Umgebung zu schaffen – für alle.
Eine sichere und resiliente IT ist für die Fresenius-Gruppe eine wichtige Grundlage für alle Geschäftsprozesse. Denn als therapiefokussiertes Gesundheitsunternehmen, das systemkritische Produkte und Dienstleistungen zur Versorgung kritisch und chronisch kranker Patientinnen und Patienten anbietet, hat der Konzern eine große Verantwortung: Störungen in IT-Systemen können für Patient:innen schnell lebensbedrohlich werden. Gleichzeitig ist die IT-Landschaft komplex und heterogen, was einen umfassenden Schutz kompliziert macht.
Die Abteilung IT Security bei Fresenius Digital Technology (FDT) spielt daher eine wesentliche Rolle beim Schutz von Infrastruktur, sensiblen Daten und der Produktion von Medizinprodukten.
Unser Fokus liegt auf der Sicherheit von IT-Infrastruktur und Applikationen. Dabei verstehen wir Security als integralen Bestandteil der IT, die wir nach aktuellen Standards und Best Practices gestalten. Eine große Herausforderung – das gilt für die gesamte IT bei Fresenius – ist die Heterogenität der verschiedenen Standorte und Geschäftsbereiche und damit von Architekturen, Lösungen und Anwendungen. Hier gemeinsame Standards zu definieren und zu befolgen ist nicht immer einfach. Dafür sind unsere Aufgaben umso spannender!
Oft müssen wir dabei einen Spagat schaffen: Denn einerseits versuchen wir immer, die Geschäftsprozesse so sicher wie möglich zu machen. Gleichzeitig dürfen wir dabei die ganz praktischen Anforderungen der Business-Segmente nicht aus dem Auge verlieren, sondern müssen es ihnen ermöglichen, ihr Geschäft möglichst effizient zu betreiben.
Wir suchen (Cyber-)Security Professionals, also Kolleginnen und Kollegen mit einschlägiger fachlicher Kompetenz, etwa aus einem technischen Studium oder einer entsprechenden Ausbildung (z. B. IT-Systemintegration, Anwendungsentwicklung und ähnliche). Dazu wünschen wir uns eine passende Berufserfahrung, idealerweise im Security-Umfeld.
Menschen, die perspektivisch Dinge verändern, voranbringen und dabei helfen wollen, in einem sehr diversen Umfeld homogene Strukturen zu schaffen, sind bei uns richtig. Unser kleines, schlagkräftiges Team ist aktuell (2022) im Aufbau, was viele Möglichkeiten für die individuelle Entwicklung und das Gestalten eigener Bereiche eröffnet.
Neben den fachspezifischen Kenntnissen sind uns kommunikative Fähigkeiten wichtig. Denn unsere Arbeit ist immer ein Spagat zwischen den Sicherheitsanforderungen und den praktischen Erfordernissen der Geschäftsbereiche. In unserem internationalen Umfeld sind sicheres Deutsch und Englisch Voraussetzung und weitere Sprachen von Vorteil.
Auch müssen zukünftige Kolleginnen und Kollegen stressfähig sein. Zwar arbeiten wir einerseits an strukturierten Projekten, die gut planbar sind. Doch andererseits bringt es das Thema IT Security mit sich, dass dringende Aufgaben kurzfristig zu lösen sind – denn Cyberbedrohungen kommen meist ohne Vorankündigung. Da müssen wir einfach schnell reagieren. Generalist:innen und Spezialist:innen sind bei uns gleichermaßen willkommen.
Im Security Management erstellen und unterhalten wir ein integriertes Managementsystem für Informationssicherheit (ISMS), das die sichere Umsetzung der FDT-Strategie unterstützt. Dazu gehört ein Governance Framework ebenso wie entsprechende Prozesse und die Definition technisch-organisatorischer Maßnahmen (TOMs) für die operative Ebene. Hier folgen wir den gruppenweiten Vorgaben sowie denen von Zertifizierungen (z. B. ISO 27001) und Regelungen, pflegen Dokumentationen und formulieren Vorgehensweisen (Policys). Außerdem sorgen wir für die so genannte „People Security“, führen also Trainings und Awareness-Maßnahmen durch. Eine wichtige Aufgabe ist Transparenz zu schaffen: etwa über die technischen und organisatorischen Sicherheitskontrollen für Plattformen und Services bei FDT. Oder über die Einhaltung organisatorischer und regulatorischer Vorgaben.
Bei Architecture & Design entwickeln wir die Sicherheitsarchitektur so, dass sie die strategischen Ziele des Unternehmens unterstützt. Wir definieren und implementieren Kontrollen und Schutzmaßnahmen in der Systemumgebung – damit Vertraulichkeit, Integrität und Verfügbarkeit von Daten jederzeit sichergestellt sind. Sicherheitsanforderungen übersetzen wir in spezifische Kontrollen und definieren das dafür erforderliche Toolset. Hierzu arbeiten wir mit relevanten Stakeholdern im Unternehmen zusammen.
Mit Security Operations setzen wir auf der operativen Ebene die technisch-organisatorischen Maßnahmen in die Praxis um. Das umfasst Security-Aktivitäten auf allen Ebenen: bei Servern, Netzwerken, Cloudlösungen und Applikationen ebenso wie zum Schutz der einzelnen Rechner bei den Mitarbeitenden – hier geht es dann um Tools, Virenschutz, Backup-Lösungen etc. Und natürlich gehört dazu auch das proaktive Monitoring von Vorfällen und Angriffen sowie das Reagieren darauf. Hier arbeiten wir ebenfalls eng mit internen Beteiligten, Fresenius CERT und anderen Providern zusammen.
Im großen Gemeinschaftsprojekt Unity geht es neben der Neugestaltung eines Teils des Netzwerkdesigns auch um die gemeinsame Implementierung weiterer Sicherheitsfunktionen. Wir prüfen dabei die Anforderungen und bewerten Dienstleistende in Sachen Security Operations. Anforderungen entwickeln sich stetig weiter, und gerade die Corona-Pandemie zeigte, dass Veränderungen auch sehr schnell und fast ohne Vorwarnung passieren können.
Ein weiteres umfangreiches Projekt ist Cloud Plattform Security, bei dem wir gemeinsamen mit unseren Partnern in den Segmenten dafür sorgen, dass sämtliche Strukturen und Anwendungen in eigenen Umgebungen und jenen von Partnern sicher sind. Endpoint Security hingegen fokussiert sich auf die Sicherheit der Arbeitsrechner aller Mitarbeitenden. Das reicht vom passenden und stets aktuellen Virenschutz bis hin zum Umgang mit administrativen Benutzer:innen. Wer eine Büroaufgabe hat, braucht beispielsweise andere Rechte als eine Person in der Servicetechnik. Hierbei ist es beispielsweise wichtig, administrative Sonderrechte sauber von denen normaler User:innen zu trennen.