Insbesondere in wachstumsstarken Branchen mit zunehmender Internationalisierung wie der Pharmabranche, stehen Konzerne heute vor der Herausforderung, ihre Information Security Governance so aufzustellen, dass sie den damit einhergehenden Risiken und Herausforderungen gerecht wird. Die PHOENIX Pharmahandel GmbH & Co KG („PHOENIX“) hat diese Risiken frühzeitig erkannt. Bereits im Januar 2021 startete PHOENIX deshalb mit Unterstützung der usd AG ein Projekt zum Aufbau einer gruppenweiten Information Security Governance sowie eines zentral gesteuerten Information Security Management Systems (ISMS). Ein besonderer Fokus lag hierbei auf der Integration des ISMS mit dem Datenschutz.
„Die von der usd AG geschaffene Information Security Governance passt ideal zu der Strategie der PHOENIX group, indem sie zulässt, dass Entscheidungen so lokal wie möglich getroffen werden. Getreu unserem Motto »Think together global - act local!«.“
Dr. Roland Schütz, Mitglied des Vorstands IT & Digital der PHOENIX group
Den Weg für Informationssicherheit ebnen, Governancestrukturen etablieren
Die neu geschaffene Governance konnte auf Gruppenebene bereits erfolgreich etabliert werden, sodass nun die dezentralen Umsetzungsprojekte in allen Ländern durchgeführt werden können. Im PHOENIX Teilkonzern Deutschland begleitet die usd AG die Umsetzung durch gezielte Kommunikations- und Schulungsmaßnahmen besonders intensiv.
„Europaweit eine funktionierende Policy Governance aufbauen: Das war die Basis für unsere Bestrebungen, die Informationssicherheit in der PHOENIX group erfolgreich voranzutreiben. Das Management hierbei vom ersten Schritt an mitzunehmen, war uns besonders wichtig – und gleichzeitig eine Herausforderung. Denn das bedeutete natürlich, den Belangen der verschiedenen Länder, den unterschiedlichen Reifegraden in den verschiedenen Gesellschaften sowie kulturellen und anderen lokalen Aspekten in der heterogenen PHOENIX group Rechnung zu tragen.“
Andrea Rupprich, Managing Consultant und Prokuristin der usd AG
Integrierter Ansatz: Informationssicherheit und Datenschutz
Ein entscheidender Erfolgsfaktor und vielmehr der Schlüssel für den Aufbau und Betrieb des gruppenweiten ISMS lag darin, eine zentrale, koordinierende Stelle zu schaffen. Dazu etablierte PHOENIX mit Unterstützung der usd AG ein Kompetenzzentrum für Informationssicherheit und Datenschutz. Unter der Leitung des Chief Information Security Officer sowie des Head of Corporate Data Protection der PHOENIX group agiert es auf Gruppenebene und verantwortet dort den Governance Prozess. Als »Enabler« fördert das Kompetenzzentrum den Austausch innerhalb der Informationssicherheits- und Datenschutzgemeinde, bündelt Kräfte und schafft so Synergieeffekte.
Maßgeschneidertes ISMS aufbauen, betreiben und aktiv leben
„Die reibungslose Zusammenarbeit mit der usd AG bringt schnell sehr gute Ergebnisse hervor. Vor allem der umgesetzte Governance Approach trägt zu dem Projekterfolg bei. Auch die Länder melden positives Feedback zurück.“
Daniel Hofmann, CISO der PHOENIX group
Um ein auf die Bedürfnisse der PHOENIX group perfekt abgestimmtes ISMS neu aufzubauen, wurden zunächst neue Richtlinien, Richtlinienvorlagen sowie Support-Kits für die Umsetzung aller Informationssicherheits- und Datenschutzmaßnahmen im Sinne des Art. 32 DSGVO verfasst. All diese Komponenten bilden gemeinsam eine gruppenweite »Security Baseline«, die die jeweiligen PHOENIX Länder und Gesellschaften zur Zertifizierung nach ISO/IEC 27001:2013 befähigen. Die Richtlinienvorlagen können auf Länderebene an lokale Gegebenheiten sowie an lokale Regulatorik angepasst werden.
Handhabbare Löschkonzepte zum Schutz von personenbezogenen Daten
Gleichzeitig mit den Aktivitäten rund um das ISMS, nahm sich das Projektteam der Herausforderung an, Löschkonzepte in strukturierter und praktisch anwendbarer Form in der Gruppe zu etablieren - ein wichtiger Baustein, um den Vorgaben der Datenschutzgrundverordnung (DSGVO) nachzukommen. Denn Unternehmen müssen personenbezogene Daten löschen, wenn der Zweck für die Verarbeitung der Daten entfällt. Man spricht hierbei von dem sogenannten Zweckbindungsgrundsatz.
Bei der Realisierung im Projekt orientierte sich das Vorgehen zwar an der DIN-Norm 66398, jedoch wurde ein besonderer Fokus auf die einfache Handhabe und Strukturiertheit der Konzepte gesetzt. Um die Anwendbarkeit der Löschkonzepte zu gewährleisten, wurde der gesamte Prozess im PHOENIX Teilkonzern Deutschland mit Erfolg pilotiert.
Begleitende Kommunikation und Training als Erfolgsfaktor
Neben der Entwicklung und Bereitstellung aller notwendiger Dokumente ist die begleitende Kommunikation als weiterer Erfolgsfaktor im Projekt auszumachen. So werden den lokalen Ansprechpartnern für Informationssicherheit sowie weiteren relevanten Stakeholdern auf Konzernebene unterschiedliche Workshops zu den Themen der Informationssicherheit angeboten. Der Fokus liegt hierbei darauf, Verständnis für die einzelnen Themen zu schaffen, den Nutzen des Support-Kits sowie potenzielle Synergieeffekte herauszustellen und den Austausch, etwa zu konkreten Implementierungsfragen, zu fördern, um die bestmögliche lokale Umsetzung der Vorgaben zu erreichen.
Stakeholder abholen durch zielgruppengerechte Angebote
Parallel zu den Aktivitäten auf der Gruppenebene wurde auch die Implementierung des ISMS im PHOENIX Teilkonzern Deutschland durch die usd AG unterstützt und maßgeblich vorangetrieben. So unterstützte das Projektteam etwa im Rahmen von Abstimmungen mit relevanten Interessensgruppen im Teilkonzern Deutschland sowie bei der Anpassung der Dokumente auf besondere Gegebenheiten in Deutschland. Auch der Genehmigungsprozess für neue Richtlinien wurde begleitet, etwa durch das Anfertigen von Management-Präsentationen. Nach Genehmigung durch das Top Management wurden die Richtlinien im Rahmen des Projekts kommuniziert sowie adäquate Schulungen mit allen relevanten Stakeholdern durchgeführt. Ausgewählte Richtlinien bzw. Themen werden bspw. fortlaufend in Sprechstunden oder durch die Bereitstellung von FAQs kommunikativ begleitet. Dadurch wird eine eindeutige Anlaufstelle für offene Fragen geschaffen, und gleichzeitig werden die mit den Fragestellungen verbundenen Aufwände kanalisiert und somit möglichst geringgehalten. Schlussendlich können alle Stakeholder von den Frage-Antwort-Formaten profitieren, denn oftmals beschäftigen die Geschäftsbereiche ähnliche Fragestellungen.
„Uns ist bewusst, dass ein ISMS in der gesamten Organisation aktiv gelebt werden und das nötige Sicherheitsbewusstsein bei den Geschäftsbereichen vorherrschen muss, um effektiv zu sein. Aus diesem Grund ist es für uns eine Selbstverständlichkeit, große Aufwände in die Kommunikation und Awarenessmaßnahmen zu Themen der Informationssicherheit zu investieren.“
Niklas Bessler, Senior Consultant der usd AG
Über PHOENIX group
Die PHOENIX group mit Hauptsitz in Mannheim ist europaweit führend in den Bereichen Pharmagroßhandel, Apotheken-Einzelhandel und Services für die pharmazeutische Industrie. Das Unternehmen bietet mit seiner Präsenz in 29 Gesundheitsmärkten eine europaweit einzigartige Flächenabdeckung und leistet mit über 45.000 Mitarbeitern einen wichtigen Beitrag zu einer umfassenden Gesundheitsversorgung.
Die PHOENIX group ist mit 224 Standorten in den Geschäftsbereichen Pharmagroßhandel und Pre-Wholesale in 29 Ländern aktiv und beliefert Apotheken, Ärzte und medizinische Einrichtungen mit Arzneimitteln und Gesundheitsprodukten. Zahlreiche Angebote und Dienstleistungen für Apothekenkunden – von Unterstützung bei der Patientenberatung, über moderne Warenwirtschaftssysteme bis hin zu Apotheken-Kooperationsprogrammen – ergänzen das Leistungsspektrum. Mehr als 17.000 Apotheken in 18 Ländern sind Mitglied in einem der Kooperations- und Partnerprogramme der PHOENIX group. Der pharmazeutischen Industrie bietet das Unternehmen Dienstleistungen entlang der gesamten Wertschöpfungskette an. Die PHOENIX group betreibt zudem über 3.200 eigene Apotheken in 17 europäischen Ländern, in denen mehr als 195 Millionen Patienten pro Jahr neben ihren Arzneimitteln auch eine kompetente pharmazeutische Beratung erhalten.
Weitere Informationen zu PHOENIX group | www.phoenixgroup.eu