CIO des Jahres

CIO des Jahres 2022

CIO Nötzel transformiert Online-Portal der ZSVR

20.10.2022
Von 
Melanie Staudacher war Editor bei CSO. Ihr Schwerpunkt war IT-Security.
Erreichbarkeit und IT-Sicherheit standen im Fokus bei der Neuauflage des Online-Verpackungsregisters. ZSVR-CIO Nötzel und Team haben das Projekt selbst umgesetzt.
Wolfram Nötzel, CIO der Stiftung Zentrale Stelle Verpackungsregister (ZSVR), kam im Wettbewerb CIO des Jahres 2022 unter die Finalisten in der Kategorie Public Sector.
Wolfram Nötzel, CIO der Stiftung Zentrale Stelle Verpackungsregister (ZSVR), kam im Wettbewerb CIO des Jahres 2022 unter die Finalisten in der Kategorie Public Sector.
Foto: ZSVR

Klingt nicht besonders sexy, ist aber enorm wichtig: das Verpackungsgesetz. Das VerpackG setzt die europäische Gesetzesaforderung für Deutschland um, die den Hersteller eines Produktes auch für dessen Verpackung verantwortlich macht. Produzenten müssen sich also um Müllvermeidung, Wiederverwendung und Verwertung kümmern. In diesem Zusammenhang beaufsichtigt die Bundesbehörde Stiftung Zentrale Stelle Verpackungsregister (ZSVR) in Osnabrück, dass die Produktverantwortlichen sich registrieren, weisen sie auf ihre Aufgaben wie zum Beispiel die Meldung ihrer Daten hin und sorgen so für Transparenz und Rechtsklarheit.

Seit dem 1. Juli 2022 gilt zudem eine erweiterte Registrierungspflicht für alle Verpackungsarten. In Deutschland darf verpackte Ware nur noch vertrieben werden, wenn ihr Hersteller im Verpackungsregister "LUCID" registriert ist. Das Online-Portal gibt es schon seit 2019, auch aufgrund der Gesetzesnovelle greifen jedoch mittlerweile mehr als 500.000 Anwender auf LUCID zu.

Erreichbar und sicher

Damit das Portal für die Nutzer zu jeder Zeit erreichbar ist und gleichzeitig die darin gespeicherten Daten sicher sind, musste eine Neuauflage her. Die ZSVR hat das Projekt selbst umgesetzt. Angeleitet von CIO Wolfram Nötzel waren insgesamt zehn weitere Mitarbeiterinnen und Mitarbeiter beteiligt. Die Erreichbarkeit und die IT-Sicherheit der Plattform waren die entscheidenden, aber auch herausforderndsten Punkte für Nötzel und sein Team.

Das Portal verfügte zwar dank Firewalls, Antiviren-Scannern, Festplattenverschlüsselung, Anti-Spam und VPN bereits über grundlegende Sicherheitsmaßnahmen. Diese reichten jedoch "angesichts der Business-kritischen Datenlage" nicht aus. Stattdessen wollten die Osnabrücker ein Cloud-natives 24x7-Security-Framework mit einem SOC-Dienst (Security Operations Center) etablieren. Das erklärte Ziel für LUCID: Isolation von Angreifern, bei laufendem Betrieb und ohne Einschränkungen.

Cyber-Resilienz im Dreiklang

Mit diesem Projekt überzeugte Nötzel auch im Wettbewerb CIO des Jahres 2022 und kam unter die Finalisten in der Kategorie Public Sector. Als ganzheitlich, klar strukturiert und fokussiert beschreibt Thomas Mannmeusel, CIO von Webasto und Jury-Mitglied des "CIO des Jahres", das Leuchtturmprojekt der ZSVR.

"Wir haben alle bestehenden Komponenten, Services und Sicherheitsarchitekturen auf den Prüfstand gestellt, hinterfragt und zum Großteil neu formuliert", berichtet Nötzel. Für folgende Bereiche haben der CIO und sein Team Anforderungen formuliert:

  • Prozess-Automation: Einrichtung einer Ende-zu-Ende-Absicherung der Cloud-Landschaft ohne manuelle Eingriffe;

  • Technologie: Bewertung und Klassifizierung neuer Applikationen bereits in der Entwicklungsphase per Network Detection & Response, Machine Learning und Künstlicher Intelligenz, um Anomalien und Sicherheitslücken zu erkennen;

  • Menschen: Entwicklung der sogenannten RACI-Matrix (Responsible, Accountable, Consulted, Informed), die die vertragliche Zusammenarbeit zwischen der ZSVR, Cybersecurity-Herstellern und SOC-Dienstleistern regelt sowie die Anforderungen für alle internen und externen Mitarbeiter abbildet.

Transformation mit Hindernissen

Obwohl sie gut organisiert war, stießen Nötzel und sein Team bei der Security-Transformation von LUCID auf einige Herausforderungen. "Viele Hersteller im Cloud-Umfeld bieten zwar passende Lösungen an, aber zum Großteil leider nicht als On Premise Ready", erklärt Nötzel. Dies sei jedoch für die ZSVR durch die Rechts- und Fachaufsicht in Form des Umweltbundesamtes als zusätzliche Sicherheitsvorkehrung vorgegeben.

Die Stiftung Zentrale Stelle Verpackungsregister hat ihren Sitz in Osnabrück.
Die Stiftung Zentrale Stelle Verpackungsregister hat ihren Sitz in Osnabrück.
Foto: ZSVR

Konkret bedeutet 'On Premise Ready', dass eine Sicherheitslösung für die ZSVR in der dortigen Private Cloud im Rechenzentrum laufen muss und nicht von einem externen Cloud-Anbieter gehostet werden darf. "Wir haben sehr lange nach dem passenden Anbieter gesucht. Diesen Zeitaufwand darf man bei der Projektplanung nicht vernachlässigen", sagt Nötzel.

Lessons Learned

Weitere Lektionen, die das Team der ZSVR gelernt haben, sind:

  • Den Cybersicherheitsexperten Raum geben und richtig zuhören;

  • Best Practices und neue Denkweisen miteinander kombinieren;

  • Verträge mit externen Dienstleistern realistisch gestalten und klare Anforderungen schaffen;

  • Bei der Partnerauswahl für das SOC ist die Technologie die erste Voraussetzung, die Chemie zwischen den Teams muss aber auch stimmen.

"Ich bin sehr stolz auf mein Team, dass das Projekt so gut gelaufen ist. Vor allem die Zusammenarbeit mit externen Experten zu koordinieren ist immer eine Herausforderung, da die Erwartungen klar aufeinander abgestimmt sein müssen. Das war eine klasse Teamarbeit", schließt Nötzel, der auch schon im Jahr 2019 erfolgreich am Wettbewerb CIO des Jahres teilgenommen hatte - damals mit der ersten Version von LUCID. (kf)