Daten werden mittlerweile von fast allen Unternehmen als wertvollstes - und damit schützenswertestes - Gut angesehen. Dennoch gibt es Branchen, in denen die Behandlung von Daten eine noch größere Rolle spielt, etwa in der Lebensmittelindustrie oder im Pharma-Bereich. Diese sind geprägt von strengen Regeln in Bezug auf Nachvollziehbarkeit und Nachverfolgbarkeit sowie Datenintegrität und damit verbundenen Fragen der Haftung.
Entsprechend müssen sich Unternehmen im Arzneimittelbereich strengen Audits durch unabhängige internationale Behörden wie der Europäischen Arzneimittel-Agentur (EMA) und der US-amerikanischen Lebensmittelüberwachungs- und Arzneimittelbehörde FDA unterziehen. Um die Audits zu optimieren und dabei noch die IT-Abteilung (und letztlich alle Mitarbeiter) zu entlasten, entschied sich IDT Biologika für die Lösungen DatAdvantage und DataPrivilege von Varonis.
Das mittelständische Biotechnologie-Unternehmen kann mittlerweile auf eine fast hundertjährige Geschichte am Standort Dessau-Roßlau zurückblicken. Als Bakteriologisches Institut der Anhaltischen Kreise am 1. Juli 1921 gegründet, widmete es sich anfangs unter anderem der Aufdeckung und Diagnostik von Tuberkulose und in der Folge der Forschung, Entwicklung und Herstellung von Impfstoffen und Seren zur Bekämpfung und Vermeidung von Infektionskrankheiten im Human- und Veterinärbereich. Heute liegt der Schwerpunkt neben der Auftragsfertigung vor allem auf der Herstellung und Entwicklung eigener Produkte zur Bekämpfung von Infektionskrankheiten, insbesondere von Impfstoffen. So gelang die Ausrottung der Fuchstollwut in Deutschland 2008 dank des Tollwutimpfstoffes der IDT Biologika.
Als Arzneimittelhersteller unterliegt IDT Biologika den Richtlinien der guten Herstellungspraxis (Good Manufacturing Practice/GMP). Gerade in der pharmazeutischen Herstellung ist Qualitätssicherung von größter Bedeutung, da hier Qualitätsabweichungen unmittelbare Auswirkungen auf die Gesundheit der Verbraucher haben können. Ein GMP-gerechtes Qualitätsmanagementsystem dient dabei nicht nur der Gewährleistung der Produktqualität, sondern stellt auch eine verbindliche Anforderung der Gesundheitsbehörden für die Vermarktung der Produkte dar und ist damit ein unternehmenskritischer Aspekt. GMP-gerechte Prozesse beziehen sich nicht nur auf die Herstellung selbst, sondern müssen auch ein entsprechendes Dokumentenmanagement für Vorgabedokumente und Aufzeichnungen beinhalten. So müssen diese Vorgabedokumente, also beispielsweise Arbeitsanweisungen, Formblätter oder Pläne, versionskontrolliert sein und einem festgelegten Lebenszyklus unterliegen. Hierbei ist zu jeder Zeit die Datenintegrität sicherzustellen, d.h. die Unternehmen haben dafür zu sorgen, dass die Daten vollständig, richtig, nachvollziehbar/zuordnungsbar und lesbar sind und angemessen archiviert bzw. nachgehalten werden. Insbesondere der Schutz vor Verlust, Beschädigung und Manipulation ist dabei von größter Bedeutung. Entsprechend müssen die eingesetzten Systeme über einen Audit Trail verfügen, der alle Aktionen, insbesondere Änderungen, manipulationssicher aufzeichnet.
Bislang war die Umsetzung der GMP-Anforderungen ein mühevoller, zeitintensiver und papierbasierter Prozess, der trotz enormen Aufwands nicht vollständig lückenlos abzubilden war. „Mit den Board-Mitteln von Active Directory stößt man hier schnell an Grenzen“, sagt Hagen Pinkwart, Senior Manager IT Operations bei IDT Biologika. Deshalb initiierte das Unternehmen im August 2017 eine gründliche mehrmonatige Evaluierung potenzieller Software-Lösungen. Neben Varonis wurde auch ein weiteres Produkt intensiv geprüft, welches jedoch im Bereich Logging/Audit-Trail nicht überzeugen konnte. Ganz im Gegensatz zu DatAdvantage: Die Software identifiziert sensible Dateien, deckt zu weit gefasste Zugriffsrechte auf und überwacht, wer wann auf welche Datei zugreift und kann automatisiert Berichte und Audit-Trails erstellen.
„Als Pharmaunternehmen müssen wir verschiedenste GMP- und Compliance-Anforderungen erfüllen. Ohne DatAdvantage konnten wir die Anforderungen an Datenintegrität und Datenqualität und die Vollständigkeit der Rohdaten in der Fileablage nur sehr schwer erfüllen, da die notwendigen lückenlosen Informationen über Entstehung und Zugriff nicht vorlagen. Mit DatAdvantage können wir nun jederzeit über Berichte und Log-Auszüge den GMP-Status der Daten belegen“, erklärt Pinkwart. Nach der Implementierungszeit von lediglich zwei Monaten sind die GMP-relevanten Prozesse nicht nur präziser geworden, sondern zudem auch wesentlich schneller. Gleichzeitig hat sich der Aufwand und die Belastung der 12 Mitarbeiter starken IT-Abteilung deutlich reduziert, sodass sie sich wieder auf ihre Kernaufgaben konzentrieren können.
Neben der Datenschutz- und Audit-Software DatAdvantage setzt IDT Biologika auch die Datenzugriffs-Governance-Lösung DataPrivilege ein. Diese ermöglicht unter anderem die Einführung von Data Ownern, also Datenverantwortlichen, die nicht der IT-Abteilung, sondern den jeweiligen Fachabteilungen oder Projektgruppen angehören. Dies hat den Vorteil, dass sie deutlich besser einschätzen können, welcher Mitarbeiter auf welche Daten wann zugreifen muss – und wer nicht. Bei IDT werden die Gruppen zwar durch die IT definiert, die Gruppenmitgliedschaft hingegen wird durch die Daten- bzw. Prozessverantwortlichen (Business Process Owner) gemanagt. Dabei sind fein granulare Rechtevergaben einfach und schnell umsetzbar. Derzeit gibt es 40 bis 50 Datenverantwortliche, welche die Zugriffsrechte auf die insgesamt sechs Datei-Systeme wie NetApp Storage oder File-Server verwalten und überwachen.
„Die Delegation des Prozesses der Berechtigungszuweisung und -überwachung für GMP-Daten an die Business Process Owner bedeutete anfangs sicherlich eine gewisse Umstellung für alle, da es insbesondere für die Process Owner scheinbar einen Mehraufwand bedeutet“, so Pinkwart. „Letztlich ist aber genau das Gegenteil der Fall: Vorher mussten sie Tickets schreiben, die dann von der IT-Abteilung bearbeitet wurden, was je nach Auslastung entsprechend gedauert hat. Jetzt können die Business Process Owner den Ist-Zustand unmittelbar selbstständig prüfen, was ihre Prozesse deutlich verschlankt und beschleunigt. Die Entlastung der IT-Abteilung wird dabei fast zum positiven Nebeneffekt.“
Ähnliches gilt für das Thema Datensicherheit: Auch wenn bei dem Projekt die Etablierung GMP-konformer Prozesse im Mittelpunkt stand, ergibt sich durch die zielgerichtete Zugriffsrechte-Vergabe mittels Business Process Owner und der Kontrolle der Dateiaktivität ein deutliches Sicherheitsplus. In Anbetracht der Sensibilität der bei IDT Biologika gespeicherten Daten sicherlich eine angenehme Nebenwirkung.
