Kategorie: tisax

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

TISAX | Wie Unternehmen eine Zertifizierung erhalten

Was ist TISAX überhaupt?

Jedes Unternehmen, das für Kunden aus der Automobilindustrie arbeitet, braucht seit 2018 ein TISAX-Zertifikat. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit rund einem Jahr darauf hin, dass das Thema TISAX relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf ein TISAX-Zertifikat vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um  IT. Vielmehr geht es um Fragen wie: We läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. Aktuell sind folgende Unternehmen akkreditierten TISAX-Prüfdienstleistern:

DEKRA Certification GmbH, www.dekra-certification.de
Ernst & Young GmbH, de.ey.com
KPMG AG, www.kpmg.com
Operational services GmbH & Co. KG , www.o-s.de
PwC cert GmbH, de.pwc.com
TÜV Rheinland i-sec GmbH, de.tuv.com

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

»The Cloud Diaries« – Unser Umzug in die Cloud.
#1: Blick hinter die Buzzwords

Neue Blogreihe
Gastbeitrag von Finn Nickelsen

Im Herzen sind wir ITler. Die Technologie, mit der wir zu tun haben, hat keine 30 Jahre auf dem Buckel, wenn man sich mal die Themen Personal Computer, Netzwerke und Server ansieht. Unser zweites Steckenpferd, Datenschutz und Informationssicherheit, weist keine zwei Jahre Erfahrungswerte auf. Das heißt: Wir sind daran gewöhnt, dass der Umgang mit den Dingen, mit denen wir zu tun haben, oft erst noch erfunden werden muss, bevor er sich in der Unternehmenskultur festsetzt. Und wisst ihr, was das auch bedeutet? Wir haben eine ziemlich niedrige Hemmschwelle, Neues auszuprobieren. Weil es unserer Auftrag ist, uns ständig weiterzuentwickeln. »Continuous improvement« ist bei uns eingebaut.

Ein ziemlich großer Improvement-Schritt steht bei uns derzeit auf der Agenda: Aus den Erfahrungswerten unserer TISAX- und DSGVO-Projekte heraus, in denen wir uns auch viel mit Workflows beschäftigen, überlegen wir zurzeit, komplett in die Cloud zu ziehen. Wenn man so einen Gedanken heute im Freundeskreis oder geschäftlichen Netzwerk raushaut (»Wir überlegen, mit unserem Unternehmen komplett in die Cloud zu ziehen«), kann man damit echt Eindruck schinden. Auf jeden Fall sind die Kollegen beeindruckt; stellt man sich doch als jemand dar, der im Sturm der Digitalisierung als Cloud-Kapitän den Kurs klar vor Augen hat. Aber wie so oft in Zeiten, in denen alle mit Buzzwords um sich schmeißen, könnte man ja auch schüchtern fragen: Was heißt das eigentlich, in die Cloud ziehen?

Sicher sind noch nicht alle Fragen zur Cloud geklärt – und wie immer muss jedes Unternehmen für sich beantworten, inwiefern die Cloud Sinn macht. Das ist oft ein langer Weg, der mit einem langen Entscheidungsprozess einhergeht. Da wir aus unserer Projektarbeit wissen, dass es vielen Unternehmen genauso geht, wollen wir unseren Entscheidungs- und Umsetzungsprozess mit euch in unserer neuen Blog-Reihe »The Cloud Diaries: Unser Umzug in die Cloud.« Uns geht es dabei unter anderem um folgende Fragen: Was sind eigentlich die relevanten Parameter für die Entscheidung für einen Umzug in die Cloud? Welche Bereiche des Unternehmens betrifft das? Welche Anbieter kommen in Frage? Wie geht das zusammen mit Datenschutz und Informationssicherheit? Gibt es da nicht sogar moralische Bedenken? Wie geht man ein solches Projekt an? Wie läuft es in der Umsetzung? Was für Auswirkungen hat das auf unsere Workflows? Was ist die optimale Lösung für unser Unternehmen? Wir freuen uns, wenn ihr unser Projekt verfolgt, und natürlich auch, wenn ihr uns von euren Themen und Erfahrungen berichtet.

Einige Statistiken und Begriffsklärungen zu Cloud Computing

 

»Cloud Computing« oder »Cloud Services« sind die Buzzwords, die seit ca. 2011 durch die Innovationsforen, durchs Netz und die Tech-Messen geistern. Langsam scheint das Thema im unternehmerischen Alltag angekommen zu sein. Laut einer aktuellen Bitkom-Studie nutzten 2017 bereits 65 Prozent der Unternehmen aller Größenordnungen (20 bis über 2000 Mitarbeiter) Cloud Computing. Was aber heißt das eigentlich, »Cloud Computing«? Welche Services können überhaupt in die Cloud verlagert werden? Auch darüber gibt die Studie Auskunft: Die oben erwähnten Unternehmen, die auf Cloud Computing setzen, nutzen zu 49 Prozent Softwareanwendungen, zu 47 Prozent Datenspeicherung oder Rechenleistung, zu 28 Prozent spezielle Entwicklertools oder Betriebssysteme, zu 23 Prozent Geschäftsprozesse und zu 46 Prozent Bürosoftware als wichtigste Anwendungen in der Public Cloud. Danach folgen Sicherheitslösungen, Groupware und Collaboration.

Ein weiteres wichtiges Unterscheidungskriterium ist das zwischen Private Cloud und Public Cloud. Die Fragen hier sind: Wo liegen die Daten – und wie viel Service ist mit dabei?

In der gemanagten Private Cloud mietet man sich typischerweise von einem Anbieter einfach nur Serverkapazitäten. Das kann zum Beispiel ein Rechenzentrum in eurer Stadt sein, in dem ihr ein oder mehrere Höheneinheiten in einem Serverschrank anmietet. Wie ihr diese nutzt, bleibt euch selbst überlassen. Der Anbieter sorgt nur für Kühlung, Strom und Internet – gegen eine monatliche Miete, die je nach »Serverquadratmeter« im drei- oder vierstelligen Bereich liegt. Die Infrastruktur auf diesem Server baut ihr euch selbst, ganz individuell; ihr genießt die höhere Sicherheit, da ihr den Benutzerkreis einschränkt. Außerdem braucht ihr bei euch im Office noch Hardware: einen Server, z. B. eine Kerioinstallation, und einen Router. Wir hatten zum Beispiel die letzten Jahre unseren Mailserver auf eine Private Cloud ausgelagert.

Eine Public Cloud ist sozusagen das »Rundum-sorglos-Paket“. Ihr holt euch Speicherplatz und die Anwendungen als Service in der Cloud mit dazu (SAAS, Software as a Service) und euer Cloud-Anbieter kümmert sich um alles andere. Es gibt kostengünstige und flexible Abomodelle, die ihr jederzeit an eure betriebliche Auslastung anpassen könnt. Habt ihr zum Beispiel nach einer Spitzenauslastung fünf Leute weniger, bucht ihr die Lizenzen um fünf herunter und zahlt auch weniger.

Eben weil es so flexibel, kostengünstig und einfach ist, gibt es einen Trend hin zur Public Cloud: Laut der oben schon erwähnten Umfrage setzten im abgelaufenen Jahr 44 Prozent der Unternehmen, die Cloud Computing nutzen, Private Cloud Computing ein. Auch gibt es einen Trend bei Private Clouds, ihren Betrieb an externe Dienstleister auszulagern. Nur noch 13 Prozent der befragten Firmen gaben an, die Cloud vollständig in eigener Regie zu betreiben – eine Halbierung innerhalb von vier Jahren. Im anhaltenden Aufschwung zeigte sich außerdem die Public Cloud, deren Einsatz 29 Prozent der Unternehmen meldeten – eine Verdoppelung seit 2014.

 

Dieser erste Beitrag sollte die wichtigsten Begriffe klären und einen Blick darauf werfen, wo das Thema heute in deutschen Unternehmen eigentlich steht. Im Blogbeitrag #2 geht es los mit der eigentlichen Ausgangssituation bei nextwork. Im dritten Blogbeitrag stellen wir euch dann die wichtigsten Anbieter vor und tauchen im vierten Blogbeitrag tiefer ein und stellen euch einen Case über den Anbieter unserer Wahl vor.

 

Viel Spaß – und danke für eure Anmerkungen und Kommentare!

 

Zwei Welten: Coworking und Datenschutz

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.

 

TISAX®: 4 Gründe, warum es für viele besser ist als ISO 27001

tisax

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oder VW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.


Mehr Infos zu TISAX finden Sie unter folgenden Links:
nextwork, TISAX-Beratung
TISAX ENX Association