Schlagwort: datensicherheit

TISAX®: 4 Gründe, warum es für viele besser ist als ISO 27001

tisax

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oder VW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.


Mehr Infos zu TISAX finden Sie unter folgenden Links:
nextwork, TISAX-Beratung
TISAX ENX Association

Datenschutz ist nervig und macht unproduktiv

Hand aufs Herz: Lesen Sie in Ihrer Freizeit auch gern mal das Bundesdatenschutzgesetz (BDSG)? Und ändern Sie alle 90 Tage Ihr Passwort?

Ich vermute stark, dass Sie auf beide Fragen mit „Nein“ antworten. Das ist auch kein Wunder. Denn nichts ist so nervig und nichts macht so unproduktiv wie die Einhaltung von Datenschutzvorgaben. Das muss allerdings nicht sein.

107 Seiten Juristendeutsch oder: Wie bitte?

Ein Bekannter sprach mich neulich bei einem Feierabendgetränk auf das Thema Datenschutz an. Er hatte gerade den Arbeitsvertrag in einem neuen Unternehmen unterschrieben. Neben dem Vertrag lagen 107 (hundertsieben) DIN A4-Blätter mit Richtlinien parat, die ebenfalls sein Kürzel benötigten. Er zeigte mir den Stapel mit den Worten: „Du kennst dich damit doch aus. Was habe ich da eigentlich unterschrieben?” Ich blätterte die Seiten durch, von denen 90 Prozent englische Schriftsätze enthielten, der Rest war Juristendeutsch. Ganz klar: Hier ging es um den Datenschutz, Verschwiegenheitsrichtlinien, Sicherheitsthemen. Auch klar: Kein Mensch ohne juristische Ausbildung (und ohne juristische Kenntnisse in englischer Sprache) konnte das, was dort geschrieben stand, verstehen.

Die Folge daraus erfordert keine hohe Mathematik: Mitarbeiter, die nicht verstehen bzw. nicht nachvollziehen können, worum es in diesen Schriftstücken geht, werden nicht umsetzen können, was man von ihnen verlangt. Die Vorgaben werden dann nicht eingehalten oder auch bewusst umgangen, es herrscht Unsicherheit – und wenn der hilfesuchende Blick zum Kollegen führt, hat dieser im Zweifel auch keine Ahnung.

Das Ergebnis: Alles das, was gesetzlich vorgeschrieben und wichtig ist – und wofür Sie vielleicht extra einen Datenschutzberater beauftragt haben – wird in Ihrem Unternehmen nicht gelebt. Oder noch schlimmer: Es kostet zusätzlich Effizienz und Produktivität.

Wieso, weshalb, warum – nur wer’s versteht, setzt es um

Auch meine Mitarbeiter müssen bei Vertragsunterzeichnung Datenschutzrichtlinien gegenzeichnen. Der Unterschied: Was andere auf 107 Seiten formulieren, passt bei mir auf eine Doppelseite. Ich habe mich mit einem guten Texter hingesetzt und das wichtigste, was das Gesetz will, auf zwei Seiten verständlich formuliert. Ich bin deshalb sicher, dass alle verstanden haben, warum die Punkte, die dort aufgelistet sind, umgesetzt werden müssen.

Mein Tipp für Sie: Tun Sie es mir nach. Vermeiden Sie dabei zusätzlich Formulierungen, die einschränken. Eröffnen Sie stattdessen Möglichkeiten. Sagen Sie also nicht: „Es dürfen keine E-Mails mit Anhängen über fünf Megabyte versendet werden.“ Die bessere Alternative: „Wenn Sie E-Mails mit Anhängen unter fünf Megabyte versenden möchten, nutzen Sie die E-Mail-Software. Alle größeren Anhänge können Sie mit ownCloud (ein Beispiel) übertragen.“

Was passiert, wenn Sie negativ formulieren und keine Lösungswege anbieten? Ganz einfach: Ihre Mitarbeiter suchen sich Wege, große Datenmengen „irgendwie“ zu übertragen – zum Beispiel über ungesicherte Dateien auf USB-Sticks oder sie installieren sich Software von Anbietern wie Dropbox. In diesem Fall – Sie ahnen es schon – wird wieder gegen das Datenschutzgesetz verstoßen. Denn Dropbox ist ein in den USA ansässiges Unternehmen – und die USA wurden vom Datenschutz als „unsicheres Drittland“ eingestuft. Allein die Angabe der E-Mail-Adresse des Empfängers, die zum Versand benötigt wird, ist verboten. Unbedenkliche Lösungen, die genutzt werden können sind ownCloud und tresorit. Stellen Sie Ihren Mitarbeitern solche Lösungen zur Nutzung zur Verfügung, dann müssen diese sich nicht selbst „Lösungen“ suchen, die am Ende keine sind.

Nach dem Verständnis kommt die Durchführbarkeit

Die Verständlichkeit von Richtlinien ist allerdings auch noch nicht das Ende der Fahnenstange. Wenn Ihre Mitarbeiter Sicherheitsrichtlinien umgehen (müssen), um Ihre Arbeit effizient (oder überhaupt) ausführen zu können, dann haben Sie das Thema noch nicht zu Ende gedacht.

Ein Beispiel: In einem mir bekannten Unternehmen werden die Mitarbeiter alle 90 Tage aufgefordert, Ihre Passwörter zu ändern. Andernfalls können sie nicht weiter auf die Systeme zugreifen. Ein Mitarbeiter hat sich nun eine ganz clevere Lösung ausgedacht, um sich nicht ständig neue Passwörter merken zu müssen: Er umging das System, indem er zwar seine Passwörter brav neu aufsetzte, aber gleich darauf wieder zurückänderte. Das System und auch der Chef denken, alles sei gut – in Wahrheit aber wird gegen das Datenschutzgesetz verstoßen.

Die tollste Richtlinie bringt also überhaupt nichts, wenn Ihre Mitarbeiter sie nicht einhalten. Damit sie das aber tun, brauchen sie neben dem Verständnis für die Inhalte auch eines für die Gründe der einzelnen Maßnahmen – und zusätzlich Möglichkeiten, ihre Arbeit trotz Datenschutzeinschränkungen erledigen zu können. Was die Passwort-Geschichte angeht: Dem Mitarbeiter wäre mit einem Passwort-Manager sehr geholfen. Ich kann die Software 1Password empfehlen. Keiner Ihrer Mitarbeiter muss sich damit je wieder ein betriebliches Passwort merken. Die regelmäßigen Änderungen werden sie also nicht mehr stören.

Wenn Sie jetzt noch einen lockeren Workshop veranstalten mit einer Runde Pizza für alle und zum Nachtisch ein Gespräch darüber, warum Passwortsicherheit so wichtig ist, werden Sie mit diesem Thema keine Probleme mehr haben. Mehr noch: Ihre Mitarbeiter werden es leben.

Nach der Datenschutzrichtlinie ist vor dem Datenschutz

Wenn Sie eine Datenschutzrichtlinie haben, sind Sie vielen Unternehmen einen Schritt voraus. Denn von allen Unternehmen, die an der Studie „Netz- und Informationssicherheit in Unternehmen 2010“ teilgenommen haben, trifft dies auf zwei Drittel schon mal nicht zu.

Die Erstellung von Richtlinien ist trotzdem immer nur der erste Schritt. Mit dem Engagement eines Datenschutzberaters und dem Einsammeln von Unterschriften auf seitenweise verklausulierten Texten ist es nicht getan. Datenschutz muss verstanden werden und umsetzbar sein, nur dann kann er gelebt werden. Laut „Clearswift Insider Threat Index (CITI) – German Edition 2015“ stellen Mitarbeiter eines der größten Sicherheitsrisiken für Unternehmen dar – einfach aus dem Grund, dass zwei Drittel aller internen Sicherheitsvorfälle zufällig oder unbeabsichtigt geschehen (65 %) und ein großer Mangel an Bewusstsein um Datensicherheitsprobleme herrscht (58 %).

Denken Sie also nie vordergründig an Paragraphen und Gesetze, sondern rücken Sie Ihre Mitarbeiter in den Vordergrund aller Maßnahmen. Holen Sie sie ordentlich ab, nicht nur juristisch. Dann erreichen Sie das Datenschutz-Niveau, das Sie erreichen möchten – und das auch von immer mehr Auftraggebern gefordert und überprüft wird.

Zum Schluss muss ich als Experte zugeben: Ja, Sie haben Recht. Das Thema Datenschutz ist nervig und macht unproduktiv. Aber nur, wenn es nicht richtig umgesetzt wird. Gerade kleinere Unternehmen, die ca. 90 Prozent der Unternehmerlandschaft in Deutschland ausmachen, haben es hier schwer. Doch gehen Sie es an und bringen Sie es einmal durchdacht hinter sich. Wenn dann im Sommer 2018 die neue (und in vielen Punkten strengere) EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft treten wird, die eine umfassende Neuordnung des gesamten Datenschutzes in Europa mit sich bringt, sind Sie auf der sicheren Seite.