Schlagwort: Informationssicherheit

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

TISAX | Wie Unternehmen eine Zertifizierung erhalten

Was ist TISAX überhaupt?

Jedes Unternehmen, das für Kunden aus der Automobilindustrie arbeitet, braucht seit 2018 eine TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: We läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

Zwei Welten: Coworking und Datenschutz

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.

 

TISAX®: 4 Gründe, warum es für viele besser ist als ISO 27001

tisax

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oder VW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.


Mehr Infos zu TISAX finden Sie unter folgenden Links:
nextwork, TISAX-Beratung
TISAX ENX Association

Datenschutz ist nervig und macht unproduktiv

Hand aufs Herz: Lesen Sie in Ihrer Freizeit auch gern mal das Bundesdatenschutzgesetz (BDSG)? Und ändern Sie alle 90 Tage Ihr Passwort?

Ich vermute stark, dass Sie auf beide Fragen mit „Nein“ antworten. Das ist auch kein Wunder. Denn nichts ist so nervig und nichts macht so unproduktiv wie die Einhaltung von Datenschutzvorgaben. Das muss allerdings nicht sein.

107 Seiten Juristendeutsch oder: Wie bitte?

Ein Bekannter sprach mich neulich bei einem Feierabendgetränk auf das Thema Datenschutz an. Er hatte gerade den Arbeitsvertrag in einem neuen Unternehmen unterschrieben. Neben dem Vertrag lagen 107 (hundertsieben) DIN A4-Blätter mit Richtlinien parat, die ebenfalls sein Kürzel benötigten. Er zeigte mir den Stapel mit den Worten: „Du kennst dich damit doch aus. Was habe ich da eigentlich unterschrieben?” Ich blätterte die Seiten durch, von denen 90 Prozent englische Schriftsätze enthielten, der Rest war Juristendeutsch. Ganz klar: Hier ging es um den Datenschutz, Verschwiegenheitsrichtlinien, Sicherheitsthemen. Auch klar: Kein Mensch ohne juristische Ausbildung (und ohne juristische Kenntnisse in englischer Sprache) konnte das, was dort geschrieben stand, verstehen.

Die Folge daraus erfordert keine hohe Mathematik: Mitarbeiter, die nicht verstehen bzw. nicht nachvollziehen können, worum es in diesen Schriftstücken geht, werden nicht umsetzen können, was man von ihnen verlangt. Die Vorgaben werden dann nicht eingehalten oder auch bewusst umgangen, es herrscht Unsicherheit – und wenn der hilfesuchende Blick zum Kollegen führt, hat dieser im Zweifel auch keine Ahnung.

Das Ergebnis: Alles das, was gesetzlich vorgeschrieben und wichtig ist – und wofür Sie vielleicht extra einen Datenschutzberater beauftragt haben – wird in Ihrem Unternehmen nicht gelebt. Oder noch schlimmer: Es kostet zusätzlich Effizienz und Produktivität.

Wieso, weshalb, warum – nur wer’s versteht, setzt es um

Auch meine Mitarbeiter müssen bei Vertragsunterzeichnung Datenschutzrichtlinien gegenzeichnen. Der Unterschied: Was andere auf 107 Seiten formulieren, passt bei mir auf eine Doppelseite. Ich habe mich mit einem guten Texter hingesetzt und das wichtigste, was das Gesetz will, auf zwei Seiten verständlich formuliert. Ich bin deshalb sicher, dass alle verstanden haben, warum die Punkte, die dort aufgelistet sind, umgesetzt werden müssen.

Mein Tipp für Sie: Tun Sie es mir nach. Vermeiden Sie dabei zusätzlich Formulierungen, die einschränken. Eröffnen Sie stattdessen Möglichkeiten. Sagen Sie also nicht: „Es dürfen keine E-Mails mit Anhängen über fünf Megabyte versendet werden.“ Die bessere Alternative: „Wenn Sie E-Mails mit Anhängen unter fünf Megabyte versenden möchten, nutzen Sie die E-Mail-Software. Alle größeren Anhänge können Sie mit ownCloud (ein Beispiel) übertragen.“

Was passiert, wenn Sie negativ formulieren und keine Lösungswege anbieten? Ganz einfach: Ihre Mitarbeiter suchen sich Wege, große Datenmengen „irgendwie“ zu übertragen – zum Beispiel über ungesicherte Dateien auf USB-Sticks oder sie installieren sich Software von Anbietern wie Dropbox. In diesem Fall – Sie ahnen es schon – wird wieder gegen das Datenschutzgesetz verstoßen. Denn Dropbox ist ein in den USA ansässiges Unternehmen – und die USA wurden vom Datenschutz als „unsicheres Drittland“ eingestuft. Allein die Angabe der E-Mail-Adresse des Empfängers, die zum Versand benötigt wird, ist verboten. Unbedenkliche Lösungen, die genutzt werden können sind ownCloud und tresorit. Stellen Sie Ihren Mitarbeitern solche Lösungen zur Nutzung zur Verfügung, dann müssen diese sich nicht selbst „Lösungen“ suchen, die am Ende keine sind.

Nach dem Verständnis kommt die Durchführbarkeit

Die Verständlichkeit von Richtlinien ist allerdings auch noch nicht das Ende der Fahnenstange. Wenn Ihre Mitarbeiter Sicherheitsrichtlinien umgehen (müssen), um Ihre Arbeit effizient (oder überhaupt) ausführen zu können, dann haben Sie das Thema noch nicht zu Ende gedacht.

Ein Beispiel: In einem mir bekannten Unternehmen werden die Mitarbeiter alle 90 Tage aufgefordert, Ihre Passwörter zu ändern. Andernfalls können sie nicht weiter auf die Systeme zugreifen. Ein Mitarbeiter hat sich nun eine ganz clevere Lösung ausgedacht, um sich nicht ständig neue Passwörter merken zu müssen: Er umging das System, indem er zwar seine Passwörter brav neu aufsetzte, aber gleich darauf wieder zurückänderte. Das System und auch der Chef denken, alles sei gut – in Wahrheit aber wird gegen das Datenschutzgesetz verstoßen.

Die tollste Richtlinie bringt also überhaupt nichts, wenn Ihre Mitarbeiter sie nicht einhalten. Damit sie das aber tun, brauchen sie neben dem Verständnis für die Inhalte auch eines für die Gründe der einzelnen Maßnahmen – und zusätzlich Möglichkeiten, ihre Arbeit trotz Datenschutzeinschränkungen erledigen zu können. Was die Passwort-Geschichte angeht: Dem Mitarbeiter wäre mit einem Passwort-Manager sehr geholfen. Ich kann die Software 1Password empfehlen. Keiner Ihrer Mitarbeiter muss sich damit je wieder ein betriebliches Passwort merken. Die regelmäßigen Änderungen werden sie also nicht mehr stören.

Wenn Sie jetzt noch einen lockeren Workshop veranstalten mit einer Runde Pizza für alle und zum Nachtisch ein Gespräch darüber, warum Passwortsicherheit so wichtig ist, werden Sie mit diesem Thema keine Probleme mehr haben. Mehr noch: Ihre Mitarbeiter werden es leben.

Nach der Datenschutzrichtlinie ist vor dem Datenschutz

Wenn Sie eine Datenschutzrichtlinie haben, sind Sie vielen Unternehmen einen Schritt voraus. Denn von allen Unternehmen, die an der Studie „Netz- und Informationssicherheit in Unternehmen 2010“ teilgenommen haben, trifft dies auf zwei Drittel schon mal nicht zu.

Die Erstellung von Richtlinien ist trotzdem immer nur der erste Schritt. Mit dem Engagement eines Datenschutzberaters und dem Einsammeln von Unterschriften auf seitenweise verklausulierten Texten ist es nicht getan. Datenschutz muss verstanden werden und umsetzbar sein, nur dann kann er gelebt werden. Laut „Clearswift Insider Threat Index (CITI) – German Edition 2015“ stellen Mitarbeiter eines der größten Sicherheitsrisiken für Unternehmen dar – einfach aus dem Grund, dass zwei Drittel aller internen Sicherheitsvorfälle zufällig oder unbeabsichtigt geschehen (65 %) und ein großer Mangel an Bewusstsein um Datensicherheitsprobleme herrscht (58 %).

Denken Sie also nie vordergründig an Paragraphen und Gesetze, sondern rücken Sie Ihre Mitarbeiter in den Vordergrund aller Maßnahmen. Holen Sie sie ordentlich ab, nicht nur juristisch. Dann erreichen Sie das Datenschutz-Niveau, das Sie erreichen möchten – und das auch von immer mehr Auftraggebern gefordert und überprüft wird.

Zum Schluss muss ich als Experte zugeben: Ja, Sie haben Recht. Das Thema Datenschutz ist nervig und macht unproduktiv. Aber nur, wenn es nicht richtig umgesetzt wird. Gerade kleinere Unternehmen, die ca. 90 Prozent der Unternehmerlandschaft in Deutschland ausmachen, haben es hier schwer. Doch gehen Sie es an und bringen Sie es einmal durchdacht hinter sich. Wenn dann im Sommer 2018 die neue (und in vielen Punkten strengere) EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft treten wird, die eine umfassende Neuordnung des gesamten Datenschutzes in Europa mit sich bringt, sind Sie auf der sicheren Seite.

 

Wer hat Angst vorm Audit? (Teil 1)

„Wer hat Angst vorm schwarzen Mann? Niemand! Und wenn er aber kommt? Dann laufen wir davon!“


Eines ist sicher: Vor Audits davonlaufen
 wird nicht helfen. Selbst wenn Sie das Wort „Audit“ bis heute noch nie in Ihrem Leben gehört haben und bisher nichts damit zu tun hatten – meine Prognose ist: Schon nächstes Jahr werden Audits für Kreativagenturen zum Standard gehörenDas gilt zumindest für Agenturen, die für Konzernkunden arbeiten, Geschäftsberichte erstellen oder Projekte begleiten, die besonderer Sicherheitsvorkehrungen bedürfen (z. B. Produkteinführungen).

Im Rahmen dieser neuen Blog-Reihe möchte ich Ihnen zwei Dinge vermitteln:

  1. Sie müssen absolut keine Angst vor Audits haben.
  2. Bei Agenturen besteht durchaus Handlungsbedarf, sich aktiv mit dem Thema Informationssicherheit auseinanderzusetzen, um auch in Zukunft Aufträge von Großkunden zu bekommen.

In diesem ersten Teil geht es zunächst um die grundsätzlichen Begrifflichkeiten rund um das Thema Audit sowie den ersten Schritt im Audit-Prozess: die Beantwortung des Fragebogens.

Was ist denn jetzt ein Audit?

Ein Audit ist ein Verfahren, bei dem begutachtet wird, ob die agenturinternen Prozesse sowie die Datensicherheit den Anforderungen der „Industrienorm“ entsprechen. Früher wurden diese Anforderungen vertraglich festgehalten, die Einhaltung derselben durch Unterschrift des Dienstleisters bestätigt – und fertig war die Sache.

Heute, in Zeiten zunehmender Cyberkriminialität, ist den Auftraggebern die Sicherheit ihrer Daten so wichtig geworden, dass ihnen eine Unterschrift alleine nicht mehr genügt. Sie lassen die Einhaltung ihrer gestellten Anforderungen überprüfen. Das geschieht in Form von Audits – und diese werden durch externe IT-Dienstleister ausgeführt.

Alles beginnt mit einer E-Mail

Information-Security-Assessment-Fragebogen-ISA-DVAEines Tages erscheint sie in der Inbox: die E-Mail mit dem Betreff Bewertung der Informationssicherheit einer Partnerfirma. Im Anhang finden Sie dann einen komplizierten Fragebogen. Den versteht (ganz ehrlich) kein Mensch  es sei denn, dieser Mensch ist ein IT-Sicherheitsexperte. Die Reaktion auf die E-Mail jedenfalls ist nahezu immer gleich: Es kommt Panik auf! Man soll bewertet werden! Fällt man durch, verliert man den Auftrag oder gar den Kunden!

Die sorgenfreien Jahre sind vorbei

Seit Jahren gehe ich meinen Kunden mit dem Thema IT-Sicherheit auf die Nerven: Sichere Passwörter, Verschlüsselung von Daten und E-Mails sowie revisionssichere E-Mail-Archivierung sind dabei die Punkte, die zugegebenermaßen nicht besonders verlockend klingen. 

Nicht selten habe ich damit auf Granit gebissen (gelinde gesagt). Wenn nicht irgendwann eine größere Backup-Panne passiert ist, gab es ja auch kein konkretes Schreckensszenario, aufgrund dessen es sich gelohnt hätte, aktiv zu werden. Aber auch die „1234“-Passwort-Owner, die Local-Data-no-Backup-Typen und die Dropbox-User werden spätestens dann realisieren, dass sie etwas tun müssen, wenn besagte E-Mail bei ihnen eintrudelt und der Key Account in Gefahr ist. Wir müssen dann teilweise bei Null ansetzen, um die IT-Sicherheit in der Agentur auf ein Level zu bringen, das „audit-proof“ (also revisionssicher) ist.

Agenturen, die sich bereits mit dem Thema Informationssicherheit auseinandergesetzt haben, befinden sich natürlich in einer anderen Ausgangssituation. Hier genügen oft nur wenige Optimierungsmaßnahmen, damit diese Agenturen die Audits bestehen.

ISO, ISA? Worum geht es überhaupt?

Die Kriterien, die im Fragebogen abgefragt werden, leiten sich aus der ISO-Norm 27001 ab, dem internationalen Standard für Informationssicherheit.

Viele nutzen die ISO-Richtlinien als praktisches Tool, um sich selbst zu kontrollieren – und auch, um sich ISO-zertifizieren zu lassen. Gerade bei größeren Produktionsbetrieben ist es üblich, sich gemäß der ISO 9000 (Qualitätsmanagement) zertifizieren zu lassen. Das ist in der Fertigungsbranche bereits seit vielen Jahren Grundvoraussetzung, um Aufträge zu bekommen.

Im Zuge der Digitalisierung wird der Bedarf an IT-Sicherheitszertifizierungen immer größer. Man kennt das beispielsweise aus dem E-CommerceWeil Onlineshops vertrauliche Daten wie Adressen oder Kreditkartennummern verarbeiten, gibt es hier seit einigen Jahren Sicherheitszertifizierungen wie das bekannte „Trusted Shops“ – ein Gütesiegel mit Käuferschutz für Onlineshops

Um eine Basis zu schaffen, die für alle Unternehmen gilt, hat das BSI gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT-Grundschutz entwickelt und dieses an die Anforderungen der ISO 27001 angepasst. Seit mehr als zehn Jahren können ISO-27001-Zertifikate auf Basis des IT-Grundschutzes beim BSI beantragt werden. Das ist eine Zertifizierung, die gerade für international tätige Unternehmen interessant ist – und auch von immer mehr Unternehmen in Anspruch genommen wird. Schließlich lässt sich mithilfe des Zertifikats nachweisen, dass das Unternehmen alle erforderlichen Maßnahmen im Sinne eines größtmöglichen Datenschutzes ergreift.


Die drei Grundwerte der Informationssicherheit:
VertraulichkeitVerfügbarkeit und Integrität. Für Unternehmen bedeutet das:
1.     Sie müssen sensible Informationen vor dem Zugriff durch Unbefugte schützen.
2.     Die Angestellten (Befugten) müssen bei Bedarf auf die Daten zugreifen können.
3.     Die Daten können nicht manipuliert werden.


ISA-Fragebogen: Eine Wissenschaft für sich

Nehmen wir Folgendes an: Ein Automobilkonzern plant den Marktstart eines neuen Fahrzeugmodells. Die Agentur XYZ wurde damit beauftragt, sämtliche Marketingmaßnahmen zum Launch des Fahrzeugs zu steuern. Hierzu bekommt die Agentur Informationen zum neuen Modell, also Bilder, Fahrzeugdaten u. v. m.

Der Konzern möchte kein Risiko eingehen und gibt deshalb ein Audit in Auftrag. Für diese Zwecke hat der Verband der Automobilindustrie e. V. (VDA) – in der aktuellen Version 2.1.3 – die ISO  7002:2013 als Grundlage für die eigenen Sicherheitsstandards genommen und das „Information Security Assessment“ (ISA) entwickelt. Der Fragebogen, den die Agentur erhält, fragt die Anforderungen des ISA ab. Dieses orientiert sich an den drei Grundwerten der Informationssicherheit und hat dessen Einhaltung zum Ziel.

Wie bereits erwähnt, mutet der ISA-Fragebogen für Nicht-ITler zum Teil kryptisch an. Insgesamt besteht er aus 47 Fragen, die teilweise selbst nach dem dritten Lesen schwer zu verstehen sind. Ein Beispiel: „Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz umgesetzt?”
(Zum VDA-Fragebogen)

Und hier kommen wir ins Spiel

Es ist nur verständlich, dass sich die vom Automobilkonzern beauftragte Agentur nicht unbedingt selbst mit dem Fragebogen auseinandersetzen möchte. Zum einen, weil sie selbst noch keine Erfahrungen mit den Prozessen von Audits hat. Zum anderen, weil sie auf manche Fragen schlichtweg keine Antwort weiß

Jetzt kommen wir also dazu: Wir füllen den Fragebogen aus und besprechen die Ergebnisse anschließend mit der Agentur. Die Ergebnisse sind zunächst ernüchternd: Auf einer Skala von 0 bis 5 (wobei 5 dem größtmöglichen Sicherheitsstandard entspricht) mussten wir bei fast jeder Frage eine 0 oder eine 1 vergeben.

Und da ist er nun, dieser magische Moment, wenn dem Kunden die Augen geöffnet werden und er bereit ist, an seiner Informationssicherheit zu schrauben. Denn mit diesem Ergebnis möchte unser Kunde den Fragebogen (verständlicherweise) nicht abgeben. Also besprechen wir die Maßnahmen, die ergriffen werden können und müssen, um das Ergebnis zu verbessern.

Welche Maßnahmen die Nullen und Einsen im Fragebogen in Dreien und Vieren verwandeln, verrate ich im zweiten Teil dieser Blog-Reihe!