Schlagwort: isa

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

TISAX | Wie Unternehmen eine Zertifizierung erhalten

Was ist TISAX überhaupt?

Jedes Unternehmen, das für Kunden aus der Automobilindustrie arbeitet, braucht seit 2018 ein TISAX-Zertifikat. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit rund einem Jahr darauf hin, dass das Thema TISAX relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf ein TISAX-Zertifikat vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: We läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. Aktuell sind folgende Unternehmen akkreditierten TISAX-Prüfdienstleistern:

DEKRA Certification GmbH, www.dekra-certification.de
Ernst & Young GmbH, de.ey.com
KPMG AG, www.kpmg.com
Operational services GmbH & Co. KG , www.o-s.de
PwC cert GmbH, de.pwc.com
TÜV Rheinland i-sec GmbH, de.tuv.com

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

TISAX®: 4 Gründe, warum es für viele besser ist als ISO 27001

tisax

Unternehmen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi, BMW oder VW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Informationssicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Kontrolle. Eine gute Nachricht – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Unternehmen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Unternehmen unabhängig in der Kundenakquise

    Unternehmen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Informationssicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn ein Unternehmen nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam bei einem Kundenwechsel erst einmal ein mehrmonatiges ISMS-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Unternehmen schneller an den Auftrag

    Dass TISAX wirklich für alle Unternehmen, die für die großen Automobilhersteller arbeiten, Pflicht wird, ist bereits jetzt erkennbar. BMW hat bereits im Februar 2017 TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Unternehmen üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Unternehmen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Unternehmen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Unternehmen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Geschäftsführern daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.


Mehr Infos zu TISAX finden Sie unter folgenden Links:
nextwork, TISAX-Beratung
TISAX ENX Association

Wer hat Angst vorm Audit? (Teil 2)

In den letzten Wochen und Monaten habe ich einige Audits begleitet. Es ist spannend, zu beobachten, wie dieses Thema immer mehr an Fahrt gewinnt. Das ist besonders bei solchen Kunden der Fall, die sich bisher nicht so intensiv mit dem Thema Informationssicherheit beschäftigt haben – weil sie es auch nie zwingend mussten. 

Ein Beispiel sind Agenturen. Von den Kreativhäusern erreichen uns immer mehr Anfragen wie diese: „Bei uns steht ein Audit an und wir wissen nicht, was nun zu tun ist.“ 

Diese vermehrt auftretenden Anfragen kommen nicht von ungefähr. Immer mehr Agenturen werden durch ihre Auftraggeber in Form eines „Lieferanten-Audits“ auf ihre Eignung überprüft – insbesondere solche, die für deutsche Automobilhersteller arbeiten. Denn gerade bei technischen Entwicklungen wird höchster Wert auf Informationssicherheit und Geheimhaltung gelegt.

Deshalb mein Tipp für jede Agentur, die mit diesen oder ähnlichen Kunden zu tun hat: Setzen Sie sich mit dem Thema Informationssicherheit auseinander! Wenn Sie dies getan haben, empfehle ich noch einen weiteren Schritt: Kümmern Sie sich um ein Information Security Management System (ISMS).

Fragen über Fragen

Ich kann mir vorstellen, dass Ihnen nun folgende Fragen unter den Nägeln brennen:

  1. Was ist denn ein ISMS?
  2. Was muss man bei der Implementierung eines ISMS berücksichtigen?
  3. Wann reicht ein „Mini-ISMS“ aus?
  4. Und was hat das alles mit dem VDA-Fragebogen aus Teil 1 zu tun?

Ein Audit – mehr als eine Unterschrift

Im ersten Teil dieser Blogreihe habe ich bereits erklärt, was ein Audit überhaupt ist. Noch einmal in der Kurzfassung: 

Ein Audit ist ein Verfahren, bei dem die unternehmensinternen Prozesse mit Blick auf die Informationssicherheit untersucht werden.

Ich habe im ersten Teil außerdem darauf hingewiesen, dass es bis vor wenigen Jahren ausreichte, seinen Kunden die Einhaltung von Sicherheitsrichtlinien durch eine Unterschrift zu bestätigen. 

Doch seit rund zwei Jahren sieht das anders aus: In Deutschland gibt es bereits Automobilhersteller, die von ihren Partnerfirmen, also natürlich auch von ihren Agenturen, ab einer Umsatzhöhe von einer Millionen Euro die ISO-27001-Zertifizierung fordern (oder zumindest ein ISMS, das den geforderten Standards gerecht wird – dazu aber später mehr). 

Das große Problem ist, dass die meisten Auftragnehmer nicht genau wissen, was sie da eigentlich unterschreiben. Während früher also eine bloße Unterschrift als Nachweis für das Vorhandensein einer ISO-Zertifizierung oder eines durchdachten ISMS ausreichte, wird die Einhaltung der Sicherheitsstandards (Maßnahmen) heute direkt beim Auftragnehmer überprüft – im Rahmen eines Audits. Sollte dabei herauskommen, dass die vereinbarten Sicherheitsstandards nicht eingehalten werden, besteht akuter Handlungsbedarf!

ISO und ISMS: Was ist was – und wo ist der Zusammenhang? 

Ganz einfach: Im Rahmen einer ISO-27001-Zertifizierung wird überprüft, ob ein Unternehmen ein ISMS hat, das die ISO-Anforderungen erfüllt. Der Name kann allerdings ganz schön verwirren: Aufgrund des Wörtchens „System“ im Namen denken viele, ein ISMS sei eine schicke Software-Lösung, die sich vollautomatisch um die Einhaltung der ISO-Richtlinien kümmert. Weit gefehlt! Ein ISMS ist vielmehr eine festgeschriebene und gelebte Strategie, die die Informationssicherheit im Unternehmen gewährleisten soll. Also zusammengefasst:

In einem ISMS sind Unternehmensprozesse definiert und Richtlinien festgelegt. Ein ISMS fungiert als Leitfaden für alle Beteiligten. 

Da hängt viel dran – denn ein ISMS muss gemanagt und durch die gesamte Belegschaft, die Chefetage sowie externe Dienstleister gelebt werden. Zudem sollte es einen Informationssicherheitsbeauftragten geben, der sich um das ISMS und dessen Einhaltung kümmert. 

Gesammelt werden die selbst festgelegten Standards in einer sogenannten „Sicherheitsleitlinie“. Wenn Sie das Wort in die Google-Suche eingeben, werden Sie viele Sicherheitsleitlinien finden, die Unternehmen öffentlich gemacht haben. Hier können Sie sich Inspiration holen! 

Nicht immer einfach: ISMS rechtfertigen 

Immer wenn ich das Thema ISO 27001 auf den Tisch bringe, stoße ich nicht gerade auf Begeisterung. Alle denken direkt an IT-Sicherheit – und genau dieses Thema macht den meisten keinen großen Spaß. 

Dabei handelt es sich bei der ISO 27001 überhaupt nicht um ein IT-Sicherheitszertifikat! 

Ein ISMS lässt sich selbst völlig ohne den Einsatz von Computern einführen. Nämlich bei allen Unternehmen, die ausschließlich mit Papier, Ordnern und Tresor arbeiten. So arbeiten zum Beispiel viele Steuerberater oder Richter.

Ein ISMS hat eben nicht immer (und wenn, dann nicht nur) mit IT-Sicherheit zu tun. Hier ist vielmehr festgelegt, wie in einem Unternehmen mit sensiblen Informationen umgegangen werden soll und muss. Ob am PC oder auf Papier – das spielt dabei eine eher untergeordnete Rolle.

Die hohe Kunst bei der Implementierung eines ISMS ist, alle Beteiligten von der Einhaltung der selbst auferlegten Sicherheitsstandards zu überzeugen. Die wichtigste Aufgabe heißt also: alle Mitarbeiter ins Boot holen. 

Tipp: Das geht am besten im Rahmen eines Events. Dem Team muss verdeutlicht werden, was für Ziele in Angriff genommen werden und warum die Einhaltung der Sicherheitsstandards dabei so wichtig ist. Das beste Argument: Die Einhaltung der ISMS-Richtlinien bedeutet Sicherheit – auch beim Kunden. Der vergibt dann gerne einen Auftrag, weil er Vertrauen in die Arbeit der Agentur hat.

Maßnahmenkatalog vs. ISO-Zertifizierung

Warum eine ISO-Zertifizierung Sinn ergibt, habe ich im ersten Teil bereits erklärt. Gerade Agenturen (und andere Dienstleister), die für Automobilkonzerne tätig sind, müssen ISO-zertifiziert sein, um Aufträge zu bekommen. 
ABER: Mit dieser Zertifizierung ist es nicht getan! 

Die Agentur bekommt vom Kunden zusätzlich einen Maßnahmenkatalog vorgelegt. Hierin sind die vom Verband der Automobilindustrie (VDA) festgelegten Maßnahmen verankert. Dazu gehören zum Beispiel:

  1. Die Zwei-Faktor-Authentifizierung für alle Computer
    Das ist der Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener Komponenten. In Agenturen kommt dazu meist ein externer USB-Schlüssel zum Einsatz (z. B. der YubiKey).
  2. Verschlüsselte Festplatten
    Alle Rechner und Server müssen verschlüsselt sein.
  3. Verschlüsselung von E-Mails
    E-Mails müssen je nach Klassifizierung („intern“, „vertraulich“, „geheim“) verschlüsselt sein.
  4. Persönliche Passwörter und 90-Tage-Passwort-Änderung
    Jeder Benutzer hat ein eigenes Passwort, das kein anderer wissen oder einsehen darf (auch nicht in einer in Agenturen üblichen Passwortliste). Der Benutzer muss dieses Passwort außerdem alle 90 Tage ändern!

Wenn Sie sich also die Zeit genommen haben, ein ISMS einzuführen und zertifizieren zu lassen (das dauert etwa sechs bis zwölf Monate) und keine Kosten gescheut haben (mit 50 000 bis 100 000 Euro müssen Sie rechnen), dann haben Sie eine tolle Basis für Ihre Unternehmenssicherheit geschaffen. Die drei oben genannten und vom VDA geforderten Maßnahmen müssen dennoch verfolgt werden. Denn ein ISMS ist zwar eine Basis, nicht aber ein automatischer Garant für die Einhaltung der vier genannten Maßnahmen. 

Ein Mini-ISMS tut es auch

Im ersten Teil dieser Blogreihe habe ich Ihnen von dem ISA-Fragebogen berichtet. Mithilfe dieses Fragebogens werden verschiedene Sicherheitsszenarien abgefragt. Diese lassen sich mit einem durchdachten ISMS erfüllen – auch ohne ISO-Zertifizierung. Es muss also nicht immer ein ISO-zertifiziertes ISMS sein. 

Viele unserer Solutionbar-Kunden (zum Beispiel Agenturen), die für Automobilhersteller tätig sind, vertrauen auf ein – wie ich es nenne – „Mini-ISMS“. Diese Kunden haben mit unserer Hilfe Richtlinien erstellt, Sicherheitsschulungen abgehalten, Prozesse zur kontinuierlichen Verbesserung eingeführt und natürlich die vom VDA vorgegebenen Maßnahmen umgesetzt. Allein dadurch gelang es uns, die 0er- und 1er-Bewertungen im ISA-Fragebogen in 3er- und 4er-Bewertungen zu verwandeln (Zur Erinnerung: Die Bewertungsskala reicht von 0 bis 5, wobei 5 die beste Bewertung ist.). Bei den letzten drei Audits, die wir begleiten durften, hat das Mini-ISMS komplett ausgereicht, um die Auftraggeber unserer Kunden zufriedenzustellen. Die Kosten liegen bei etwa der Hälfte eines zertifizierten ISMS.

Das Schöne an einem Mini-ISMS: Es schafft Struktur, Vertrauen und zeigt Kompetenz. Sollte irgendwann eine ISO-Zertifizierung gefordert sein, kann auf die bereits ergriffenen Sicherheitsmaßnahmen aufgebaut werden – es wird also nicht bei Null gestartet. So macht es auch einer unserer Kunden, den wir im letzten Jahr auf ein Mini-ISMS umgestellt haben: Er lässt sich nun auch ISO-zertifizieren.

Die Probe aufs Exempel: Das interne Audit

Durch unser Knowhow und das Fachwissen, das wir im Rahmen der zuletzt begleiteten Audits weiter ausbauen konnten, können wir nicht nur unsere Solutionbar-Kunden, sondern auch Nicht-Kunden noch besser auf bevorstehende Audits vorbereiten. Dazu nutzen wir das Format „internes Audit“. Das ist übrigens Bestandteil eines jeden ISMS. Als Faustregel gilt: 

Mindestens einmal im Jahr sollte ein internes Audit durchgeführt werden.

Ein internes Audit ist die perfekte Vorbereitung auf das „richtige“ Audit mit dem Ziel der Zertifizierung. Steht ein Audit bevor oder wird eine Zertifizierung angestrebt, ist das interne Audit das Mittel der Wahl, um Sicherheitslücken auszumachen und im Anschluss zu beheben.