Schlagwort: isms

Das Fazit: Zwei Jahre DSGVO & TISAX

Die größten Irrtümer – und wie man sie lösen kann

Datenschutz und Informationssicherheit. Beides Themen, die schon allein vom Wort her nach viel Arbeit und wenig Freude klingen – und für die sich daher kaum einer freiwillig interessiert. Dazu dann die reellen Anforderungen und die inhaltliche Komplexität, die im ersten Moment verwirren und verunsichern können. Aber Tatsache ist: niemand kommt mehr daran vorbei. Welche Erfahrungen gibt es mittlerweile aus DSGVO- und TISAX-Projekten? Welche Irrtümer und Fehler passieren oft? Und welchen Nutzen kann ich als Unternehmen daraus ziehen? Nach zwei Jahren intensiver Zusammenarbeit mit kleinen und großen Kunden in unterschiedlichen Branchen quer durch Deutschland ziehen wir ein erstes Fazit.

Was sind das eigentlich für Kunden?
Und in welcher Situation rufen sie bei uns an?

»Der Einkauf von unserem Automobilkunden fordert jetzt TISAX« oder »Unser Auftraggeber hat uns drei verschiedene Datenschutz-Fragebögen geschickt« – in dieser konkreten Situation kommen unsere Kunden auf uns zu, und oft ist auch schon Druck auf dem Kessel. Mittlerweile betrifft es quer durch die Bank alle Unternehmen und Branchen. Besonders auch für das Thema TISAX gilt: Wer mit der Automobilbranche zu tun hat, kann inzwischen täglich mit einem Aufruf zum Audit rechnen. Das Spektrum umfasst in unseren Projekten Motorenentwickler, Ingenieurbüros, KfZ-Klimatechniker, Event- und Kreativagenturen, Prototypenbauer und -tester sowie Stahlbau-Unternehmen. Auch alle Unternehmensgrößen sind dabei, von 10 bis mehreren Tausend Mitarbeitern ist alles dabei. TISAX und DSGVO betrifft alle, und alle müssen für sich die Frage beantworten, wo sie stehen, wie sie die Auflagen erfüllen und in die Unternehmenskultur integrieren können.

Was sind die fünf größten Irrtümer – und was die Lösung?

Mittlerweile gibt es viele Erfahrungswerte auf Seiten der Unternehmen. Dennoch ist es erstaunlich, wie viele Irrtümer und Fehleinschätzungen sich zu den Themen TISAX und DSGVO hartnäckig halten. Hier die beliebtesten fünf – und erst danach unser Lösungsansatz.  

  1. Es ist KEIN IT-Projekt

In 90% aller Fälle landen diese Themen beim IT-Chef. Dort ist das Thema allerdings ganz falsch aufgehängt. Das wird auch der IT-Chef merken, nachdem er sich die Anforderungen eines TISAX-Audits angeschaut hat. Er wird das Thema nicht lösen können. Informationssicherheit und Datenschutz betreffen jeden Bereichs des Unternehmens: die Geschäftsführung, Human Resources, die Legal Abteilung, Controlling und jeden einzelnen Mitarbeiter.

Lösung: Das Thema ist von Anfang an ein Chef-Thema und ist nur in der Geschäftsführung richtig aufgehängt. Um ihn herum baut ihr eine Task-Force auf, ein internes Team, das sich dauerhaft um die Aufgaben kümmert.

 

  1. Man kann es nicht outsourcen

Das Unternehmen kann diese Aufgabe nicht komplett an ein externes Unternehmen übertragen, das sich »damit auskennt« und sich »um alles kümmert«, nach dem Motto, »Macht, dass wir TISAX haben.« Es passiert jedoch nichtdestotrotz, vor allem, weil die Verantwortlichen am liebsten nichts mit der Sache zu tun haben wollen und schlicht und ergreifend genug anderes zu tun haben. Dies wird nicht funktionieren, denn TISAX und DSGVO haben zu viel mit den internen Prozessen zu tun.

Lösung: Statt das Thema »über den Zaun« zu einem externen Profi zu werfen, sucht die enge Zusammenarbeit und Verzahnung Eures Unternehmen mit einem spezialisierten externen Profi, sozusagen eine »innen-außen«-Kooperation.  

 

  1. Nein, eine Firewall reicht nicht

»Wir haben jetzt dieses Angebot für eine neue Firewall eingeholt – das wird das Thema ja dann lösen, oder?« (Originalzitat). Ähm – nein. Wir haben noch keine Firewall gesehen, die technische, organisatorische und bauliche Maßnahmen umsetzt – und dann auch noch die Mitarbeiter schult.

Lösung: Siehe 1.

 

  1. Ein Audit ist keine GAP-Analyse

Vor dem ersten Audit keine GAP Analyse zu machen, ist ein bisschen so, als würde ein Restaurant das Gesundheitsamt anrufen, ohne vorher die Küche zu putzen.

Lösung: Wenn ihr zusätzliche Prüfungsschleifen (und Kosten) vermeiden wollt, solltet ihr euch zuerst einen Überblick über den aktuellen Stand der eigenen Sicherheitsstandards verschaffen – mittels einer Gap-Analyse. So könnt ihr im Vorfeld schon Maßnahmen ergreifen, um die Anforderungen von TISAX und DSGVO zu erfüllen.

 

  1. Es ist nicht mal eben gemacht und es ist nie zu Ende

Ok, geschafft. Audit bestanden. Aber das größte Problem kommt zum Schluss. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern sich nachweisbar verbessert werden – und das wird regelmäßig geprüft. Wenn man bei der viel härteren Re-Zertifizierung, in der Regel nach drei Jahren, keine Prüfprotokolle, Auditberichte und Dokumentation nachweisen kann, fällt man durch und verliert die Zertifizierung.

Lösung: Die interne, feste Taskforce kümmert sich gemeinsam mit dem ISB (Informationssicherheitsbeauftragten) und dem DSB (Datenschutzbeauftragten) ab sofort dauerhaft um das Thema, nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Mehr Infos zu TISAX:

https://www.marcopeters.de/tisax/
https://www.nextwork.de/tisax

Wer hat Angst vorm Audit? (Teil 1)

„Wer hat Angst vorm schwarzen Mann? Niemand! Und wenn er aber kommt? Dann laufen wir davon!“


Eines ist sicher: Vor Audits davonlaufen
 wird nicht helfen. Selbst wenn Sie das Wort „Audit“ bis heute noch nie in Ihrem Leben gehört haben und bisher nichts damit zu tun hatten – meine Prognose ist: Schon nächstes Jahr werden Audits für Kreativagenturen zum Standard gehörenDas gilt zumindest für Agenturen, die für Konzernkunden arbeiten, Geschäftsberichte erstellen oder Projekte begleiten, die besonderer Sicherheitsvorkehrungen bedürfen (z. B. Produkteinführungen).

Im Rahmen dieser neuen Blog-Reihe möchte ich Ihnen zwei Dinge vermitteln:

  1. Sie müssen absolut keine Angst vor Audits haben.
  2. Bei Agenturen besteht durchaus Handlungsbedarf, sich aktiv mit dem Thema Informationssicherheit auseinanderzusetzen, um auch in Zukunft Aufträge von Großkunden zu bekommen.

In diesem ersten Teil geht es zunächst um die grundsätzlichen Begrifflichkeiten rund um das Thema Audit sowie den ersten Schritt im Audit-Prozess: die Beantwortung des Fragebogens.

Was ist denn jetzt ein Audit?

Ein Audit ist ein Verfahren, bei dem begutachtet wird, ob die agenturinternen Prozesse sowie die Datensicherheit den Anforderungen der „Industrienorm“ entsprechen. Früher wurden diese Anforderungen vertraglich festgehalten, die Einhaltung derselben durch Unterschrift des Dienstleisters bestätigt – und fertig war die Sache.

Heute, in Zeiten zunehmender Cyberkriminialität, ist den Auftraggebern die Sicherheit ihrer Daten so wichtig geworden, dass ihnen eine Unterschrift alleine nicht mehr genügt. Sie lassen die Einhaltung ihrer gestellten Anforderungen überprüfen. Das geschieht in Form von Audits – und diese werden durch externe IT-Dienstleister ausgeführt.

Alles beginnt mit einer E-Mail

Information-Security-Assessment-Fragebogen-ISA-DVAEines Tages erscheint sie in der Inbox: die E-Mail mit dem Betreff Bewertung der Informationssicherheit einer Partnerfirma. Im Anhang finden Sie dann einen komplizierten Fragebogen. Den versteht (ganz ehrlich) kein Mensch  es sei denn, dieser Mensch ist ein IT-Sicherheitsexperte. Die Reaktion auf die E-Mail jedenfalls ist nahezu immer gleich: Es kommt Panik auf! Man soll bewertet werden! Fällt man durch, verliert man den Auftrag oder gar den Kunden!

Die sorgenfreien Jahre sind vorbei

Seit Jahren gehe ich meinen Kunden mit dem Thema IT-Sicherheit auf die Nerven: Sichere Passwörter, Verschlüsselung von Daten und E-Mails sowie revisionssichere E-Mail-Archivierung sind dabei die Punkte, die zugegebenermaßen nicht besonders verlockend klingen. 

Nicht selten habe ich damit auf Granit gebissen (gelinde gesagt). Wenn nicht irgendwann eine größere Backup-Panne passiert ist, gab es ja auch kein konkretes Schreckensszenario, aufgrund dessen es sich gelohnt hätte, aktiv zu werden. Aber auch die „1234“-Passwort-Owner, die Local-Data-no-Backup-Typen und die Dropbox-User werden spätestens dann realisieren, dass sie etwas tun müssen, wenn besagte E-Mail bei ihnen eintrudelt und der Key Account in Gefahr ist. Wir müssen dann teilweise bei Null ansetzen, um die IT-Sicherheit in der Agentur auf ein Level zu bringen, das „audit-proof“ (also revisionssicher) ist.

Agenturen, die sich bereits mit dem Thema Informationssicherheit auseinandergesetzt haben, befinden sich natürlich in einer anderen Ausgangssituation. Hier genügen oft nur wenige Optimierungsmaßnahmen, damit diese Agenturen die Audits bestehen.

ISO, ISA? Worum geht es überhaupt?

Die Kriterien, die im Fragebogen abgefragt werden, leiten sich aus der ISO-Norm 27001 ab, dem internationalen Standard für Informationssicherheit.

Viele nutzen die ISO-Richtlinien als praktisches Tool, um sich selbst zu kontrollieren – und auch, um sich ISO-zertifizieren zu lassen. Gerade bei größeren Produktionsbetrieben ist es üblich, sich gemäß der ISO 9000 (Qualitätsmanagement) zertifizieren zu lassen. Das ist in der Fertigungsbranche bereits seit vielen Jahren Grundvoraussetzung, um Aufträge zu bekommen.

Im Zuge der Digitalisierung wird der Bedarf an IT-Sicherheitszertifizierungen immer größer. Man kennt das beispielsweise aus dem E-CommerceWeil Onlineshops vertrauliche Daten wie Adressen oder Kreditkartennummern verarbeiten, gibt es hier seit einigen Jahren Sicherheitszertifizierungen wie das bekannte „Trusted Shops“ – ein Gütesiegel mit Käuferschutz für Onlineshops

Um eine Basis zu schaffen, die für alle Unternehmen gilt, hat das BSI gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT-Grundschutz entwickelt und dieses an die Anforderungen der ISO 27001 angepasst. Seit mehr als zehn Jahren können ISO-27001-Zertifikate auf Basis des IT-Grundschutzes beim BSI beantragt werden. Das ist eine Zertifizierung, die gerade für international tätige Unternehmen interessant ist – und auch von immer mehr Unternehmen in Anspruch genommen wird. Schließlich lässt sich mithilfe des Zertifikats nachweisen, dass das Unternehmen alle erforderlichen Maßnahmen im Sinne eines größtmöglichen Datenschutzes ergreift.


Die drei Grundwerte der Informationssicherheit:
VertraulichkeitVerfügbarkeit und Integrität. Für Unternehmen bedeutet das:
1.     Sie müssen sensible Informationen vor dem Zugriff durch Unbefugte schützen.
2.     Die Angestellten (Befugten) müssen bei Bedarf auf die Daten zugreifen können.
3.     Die Daten können nicht manipuliert werden.


ISA-Fragebogen: Eine Wissenschaft für sich

Nehmen wir Folgendes an: Ein Automobilkonzern plant den Marktstart eines neuen Fahrzeugmodells. Die Agentur XYZ wurde damit beauftragt, sämtliche Marketingmaßnahmen zum Launch des Fahrzeugs zu steuern. Hierzu bekommt die Agentur Informationen zum neuen Modell, also Bilder, Fahrzeugdaten u. v. m.

Der Konzern möchte kein Risiko eingehen und gibt deshalb ein Audit in Auftrag. Für diese Zwecke hat der Verband der Automobilindustrie e. V. (VDA) – in der aktuellen Version 2.1.3 – die ISO  7002:2013 als Grundlage für die eigenen Sicherheitsstandards genommen und das „Information Security Assessment“ (ISA) entwickelt. Der Fragebogen, den die Agentur erhält, fragt die Anforderungen des ISA ab. Dieses orientiert sich an den drei Grundwerten der Informationssicherheit und hat dessen Einhaltung zum Ziel.

Wie bereits erwähnt, mutet der ISA-Fragebogen für Nicht-ITler zum Teil kryptisch an. Insgesamt besteht er aus 47 Fragen, die teilweise selbst nach dem dritten Lesen schwer zu verstehen sind. Ein Beispiel: „Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz umgesetzt?”
(Zum VDA-Fragebogen)

Und hier kommen wir ins Spiel

Es ist nur verständlich, dass sich die vom Automobilkonzern beauftragte Agentur nicht unbedingt selbst mit dem Fragebogen auseinandersetzen möchte. Zum einen, weil sie selbst noch keine Erfahrungen mit den Prozessen von Audits hat. Zum anderen, weil sie auf manche Fragen schlichtweg keine Antwort weiß

Jetzt kommen wir also dazu: Wir füllen den Fragebogen aus und besprechen die Ergebnisse anschließend mit der Agentur. Die Ergebnisse sind zunächst ernüchternd: Auf einer Skala von 0 bis 5 (wobei 5 dem größtmöglichen Sicherheitsstandard entspricht) mussten wir bei fast jeder Frage eine 0 oder eine 1 vergeben.

Und da ist er nun, dieser magische Moment, wenn dem Kunden die Augen geöffnet werden und er bereit ist, an seiner Informationssicherheit zu schrauben. Denn mit diesem Ergebnis möchte unser Kunde den Fragebogen (verständlicherweise) nicht abgeben. Also besprechen wir die Maßnahmen, die ergriffen werden können und müssen, um das Ergebnis zu verbessern.

Welche Maßnahmen die Nullen und Einsen im Fragebogen in Dreien und Vieren verwandeln, verrate ich im zweiten Teil dieser Blog-Reihe!