Schlagwort: iso 27001

Das war erst der Anfang: Jetzt kommen Informationssicherheit für den Film – und ePrivacy in Kalifornien

2018 brachte die Datenschutzgrundverordnung, 2019 den neuen Standard für Informationssicherheit der deutschen Automobilindustrie: TISAX®. Wer glaubt, dass das alles gewesen sei, der irrt. 2020 nämlich, geht es direkt so weiter. Das nächste große Ding ist die Zertifizierung für die US-Film- und Fernsehindustrie – und wie üblich tarnt sich auch diese mit einer harmlosen Abkürzung: TPN (Trusted Partner Network). Wer jetzt noch denkt, nur die sicherheitsversessenen Deutschen würden sich mit Datenschutzthemen herumschlagen, irrt ebenfalls: Zum 01. Januar 2020 ist mit dem California Consumer Privacy Act (CCPA) in Kalifornien eine neue ePrivacy-Verordnung in Kraft getreten. 

Spätestens jetzt wird das große Muster deutlich erkennbar: DSGVO und TISAX waren keine Eintagsfliegen, einmalige Ausrutscher oder nerviger Bürokratiekram, der es Unternehmen schwer macht, den man aber irgendwann von der Liste streichen kann. Vielmehr ist das die Digitalisierung, die langsam ihr wahres Gesicht zeigt: Sie macht Dinge transparenter – aber eben auch überwachbar und überprüfbar. Das betrifft nicht nur Geldströme und Gesichtserkennung, sondern eben auch Strukturen und Prozesse in Unternehmen. Mein Rat lautet also: Wer sich bisher noch irgendwie davor drücken konnte, sollte spätestens jetzt anfangen, Maßnahmen zu Datenschutz und Informationssicherheit zu ergreifen. Denn diese Themen kann man weder „aussitzen“, noch werden sie irgendwann einfach „weggehen“.

Security made in Germany 

Man liest es dieser Tage an jeder Ecke: Deutschlands Wirtschaft geht den Bach runter – und Schuld soll auch die DSGVO sein. Sie mache Prozesse umständlich und lege damit unsere Unternehmen lahm. Gegen Länder wie China, die im Umgang mit Datenschutz und Informationssicherheit nicht als die strengsten gelten, hätten wir keine Chance. Ähnlich sieht das auch Serien-Entrepreneur und jahrelanger „Die Höhle der Löwen“-Investor Frank Thelen. 

Ich empfehle sein Buch „Frank Thelen – Die Autobiografie: Startup-DNA – Hinfallen, aufstehen, die Welt verändern“ gerne, denn Frank Thelen stärkt den Unternehmergeist in diesem Land. Aber in diesem Punkt bin ich nicht seiner Meinung: Ich glaube, dass wir in Deutschland durch die EU-Richtlinie ein Bewusstsein für das Thema Datenschutz entwickelt haben – wir nehmen den Datenschutz ernst und haben bereits viele Erfahrungen in der Umsetzung gesammelt. Dadurch hat Deutschland jetzt die Chance, im Bereich Datenschutz und Informationssicherheit zum Vorreiter zu werden – ein Gütesiegel ähnlich dem Schweizer Bankgeheimnis. Endlich wieder ein neuer, heißer Wachstumsmarkt „made in Germany“.

Innovation durch Business-Frühjahrsputz

In unserer Grundlagen-Schulung „Foundation VDA ISA/TISAX“ vermitteln wir den Teilnehmern die wichtigsten Aspekte der Informationssicherheit. Wir beobachten dabei, dass in der öffentlichen Wahrnehmung vor allem die Vertraulichkeit im Vordergrund steht. Dabei wurde ihr von den TISAX-Machern ein natürlicher Gegenspieler an die Seite gestellt: die Verfügbarkeit. Wer sich nur auf die Vertraulichkeit konzentriert und alle Zugänge mit einer 12-Faktor-Authentifizierung verschlüsselt, vernachlässigt die Verfügbarkeit. Die Folge: Das Team wird Schwierigkeiten haben, überhaupt noch zu arbeiten. Wenn aber Vertraulichkeit und Verfügbarkeit sich die Waage halten, wird das eigene Unternehmen nicht langsamer. Nur sicherer. 

Das ist aber noch nicht alles. Wer erst einmal die eigene Bockigkeit ob des von außen aufoktroyierten Compliance-Audits überwunden hat, kann das Ganze als Chance betrachten, das gesamte Unternehmen mit Fokus auf die Prozesse zu durchleuchten und fit fürs Digitalzeitalter zu machen. Das ist wie mit dem Frühjahrsputz oder bei einem Umzug, wenn man einmal durch alle Schränke durchgeht, Sachen aussortiert, die man nicht mehr braucht, und die Ordnungssysteme auf Vordermann bringt. Dieses tolle Ritual gibt es leider nur in Privathaushalten, nicht in Unternehmen. Dabei setzt es Potenziale frei, fördert Innovation und hilft, sich auf das Wesentliche zu konzentrieren: Man glaubt kaum, wie viel gewachsenes Chaos, Behelfslösungen, Improvisation und Kesselflickerei es in Unternehmen gibt. Genau die sind es, die das Unternehmen langsam und unproduktiv machen – und nicht der Datenschutz.

Wir sind nicht die Einzigen, sondern die Ersten: CCPA und TPN are coming 

Doch unabhängig davon, wie man den Umgang mit DSGVO und TISAX hierzulande bewertet, ist eines klar: Deutschland und die EU sind nicht die Einzigen, die sich mit diesen Themen beschäftigen. Wir waren eine ganze Zeit lang einfach nur die Ersten. 2020 setzte Kalifornien mit dem CCPA, dem „California Consumer Privacy Act“, gerade einen Verbraucherschutz um, der mit der ePrivacy-Verordnung vergleichbar und die in der EU sogar bisher gescheitert ist. (Allerdings nur bisher: Die ePrivacy-Verordnung (ePVO) ist nicht vom Tisch und kommt schätzungsweise 2021.) 

Das, was TISAX für die Automobilindustrie ist, ist TPN ab sofort für die US-Film- und Fernsehindustrie: Die „Trusted Partner Network“-Zertifizierung bestätigt die Sicherheit von Auftragnehmern, die für Auftraggeber wie Netflix arbeiten wollen. TPN ist dabei keine Zukunftsmusik: Wir bei Nextwork haben auf Basis unserer vielen Erfahrungen mit TISAX einen TPN-Anforderungskatalog entwickelt und unterstützen Kunden aktuell schon bei den ersten TPN-Zertifizierungen. 

Don’t panic: Wer anfängt, dem gelingt jedes Datenschutz- und Informationssicherheits-„Upgrade“ 

Wer jetzt denkt, dass ein Tsunami an Zertifizierungen auf uns zurollt, den kann ich beruhigen. Die gute Nachricht ist: Hat man einmal ein Datenschutz- oder Informationsmanagementsystem angelegt, ist es halb so wild, das „Upgrade“ zu einer komplexeren Zertifizierung zu schaffen. Denn die Anforderungen rund um Datenschutz und Informationssicherheit haben immer auch Gemeinsamkeiten. Wer von Null auf den TPN-Standard kommen möchte, wird es schwer haben. Denn TPN fordert noch mehr Maßnahmen als TISAX. Wer aber schon Maßnahmen rund um die DSGVO ergriffen hat, für den ist es schon viel leichter, sich etwa auf ein TISAX-Audit vorzubereiten. Und wer schon TISAX gemeistert hat, wird es nicht so schwer haben, sich beispielsweise auch für TPN zu zertifizieren. 

Daher mein Rat: Unbedingt anfangen. Besonders, wenn man mit dem eigenen Unternehmen auch international unterwegs ist. Denn: Die Bestimmungen werden nicht weniger werden. 

Abschließend aber noch ein echter Lichtblick für alle, die jetzt erst loslegen: In der Pionier- und Anfangsphase mussten die Unternehmen, und auch wir, noch viel lernen und ausprobieren, was die Umsetzungsmöglichkeiten rund um Datenschutz und Informationssicherheit angeht. Jetzt aber gibt es Prozesse und Systeme, die schon erprobt sind – und bei denen aus den Fehlern der Pioniere gelernt wurde.

TISAX | Wie Unternehmen eine Zertifizierung erhalten

tisax

Was ist TISAX überhaupt?

Immer mehr Unternehmen, die für Kunden aus der Automobilindustrie arbeiten, brauchen  eine TISAX-Zertifizierung bzw. TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen 50+ Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine Gap-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog (VDA ISA) wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und *Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

(Bei Unternehmen mit ca. 10 bis 99 Mitarbeitern)
ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: Wie läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

Wer hat Angst vorm Audit? (Teil 2)

In den letzten Wochen und Monaten habe ich einige Audits begleitet. Es ist spannend, zu beobachten, wie dieses Thema immer mehr an Fahrt gewinnt. Das ist besonders bei solchen Kunden der Fall, die sich bisher nicht so intensiv mit dem Thema Informationssicherheit beschäftigt haben – weil sie es auch nie zwingend mussten. 

Ein Beispiel sind Agenturen. Von den Kreativhäusern erreichen uns immer mehr Anfragen wie diese: „Bei uns steht ein Audit an und wir wissen nicht, was nun zu tun ist.“ 

Diese vermehrt auftretenden Anfragen kommen nicht von ungefähr. Immer mehr Agenturen werden durch ihre Auftraggeber in Form eines „Lieferanten-Audits“ auf ihre Eignung überprüft – insbesondere solche, die für deutsche Automobilhersteller arbeiten. Denn gerade bei technischen Entwicklungen wird höchster Wert auf Informationssicherheit und Geheimhaltung gelegt.

Deshalb mein Tipp für jede Agentur, die mit diesen oder ähnlichen Kunden zu tun hat: Setzen Sie sich mit dem Thema Informationssicherheit auseinander! Wenn Sie dies getan haben, empfehle ich noch einen weiteren Schritt: Kümmern Sie sich um ein Information Security Management System (ISMS).

Fragen über Fragen

Ich kann mir vorstellen, dass Ihnen nun folgende Fragen unter den Nägeln brennen:

  1. Was ist denn ein ISMS?
  2. Was muss man bei der Implementierung eines ISMS berücksichtigen?
  3. Wann reicht ein „Mini-ISMS“ aus?
  4. Und was hat das alles mit dem VDA-Fragebogen aus Teil 1 zu tun?

Ein Audit – mehr als eine Unterschrift

Im ersten Teil dieser Blogreihe habe ich bereits erklärt, was ein Audit überhaupt ist. Noch einmal in der Kurzfassung: 

Ein Audit ist ein Verfahren, bei dem die unternehmensinternen Prozesse mit Blick auf die Informationssicherheit untersucht werden.

Ich habe im ersten Teil außerdem darauf hingewiesen, dass es bis vor wenigen Jahren ausreichte, seinen Kunden die Einhaltung von Sicherheitsrichtlinien durch eine Unterschrift zu bestätigen. 

Doch seit rund zwei Jahren sieht das anders aus: In Deutschland gibt es bereits Automobilhersteller, die von ihren Partnerfirmen, also natürlich auch von ihren Agenturen, ab einer Umsatzhöhe von einer Millionen Euro die ISO-27001-Zertifizierung fordern (oder zumindest ein ISMS, das den geforderten Standards gerecht wird – dazu aber später mehr). 

Das große Problem ist, dass die meisten Auftragnehmer nicht genau wissen, was sie da eigentlich unterschreiben. Während früher also eine bloße Unterschrift als Nachweis für das Vorhandensein einer ISO-Zertifizierung oder eines durchdachten ISMS ausreichte, wird die Einhaltung der Sicherheitsstandards (Maßnahmen) heute direkt beim Auftragnehmer überprüft – im Rahmen eines Audits. Sollte dabei herauskommen, dass die vereinbarten Sicherheitsstandards nicht eingehalten werden, besteht akuter Handlungsbedarf!

ISO und ISMS: Was ist was – und wo ist der Zusammenhang? 

Ganz einfach: Im Rahmen einer ISO-27001-Zertifizierung wird überprüft, ob ein Unternehmen ein ISMS hat, das die ISO-Anforderungen erfüllt. Der Name kann allerdings ganz schön verwirren: Aufgrund des Wörtchens „System“ im Namen denken viele, ein ISMS sei eine schicke Software-Lösung, die sich vollautomatisch um die Einhaltung der ISO-Richtlinien kümmert. Weit gefehlt! Ein ISMS ist vielmehr eine festgeschriebene und gelebte Strategie, die die Informationssicherheit im Unternehmen gewährleisten soll. Also zusammengefasst:

In einem ISMS sind Unternehmensprozesse definiert und Richtlinien festgelegt. Ein ISMS fungiert als Leitfaden für alle Beteiligten. 

Da hängt viel dran – denn ein ISMS muss gemanagt und durch die gesamte Belegschaft, die Chefetage sowie externe Dienstleister gelebt werden. Zudem sollte es einen Informationssicherheitsbeauftragten geben, der sich um das ISMS und dessen Einhaltung kümmert. 

Gesammelt werden die selbst festgelegten Standards in einer sogenannten „Sicherheitsleitlinie“. Wenn Sie das Wort in die Google-Suche eingeben, werden Sie viele Sicherheitsleitlinien finden, die Unternehmen öffentlich gemacht haben. Hier können Sie sich Inspiration holen! 

Nicht immer einfach: ISMS rechtfertigen 

Immer wenn ich das Thema ISO 27001 auf den Tisch bringe, stoße ich nicht gerade auf Begeisterung. Alle denken direkt an IT-Sicherheit – und genau dieses Thema macht den meisten keinen großen Spaß. 

Dabei handelt es sich bei der ISO 27001 überhaupt nicht um ein IT-Sicherheitszertifikat! 

Ein ISMS lässt sich selbst völlig ohne den Einsatz von Computern einführen. Nämlich bei allen Unternehmen, die ausschließlich mit Papier, Ordnern und Tresor arbeiten. So arbeiten zum Beispiel viele Steuerberater oder Richter.

Ein ISMS hat eben nicht immer (und wenn, dann nicht nur) mit IT-Sicherheit zu tun. Hier ist vielmehr festgelegt, wie in einem Unternehmen mit sensiblen Informationen umgegangen werden soll und muss. Ob am PC oder auf Papier – das spielt dabei eine eher untergeordnete Rolle.

Die hohe Kunst bei der Implementierung eines ISMS ist, alle Beteiligten von der Einhaltung der selbst auferlegten Sicherheitsstandards zu überzeugen. Die wichtigste Aufgabe heißt also: alle Mitarbeiter ins Boot holen. 

Tipp: Das geht am besten im Rahmen eines Events. Dem Team muss verdeutlicht werden, was für Ziele in Angriff genommen werden und warum die Einhaltung der Sicherheitsstandards dabei so wichtig ist. Das beste Argument: Die Einhaltung der ISMS-Richtlinien bedeutet Sicherheit – auch beim Kunden. Der vergibt dann gerne einen Auftrag, weil er Vertrauen in die Arbeit der Agentur hat.

Maßnahmenkatalog vs. ISO-Zertifizierung

Warum eine ISO-Zertifizierung Sinn ergibt, habe ich im ersten Teil bereits erklärt. Gerade Agenturen (und andere Dienstleister), die für Automobilkonzerne tätig sind, müssen ISO-zertifiziert sein, um Aufträge zu bekommen. 
ABER: Mit dieser Zertifizierung ist es nicht getan! 

Die Agentur bekommt vom Kunden zusätzlich einen Maßnahmenkatalog vorgelegt. Hierin sind die vom Verband der Automobilindustrie (VDA) festgelegten Maßnahmen verankert. Dazu gehören zum Beispiel:

  1. Die Zwei-Faktor-Authentifizierung für alle Computer
    Das ist der Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener Komponenten. In Agenturen kommt dazu meist ein externer USB-Schlüssel zum Einsatz (z. B. der YubiKey).
  2. Verschlüsselte Festplatten
    Alle Rechner und Server müssen verschlüsselt sein.
  3. Verschlüsselung von E-Mails
    E-Mails müssen je nach Klassifizierung („intern“, „vertraulich“, „geheim“) verschlüsselt sein.
  4. Persönliche Passwörter und 90-Tage-Passwort-Änderung
    Jeder Benutzer hat ein eigenes Passwort, das kein anderer wissen oder einsehen darf (auch nicht in einer in Agenturen üblichen Passwortliste). Der Benutzer muss dieses Passwort außerdem alle 90 Tage ändern!

Wenn Sie sich also die Zeit genommen haben, ein ISMS einzuführen und zertifizieren zu lassen (das dauert etwa sechs bis zwölf Monate) und keine Kosten gescheut haben (mit 50 000 bis 100 000 Euro müssen Sie rechnen), dann haben Sie eine tolle Basis für Ihre Unternehmenssicherheit geschaffen. Die drei oben genannten und vom VDA geforderten Maßnahmen müssen dennoch verfolgt werden. Denn ein ISMS ist zwar eine Basis, nicht aber ein automatischer Garant für die Einhaltung der vier genannten Maßnahmen. 

Ein Mini-ISMS tut es auch

Im ersten Teil dieser Blogreihe habe ich Ihnen von dem ISA-Fragebogen berichtet. Mithilfe dieses Fragebogens werden verschiedene Sicherheitsszenarien abgefragt. Diese lassen sich mit einem durchdachten ISMS erfüllen – auch ohne ISO-Zertifizierung. Es muss also nicht immer ein ISO-zertifiziertes ISMS sein. 

Viele unserer Solutionbar-Kunden (zum Beispiel Agenturen), die für Automobilhersteller tätig sind, vertrauen auf ein – wie ich es nenne – „Mini-ISMS“. Diese Kunden haben mit unserer Hilfe Richtlinien erstellt, Sicherheitsschulungen abgehalten, Prozesse zur kontinuierlichen Verbesserung eingeführt und natürlich die vom VDA vorgegebenen Maßnahmen umgesetzt. Allein dadurch gelang es uns, die 0er- und 1er-Bewertungen im ISA-Fragebogen in 3er- und 4er-Bewertungen zu verwandeln (Zur Erinnerung: Die Bewertungsskala reicht von 0 bis 5, wobei 5 die beste Bewertung ist.). Bei den letzten drei Audits, die wir begleiten durften, hat das Mini-ISMS komplett ausgereicht, um die Auftraggeber unserer Kunden zufriedenzustellen. Die Kosten liegen bei etwa der Hälfte eines zertifizierten ISMS.

Das Schöne an einem Mini-ISMS: Es schafft Struktur, Vertrauen und zeigt Kompetenz. Sollte irgendwann eine ISO-Zertifizierung gefordert sein, kann auf die bereits ergriffenen Sicherheitsmaßnahmen aufgebaut werden – es wird also nicht bei Null gestartet. So macht es auch einer unserer Kunden, den wir im letzten Jahr auf ein Mini-ISMS umgestellt haben: Er lässt sich nun auch ISO-zertifizieren.

Die Probe aufs Exempel: Das interne Audit

Durch unser Knowhow und das Fachwissen, das wir im Rahmen der zuletzt begleiteten Audits weiter ausbauen konnten, können wir nicht nur unsere Solutionbar-Kunden, sondern auch Nicht-Kunden noch besser auf bevorstehende Audits vorbereiten. Dazu nutzen wir das Format „internes Audit“. Das ist übrigens Bestandteil eines jeden ISMS. Als Faustregel gilt: 

Mindestens einmal im Jahr sollte ein internes Audit durchgeführt werden.

Ein internes Audit ist die perfekte Vorbereitung auf das „richtige“ Audit mit dem Ziel der Zertifizierung. Steht ein Audit bevor oder wird eine Zertifizierung angestrebt, ist das interne Audit das Mittel der Wahl, um Sicherheitslücken auszumachen und im Anschluss zu beheben.

 

Wer hat Angst vorm Audit? (Teil 1)

„Wer hat Angst vorm schwarzen Mann? Niemand! Und wenn er aber kommt? Dann laufen wir davon!“


Eines ist sicher: Vor Audits davonlaufen
 wird nicht helfen. Selbst wenn Sie das Wort „Audit“ bis heute noch nie in Ihrem Leben gehört haben und bisher nichts damit zu tun hatten – meine Prognose ist: Schon nächstes Jahr werden Audits für Kreativagenturen zum Standard gehörenDas gilt zumindest für Agenturen, die für Konzernkunden arbeiten, Geschäftsberichte erstellen oder Projekte begleiten, die besonderer Sicherheitsvorkehrungen bedürfen (z. B. Produkteinführungen).

Im Rahmen dieser neuen Blog-Reihe möchte ich Ihnen zwei Dinge vermitteln:

  1. Sie müssen absolut keine Angst vor Audits haben.
  2. Bei Agenturen besteht durchaus Handlungsbedarf, sich aktiv mit dem Thema Informationssicherheit auseinanderzusetzen, um auch in Zukunft Aufträge von Großkunden zu bekommen.

In diesem ersten Teil geht es zunächst um die grundsätzlichen Begrifflichkeiten rund um das Thema Audit sowie den ersten Schritt im Audit-Prozess: die Beantwortung des Fragebogens.

Was ist denn jetzt ein Audit?

Ein Audit ist ein Verfahren, bei dem begutachtet wird, ob die agenturinternen Prozesse sowie die Datensicherheit den Anforderungen der „Industrienorm“ entsprechen. Früher wurden diese Anforderungen vertraglich festgehalten, die Einhaltung derselben durch Unterschrift des Dienstleisters bestätigt – und fertig war die Sache.

Heute, in Zeiten zunehmender Cyberkriminialität, ist den Auftraggebern die Sicherheit ihrer Daten so wichtig geworden, dass ihnen eine Unterschrift alleine nicht mehr genügt. Sie lassen die Einhaltung ihrer gestellten Anforderungen überprüfen. Das geschieht in Form von Audits – und diese werden durch externe IT-Dienstleister ausgeführt.

Alles beginnt mit einer E-Mail

Information-Security-Assessment-Fragebogen-ISA-DVAEines Tages erscheint sie in der Inbox: die E-Mail mit dem Betreff Bewertung der Informationssicherheit einer Partnerfirma. Im Anhang finden Sie dann einen komplizierten Fragebogen. Den versteht (ganz ehrlich) kein Mensch  es sei denn, dieser Mensch ist ein IT-Sicherheitsexperte. Die Reaktion auf die E-Mail jedenfalls ist nahezu immer gleich: Es kommt Panik auf! Man soll bewertet werden! Fällt man durch, verliert man den Auftrag oder gar den Kunden!

Die sorgenfreien Jahre sind vorbei

Seit Jahren gehe ich meinen Kunden mit dem Thema IT-Sicherheit auf die Nerven: Sichere Passwörter, Verschlüsselung von Daten und E-Mails sowie revisionssichere E-Mail-Archivierung sind dabei die Punkte, die zugegebenermaßen nicht besonders verlockend klingen. 

Nicht selten habe ich damit auf Granit gebissen (gelinde gesagt). Wenn nicht irgendwann eine größere Backup-Panne passiert ist, gab es ja auch kein konkretes Schreckensszenario, aufgrund dessen es sich gelohnt hätte, aktiv zu werden. Aber auch die „1234“-Passwort-Owner, die Local-Data-no-Backup-Typen und die Dropbox-User werden spätestens dann realisieren, dass sie etwas tun müssen, wenn besagte E-Mail bei ihnen eintrudelt und der Key Account in Gefahr ist. Wir müssen dann teilweise bei Null ansetzen, um die IT-Sicherheit in der Agentur auf ein Level zu bringen, das „audit-proof“ (also revisionssicher) ist.

Agenturen, die sich bereits mit dem Thema Informationssicherheit auseinandergesetzt haben, befinden sich natürlich in einer anderen Ausgangssituation. Hier genügen oft nur wenige Optimierungsmaßnahmen, damit diese Agenturen die Audits bestehen.

ISO, ISA? Worum geht es überhaupt?

Die Kriterien, die im Fragebogen abgefragt werden, leiten sich aus der ISO-Norm 27001 ab, dem internationalen Standard für Informationssicherheit.

Viele nutzen die ISO-Richtlinien als praktisches Tool, um sich selbst zu kontrollieren – und auch, um sich ISO-zertifizieren zu lassen. Gerade bei größeren Produktionsbetrieben ist es üblich, sich gemäß der ISO 9000 (Qualitätsmanagement) zertifizieren zu lassen. Das ist in der Fertigungsbranche bereits seit vielen Jahren Grundvoraussetzung, um Aufträge zu bekommen.

Im Zuge der Digitalisierung wird der Bedarf an IT-Sicherheitszertifizierungen immer größer. Man kennt das beispielsweise aus dem E-CommerceWeil Onlineshops vertrauliche Daten wie Adressen oder Kreditkartennummern verarbeiten, gibt es hier seit einigen Jahren Sicherheitszertifizierungen wie das bekannte „Trusted Shops“ – ein Gütesiegel mit Käuferschutz für Onlineshops

Um eine Basis zu schaffen, die für alle Unternehmen gilt, hat das BSI gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT-Grundschutz entwickelt und dieses an die Anforderungen der ISO 27001 angepasst. Seit mehr als zehn Jahren können ISO-27001-Zertifikate auf Basis des IT-Grundschutzes beim BSI beantragt werden. Das ist eine Zertifizierung, die gerade für international tätige Unternehmen interessant ist – und auch von immer mehr Unternehmen in Anspruch genommen wird. Schließlich lässt sich mithilfe des Zertifikats nachweisen, dass das Unternehmen alle erforderlichen Maßnahmen im Sinne eines größtmöglichen Datenschutzes ergreift.


Die drei Grundwerte der Informationssicherheit:
VertraulichkeitVerfügbarkeit und Integrität. Für Unternehmen bedeutet das:
1.     Sie müssen sensible Informationen vor dem Zugriff durch Unbefugte schützen.
2.     Die Angestellten (Befugten) müssen bei Bedarf auf die Daten zugreifen können.
3.     Die Daten können nicht manipuliert werden.


ISA-Fragebogen: Eine Wissenschaft für sich

Nehmen wir Folgendes an: Ein Automobilkonzern plant den Marktstart eines neuen Fahrzeugmodells. Die Agentur XYZ wurde damit beauftragt, sämtliche Marketingmaßnahmen zum Launch des Fahrzeugs zu steuern. Hierzu bekommt die Agentur Informationen zum neuen Modell, also Bilder, Fahrzeugdaten u. v. m.

Der Konzern möchte kein Risiko eingehen und gibt deshalb ein Audit in Auftrag. Für diese Zwecke hat der Verband der Automobilindustrie e. V. (VDA) – in der aktuellen Version 2.1.3 – die ISO  7002:2013 als Grundlage für die eigenen Sicherheitsstandards genommen und das „Information Security Assessment“ (ISA) entwickelt. Der Fragebogen, den die Agentur erhält, fragt die Anforderungen des ISA ab. Dieses orientiert sich an den drei Grundwerten der Informationssicherheit und hat dessen Einhaltung zum Ziel.

Wie bereits erwähnt, mutet der ISA-Fragebogen für Nicht-ITler zum Teil kryptisch an. Insgesamt besteht er aus 47 Fragen, die teilweise selbst nach dem dritten Lesen schwer zu verstehen sind. Ein Beispiel: „Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz umgesetzt?”
(Zum VDA-Fragebogen)

Und hier kommen wir ins Spiel

Es ist nur verständlich, dass sich die vom Automobilkonzern beauftragte Agentur nicht unbedingt selbst mit dem Fragebogen auseinandersetzen möchte. Zum einen, weil sie selbst noch keine Erfahrungen mit den Prozessen von Audits hat. Zum anderen, weil sie auf manche Fragen schlichtweg keine Antwort weiß

Jetzt kommen wir also dazu: Wir füllen den Fragebogen aus und besprechen die Ergebnisse anschließend mit der Agentur. Die Ergebnisse sind zunächst ernüchternd: Auf einer Skala von 0 bis 5 (wobei 5 dem größtmöglichen Sicherheitsstandard entspricht) mussten wir bei fast jeder Frage eine 0 oder eine 1 vergeben.

Und da ist er nun, dieser magische Moment, wenn dem Kunden die Augen geöffnet werden und er bereit ist, an seiner Informationssicherheit zu schrauben. Denn mit diesem Ergebnis möchte unser Kunde den Fragebogen (verständlicherweise) nicht abgeben. Also besprechen wir die Maßnahmen, die ergriffen werden können und müssen, um das Ergebnis zu verbessern.

Welche Maßnahmen die Nullen und Einsen im Fragebogen in Dreien und Vieren verwandeln, verrate ich im zweiten Teil dieser Blog-Reihe!