Schlagwort: iso 27001

TISAX | Wie Unternehmen eine Zertifizierung erhalten

Was ist TISAX überhaupt?

Jedes Unternehmen, das für Kunden aus der Automobilindustrie arbeitet, braucht seit 2018 eine TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: We läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

Wer hat Angst vorm Audit? (Teil 2)

In den letzten Wochen und Monaten habe ich einige Audits begleitet. Es ist spannend, zu beobachten, wie dieses Thema immer mehr an Fahrt gewinnt. Das ist besonders bei solchen Kunden der Fall, die sich bisher nicht so intensiv mit dem Thema Informationssicherheit beschäftigt haben – weil sie es auch nie zwingend mussten. 

Ein Beispiel sind Agenturen. Von den Kreativhäusern erreichen uns immer mehr Anfragen wie diese: „Bei uns steht ein Audit an und wir wissen nicht, was nun zu tun ist.“ 

Diese vermehrt auftretenden Anfragen kommen nicht von ungefähr. Immer mehr Agenturen werden durch ihre Auftraggeber in Form eines „Lieferanten-Audits“ auf ihre Eignung überprüft – insbesondere solche, die für deutsche Automobilhersteller arbeiten. Denn gerade bei technischen Entwicklungen wird höchster Wert auf Informationssicherheit und Geheimhaltung gelegt.

Deshalb mein Tipp für jede Agentur, die mit diesen oder ähnlichen Kunden zu tun hat: Setzen Sie sich mit dem Thema Informationssicherheit auseinander! Wenn Sie dies getan haben, empfehle ich noch einen weiteren Schritt: Kümmern Sie sich um ein Information Security Management System (ISMS).

Fragen über Fragen

Ich kann mir vorstellen, dass Ihnen nun folgende Fragen unter den Nägeln brennen:

  1. Was ist denn ein ISMS?
  2. Was muss man bei der Implementierung eines ISMS berücksichtigen?
  3. Wann reicht ein „Mini-ISMS“ aus?
  4. Und was hat das alles mit dem VDA-Fragebogen aus Teil 1 zu tun?

Ein Audit – mehr als eine Unterschrift

Im ersten Teil dieser Blogreihe habe ich bereits erklärt, was ein Audit überhaupt ist. Noch einmal in der Kurzfassung: 

Ein Audit ist ein Verfahren, bei dem die unternehmensinternen Prozesse mit Blick auf die Informationssicherheit untersucht werden.

Ich habe im ersten Teil außerdem darauf hingewiesen, dass es bis vor wenigen Jahren ausreichte, seinen Kunden die Einhaltung von Sicherheitsrichtlinien durch eine Unterschrift zu bestätigen. 

Doch seit rund zwei Jahren sieht das anders aus: In Deutschland gibt es bereits Automobilhersteller, die von ihren Partnerfirmen, also natürlich auch von ihren Agenturen, ab einer Umsatzhöhe von einer Millionen Euro die ISO-27001-Zertifizierung fordern (oder zumindest ein ISMS, das den geforderten Standards gerecht wird – dazu aber später mehr). 

Das große Problem ist, dass die meisten Auftragnehmer nicht genau wissen, was sie da eigentlich unterschreiben. Während früher also eine bloße Unterschrift als Nachweis für das Vorhandensein einer ISO-Zertifizierung oder eines durchdachten ISMS ausreichte, wird die Einhaltung der Sicherheitsstandards (Maßnahmen) heute direkt beim Auftragnehmer überprüft – im Rahmen eines Audits. Sollte dabei herauskommen, dass die vereinbarten Sicherheitsstandards nicht eingehalten werden, besteht akuter Handlungsbedarf!

ISO und ISMS: Was ist was – und wo ist der Zusammenhang? 

Ganz einfach: Im Rahmen einer ISO-27001-Zertifizierung wird überprüft, ob ein Unternehmen ein ISMS hat, das die ISO-Anforderungen erfüllt. Der Name kann allerdings ganz schön verwirren: Aufgrund des Wörtchens „System“ im Namen denken viele, ein ISMS sei eine schicke Software-Lösung, die sich vollautomatisch um die Einhaltung der ISO-Richtlinien kümmert. Weit gefehlt! Ein ISMS ist vielmehr eine festgeschriebene und gelebte Strategie, die die Informationssicherheit im Unternehmen gewährleisten soll. Also zusammengefasst:

In einem ISMS sind Unternehmensprozesse definiert und Richtlinien festgelegt. Ein ISMS fungiert als Leitfaden für alle Beteiligten. 

Da hängt viel dran – denn ein ISMS muss gemanagt und durch die gesamte Belegschaft, die Chefetage sowie externe Dienstleister gelebt werden. Zudem sollte es einen Informationssicherheitsbeauftragten geben, der sich um das ISMS und dessen Einhaltung kümmert. 

Gesammelt werden die selbst festgelegten Standards in einer sogenannten „Sicherheitsleitlinie“. Wenn Sie das Wort in die Google-Suche eingeben, werden Sie viele Sicherheitsleitlinien finden, die Unternehmen öffentlich gemacht haben. Hier können Sie sich Inspiration holen! 

Nicht immer einfach: ISMS rechtfertigen 

Immer wenn ich das Thema ISO 27001 auf den Tisch bringe, stoße ich nicht gerade auf Begeisterung. Alle denken direkt an IT-Sicherheit – und genau dieses Thema macht den meisten keinen großen Spaß. 

Dabei handelt es sich bei der ISO 27001 überhaupt nicht um ein IT-Sicherheitszertifikat! 

Ein ISMS lässt sich selbst völlig ohne den Einsatz von Computern einführen. Nämlich bei allen Unternehmen, die ausschließlich mit Papier, Ordnern und Tresor arbeiten. So arbeiten zum Beispiel viele Steuerberater oder Richter.

Ein ISMS hat eben nicht immer (und wenn, dann nicht nur) mit IT-Sicherheit zu tun. Hier ist vielmehr festgelegt, wie in einem Unternehmen mit sensiblen Informationen umgegangen werden soll und muss. Ob am PC oder auf Papier – das spielt dabei eine eher untergeordnete Rolle.

Die hohe Kunst bei der Implementierung eines ISMS ist, alle Beteiligten von der Einhaltung der selbst auferlegten Sicherheitsstandards zu überzeugen. Die wichtigste Aufgabe heißt also: alle Mitarbeiter ins Boot holen. 

Tipp: Das geht am besten im Rahmen eines Events. Dem Team muss verdeutlicht werden, was für Ziele in Angriff genommen werden und warum die Einhaltung der Sicherheitsstandards dabei so wichtig ist. Das beste Argument: Die Einhaltung der ISMS-Richtlinien bedeutet Sicherheit – auch beim Kunden. Der vergibt dann gerne einen Auftrag, weil er Vertrauen in die Arbeit der Agentur hat.

Maßnahmenkatalog vs. ISO-Zertifizierung

Warum eine ISO-Zertifizierung Sinn ergibt, habe ich im ersten Teil bereits erklärt. Gerade Agenturen (und andere Dienstleister), die für Automobilkonzerne tätig sind, müssen ISO-zertifiziert sein, um Aufträge zu bekommen. 
ABER: Mit dieser Zertifizierung ist es nicht getan! 

Die Agentur bekommt vom Kunden zusätzlich einen Maßnahmenkatalog vorgelegt. Hierin sind die vom Verband der Automobilindustrie (VDA) festgelegten Maßnahmen verankert. Dazu gehören zum Beispiel:

  1. Die Zwei-Faktor-Authentifizierung für alle Computer
    Das ist der Identitätsnachweis eines Nutzers mittels der Kombination zweier verschiedener Komponenten. In Agenturen kommt dazu meist ein externer USB-Schlüssel zum Einsatz (z. B. der YubiKey).
  2. Verschlüsselte Festplatten
    Alle Rechner und Server müssen verschlüsselt sein.
  3. Verschlüsselung von E-Mails
    E-Mails müssen je nach Klassifizierung („intern“, „vertraulich“, „geheim“) verschlüsselt sein.
  4. Persönliche Passwörter und 90-Tage-Passwort-Änderung
    Jeder Benutzer hat ein eigenes Passwort, das kein anderer wissen oder einsehen darf (auch nicht in einer in Agenturen üblichen Passwortliste). Der Benutzer muss dieses Passwort außerdem alle 90 Tage ändern!

Wenn Sie sich also die Zeit genommen haben, ein ISMS einzuführen und zertifizieren zu lassen (das dauert etwa sechs bis zwölf Monate) und keine Kosten gescheut haben (mit 50 000 bis 100 000 Euro müssen Sie rechnen), dann haben Sie eine tolle Basis für Ihre Unternehmenssicherheit geschaffen. Die drei oben genannten und vom VDA geforderten Maßnahmen müssen dennoch verfolgt werden. Denn ein ISMS ist zwar eine Basis, nicht aber ein automatischer Garant für die Einhaltung der vier genannten Maßnahmen. 

Ein Mini-ISMS tut es auch

Im ersten Teil dieser Blogreihe habe ich Ihnen von dem ISA-Fragebogen berichtet. Mithilfe dieses Fragebogens werden verschiedene Sicherheitsszenarien abgefragt. Diese lassen sich mit einem durchdachten ISMS erfüllen – auch ohne ISO-Zertifizierung. Es muss also nicht immer ein ISO-zertifiziertes ISMS sein. 

Viele unserer Solutionbar-Kunden (zum Beispiel Agenturen), die für Automobilhersteller tätig sind, vertrauen auf ein – wie ich es nenne – „Mini-ISMS“. Diese Kunden haben mit unserer Hilfe Richtlinien erstellt, Sicherheitsschulungen abgehalten, Prozesse zur kontinuierlichen Verbesserung eingeführt und natürlich die vom VDA vorgegebenen Maßnahmen umgesetzt. Allein dadurch gelang es uns, die 0er- und 1er-Bewertungen im ISA-Fragebogen in 3er- und 4er-Bewertungen zu verwandeln (Zur Erinnerung: Die Bewertungsskala reicht von 0 bis 5, wobei 5 die beste Bewertung ist.). Bei den letzten drei Audits, die wir begleiten durften, hat das Mini-ISMS komplett ausgereicht, um die Auftraggeber unserer Kunden zufriedenzustellen. Die Kosten liegen bei etwa der Hälfte eines zertifizierten ISMS.

Das Schöne an einem Mini-ISMS: Es schafft Struktur, Vertrauen und zeigt Kompetenz. Sollte irgendwann eine ISO-Zertifizierung gefordert sein, kann auf die bereits ergriffenen Sicherheitsmaßnahmen aufgebaut werden – es wird also nicht bei Null gestartet. So macht es auch einer unserer Kunden, den wir im letzten Jahr auf ein Mini-ISMS umgestellt haben: Er lässt sich nun auch ISO-zertifizieren.

Die Probe aufs Exempel: Das interne Audit

Durch unser Knowhow und das Fachwissen, das wir im Rahmen der zuletzt begleiteten Audits weiter ausbauen konnten, können wir nicht nur unsere Solutionbar-Kunden, sondern auch Nicht-Kunden noch besser auf bevorstehende Audits vorbereiten. Dazu nutzen wir das Format „internes Audit“. Das ist übrigens Bestandteil eines jeden ISMS. Als Faustregel gilt: 

Mindestens einmal im Jahr sollte ein internes Audit durchgeführt werden.

Ein internes Audit ist die perfekte Vorbereitung auf das „richtige“ Audit mit dem Ziel der Zertifizierung. Steht ein Audit bevor oder wird eine Zertifizierung angestrebt, ist das interne Audit das Mittel der Wahl, um Sicherheitslücken auszumachen und im Anschluss zu beheben.

 

Wer hat Angst vorm Audit? (Teil 1)

„Wer hat Angst vorm schwarzen Mann? Niemand! Und wenn er aber kommt? Dann laufen wir davon!“


Eines ist sicher: Vor Audits davonlaufen
 wird nicht helfen. Selbst wenn Sie das Wort „Audit“ bis heute noch nie in Ihrem Leben gehört haben und bisher nichts damit zu tun hatten – meine Prognose ist: Schon nächstes Jahr werden Audits für Kreativagenturen zum Standard gehörenDas gilt zumindest für Agenturen, die für Konzernkunden arbeiten, Geschäftsberichte erstellen oder Projekte begleiten, die besonderer Sicherheitsvorkehrungen bedürfen (z. B. Produkteinführungen).

Im Rahmen dieser neuen Blog-Reihe möchte ich Ihnen zwei Dinge vermitteln:

  1. Sie müssen absolut keine Angst vor Audits haben.
  2. Bei Agenturen besteht durchaus Handlungsbedarf, sich aktiv mit dem Thema Informationssicherheit auseinanderzusetzen, um auch in Zukunft Aufträge von Großkunden zu bekommen.

In diesem ersten Teil geht es zunächst um die grundsätzlichen Begrifflichkeiten rund um das Thema Audit sowie den ersten Schritt im Audit-Prozess: die Beantwortung des Fragebogens.

Was ist denn jetzt ein Audit?

Ein Audit ist ein Verfahren, bei dem begutachtet wird, ob die agenturinternen Prozesse sowie die Datensicherheit den Anforderungen der „Industrienorm“ entsprechen. Früher wurden diese Anforderungen vertraglich festgehalten, die Einhaltung derselben durch Unterschrift des Dienstleisters bestätigt – und fertig war die Sache.

Heute, in Zeiten zunehmender Cyberkriminialität, ist den Auftraggebern die Sicherheit ihrer Daten so wichtig geworden, dass ihnen eine Unterschrift alleine nicht mehr genügt. Sie lassen die Einhaltung ihrer gestellten Anforderungen überprüfen. Das geschieht in Form von Audits – und diese werden durch externe IT-Dienstleister ausgeführt.

Alles beginnt mit einer E-Mail

Information-Security-Assessment-Fragebogen-ISA-DVAEines Tages erscheint sie in der Inbox: die E-Mail mit dem Betreff Bewertung der Informationssicherheit einer Partnerfirma. Im Anhang finden Sie dann einen komplizierten Fragebogen. Den versteht (ganz ehrlich) kein Mensch  es sei denn, dieser Mensch ist ein IT-Sicherheitsexperte. Die Reaktion auf die E-Mail jedenfalls ist nahezu immer gleich: Es kommt Panik auf! Man soll bewertet werden! Fällt man durch, verliert man den Auftrag oder gar den Kunden!

Die sorgenfreien Jahre sind vorbei

Seit Jahren gehe ich meinen Kunden mit dem Thema IT-Sicherheit auf die Nerven: Sichere Passwörter, Verschlüsselung von Daten und E-Mails sowie revisionssichere E-Mail-Archivierung sind dabei die Punkte, die zugegebenermaßen nicht besonders verlockend klingen. 

Nicht selten habe ich damit auf Granit gebissen (gelinde gesagt). Wenn nicht irgendwann eine größere Backup-Panne passiert ist, gab es ja auch kein konkretes Schreckensszenario, aufgrund dessen es sich gelohnt hätte, aktiv zu werden. Aber auch die „1234“-Passwort-Owner, die Local-Data-no-Backup-Typen und die Dropbox-User werden spätestens dann realisieren, dass sie etwas tun müssen, wenn besagte E-Mail bei ihnen eintrudelt und der Key Account in Gefahr ist. Wir müssen dann teilweise bei Null ansetzen, um die IT-Sicherheit in der Agentur auf ein Level zu bringen, das „audit-proof“ (also revisionssicher) ist.

Agenturen, die sich bereits mit dem Thema Informationssicherheit auseinandergesetzt haben, befinden sich natürlich in einer anderen Ausgangssituation. Hier genügen oft nur wenige Optimierungsmaßnahmen, damit diese Agenturen die Audits bestehen.

ISO, ISA? Worum geht es überhaupt?

Die Kriterien, die im Fragebogen abgefragt werden, leiten sich aus der ISO-Norm 27001 ab, dem internationalen Standard für Informationssicherheit.

Viele nutzen die ISO-Richtlinien als praktisches Tool, um sich selbst zu kontrollieren – und auch, um sich ISO-zertifizieren zu lassen. Gerade bei größeren Produktionsbetrieben ist es üblich, sich gemäß der ISO 9000 (Qualitätsmanagement) zertifizieren zu lassen. Das ist in der Fertigungsbranche bereits seit vielen Jahren Grundvoraussetzung, um Aufträge zu bekommen.

Im Zuge der Digitalisierung wird der Bedarf an IT-Sicherheitszertifizierungen immer größer. Man kennt das beispielsweise aus dem E-CommerceWeil Onlineshops vertrauliche Daten wie Adressen oder Kreditkartennummern verarbeiten, gibt es hier seit einigen Jahren Sicherheitszertifizierungen wie das bekannte „Trusted Shops“ – ein Gütesiegel mit Käuferschutz für Onlineshops

Um eine Basis zu schaffen, die für alle Unternehmen gilt, hat das BSI gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT-Grundschutz entwickelt und dieses an die Anforderungen der ISO 27001 angepasst. Seit mehr als zehn Jahren können ISO-27001-Zertifikate auf Basis des IT-Grundschutzes beim BSI beantragt werden. Das ist eine Zertifizierung, die gerade für international tätige Unternehmen interessant ist – und auch von immer mehr Unternehmen in Anspruch genommen wird. Schließlich lässt sich mithilfe des Zertifikats nachweisen, dass das Unternehmen alle erforderlichen Maßnahmen im Sinne eines größtmöglichen Datenschutzes ergreift.


Die drei Grundwerte der Informationssicherheit:
VertraulichkeitVerfügbarkeit und Integrität. Für Unternehmen bedeutet das:
1.     Sie müssen sensible Informationen vor dem Zugriff durch Unbefugte schützen.
2.     Die Angestellten (Befugten) müssen bei Bedarf auf die Daten zugreifen können.
3.     Die Daten können nicht manipuliert werden.


ISA-Fragebogen: Eine Wissenschaft für sich

Nehmen wir Folgendes an: Ein Automobilkonzern plant den Marktstart eines neuen Fahrzeugmodells. Die Agentur XYZ wurde damit beauftragt, sämtliche Marketingmaßnahmen zum Launch des Fahrzeugs zu steuern. Hierzu bekommt die Agentur Informationen zum neuen Modell, also Bilder, Fahrzeugdaten u. v. m.

Der Konzern möchte kein Risiko eingehen und gibt deshalb ein Audit in Auftrag. Für diese Zwecke hat der Verband der Automobilindustrie e. V. (VDA) – in der aktuellen Version 2.1.3 – die ISO  7002:2013 als Grundlage für die eigenen Sicherheitsstandards genommen und das „Information Security Assessment“ (ISA) entwickelt. Der Fragebogen, den die Agentur erhält, fragt die Anforderungen des ISA ab. Dieses orientiert sich an den drei Grundwerten der Informationssicherheit und hat dessen Einhaltung zum Ziel.

Wie bereits erwähnt, mutet der ISA-Fragebogen für Nicht-ITler zum Teil kryptisch an. Insgesamt besteht er aus 47 Fragen, die teilweise selbst nach dem dritten Lesen schwer zu verstehen sind. Ein Beispiel: „Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz umgesetzt?”
(Zum VDA-Fragebogen)

Und hier kommen wir ins Spiel

Es ist nur verständlich, dass sich die vom Automobilkonzern beauftragte Agentur nicht unbedingt selbst mit dem Fragebogen auseinandersetzen möchte. Zum einen, weil sie selbst noch keine Erfahrungen mit den Prozessen von Audits hat. Zum anderen, weil sie auf manche Fragen schlichtweg keine Antwort weiß

Jetzt kommen wir also dazu: Wir füllen den Fragebogen aus und besprechen die Ergebnisse anschließend mit der Agentur. Die Ergebnisse sind zunächst ernüchternd: Auf einer Skala von 0 bis 5 (wobei 5 dem größtmöglichen Sicherheitsstandard entspricht) mussten wir bei fast jeder Frage eine 0 oder eine 1 vergeben.

Und da ist er nun, dieser magische Moment, wenn dem Kunden die Augen geöffnet werden und er bereit ist, an seiner Informationssicherheit zu schrauben. Denn mit diesem Ergebnis möchte unser Kunde den Fragebogen (verständlicherweise) nicht abgeben. Also besprechen wir die Maßnahmen, die ergriffen werden können und müssen, um das Ergebnis zu verbessern.

Welche Maßnahmen die Nullen und Einsen im Fragebogen in Dreien und Vieren verwandeln, verrate ich im zweiten Teil dieser Blog-Reihe!