Schlagwort: iso27001

Die Neuauflage als Buch und Podcast: Mein Quick-Guide „DON’T PANIC – AND GET CERTIFIED“ geht in die dritte Runde

Warum der Quick-Guide? Und warum eine Neuauflage?

Vieles hat sich seit dem ersten Erscheinen des Quick-Guides geändert. Damals, 2018, kamen die neuartigen Themen DSGVO und TISAX auf Unternehmen zugerollt wie eine Flutwelle. Entsprechend viel Unsicherheit und Halbwissen gab es. Genau das war die Initialzündung für das Schreiben des Quick-Guides: Ich wollte einen ersten Überblick über die Themen geben und schnelle Hilfe anbieten. Ich hatte mit meiner Firma Nextwork bereits viel Erfahrung in Zertifizierungsprojekten mit Unternehmen aus unterschiedlichen Branchen gesammelt – und wollte diese einem breiteren Publikum zur Verfügung stellen. Damit hatte ich einen „guten Riecher“ bewiesen, denn meine Erwartungen wurden weit übertroffen: Die Nachfrage nach dem Quick-Guide war viel größer als gedacht. 

Mittlerweile sind zwei Jahre vergangen, in denen wir noch mehr Erfahrung durch unterschiedlichste TISAX- und DSGVO-Projekte gesammelt haben. Zusätzlich habe ich meinen Horizont noch auf einem anderen Weg erweitert: Durch meine Wissensvermittlung in Schulungen bekam ich noch viel direkteren Kontakt zu den meist gestellten Fragen und Unsicherheiten, welche die Leute umtreiben. Und: Ich fing an, noch genauer zuzuhören – und mehr mitzuschreiben. Dadurch ist noch etwas passiert: Mein Anspruch hat sich immens erhöht. Ich habe gemerkt, dass viel mehr Informationen in den Quick-Guide reinmüssen als bisher. In die neu überarbeitete Ausgabe sind jetzt also nicht mehr nur die Erfahrungen aus dem Projektgeschäft und aus über einhundert erfolgreichen Audits eingeflossen, sondern auch die vielen Fragen und Rückmeldungen aus den Schulungen.

Was ist neu? Konkrete Beispiele

Gap-Analyse: In einem TISAX- oder DSGVO-Prozess spielt die Gap-Analyse eine zentrale Rolle. Nur mithilfe einer sauber durchgeführten Gap-Analyse lassen sich konkrete Bedarfe ermitteln: Wo steht das Unternehmen – und was muss das Management für die Planung wissen? In der neuen Auflage enthält der Quick-Guide einen Leitfaden zur Durchführung einer Gap-Analyse. 

TISAX-Labels: Im Dschungel der TISAX-Labels ist es gar nicht leicht, den Überblick zu behalten. Was viele nicht wissen: Es gibt nicht die eine TISAX-Zertifizierung. Vielmehr unterscheidet man bei TISAX aktuell zwischen zehn verschiedenen Freigabelabels. Der neu aufgelegte Quick-Guide enthält deshalb eine anschauliche Übersicht darüber, welche TISAX-Labels es gibt. Außerdem beschreiben ergänzende Erklärungen, wofür welches Label benötigt wird.

Audit-Ablauf: Auch beim Audit gilt: Keine Panik! Auditoren sind nicht mit Dementoren zu verwechseln, sondern auch nur Menschen. Sie sind viel weniger furchteinflößend, als allgemein angenommen – vor allem, wenn man weiß, was im Umgang mit ihnen wichtig ist. Deshalb enthält der Quick-Guide eine ausführliche Beschreibung, wie Audits ablaufen und was dabei zu beachten ist.

Mein Motto: Own your compliance!

Bei all den neuen Richtlinien und Zertifizierungen könnte man als Unternehmer den Eindruck gewinnen, dass einem ständig Steine in den Weg gelegt werden, die den eigenen Handlungsspielraum immens einschränken. So kann man es sehen – muss man aber nicht. Ich bin der Meinung, dass Unternehmen die Themen Datenschutz und Informationssicherheit als Chance begreifen können. Und zwar als Chance dafür, sich fokussiert mit den Prozessen im eigenen Unternehmen auseinanderzusetzen, sie aufzuräumen, auszumisten, neu und zukunftsfähig aufzusetzen sowie gegebenenfalls zu digitalisieren. Im jetzigen Wissenszeitalter richtet sich der Fokus damit direkt auf das Herz der Wertschöpfung eines Unternehmens. 

Unternehmer können das Thema Compliance auch proaktiv betreiben. Statt sich nur von fremdbestimmten Regeln bevormundet zu sehen, sind sie auf diese Weise einfach schon einen Schritt weiter.

In diesem Sinne: Nutzen Sie die Chance, Ihre eigene Compliance zu schreiben – und formulieren Sie damit gleichzeitig eine Haltung, die zur Marke werden kann. 

Als Podcast
„DON’T PANIC – AND GET CERTIFIED“
Neu ab April 2020 auf Spotify und allen gängigen Podcast-Kanälen. Einfach nach dem Stichwort „tisax“ suchen 😉

Als Buch
„DON’T PANIC – AND GET CERTIFIED“
3. Überarbeitete Auflage, Veröffentlicht: 30.03.2020, Verlag: BoD, Norderstedt
ISBN: 9783751904759 (Support your local bookstore!)

Das war erst der Anfang: Jetzt kommen Informationssicherheit für den Film – und ePrivacy in Kalifornien

2018 brachte die Datenschutzgrundverordnung, 2019 den neuen Standard für Informationssicherheit der deutschen Automobilindustrie: TISAX®. Wer glaubt, dass das alles gewesen sei, der irrt. 2020 nämlich, geht es direkt so weiter. Das nächste große Ding ist die Zertifizierung für die US-Film- und Fernsehindustrie – und wie üblich tarnt sich auch diese mit einer harmlosen Abkürzung: TPN (Trusted Partner Network). Wer jetzt noch denkt, nur die sicherheitsversessenen Deutschen würden sich mit Datenschutzthemen herumschlagen, irrt ebenfalls: Zum 01. Januar 2020 ist mit dem California Consumer Privacy Act (CCPA) in Kalifornien eine neue ePrivacy-Verordnung in Kraft getreten. 

Spätestens jetzt wird das große Muster deutlich erkennbar: DSGVO und TISAX waren keine Eintagsfliegen, einmalige Ausrutscher oder nerviger Bürokratiekram, der es Unternehmen schwer macht, den man aber irgendwann von der Liste streichen kann. Vielmehr ist das die Digitalisierung, die langsam ihr wahres Gesicht zeigt: Sie macht Dinge transparenter – aber eben auch überwachbar und überprüfbar. Das betrifft nicht nur Geldströme und Gesichtserkennung, sondern eben auch Strukturen und Prozesse in Unternehmen. Mein Rat lautet also: Wer sich bisher noch irgendwie davor drücken konnte, sollte spätestens jetzt anfangen, Maßnahmen zu Datenschutz und Informationssicherheit zu ergreifen. Denn diese Themen kann man weder „aussitzen“, noch werden sie irgendwann einfach „weggehen“.

Security made in Germany 

Man liest es dieser Tage an jeder Ecke: Deutschlands Wirtschaft geht den Bach runter – und Schuld soll auch die DSGVO sein. Sie mache Prozesse umständlich und lege damit unsere Unternehmen lahm. Gegen Länder wie China, die im Umgang mit Datenschutz und Informationssicherheit nicht als die strengsten gelten, hätten wir keine Chance. Ähnlich sieht das auch Serien-Entrepreneur und jahrelanger „Die Höhle der Löwen“-Investor Frank Thelen. 

Ich empfehle sein Buch „Frank Thelen – Die Autobiografie: Startup-DNA – Hinfallen, aufstehen, die Welt verändern“ gerne, denn Frank Thelen stärkt den Unternehmergeist in diesem Land. Aber in diesem Punkt bin ich nicht seiner Meinung: Ich glaube, dass wir in Deutschland durch die EU-Richtlinie ein Bewusstsein für das Thema Datenschutz entwickelt haben – wir nehmen den Datenschutz ernst und haben bereits viele Erfahrungen in der Umsetzung gesammelt. Dadurch hat Deutschland jetzt die Chance, im Bereich Datenschutz und Informationssicherheit zum Vorreiter zu werden – ein Gütesiegel ähnlich dem Schweizer Bankgeheimnis. Endlich wieder ein neuer, heißer Wachstumsmarkt „made in Germany“.

Innovation durch Business-Frühjahrsputz

In unserer Grundlagen-Schulung „Foundation VDA ISA/TISAX“ vermitteln wir den Teilnehmern die wichtigsten Aspekte der Informationssicherheit. Wir beobachten dabei, dass in der öffentlichen Wahrnehmung vor allem die Vertraulichkeit im Vordergrund steht. Dabei wurde ihr von den TISAX-Machern ein natürlicher Gegenspieler an die Seite gestellt: die Verfügbarkeit. Wer sich nur auf die Vertraulichkeit konzentriert und alle Zugänge mit einer 12-Faktor-Authentifizierung verschlüsselt, vernachlässigt die Verfügbarkeit. Die Folge: Das Team wird Schwierigkeiten haben, überhaupt noch zu arbeiten. Wenn aber Vertraulichkeit und Verfügbarkeit sich die Waage halten, wird das eigene Unternehmen nicht langsamer. Nur sicherer. 

Das ist aber noch nicht alles. Wer erst einmal die eigene Bockigkeit ob des von außen aufoktroyierten Compliance-Audits überwunden hat, kann das Ganze als Chance betrachten, das gesamte Unternehmen mit Fokus auf die Prozesse zu durchleuchten und fit fürs Digitalzeitalter zu machen. Das ist wie mit dem Frühjahrsputz oder bei einem Umzug, wenn man einmal durch alle Schränke durchgeht, Sachen aussortiert, die man nicht mehr braucht, und die Ordnungssysteme auf Vordermann bringt. Dieses tolle Ritual gibt es leider nur in Privathaushalten, nicht in Unternehmen. Dabei setzt es Potenziale frei, fördert Innovation und hilft, sich auf das Wesentliche zu konzentrieren: Man glaubt kaum, wie viel gewachsenes Chaos, Behelfslösungen, Improvisation und Kesselflickerei es in Unternehmen gibt. Genau die sind es, die das Unternehmen langsam und unproduktiv machen – und nicht der Datenschutz.

Wir sind nicht die Einzigen, sondern die Ersten: CCPA und TPN are coming 

Doch unabhängig davon, wie man den Umgang mit DSGVO und TISAX hierzulande bewertet, ist eines klar: Deutschland und die EU sind nicht die Einzigen, die sich mit diesen Themen beschäftigen. Wir waren eine ganze Zeit lang einfach nur die Ersten. 2020 setzte Kalifornien mit dem CCPA, dem „California Consumer Privacy Act“, gerade einen Verbraucherschutz um, der mit der ePrivacy-Verordnung vergleichbar und die in der EU sogar bisher gescheitert ist. (Allerdings nur bisher: Die ePrivacy-Verordnung (ePVO) ist nicht vom Tisch und kommt schätzungsweise 2021.) 

Das, was TISAX für die Automobilindustrie ist, ist TPN ab sofort für die US-Film- und Fernsehindustrie: Die „Trusted Partner Network“-Zertifizierung bestätigt die Sicherheit von Auftragnehmern, die für Auftraggeber wie Netflix arbeiten wollen. TPN ist dabei keine Zukunftsmusik: Wir bei Nextwork haben auf Basis unserer vielen Erfahrungen mit TISAX einen TPN-Anforderungskatalog entwickelt und unterstützen Kunden aktuell schon bei den ersten TPN-Zertifizierungen. 

Don’t panic: Wer anfängt, dem gelingt jedes Datenschutz- und Informationssicherheits-„Upgrade“ 

Wer jetzt denkt, dass ein Tsunami an Zertifizierungen auf uns zurollt, den kann ich beruhigen. Die gute Nachricht ist: Hat man einmal ein Datenschutz- oder Informationsmanagementsystem angelegt, ist es halb so wild, das „Upgrade“ zu einer komplexeren Zertifizierung zu schaffen. Denn die Anforderungen rund um Datenschutz und Informationssicherheit haben immer auch Gemeinsamkeiten. Wer von Null auf den TPN-Standard kommen möchte, wird es schwer haben. Denn TPN fordert noch mehr Maßnahmen als TISAX. Wer aber schon Maßnahmen rund um die DSGVO ergriffen hat, für den ist es schon viel leichter, sich etwa auf ein TISAX-Audit vorzubereiten. Und wer schon TISAX gemeistert hat, wird es nicht so schwer haben, sich beispielsweise auch für TPN zu zertifizieren. 

Daher mein Rat: Unbedingt anfangen. Besonders, wenn man mit dem eigenen Unternehmen auch international unterwegs ist. Denn: Die Bestimmungen werden nicht weniger werden. 

Abschließend aber noch ein echter Lichtblick für alle, die jetzt erst loslegen: In der Pionier- und Anfangsphase mussten die Unternehmen, und auch wir, noch viel lernen und ausprobieren, was die Umsetzungsmöglichkeiten rund um Datenschutz und Informationssicherheit angeht. Jetzt aber gibt es Prozesse und Systeme, die schon erprobt sind – und bei denen aus den Fehlern der Pioniere gelernt wurde.

Wer hat Angst vorm Audit? (Teil 1)

„Wer hat Angst vorm schwarzen Mann? Niemand! Und wenn er aber kommt? Dann laufen wir davon!“


Eines ist sicher: Vor Audits davonlaufen
 wird nicht helfen. Selbst wenn Sie das Wort „Audit“ bis heute noch nie in Ihrem Leben gehört haben und bisher nichts damit zu tun hatten – meine Prognose ist: Schon nächstes Jahr werden Audits für Kreativagenturen zum Standard gehörenDas gilt zumindest für Agenturen, die für Konzernkunden arbeiten, Geschäftsberichte erstellen oder Projekte begleiten, die besonderer Sicherheitsvorkehrungen bedürfen (z. B. Produkteinführungen).

Im Rahmen dieser neuen Blog-Reihe möchte ich Ihnen zwei Dinge vermitteln:

  1. Sie müssen absolut keine Angst vor Audits haben.
  2. Bei Agenturen besteht durchaus Handlungsbedarf, sich aktiv mit dem Thema Informationssicherheit auseinanderzusetzen, um auch in Zukunft Aufträge von Großkunden zu bekommen.

In diesem ersten Teil geht es zunächst um die grundsätzlichen Begrifflichkeiten rund um das Thema Audit sowie den ersten Schritt im Audit-Prozess: die Beantwortung des Fragebogens.

Was ist denn jetzt ein Audit?

Ein Audit ist ein Verfahren, bei dem begutachtet wird, ob die agenturinternen Prozesse sowie die Datensicherheit den Anforderungen der „Industrienorm“ entsprechen. Früher wurden diese Anforderungen vertraglich festgehalten, die Einhaltung derselben durch Unterschrift des Dienstleisters bestätigt – und fertig war die Sache.

Heute, in Zeiten zunehmender Cyberkriminialität, ist den Auftraggebern die Sicherheit ihrer Daten so wichtig geworden, dass ihnen eine Unterschrift alleine nicht mehr genügt. Sie lassen die Einhaltung ihrer gestellten Anforderungen überprüfen. Das geschieht in Form von Audits – und diese werden durch externe IT-Dienstleister ausgeführt.

Alles beginnt mit einer E-Mail

Information-Security-Assessment-Fragebogen-ISA-DVAEines Tages erscheint sie in der Inbox: die E-Mail mit dem Betreff Bewertung der Informationssicherheit einer Partnerfirma. Im Anhang finden Sie dann einen komplizierten Fragebogen. Den versteht (ganz ehrlich) kein Mensch  es sei denn, dieser Mensch ist ein IT-Sicherheitsexperte. Die Reaktion auf die E-Mail jedenfalls ist nahezu immer gleich: Es kommt Panik auf! Man soll bewertet werden! Fällt man durch, verliert man den Auftrag oder gar den Kunden!

Die sorgenfreien Jahre sind vorbei

Seit Jahren gehe ich meinen Kunden mit dem Thema IT-Sicherheit auf die Nerven: Sichere Passwörter, Verschlüsselung von Daten und E-Mails sowie revisionssichere E-Mail-Archivierung sind dabei die Punkte, die zugegebenermaßen nicht besonders verlockend klingen. 

Nicht selten habe ich damit auf Granit gebissen (gelinde gesagt). Wenn nicht irgendwann eine größere Backup-Panne passiert ist, gab es ja auch kein konkretes Schreckensszenario, aufgrund dessen es sich gelohnt hätte, aktiv zu werden. Aber auch die „1234“-Passwort-Owner, die Local-Data-no-Backup-Typen und die Dropbox-User werden spätestens dann realisieren, dass sie etwas tun müssen, wenn besagte E-Mail bei ihnen eintrudelt und der Key Account in Gefahr ist. Wir müssen dann teilweise bei Null ansetzen, um die IT-Sicherheit in der Agentur auf ein Level zu bringen, das „audit-proof“ (also revisionssicher) ist.

Agenturen, die sich bereits mit dem Thema Informationssicherheit auseinandergesetzt haben, befinden sich natürlich in einer anderen Ausgangssituation. Hier genügen oft nur wenige Optimierungsmaßnahmen, damit diese Agenturen die Audits bestehen.

ISO, ISA? Worum geht es überhaupt?

Die Kriterien, die im Fragebogen abgefragt werden, leiten sich aus der ISO-Norm 27001 ab, dem internationalen Standard für Informationssicherheit.

Viele nutzen die ISO-Richtlinien als praktisches Tool, um sich selbst zu kontrollieren – und auch, um sich ISO-zertifizieren zu lassen. Gerade bei größeren Produktionsbetrieben ist es üblich, sich gemäß der ISO 9000 (Qualitätsmanagement) zertifizieren zu lassen. Das ist in der Fertigungsbranche bereits seit vielen Jahren Grundvoraussetzung, um Aufträge zu bekommen.

Im Zuge der Digitalisierung wird der Bedarf an IT-Sicherheitszertifizierungen immer größer. Man kennt das beispielsweise aus dem E-CommerceWeil Onlineshops vertrauliche Daten wie Adressen oder Kreditkartennummern verarbeiten, gibt es hier seit einigen Jahren Sicherheitszertifizierungen wie das bekannte „Trusted Shops“ – ein Gütesiegel mit Käuferschutz für Onlineshops

Um eine Basis zu schaffen, die für alle Unternehmen gilt, hat das BSI gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT-Grundschutz entwickelt und dieses an die Anforderungen der ISO 27001 angepasst. Seit mehr als zehn Jahren können ISO-27001-Zertifikate auf Basis des IT-Grundschutzes beim BSI beantragt werden. Das ist eine Zertifizierung, die gerade für international tätige Unternehmen interessant ist – und auch von immer mehr Unternehmen in Anspruch genommen wird. Schließlich lässt sich mithilfe des Zertifikats nachweisen, dass das Unternehmen alle erforderlichen Maßnahmen im Sinne eines größtmöglichen Datenschutzes ergreift.


Die drei Grundwerte der Informationssicherheit:
VertraulichkeitVerfügbarkeit und Integrität. Für Unternehmen bedeutet das:
1.     Sie müssen sensible Informationen vor dem Zugriff durch Unbefugte schützen.
2.     Die Angestellten (Befugten) müssen bei Bedarf auf die Daten zugreifen können.
3.     Die Daten können nicht manipuliert werden.


ISA-Fragebogen: Eine Wissenschaft für sich

Nehmen wir Folgendes an: Ein Automobilkonzern plant den Marktstart eines neuen Fahrzeugmodells. Die Agentur XYZ wurde damit beauftragt, sämtliche Marketingmaßnahmen zum Launch des Fahrzeugs zu steuern. Hierzu bekommt die Agentur Informationen zum neuen Modell, also Bilder, Fahrzeugdaten u. v. m.

Der Konzern möchte kein Risiko eingehen und gibt deshalb ein Audit in Auftrag. Für diese Zwecke hat der Verband der Automobilindustrie e. V. (VDA) – in der aktuellen Version 2.1.3 – die ISO  7002:2013 als Grundlage für die eigenen Sicherheitsstandards genommen und das „Information Security Assessment“ (ISA) entwickelt. Der Fragebogen, den die Agentur erhält, fragt die Anforderungen des ISA ab. Dieses orientiert sich an den drei Grundwerten der Informationssicherheit und hat dessen Einhaltung zum Ziel.

Wie bereits erwähnt, mutet der ISA-Fragebogen für Nicht-ITler zum Teil kryptisch an. Insgesamt besteht er aus 47 Fragen, die teilweise selbst nach dem dritten Lesen schwer zu verstehen sind. Ein Beispiel: „Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz umgesetzt?”
(Zum VDA-Fragebogen)

Und hier kommen wir ins Spiel

Es ist nur verständlich, dass sich die vom Automobilkonzern beauftragte Agentur nicht unbedingt selbst mit dem Fragebogen auseinandersetzen möchte. Zum einen, weil sie selbst noch keine Erfahrungen mit den Prozessen von Audits hat. Zum anderen, weil sie auf manche Fragen schlichtweg keine Antwort weiß

Jetzt kommen wir also dazu: Wir füllen den Fragebogen aus und besprechen die Ergebnisse anschließend mit der Agentur. Die Ergebnisse sind zunächst ernüchternd: Auf einer Skala von 0 bis 5 (wobei 5 dem größtmöglichen Sicherheitsstandard entspricht) mussten wir bei fast jeder Frage eine 0 oder eine 1 vergeben.

Und da ist er nun, dieser magische Moment, wenn dem Kunden die Augen geöffnet werden und er bereit ist, an seiner Informationssicherheit zu schrauben. Denn mit diesem Ergebnis möchte unser Kunde den Fragebogen (verständlicherweise) nicht abgeben. Also besprechen wir die Maßnahmen, die ergriffen werden können und müssen, um das Ergebnis zu verbessern.

Welche Maßnahmen die Nullen und Einsen im Fragebogen in Dreien und Vieren verwandeln, verrate ich im zweiten Teil dieser Blog-Reihe!