Schlagwort: richtlinien

TISAX | Wie Unternehmen eine Zertifizierung erhalten

Was ist TISAX überhaupt?

Jedes Unternehmen, das für Kunden aus der Automobilindustrie arbeitet, braucht seit 2018 eine TISAX-Freigabe. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir das Unternehmen dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf TISAX spezialisiert ist.

Wie hoch ist der Aufwand für die Einführung?

ca. 10 – 30 externe Beratertage
ca. 20 – 60 interne Personentage (ISB, IT, HR)
ca. 3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

ca. 1 – 2 Personentage pro Monat für den ISB (intern oder extern)
ca. 2 – 4 Personentage pro Monat für das DST (intern)

Wer kann helfen?

Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: We läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat aus?

Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax

Zwei Welten: Coworking und Datenschutz

„In unserem globalen Netzwerk von Arbeitsbereichen stehen persönliche Zusammenarbeit, gegenseitige Inspiration und Großzügigkeit an erster Stelle“, heißt es bei wework, einer der größten globalen Coworking-Anbieter (die dieses Jahr übrigens rund 4,4 Milliarden US-Dollar an Venture-Capital eingesammelt haben). Keine Frage, Coworking ist ein superheißer Trend. Alleine in Berlin gibt es weit über 100 Angebote dieser Art.

Der Trend geht über das reine Geschäftsmodell „Anbieten von Coworking-Space“ hinaus. Heute ist bei jedem modernen Bürobauprojekt Coworking bereits Standard. Es werden Flächen eingeplant, die ausgewiesenermaßen an Externe vermietet werden können. Ein prominentes Beispiel ist der neue Kreativcampus des Axel-Springer-Verlags in Berlin Mitte (Rem Kolhaas, Fertigstellung 2020): Hier umfasst die Planung CoworkingSpaces.

Auch Kreativagenturen werden zu Coworking-Space-Anbietern: Sie vermieten flexible Flächen an freie Projektteams und Freelancer unter. Am 19. Oktober 2017 verkündete Serviceplan hierzu den Launch eines Coworking-Angebots zusammen mit einer Hotelgruppe: RUBY und die Serviceplan Gruppe starten mit einem ersten gemeinsamen Coworking Space ein Joint Venture. Der Hotspot für kreatives, agiles und innovatives Arbeiten wird im Dezember 2017 eröffnet.

Schöne neue Welt des Coworkings

CoworkingSpaces kommen den „Grundbedürfnissen“ von Kreativen nach: schnelles Internet, 24-Stunden-Zugang, fette Drucker und Cappuccino aus der Siebträgermaschine. Aber sind Coworking-Spaces nicht noch mehr?

Vielleicht sind Coworking-Spaces heute das, was Agenturen in den 90er Jahren waren: Orte des unkomplizierten kreativen Austauschs, wo sich Creative Class, Hipster und Digitale Nomaden die Hand geben, immer ein mega angesagtes Projekt am Start. Wer einmal in einem Coworking-Space gearbeitet hat, weiß, dass hier andere Werte als in der gewöhnlichen, veralteten Arbeitswelt gelten: Kollaboration statt Silo-Denke, Flexibilität statt starre Struktur, Inspiration statt Hierarchien. Coworking ist nicht nur ein Trend, sondern ein Paradigmenwechsel in der Art und Weise, wie Menschen in Zukunft zusammenarbeiten.

Aber – Entschuldigung, dass ich jetzt der Spielverderber sein muss – wie ist das vereinbar mit den immer strenger werdenden Auflagen für Datenschutz und Informationssicherheit?

Der Gegentrend: TISAX und Datenschutz

In immer mehr Branchen wird von Unternehmen verlangt, eine Zertifizierung für die Erfüllung bestimmter Kriterien der Informationssicherheit einzuholen. Das betrifft etwa Agenturen und Zulieferer, die für die Automobilindustrie arbeiten. Sie brauchen ab 2018 ein TISAX-Zertifikat, ein von der Automobilindustrie definierter Standard für Informationssicherheit, um für Kunden wie VW oder BMW arbeiten zu dürfen. Ebenso relevant ist die Einhaltung der EU-Datenschutz-Grundverordnung, die den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 Abs. 2 DSGVO) zum Ziel hat.

Das Problem mit dem Datenschutz in Coworking-Spaces

Betrachtet man das Arbeiten unter Einhaltung der Informationssicherheits- und Datenschutzrichtlinien im Vergleich zur kreativen Arbeit in einem Coworking-Space, wird schnell ersichtlich: Hier sind zwei gegensätzliche Kräfte am Werk. Denn offensichtlich kann man Informationssicherheit und Datenschutz in der freigeistigen Welt der Coworking-Spaces nur schwer gerecht werden.

In Unternehmen, die mit sensiblen Daten umgehen, werden die Mitarbeiter zum Thema Datenschutz geschult. Es gibt einen Standard, zu dem sich das Unternehmen verpflichtet hat, und Richtlinien, die Orientierung und Handlungsanweisungen geben. Für dessen Einhaltung werden auch die Voraussetzungen im Büro geschaffen. Doch was, wenn Mitarbeiter auch im Homeoffice oder in einem Coworking-Space arbeiten dürfen? Oder wenn man mit Freelancern zusammenarbeitet, die regelmäßig im Coworking-Space sitzen?

In den offenen Räumen eines Coworking-Spaces laufen stets andere Coworker um die Schreibtische herum und holen sich Kaffee. Es herrscht eine Atmosphäre des lockeren Austauschs. Man guckt ganz automatisch auch mal auf den Bildschirm des Sitznachbarn und sieht Kalender, E-Mails oder vertrauliche Dokumente. Sie werden ja auch offen auf dem Bildschirm angezeigt. In Gesprächen fallen die Namen der Kunden und Ansprechpartner – oder sogar Details aus einem Projekt, das einer Vertraulichkeitsvereinbarung unterliegt. Man geht zum Drucker und sieht die Dokumente eines anderen Coworkers im Druckerfach liegen. Oder man wirft einen Blick in den Mülleimer und sieht Ausdrucke mit sensiblen Daten, die jeder lesen kann.

All diese Szenarien sind in Coworking-Spaces Alltag. Sie zeigen: Datenschutz und Informationssicherheit sind im Coworking-Space noch nicht angekommen. Coworking-Spaces sind sozusagen eine „Grauzone“ der Informationssicherheit. Oder einfach ein gigantisches, potenzielles Datenloch.

Wie können sich Coworker richtig verhalten?

Um das nochmal zu betonen: Ich spreche hier von solchen Projekten, für die ein Coworker eine Geheimhaltung (NDA) unterschrieben hat. Der Auftraggeber hat ihn somit in die Pflicht genommen, bestimmte Auflagen einzuhalten. Falls diese nicht präsent sind, sollte man im Zweifel nochmal nachschauen. In den meisten NDAs stehen mittlerweile ziemlich strenge Auflagen drin, z. B. E-Mail-Verschlüsselung, Passwort-Politik oder Einschränkungen bzgl. Datenaustauschtools (z. B. kein WeTransfer). Als professioneller Coworker muss man sich des Themas bewusst sein und sich ggf. neue Verhaltensweisen angewöhnen.

Lösung für Coworker: Lass dir die entsprechende Richtlinie deines Auftraggebers zeigen. Meist heißt sie Richtlinie zur EDV-Nutzung, Informationssicherheitsrichtlinie oder Betriebsrichtlinie. Jede moderne, gut gemachte Richtlinie regelt beispielsweise auch mobiles Arbeiten: Wie telefoniere ich richtig am Flughafen oder im Zug? Wie arbeite ich im Flieger am Laptop? Was muss ich im Homeoffice beachten? Wie verwalte ich Passwörter? Wenn man diese Richtlinien einhält, kann man überall arbeiten, auch im Coworking-Space.

Wie können sich Unternehmen richtig verhalten?

Unternehmen müssen auf jeden Fall eine Richtlinie haben. Diese muss umfassend gedacht und gemacht sein. Idealerweise ist sie den sich ständig ändernden Realitäten der Arbeitswelt einen Schritt voraus. Eine moderne Informationssicherheitsrichtlinie regelt beispielsweise den immer wichtiger werdenden Themenbereich mobiles Arbeiten“.

Das reicht aber noch nicht aus, denn eine Richtlinie, die alles umfasst, aber von niemandem gelebt wird, hilft auch nicht weiter. Mein Ansatz hierbei ist vor allem: Das angestrebte Sicherheitsniveau kann nur dann erreicht werden, wenn man den Mitarbeitern praktische Werkzeuge und Handlungsbeispiele gibt, mit denen sie Richtlinien auch im Alltag umsetzen können

Lösung für Unternehmen: Ganz wichtig ist, dass diese Richtlinien eben nicht nur feste, sondern auch freie Mitarbeiter einhalten müssen (es reicht nicht, letzteren nur einen NDA hinzulegen). Das Thema Mobiles Arbeiten“ – und hier eben auch „Arbeiten im Coworking-Space“ – sollte praktikabel in die Richtlinie integriert werden.

So können denn auch diese beiden scheinbar unvereinbaren Kräfte, die unsere Arbeitswelt verändern, – Coworking und Datenschutz – friedlich miteinande coexistieren.