Schlagwort: vda isa

Das war erst der Anfang: Jetzt kommen Informationssicherheit für den Film – und ePrivacy in Kalifornien

2018 brachte die Datenschutzgrundverordnung, 2019 den neuen Standard für Informationssicherheit der deutschen Automobilindustrie: TISAX®. Wer glaubt, dass das alles gewesen sei, der irrt. 2020 nämlich, geht es direkt so weiter. Das nächste große Ding ist die Zertifizierung für die US-Film- und Fernsehindustrie – und wie üblich tarnt sich auch diese mit einer harmlosen Abkürzung: TPN (Trusted Partner Network). Wer jetzt noch denkt, nur die sicherheitsversessenen Deutschen würden sich mit Datenschutzthemen herumschlagen, irrt ebenfalls: Zum 01. Januar 2020 ist mit dem California Consumer Privacy Act (CCPA) in Kalifornien eine neue ePrivacy-Verordnung in Kraft getreten. 

Spätestens jetzt wird das große Muster deutlich erkennbar: DSGVO und TISAX waren keine Eintagsfliegen, einmalige Ausrutscher oder nerviger Bürokratiekram, der es Unternehmen schwer macht, den man aber irgendwann von der Liste streichen kann. Vielmehr ist das die Digitalisierung, die langsam ihr wahres Gesicht zeigt: Sie macht Dinge transparenter – aber eben auch überwachbar und überprüfbar. Das betrifft nicht nur Geldströme und Gesichtserkennung, sondern eben auch Strukturen und Prozesse in Unternehmen. Mein Rat lautet also: Wer sich bisher noch irgendwie davor drücken konnte, sollte spätestens jetzt anfangen, Maßnahmen zu Datenschutz und Informationssicherheit zu ergreifen. Denn diese Themen kann man weder „aussitzen“, noch werden sie irgendwann einfach „weggehen“.

Security made in Germany 

Man liest es dieser Tage an jeder Ecke: Deutschlands Wirtschaft geht den Bach runter – und Schuld soll auch die DSGVO sein. Sie mache Prozesse umständlich und lege damit unsere Unternehmen lahm. Gegen Länder wie China, die im Umgang mit Datenschutz und Informationssicherheit nicht als die strengsten gelten, hätten wir keine Chance. Ähnlich sieht das auch Serien-Entrepreneur und jahrelanger „Die Höhle der Löwen“-Investor Frank Thelen. 

Ich empfehle sein Buch „Frank Thelen – Die Autobiografie: Startup-DNA – Hinfallen, aufstehen, die Welt verändern“ gerne, denn Frank Thelen stärkt den Unternehmergeist in diesem Land. Aber in diesem Punkt bin ich nicht seiner Meinung: Ich glaube, dass wir in Deutschland durch die EU-Richtlinie ein Bewusstsein für das Thema Datenschutz entwickelt haben – wir nehmen den Datenschutz ernst und haben bereits viele Erfahrungen in der Umsetzung gesammelt. Dadurch hat Deutschland jetzt die Chance, im Bereich Datenschutz und Informationssicherheit zum Vorreiter zu werden – ein Gütesiegel ähnlich dem Schweizer Bankgeheimnis. Endlich wieder ein neuer, heißer Wachstumsmarkt „made in Germany“.

Innovation durch Business-Frühjahrsputz

In unserer Grundlagen-Schulung „Foundation VDA ISA/TISAX“ vermitteln wir den Teilnehmern die wichtigsten Aspekte der Informationssicherheit. Wir beobachten dabei, dass in der öffentlichen Wahrnehmung vor allem die Vertraulichkeit im Vordergrund steht. Dabei wurde ihr von den TISAX-Machern ein natürlicher Gegenspieler an die Seite gestellt: die Verfügbarkeit. Wer sich nur auf die Vertraulichkeit konzentriert und alle Zugänge mit einer 12-Faktor-Authentifizierung verschlüsselt, vernachlässigt die Verfügbarkeit. Die Folge: Das Team wird Schwierigkeiten haben, überhaupt noch zu arbeiten. Wenn aber Vertraulichkeit und Verfügbarkeit sich die Waage halten, wird das eigene Unternehmen nicht langsamer. Nur sicherer. 

Das ist aber noch nicht alles. Wer erst einmal die eigene Bockigkeit ob des von außen aufoktroyierten Compliance-Audits überwunden hat, kann das Ganze als Chance betrachten, das gesamte Unternehmen mit Fokus auf die Prozesse zu durchleuchten und fit fürs Digitalzeitalter zu machen. Das ist wie mit dem Frühjahrsputz oder bei einem Umzug, wenn man einmal durch alle Schränke durchgeht, Sachen aussortiert, die man nicht mehr braucht, und die Ordnungssysteme auf Vordermann bringt. Dieses tolle Ritual gibt es leider nur in Privathaushalten, nicht in Unternehmen. Dabei setzt es Potenziale frei, fördert Innovation und hilft, sich auf das Wesentliche zu konzentrieren: Man glaubt kaum, wie viel gewachsenes Chaos, Behelfslösungen, Improvisation und Kesselflickerei es in Unternehmen gibt. Genau die sind es, die das Unternehmen langsam und unproduktiv machen – und nicht der Datenschutz.

Wir sind nicht die Einzigen, sondern die Ersten: CCPA und TPN are coming 

Doch unabhängig davon, wie man den Umgang mit DSGVO und TISAX hierzulande bewertet, ist eines klar: Deutschland und die EU sind nicht die Einzigen, die sich mit diesen Themen beschäftigen. Wir waren eine ganze Zeit lang einfach nur die Ersten. 2020 setzte Kalifornien mit dem CCPA, dem „California Consumer Privacy Act“, gerade einen Verbraucherschutz um, der mit der ePrivacy-Verordnung vergleichbar und die in der EU sogar bisher gescheitert ist. (Allerdings nur bisher: Die ePrivacy-Verordnung (ePVO) ist nicht vom Tisch und kommt schätzungsweise 2021.) 

Das, was TISAX für die Automobilindustrie ist, ist TPN ab sofort für die US-Film- und Fernsehindustrie: Die „Trusted Partner Network“-Zertifizierung bestätigt die Sicherheit von Auftragnehmern, die für Auftraggeber wie Netflix arbeiten wollen. TPN ist dabei keine Zukunftsmusik: Wir bei Nextwork haben auf Basis unserer vielen Erfahrungen mit TISAX einen TPN-Anforderungskatalog entwickelt und unterstützen Kunden aktuell schon bei den ersten TPN-Zertifizierungen. 

Don’t panic: Wer anfängt, dem gelingt jedes Datenschutz- und Informationssicherheits-„Upgrade“ 

Wer jetzt denkt, dass ein Tsunami an Zertifizierungen auf uns zurollt, den kann ich beruhigen. Die gute Nachricht ist: Hat man einmal ein Datenschutz- oder Informationsmanagementsystem angelegt, ist es halb so wild, das „Upgrade“ zu einer komplexeren Zertifizierung zu schaffen. Denn die Anforderungen rund um Datenschutz und Informationssicherheit haben immer auch Gemeinsamkeiten. Wer von Null auf den TPN-Standard kommen möchte, wird es schwer haben. Denn TPN fordert noch mehr Maßnahmen als TISAX. Wer aber schon Maßnahmen rund um die DSGVO ergriffen hat, für den ist es schon viel leichter, sich etwa auf ein TISAX-Audit vorzubereiten. Und wer schon TISAX gemeistert hat, wird es nicht so schwer haben, sich beispielsweise auch für TPN zu zertifizieren. 

Daher mein Rat: Unbedingt anfangen. Besonders, wenn man mit dem eigenen Unternehmen auch international unterwegs ist. Denn: Die Bestimmungen werden nicht weniger werden. 

Abschließend aber noch ein echter Lichtblick für alle, die jetzt erst loslegen: In der Pionier- und Anfangsphase mussten die Unternehmen, und auch wir, noch viel lernen und ausprobieren, was die Umsetzungsmöglichkeiten rund um Datenschutz und Informationssicherheit angeht. Jetzt aber gibt es Prozesse und Systeme, die schon erprobt sind – und bei denen aus den Fehlern der Pioniere gelernt wurde.

After Work Talk am 08.11.2019: Schneller Einstieg zu TISAX-Zertifizierungen

»Dieser Talk bietet einen leichtfüßigen Einstieg ins Thema TISAX® – und einen Überblick über die wichtigsten Fragen, Hürden und To Dos.« Marco Peters

Für wen ist dieser Vortrag gedacht?

Für Macher, die das Paragraphen-Korsett sprengen und das Thema verstehen wollen.
Für Visionäre, die erkannt haben, dass sie mit sicheren Prozessen ihr Unternehmen zukunftsfähig machen können.
Für IT-Verantwortliche, die ihrem Fachwissen eine neuen Kontext und ihrer Argumentation eine neue Schlagkraft verleihen wollen.
Für Personaler, die das ungute Bauchgefühl loswerden und Klarheit haben wollen, ob ihre Prozesse sicher sind.
Für Geschäftsführer oder Einkäufer, die verstehen wollen, warum das alles so viel kostet.

Der Vortragsort

TISAX ganz anschaulich: Unser Office verfügt über eine Geheimfreigabe, das höchste Level an Schutz für Informationen. Besucher unseres Workshops können sich also in diesen Vortrag nicht nur theoretisch über das Thema TISAX informieren; Sie können sich auch vor Ort anschauen, wie man heute ein Zonenkonzept mit Sichtschutz, Schallschutz, Zutrittsschutz, Zonenabsicherung, Besuchermanagement, Raumüberwachung, Brandschutz und Einbruchschutz mustergültig umsetzt – als Beispiel dafür, dass sich eine moderne, offene Arbeitskultur mit den Anforderungen von Datenschutz und Informationssicherheit verbinden lässt.

Zur Anmeldung (kostenfrei) via XING-Events