Einführung eines Informationssicherheits-managementsystems (ISMS)

Da die Bedeutung von Informationssicherheit in den vergangenen Jahren aufgrund der voranschreitenden Digitalisierung auch immer mehr zunimmt, steigen parallel dazu auch die Anforderungen an die Unternehmen, ein hohes Sicherheitsniveau zu implementieren.

Da gerade in der Automobilindustrie mit sensiblen Daten gearbeitet wird, hat im Jahr 2017 der Verband der Automobilindustrie (VDA) ein einheitliches Prüfverfahren etabliert: das „Trusted Information Security Assessment EXchange“ (TISAX). Dieses Verfahren soll sicherstellen, dass auch alle Lieferanten und Partner die definierten Sicherheitsstandards erfüllen. Für die Akkreditierung der Prüfdienstleister sowie die Überprüfung der Assessment-Ergebnisse, ist die ENX Association zuständig. Die Anforderungen von TISAX basieren auf den Normen der ISO 27001 für ISMS und der ISO 27017 für Cloud Sicherheit und sind im Information Security Assessment (VDA ISA) definiert.

Die Intention der Automobilindustrie bei der Vereinheitlichung des Prüfverfahrens zur Informationssicherheit war es, ein gleichmaßen hohes Sicherheitsniveau in der Supply Chain zu etablieren sowie den Aufwand durch ein einheitliches Verfahren für die beteiligten Partner zu reduzieren.
Aber die Einführung eines Informationssicherheitsmanagementsystems bietet auch für uns noch weitere Vorteile. Zum Einen sparen wir Zeit und Geld im Ausschreibungsprozess, da eine intensive Prüfung der sicherheitsrelevanten Aspekte, die der Auftraggeber von uns fordert, wegfällt. Perspektivisch wird die TISAX Zertifizierung in der Branche zum Status quo, sodass immer mehr Kunden dies von uns fordern werden. Hinzu kommt, dass wir generell gegenüber den Mitbewerbern, die nicht über TISAX verfügen, einen klaren Wettbewerbsvorteil erhalten. Insgesamt wird die Zusammenarbeit mit unseren Kunden und Partnern gestärkt und vereinfacht.
In den letzten Monaten haben wir unsere Mitarbeiter*innen zu diesem Thema intensiv geschult und sensibilisiert und werden dies auch zukünftig weiterhin beibehalten. Denn die Mitarbeiter-Awareness gehört neben gewissen technischen Maßnahmen, die wir im Rahmen des Projekts umgesetzt haben, zu den Erfolgsfaktoren zur Erhöhung der Informationssicherheit.

Der Prozess von Beginn bis zum Audit lässt sich in sechs große Elemente unterteilen.

1. GAP-Analyse: Bereits vor offiziellem Projektstart hat unsere IT-Abteilung gemeinsam mit unserem Berater eine GAP-Analyse der technischen Anforderungen durchgeführt. Dies hat uns bei Projektstart für diesen Bereich eine gute Basis geliefert, sodass die Kollegen, die aus der GAP-Analyse resultierenden Tickets über den gesamten Projektzeitraum nach und nach abarbeiten konnten. Dazu gehörten unter anderem die Implementierung eines Mobile Device Managementsystems, automatische Schwachstellen-Scans sowie die feinere Segmentierung der Netzwerke.
2. Organisatorisches: Zu den formellen Punkten, die wir zu Projektbeginn im Juni 2020 erledigt haben, gehörten u. a. die Anmeldung bei der ENX Association, die Auswahl eines Prüfdienstleisters sowie die Auswahl eines Tools, in dem das ISMS abgebildet wird. Wir als Projektteam haben uns außerdem der Schulung und Prüfung zur „ISO 27001 Foundation“ sowie unser ISB zum „Chief Information Security Officer“ unterzogen und erfolgreich bestanden.
3. Erstellung der Richtlinien: Im nächsten Schritt haben wir auf Basis der TISAX Anforderungen die für uns relevanten Richtlinien erstellt. Das wichtigste Dokument bildet die Informationssicherheitsleitlinie, die wir als erstes erstellt haben und die durch die Geschäftsführung genehmigt und veröffentlicht wurde. Insgesamt waren wir mit unseren Prozessen bereits ganz gut aufgestellt, sodass wir an vielen Stellen diese lediglich schriftlich dokumentieren mussten. An anderen Stellen war es aber auch notwendig neue Prozesse zu implementieren. Dazu haben wir die betroffenen Mitarbeiter*innen mit ins Boot geholt, um sie an der Gestaltung der Prozesse teilhaben zu lassen; zum Beispiel bei der Implementierung einer Projektrisikobeurteilung, die nun bei jedem neuen Projekt durchgeführt wird.
4. Risikobeurteilung: Die Risikobeurteilung gehörte zu einem der wichtigsten Punkte. Hier haben wir zunächst alle Assets (Informationen, Services, Ressourcen) ermittelt, im Tool abgebildet und mit den Prozessen des Unternehmens verknüpft. Nachdem wir außerdem Kritierien für die Beurteilung festgelegt haben, konnte jede Führungskraft die Risikobeurteilung für das ihr zugeordnete Projekt durchführen. Je nach Ergebnis der Beurteilung wurden weiterhin Maßnahmen entwickelt, um die Risiken zukünftig zu minimieren.
5. Awareness schaffen: In einem Konzept für die Mitarbeiter-Awareness haben wir verschiedene Maßnahmen entwickelt und bereits teilweise umgesetzt, die die Mitarbeiter zum Thema Informationssicherheit sensibilisieren sollen. Weiterhin haben wir in diesem Rahmen zunächst eine Grundlagenschulung basierend auf den Richtlinien entwickelt und diese dann im 1. Quartal 2021 erfolgreich durchgeführt.
6. Vorbereitung & Durchführung des Assessments: Ab Anfang Februar 2021 ging es in großen Schritten auf das Assessment zu. Zunächst hatten wir dafür ein Kickoff-Termin mit unserem Auditor der Dekra. Hier wurden seinerseits die einzelnen Schritte und wichtigen Punkte für das Assessment erläutert. Von dort an waren es noch knapp 6 Wochen bis zum Audit. Anfang März haben wir im Rahmen der Wirksamkeitskontrolle und als Vorbereitung ein internes Audit durch einen externen Dienstleister durchgeführt. Die Erkenntnisse daraus konnten wir prima für das Audit der Dekra nutzen, um dem ISMS einen letzten Feinschliff zu geben.