Datenschutz und Informationssicherheit werden überall großgeschrieben. Auch bei Leinhäuser – und das bereits seit Jahren. Mittlerweile fragen Unternehmen auch immer öfter nach einer Zertifizierung. Jetzt wurde Leinhäuser erfolgreich nach den TISAX-Richtlinien auditiert und folgt somit einem Standard, der weithin Anerkennung genießt – nicht nur in der Automobilindustrie, sondern auch in vielen mittelständischen Unternehmen aus anderen Branchen.
Leinhäuser blickt bereits auf langjährige Erfahrung in der Bearbeitung und im Austausch sensibler Informationen zurück. Im Zuge der Zusammenarbeit mit Partnern in der Automobilindustrie arbeitet Leinhäuser seit Langem nach den Richtlinien des VDA (Verband der Automobilindustrie). Mit dem TISAX Label hat der VDA seit 2017 einen einheitlichen Standard für die gesamte Lieferkette geschaffen – „vom Hersteller über Zulieferer bis hin zu Dienstleistern“, sagt Dr. Martin Unterberger, Vorsitzender des VDA-Arbeitskreises Informationssicherheit.
Das VDA ISA (Information Security Assessment) basiert auf der internationalen Norm ISO/IEC 27001. Mit der Durchführung des Assessments hat der VDA die ENX Association beauftragt, deren akkreditierte Prüfdienstleister die Prüfungen durchführen. Zwar baut TISAX (kurz für Trusted Information Security Assessment Exchange) direkt auf den VDA-Richtlinien und der ISO/IEC 27001 auf, allerdings wurden auch neue Anforderungen gestellt. So kam auch für Leinhäuser das Thema Informationssicherheit noch einmal ganz oben auf die Tagesordnung.
Wie Vorbereitung und Durchführung des Assessments gelaufen sind, darauf haben die eingebundenen Leinhäuser Mitarbeiter Antwort gegeben.
Mit TISAX verschärft der VDA seine Richtlinien
Ein dediziertes Team hat unter der Leitung des Informationssicherheitsbeauftragten über mehrere Monate auf das Assessment hingearbeitet. Eingebunden waren nicht nur die IT und die Geschäftsleitung, sondern auch Mitarbeiter aus Partner- und Projektmanagement. Damit wurden die zwei Bereiche der TISAX-Anforderungen abgedeckt: Management und IT.
Mit dem TISAX-akkreditierten Prüfdienstleister wurde vorab das Prüfziel abgesteckt. Dabei mussten zunächst die TISAX-Kriterien auf Leinhäuser als Übersetzungsunternehmen umgedeutet werden. Auch wenn das Label als einheitlicher Standard gilt, wurde es primär für Lieferanten der Automobilbranche konzipiert. Das ging auch aus dem konstruktiven Austausch mit dem Auditor hervor. So wurde gemeinsam daran gearbeitet, die Prüfkriterien auf ein Unternehmen der Größe und Art von Leinhäuser anzuwenden.
First things first: die Bestandsaufnahme
In einem ersten Audit wurde eine genaue Bestandsaufnahme der bestehenden Sicherheitsvorkehrungen gemacht. Das Ergebnis fiel gut aus, viele der geforderten Maßnahmen waren bereits wirkkräftig bei Leinhäuser. Dennoch gab es noch einiges zu tun bis zum letzten Audit.
Im Anschluss an das erste Assessment gab es drei Monate Zeit, um die übrigen Anforderungen umzusetzen. Das hieß, neue Prozesse zu entwickeln, die Mitarbeiter dahingehend zu schulen und das entsprechende Wissen anschließend auch abzufragen. Was passiert im Brandfall? Was bei Stromausfall? Wie funktioniert die E-Mail-Verschlüsselung? Da müssen die zuständigen Mitarbeiter Bescheid wissen. Unsere Mitarbeiterin Nina Mölbert hat die Durchführung des internen Audits übernommen und unbequeme Fragen gestellt, um sicher zu gehen, dass auch alle Mitarbeiter das nötige Wissen über die neuen Regelungen parat haben.
Ein beträchtlicher Aufwand lag in der Zusammenstellung von relevanten Informationen analog zum TISAX-Katalog, um nachzuweisen, welche Maßnahmen bereits Anwendung finden. Über die Monate wurde die nötige Dokumentation aufbereitet und so die Grundlage für die Prozessoptimierung geschaffen. Der Aufwand hat sich gelohnt: „Im Grunde haben wir uns durch das Assessment in unserem bisherigen Vorgehen nur bestätigt gesehen“, sagt Marc Fleischer aus der IT. „Aber wir sind auch offen für Neues. Zum Beispiel sind unsere Dokumentationen seit dem TISAX-Audit detaillierter und erforderliche Maßnahmen lassen sich daraus eindeutiger ableiten.“
Man lernt nie aus: Leinhäuser geht zur ISO-Schulung beim TÜV SÜD
Zusätzlich zu den internen Vorbereitungen gab es eine Schulung vom TÜV SÜD zu Inhalten und Umsetzung der ISO/IEC 27001. „Der für mich härteste Teil war die ISO-Schulung“, erzählt Nina Mölbert. Die Teilnehmer wurden an zwei Tagen geschult und im Anschluss über sämtliche Inhalte geprüft. Da mussten sich auch langjährige Leinhäuser Mitarbeiter noch einmal hinsetzen und pauken.
Schließlich stand der letzte Teil des Assessments an, die Prüfung durch den TISAX-akkreditierten Prüfdienstleister der ENX im Unternehmen. Und Leinhäuser hat bestanden – mit Bravour.
Auch wenn Datenschutz und Informationssicherheit schon immer großgeschrieben wurden bei Leinhäuser, so hat das TISAX Label doch noch einmal frischen Wind in die Umsetzung gebracht. „Vor TISAX war Informationssicherheit bei uns vor allem ein IT-Thema. Jetzt greift es viel weiter und ist auch zum Management-Thema geworden“, sagt Nina Mölbert.
Bestanden – und dann?
Wir sind froh, dass wir durch TISAX in unseren Bemühungen zum Thema Datenschutz und Informationssicherheit bestärkt wurden und gleichzeitig die Möglichkeit hatten, unser Information Security System noch weiter auszubauen. Auch das Management konnte von dem Assessment profitieren: „Informationssicherheit ist nicht nur eine Frage der IT, sondern auch des Menschen, der mit ihr umgeht. So hat uns TISAX die Möglichkeit geboten, zu untermauern, was uns ohnehin am Herzen liegt“, sagt Heike Leinhäuser.
Aber mit der bestandenen Prüfung ist es nicht getan. Informationssicherheit ist ein nie endender Prozess, und auch TISAX sieht eine kontinuierliche Verbesserung der geprüften Unternehmen vor. So arbeitet unsere Mitarbeiterin Christine Hahn-Smith zurzeit daran, einen hohen Sicherheitsstandard bei allen Service-Partnern durchzusetzen. Denn die Sicherheit muss nicht nur an den Arbeitsplätzen bei Leinhäuser gewährleistet sein, sondern gilt für alle Dienstleister in der Prozesskette.
„Wir freuen uns, dass das Sicherheitsverständnis bei unseren Partnern sehr ausgeprägt ist und wir einen Großteil der Befragten auch für vertrauliche Beauftragungen einsetzen können, da sie den angeforderten Sicherheitsstandards umfänglich entsprechen“, erzählt Christine Hahn-Smith.
So geht die Reise weiter, auch in Sachen Informationssicherheit. Und die nächste Prüfung wird kommen – mit dem nächsten TISAX-Audit in drei Jahren.
