Man hat die Geschichten schon mehrfach gehört: Ein Unternehmen in der Automobilzulieferkette bekommt von seinem OEM die Aufforderung, das TISAX® Label nachzuweisen. Was dann folgt ist eine Mischung aus Unverständnis, Panik und Verdrängung. Eine Münchener Managementberatung in der Automobilindustrie meisterte das Assessment ohne externe Hilfe und berichtet.
Als die Geschäftsführer der CNX Consulting Partners (CNX), Christian Schauler und Christoph Ebensperger, die Aufforderung zum TISAX® Assessment auf den Schreibtisch bekamen, waren sie erst mal ratlos. „Zuerst dachten wir, was ist das nun schon wieder für eine administrative Tortur?“, erzählt Christoph Ebensperger. „Und dann habe ich erst mal gegoogelt“, sagt Christian Schauler. Schließlich registrierte er sein Unternehmen auf der Plattform ENX, „damit das erst mal vom Tisch war und wir den Prozess zumindest mal begonnen hatten.“
CNX Consulting Partners berät Unternehmen in der Fahrzeugbranche in der strategischen, technologischen und organisatorischen Optimierung mit Schwerpunkt Lieferketten und Logistik. Mit ihren 24 Mitarbeitern wurden die Münchener zum fünften Mal in Folge von brand eins und Statista zu den besten Beratern in der Automobilindustrie gekürt.
TISAX® Chinesisch zu Level, Anbindung und Unternehmenswerte
Das Thema TISAX® löste sich jedoch nicht in Wohlgefallen auf. Nach einer Weile flatterte ein weiterer Brief des OEMs ins Haus mit der Nachfrage, wie es denn stehe mit dem Label. Mittlerweile war der Geschäftsführung klar, dass sie ohne das Assessment Gefahr laufen, an künftigen Ausschreibungen der Branche nicht mehr teilnehmen zu können oder gar ausgeschlossen zu werden.
Christian Schauler lud das TISAX® Handbuch herunter – und verstand nichts: Level, Anbindung, Unternehmenswerte…? Also setzte er sich mit seiner HR-Managerin Jutta Dannenböck zusammen, die im Laufe der Zeit die Rolle als inoffizielle Datenschützerin bei der CNX eingenommen hatte. Jutta Dannenböck erinnert sich: „Je mehr wir uns mit dem Thema beschäftigten, desto größer wurde der Berg.“
Also gingen sie den Fragebogen des VDA ISA, dem das TISAX® Assessment zugrunde liegt, Stück für Stück durch. Ihre Excel-Datei wurde immer größer, während sie versuchten zu verstehen, „was die von uns wollten“.
Unwissenheit schützt nicht vor einem ISMS
„Einige Punkte konnten wir gleich abhaken, da wir sie glücklicherweise schon eingeführt hatten. Dass wir damit Informationssicherheit im Sinne der ISO 27001 betrieben, war uns zu diesem Zeitpunkt noch gar nicht bewusst“, erinnert sich Christian Schauler. Die Anforderungen des VDA ISA Fragenkatalogs sind stark an die Sicherheitsnorm ISO 27001 angelehnt, die die Einführung, ständige Überprüfung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) fordert.
„Ich hatte zum Beispiel schon vor langer Zeit eine Clean Desk Policy eingeführt“, erzählt Jutta Dannenböck, eine Maßnahme aus 30 Jahren Erfahrung in der Beratung. Doch damit war es nicht getan. Es mussten Schulungsunterlagen für alle Mitarbeiter vorbereitet und Trainings durchgeführt werden. Alles musste penibel dokumentiert werden.
Individuelle Vorbereitung zum TISAX® Assessment gesucht
Christian Schauler erinnert sich: „An einem gewissen Punkt waren wir so weit, uns externe Hilfe ins Haus zu holen, da wir intern nicht wirklich die Ressourcen hatten, um die Vorbereitung auf das Assessment rechtzeitig fertig zu bekommen.“ Sie klopften bei einigen größeren und kleineren Beratern an, die auf TISAX® spezialisiert sind, „konnten jedoch niemanden finden, der unsere Sprache spricht“, sagt er. „Wir hatten das Gefühl, dass die Consultants uns als individuelle Organisation mit unseren eigenen Bedürfnissen gar nicht wahrnahmen.“
Also machten sie alleine weiter. Einige Punkte konnten sie schnell abhaken, andere forderten einigen Aufwand. Alles in allem sah ihre Punktebewertung nicht gerade gut aus. Die CNX hatte eine klassische kleine Serverumgebung mit VPN-Anbindung. „Wir hatten überlegt, komplett in die Cloud zu gehen, da wir keine unsicheren offenen VPN-Verbindungen zulassen wollten“, was dann auch geschah.
Doch auch organisatorische Maßnahmen mussten umgesetzt werden: Die Mitarbeiter bekamen Schließfächer, die Computer Schlösser, ein Safe musste her, Informationssicherheits-Schulungen für alle und Multifaktorautorisierung generell.
Projektleiter mit Passion und Durchsetzungsvermögen für Informationssicherheit
Sie brauchten einen Projektleiter respektive eine Projektleiterin, der/die die Fäden in der Hand hält. Zum Glück gab es jemanden im Team, der etwas Zeit hatte und ein absolutes Ass in Excel war. „Das war ein Fehler,“ resümiert Christian Schauler, denn der Mitarbeiter identifizierte sich nicht mit dem Thema und hatte auch keine Ambitionen, sich darauf einzulassen. Eine andere Mitarbeiterin wurde mit der Aufgabe betraut: „Sie kniete sich richtig rein. Sie hat das Thema verinnerlicht und legte die richtige Mischung aus Kenntnis und Beharrlichkeit an den Tag“, erzählt er. Gemeinsam erarbeiteten sie den Projektplan und die Projektleiterin „ist mir immer auf die Zehen gestiegen, damit alle rechtzeitig liefern und die relevanten Dokumente erstellen.“
„Wenn man bedenkt, dass wir ständig Angst hatten, etwas zu verpassen und dass sich unsere Projektleiterin Tage lang mit dem Thema auseinandersetzte, dann ist die Frage, ob wir es nochmal ohne externen Berater machen würden, ganz klar mit ‚nein‘ zu beantworten“, sagt Jutta Dannenböck.
Vom Saulus zum Paulus: Informationssicherheit ist kritisch
Mit der Zeit entwickelte sich Christian Schauler „vom Saulus zum Paulus“, wie er sagt: „Anfangs war meine Einstellung: TISAX®? Brauchen wir nicht! Was soll bei uns schon zu holen sein?“ Doch je tiefer er in das Thema einstieg, desto mehr wurde ihm bewusst, dass es der Firma auch viel Gutes bringt: „Wir kennen jetzt unsere Informationswerte und unsere Risiken. Deshalb sind wir robuster aufgestellt und besser geschützt als vor der Einführung des ISMS.“
Bei der Wahl des Auditors schauten Christian Schauler und Christoph Ebensperger genau hin. „Wir entschieden uns für den Prüfer, der offen mit allen Fragen umging. Wir erhielten vorab Tipps wodurch ein wertvolles Vertrauensverhältnis entstand. Das war für uns ein wichtigeres Entscheidungskriterium als die Kosten.“
Egal wie klein und scheinbar unwichtig im großen Universum der Automobilzulieferindustrie ein Unternehmen sich wägt, Kundendaten sind wertvoll und immer für andere interessant. Das gilt auch für die Informationen, mit denen sich die Managementberatung CNX beschäftigt. „Wir wollen weder in Haftung genommen werden, noch wollen wir unseren Ruf ruinieren“, sagt Christian Schauler und fügt hinzu „Vorbeugen ist immer besser als heilen.“
Informationssicherheit ist Chefsache
Als wichtigste Erkenntnis aus den zwölf Monaten Vorbereitung auf das TISAX® Assessment bezeichnet Christian Schauler, dass das Thema Informationssicherheit in der Leitungsebene aufgehängt sein muss. Viele der von der ISO 27001 geforderten technischen und organisatorischen Maßnahmen müssen von jedem Mitarbeiter verinnerlicht, mitgetragen und immer wieder auf den neuesten Stand gebracht werden. „Da bedarf es ganz klarer Verpflichtungen von ganz oben, denn Informationssicherheit ist Teil der unternehmerischen Gesamtverantwortung. Wenn die Geschäftsführung da nicht mit gutem Beispiel voran geht und Einsatz zeigt, hat das Projekt von vornherein ein Glaubwürdigkeitsproblem“, sagt Christoph Ebensperger.
Das TISAX® Label hat der CNX viele Vorteile gebracht, da das Beratungshaus jetzt alle Formalien in Sachen Informationssicherheit gegenüber ihren OEMs erfüllt. Christoph Ebensperger zieht Bilanz: „Alle Verantwortlichen und Mitarbeiter sind jetzt für das Thema sensibilisiert. Wir haben klare Strukturen, Prozesse und Verantwortlichkeiten und das gute Gefühl, dass wir vor Cyberattacken geschützt sind.“
Nie wieder ohne: TISAX® Vorbereitung mit fachkundigen Beratern
Alle drei Jahre muss das TISAX® Label erneuert werden. Mit TSX-Partners, der Information Security Consulting Sparte von CNX, haben die Münchener jetzt das Fachwissen im Haus, um das Assessment in aller Ruhe vorbereiten zu können. „Das würden wir im Nachhinein jedem Unternehmen raten“, sagt Jutta Dannenböck. „Zum einen spart man nicht unbedingt Geld, wenn man sich dem Thema alleine stellt, da der personelle Aufwand so hoch ist. Außerdem wären die Vorbereitungen ganz sicher reibungsloser verlaufen, wenn wir fachkundige Unterstützung gehabt hätten.“
TSX Partners berät KMU in der Automobilzulieferkette auf Augenhöhe und macht sie für das TISAX® Assessment fit. Aus der eigenen Erfahrung heraus wissen die Informationssicherheitsexperten von TSX Partners wo der Schuh drückt, wie man die komplexen Anforderungen auf das individuelle Unternehmen anpasst und welche Sprache die Unternehmen sprechen.
Disclaimer:
TISAX® ist eine eingetragene Marke der ENX Association.
Zwischen TSX Partners powered by CNX Consulting Partners und der ENX Association besteht hinsichtlich der vorstehend beschriebenen Beratungsleistungen keine geschäftliche Beziehung. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.
Als die Geschäftsführer der CNX Consulting Partners (CNX), Christian Schauler und Christoph Ebensperger, die Aufforderung zum TISAX® Assessment auf den Schreibtisch bekamen, waren sie erst mal ratlos. „Zuerst dachten wir, was ist das nun schon wieder für eine administrative Tortur?“, erzählt Christoph Ebensperger. „Und dann habe ich erst mal gegoogelt“, sagt Christian Schauler. Schließlich registrierte er sein Unternehmen auf der Plattform ENX, „damit das erst mal vom Tisch war und wir den Prozess zumindest mal begonnen hatten.“
CNX Consulting Partners berät Unternehmen in der Fahrzeugbranche in der strategischen, technologischen und organisatorischen Optimierung mit Schwerpunkt Lieferketten und Logistik. Mit ihren 24 Mitarbeitern wurden die Münchener zum fünften Mal in Folge von brand eins und Statista zu den besten Beratern in der Automobilindustrie gekürt.
TISAX® Chinesisch zu Level, Anbindung und Unternehmenswerte
Das Thema TISAX® löste sich jedoch nicht in Wohlgefallen auf. Nach einer Weile flatterte ein weiterer Brief des OEMs ins Haus mit der Nachfrage, wie es denn stehe mit dem Label. Mittlerweile war der Geschäftsführung klar, dass sie ohne das Assessment Gefahr laufen, an künftigen Ausschreibungen der Branche nicht mehr teilnehmen zu können oder gar ausgeschlossen zu werden.
Christian Schauler lud das TISAX® Handbuch herunter – und verstand nichts: Level, Anbindung, Unternehmenswerte…? Also setzte er sich mit seiner HR-Managerin Jutta Dannenböck zusammen, die im Laufe der Zeit die Rolle als inoffizielle Datenschützerin bei der CNX eingenommen hatte. Jutta Dannenböck erinnert sich: „Je mehr wir uns mit dem Thema beschäftigten, desto größer wurde der Berg.“
Also gingen sie den Fragebogen des VDA ISA, dem das TISAX® Assessment zugrunde liegt, Stück für Stück durch. Ihre Excel-Datei wurde immer größer, während sie versuchten zu verstehen, „was die von uns wollten“.
Unwissenheit schützt nicht vor einem ISMS
„Einige Punkte konnten wir gleich abhaken, da wir sie glücklicherweise schon eingeführt hatten. Dass wir damit Informationssicherheit im Sinne der ISO 27001 betrieben, war uns zu diesem Zeitpunkt noch gar nicht bewusst“, erinnert sich Christian Schauler. Die Anforderungen des VDA ISA Fragenkatalogs sind stark an die Sicherheitsnorm ISO 27001 angelehnt, die die Einführung, ständige Überprüfung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) fordert.
„Ich hatte zum Beispiel schon vor langer Zeit eine Clean Desk Policy eingeführt“, erzählt Jutta Dannenböck, eine Maßnahme aus 30 Jahren Erfahrung in der Beratung. Doch damit war es nicht getan. Es mussten Schulungsunterlagen für alle Mitarbeiter vorbereitet und Trainings durchgeführt werden. Alles musste penibel dokumentiert werden.
Individuelle Vorbereitung zum TISAX® Assessment gesucht
Christian Schauler erinnert sich: „An einem gewissen Punkt waren wir so weit, uns externe Hilfe ins Haus zu holen, da wir intern nicht wirklich die Ressourcen hatten, um die Vorbereitung auf das Assessment rechtzeitig fertig zu bekommen.“ Sie klopften bei einigen größeren und kleineren Beratern an, die auf TISAX® spezialisiert sind, „konnten jedoch niemanden finden, der unsere Sprache spricht“, sagt er. „Wir hatten das Gefühl, dass die Consultants uns als individuelle Organisation mit unseren eigenen Bedürfnissen gar nicht wahrnahmen.“
Also machten sie alleine weiter. Einige Punkte konnten sie schnell abhaken, andere forderten einigen Aufwand. Alles in allem sah ihre Punktebewertung nicht gerade gut aus. Die CNX hatte eine klassische kleine Serverumgebung mit VPN-Anbindung. „Wir hatten überlegt, komplett in die Cloud zu gehen, da wir keine unsicheren offenen VPN-Verbindungen zulassen wollten“, was dann auch geschah.
Doch auch organisatorische Maßnahmen mussten umgesetzt werden: Die Mitarbeiter bekamen Schließfächer, die Computer Schlösser, ein Safe musste her, Informationssicherheits-Schulungen für alle und Multifaktorautorisierung generell.
Projektleiter mit Passion und Durchsetzungsvermögen für Informationssicherheit
Sie brauchten einen Projektleiter respektive eine Projektleiterin, der/die die Fäden in der Hand hält. Zum Glück gab es jemanden im Team, der etwas Zeit hatte und ein absolutes Ass in Excel war. „Das war ein Fehler,“ resümiert Christian Schauler, denn der Mitarbeiter identifizierte sich nicht mit dem Thema und hatte auch keine Ambitionen, sich darauf einzulassen. Eine andere Mitarbeiterin wurde mit der Aufgabe betraut: „Sie kniete sich richtig rein. Sie hat das Thema verinnerlicht und legte die richtige Mischung aus Kenntnis und Beharrlichkeit an den Tag“, erzählt er. Gemeinsam erarbeiteten sie den Projektplan und die Projektleiterin „ist mir immer auf die Zehen gestiegen, damit alle rechtzeitig liefern und die relevanten Dokumente erstellen.“
„Wenn man bedenkt, dass wir ständig Angst hatten, etwas zu verpassen und dass sich unsere Projektleiterin Tage lang mit dem Thema auseinandersetzte, dann ist die Frage, ob wir es nochmal ohne externen Berater machen würden, ganz klar mit ‚nein‘ zu beantworten“, sagt Jutta Dannenböck.
Vom Saulus zum Paulus: Informationssicherheit ist kritisch
Mit der Zeit entwickelte sich Christian Schauler „vom Saulus zum Paulus“, wie er sagt: „Anfangs war meine Einstellung: TISAX®? Brauchen wir nicht! Was soll bei uns schon zu holen sein?“ Doch je tiefer er in das Thema einstieg, desto mehr wurde ihm bewusst, dass es der Firma auch viel Gutes bringt: „Wir kennen jetzt unsere Informationswerte und unsere Risiken. Deshalb sind wir robuster aufgestellt und besser geschützt als vor der Einführung des ISMS.“
Bei der Wahl des Auditors schauten Christian Schauler und Christoph Ebensperger genau hin. „Wir entschieden uns für den Prüfer, der offen mit allen Fragen umging. Wir erhielten vorab Tipps wodurch ein wertvolles Vertrauensverhältnis entstand. Das war für uns ein wichtigeres Entscheidungskriterium als die Kosten.“
Egal wie klein und scheinbar unwichtig im großen Universum der Automobilzulieferindustrie ein Unternehmen sich wägt, Kundendaten sind wertvoll und immer für andere interessant. Das gilt auch für die Informationen, mit denen sich die Managementberatung CNX beschäftigt. „Wir wollen weder in Haftung genommen werden, noch wollen wir unseren Ruf ruinieren“, sagt Christian Schauler und fügt hinzu „Vorbeugen ist immer besser als heilen.“
Informationssicherheit ist Chefsache
Als wichtigste Erkenntnis aus den zwölf Monaten Vorbereitung auf das TISAX® Assessment bezeichnet Christian Schauler, dass das Thema Informationssicherheit in der Leitungsebene aufgehängt sein muss. Viele der von der ISO 27001 geforderten technischen und organisatorischen Maßnahmen müssen von jedem Mitarbeiter verinnerlicht, mitgetragen und immer wieder auf den neuesten Stand gebracht werden. „Da bedarf es ganz klarer Verpflichtungen von ganz oben, denn Informationssicherheit ist Teil der unternehmerischen Gesamtverantwortung. Wenn die Geschäftsführung da nicht mit gutem Beispiel voran geht und Einsatz zeigt, hat das Projekt von vornherein ein Glaubwürdigkeitsproblem“, sagt Christoph Ebensperger.
Das TISAX® Label hat der CNX viele Vorteile gebracht, da das Beratungshaus jetzt alle Formalien in Sachen Informationssicherheit gegenüber ihren OEMs erfüllt. Christoph Ebensperger zieht Bilanz: „Alle Verantwortlichen und Mitarbeiter sind jetzt für das Thema sensibilisiert. Wir haben klare Strukturen, Prozesse und Verantwortlichkeiten und das gute Gefühl, dass wir vor Cyberattacken geschützt sind.“
Nie wieder ohne: TISAX® Vorbereitung mit fachkundigen Beratern
Alle drei Jahre muss das TISAX® Label erneuert werden. Mit TSX-Partners, der Information Security Consulting Sparte von CNX, haben die Münchener jetzt das Fachwissen im Haus, um das Assessment in aller Ruhe vorbereiten zu können. „Das würden wir im Nachhinein jedem Unternehmen raten“, sagt Jutta Dannenböck. „Zum einen spart man nicht unbedingt Geld, wenn man sich dem Thema alleine stellt, da der personelle Aufwand so hoch ist. Außerdem wären die Vorbereitungen ganz sicher reibungsloser verlaufen, wenn wir fachkundige Unterstützung gehabt hätten.“
TSX Partners berät KMU in der Automobilzulieferkette auf Augenhöhe und macht sie für das TISAX® Assessment fit. Aus der eigenen Erfahrung heraus wissen die Informationssicherheitsexperten von TSX Partners wo der Schuh drückt, wie man die komplexen Anforderungen auf das individuelle Unternehmen anpasst und welche Sprache die Unternehmen sprechen.
Disclaimer:
TISAX® ist eine eingetragene Marke der ENX Association.
Zwischen TSX Partners powered by CNX Consulting Partners und der ENX Association besteht hinsichtlich der vorstehend beschriebenen Beratungsleistungen keine geschäftliche Beziehung. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.
