Kunde: IFA Group
Die IFA Group entwickelt und produziert in Ländern wie Deutschland, USA, China und Polen mit ca. 2.600 Mitarbeitenden Längswellen, Seitenwellen, Gelenke und Komponenten für namhafte Automobilhersteller. Dadurch gehört sie zu den Top-50-Unternehmen der deutschen Zulieferindustrie und darf BMW, Ferrari, Ford, GM, Mercedes-Benz, Porsche und Volkswagen zu ihren Kunden zählen.
Zu den Erfolgsfaktoren des Unternehmens gehören die zukunftsweisende Forschung sowie nachhaltige Entwicklung, weshalb aktuell Wellen für elektrische Antriebe im Fokus stehen. Interessant zu wissen ist, dass gerade die in Hybrid- und reinen Elektrofahrzeugen eingesetzten Längs- und Seitenwellen besonders hohen Drehmomenten standhalten müssen und gleichzeitig nur eine sehr geringe Geräuschentwicklung aufweisen dürfen.
Ausgangssituation und Herausforderungen
Aktuell werden viele Lieferanten und Dienstleister der OEMs (Original Equipment Manufacturer) kontaktiert, dass sie bis zu einer vorgegebenen Deadline das TISAX Label vorzuweisen haben. Bei TISAX (Trusted Information Security Assessment Exchange) handelt es sich um einen vom VDA (Verband der Automobilindustrie) und der ENX Association entwickelten Fragenkatalog, der auf der ISO 27001 basiert und um den Prototypen- sowie Datenschutz erweitert wurde. Im Mittelpunkt steht die Informationssicherheit, wofür Anforderungen definiert wurden, denen Dienstleister und Lieferanten gegenüber ihren Kunden nachkommen müssen.
Von der Planung und Vorbereitung bis hin zur tatsächlichen Umsetzung entsteht ein hoher Aufwand, der sich mit den strengen zeitlichen Fristen der OEM’s vereinbaren lassen muss.
Lösung
Um einen ersten Überblick zu dem aktuellen Stand der Informationssicherheit bei der IFA Group zu gewinnen, wurde eine GAP-Analyse anhand des VDA-ISA-Katalogs durchgeführt, wofür ausgewählte Key User interviewt wurden.
Für die anschließende Aufnahme des Asset Inventorys sowie des Risk Assessments, wurden alle Prozesse des Unternehmens hinsichtlich der Informationssicherheit dokumentiert und analysiert, sodass geeignete Maßnahmen definiert werden konnten.
Eine Voraussetzung für diesen Prozess ist es, für ausreichend Awareness bei den Mitarbeitenden zu sorgen, indem die Wichtigkeit der Informationssicherheit hervorgehoben wird. Um das Wissen regelmäßig zu erweitern, wird auf Schulungen gesetzt, die die Mitarbeiter selbstständig online durchführen können. Dadurch lernt der Mitarbeitende, wie er Informationssicherheit in den Arbeitsalltag integriert und wie mit Gefahren umgegangen wird, z. B. Phishing.
Für einen einheitlichen Ablageort aller für TISAX relevanten Informationen und Dokumente wurde zudem ein ISMS (Information Security Management System) eingeführt. Ein entscheidender Vorteil ist unter anderem die direkte Verknüpfung der Assets (Werte) mit den dazugehörigen Risiken und Maßnahmen. Im Gegensatz zu mehreren endlos langen Excellisten sorgt ein ISMS für einen guten Überblick und erleichtert die Pflege der Daten erheblich. Auch der Freigabeprozess der Dokumente ist deutlich geringer und kann mithilfe einer Rollenzuweisung gemanagt werden. Besonders wichtig bei dem Aufbau eines ISMS ist die Gewährleistung einer intuitiven Nutzung, sodass alle Mitarbeiter schnell und einfach auf die Informationen zugreifen können, die sie benötigen.
Schließlich folgte der Risikobewertung die Planung und Umsetzung geeigneter Maßnahmen, um die Eintrittswahrscheinlichkeit und/oder das Schadensausmaß zu reduzieren. Für diesen Schritt wurden sogenannte Controls herangezogen, die sich an der ISO 27002 anlehnen und auf die IFA Group angepasst wurden.
Sobald die Maßnahmen umgesetzt wurden bzw. sich zum Teil noch in der Implementierung befinden, wird ein internes Audit durch einen ISO (Information Security Officer) durchgeführt. Dadurch wird der aktuelle Reifegrad des ISMS analysiert, sodass ggf. weitere Maßnahmen eingeleitet werden können. Daraufhin folgt das finale Audit durch einen externen Auditor einer entsprechenden Zertifizierungsstelle, welche im Fall der IFA Group der TÜV Süd ist.
Mittlerweile hat das Audit durch den TÜV Süd stattgefunden. Trotz der Herausforderung vier Standorte mit einer Vielzahl an Mitarbeitenden gleichzeitig TISAX zertifizieren zu lassen, hat die IFA Group auf den ersten Anlauf mit einem sehr guten Ergebnis erfolgreich das TISAX Label erworben.
Da der Reifegrad der Informationssicherheit in einem PDCA-Zyklus (Plan-Do-Check-Act) verfolgt wird, steht jährlich ein internes Audit an, sodass das TISAX Label auch in Zukunft alle drei Jahre ohne Abweichungen bestätigt werden kann.
Kundennutzen
Als zukunftsorientiertes Unternehmen möchte die IFA Group ihren Kunden Sicherheit im Austausch und in der Verarbeitung von Informationen gewährleisten. Durch den Erhalt des TISAX Labels wird eben dieses Sicherheitsbewusstsein an die OEMs kommuniziert, sodass das Jahrzehnte lange Vertrauen gestärkt und zusammen an weiteren Aufträgen gearbeitet wird.
Für die Fortschrittlichkeit des Unternehmens spricht außerdem das Vorantreiben der Digitalisierung durch den Einsatz einer Cloud-Lösung als ISMS. In naher Zukunft plant die IFA Group den Einsatz dieses prozessunterstützenden Systems auch in weiteren Unternehmensbereichen zur zentralen Verwaltung von Dokumenten und Abläufen.
