digatus_logo
Search
Generic filters
Filter by Standorte
Filter by Funktionen
Search
Generic filters
Filter by Standorte
Filter by Funktionen

Einführung von TISAX in der Willi Elbe Group

Die Willi Elbe Group besteht aktuell aus dem Headquarter in Tamm, Deutschland, sowie sechs weiteren Standorten in Deutschland, Bulgarien, Norwegen, Mexiko und China. Die Informationssicherheit ist ein Thema mit rasant steigender Bedeutung, weshalb in der Automobilbrache das TISAX Label ins Leben gerufen wurde. Die OEMs fordern zurzeit ihre Lieferanten auf, dieses Label als Voraussetzung für eine weitere Zusammenarbeit nachzuweisen. Folglich steht auch die Willi Elbe Group vor der Aufgabe, die Anforderungen zur Informationssicherheit zu erfüllen.

Kunde: Willi Elbe Group

Aufbauend auf einer 70-jährigen Erfahrung entwickelt und produziert die Willi Elbe Group zurzeit an sieben Standorten weltweit Lenkungs- und Antriebsstranganwendungen für die Automobilbranche.

Besonders hervorzuheben ist das Spezialwissen des Unternehmens über Aluminium, welches bei der Fertigung von Lenkwellen eingesetzt wird. Die Leichtbauprodukte führen zu geringeren CO2-Emissionen sowie zu längeren Batteriereichweiten und garantieren trotzdem höchste Sicherheit, wodurch die Willi Elbe Group ein Marktführer im Bereich dieser Technologie ist.

Zu den Erfolgsfaktoren des Unternehmens gehört das auf die Bedürfnisse der Kunden angepasste Produktportfolio, welches neben den maßgeschneiderten Aluminium-Lenkwellen auch hochbelastbare Stahlanwendungen für die Lenkungstechnik von Nutzfahrzeugen beinhaltet. Das technologische Wissen der Willi Elbe Group reicht von Gelenkwellen für PKWs mit Allradantrieb bis hin zu Kardanwellen für Motorräder.

Ausgangssituation und Herausforderungen

Wie viele weitere Lieferanten und Dienstleister wurde auch die Willi Elbe Group von den OEMs (Original Equipment Manufacturer) dazu aufgefordert, das TISAX-Label bis zu einer vorgegebenen Deadline vorzuweisen.

Hinter der Abkürzung TISAX, welche für Trusted Information Security Assessment Exchange steht, verbergen sich Anforderungen des VDA (Verband der Automobilindustrie) und der ENX Association, welche gemeinsam definiert und in Form eines Fragenkatalogs veröffentlicht wurden. Die Basis stellt die ISO 27001 dar, womit die Informationssicherheit klar im Fokus steht. Zudem wurden die Anforderungen um die Bausteine Datenschutz und Prototypenschutz erweitert. Je nach gefordertem Assessmentlevel müssen die Dienstleister und Lieferanten Nachweise für die Erfüllung der Umsetzung dieser Vorgaben liefern. Eine Prüfung findet in Form eines Audits statt.

Der Weg dahin bedarf einer vorausschauenden Planung und guten Vorbereitung, da die Umsetzung der Anforderungen in allen sieben Standorten weltweit gleichzeitig eine Herausforderung darstellt.

Lösung

Zu Beginn des Projekts wurden gemeinsam mit den Abteilungsleitern alle Prozesse und die darin verwendeten Informationssicherheitsassets für das Asset Inventory aufgenommen und ein Risk Assessment durchgeführt. Gleichzeitig wurden Key User definiert, die in Zukunft für die TISAX-Anforderungen in den jeweiligen Abteilungen verantwortlich sind. Um sich ein Bild über den aktuellen Stand der Informationssicherheit in der Willi Elbe Group machen zu können, wurden diese interviewt, woraufhin eine GAP-Analyse auf Basis des VDA-ISA-Katalogs folgte. Aufgrund der bis zu diesem Zeitpunkt durchgeführten Analysen wurden erste Maßnahmen definiert, woraus sich die Aufgaben der Key User und Abteilungen ableiten ließen.

Während dieser Zeit ist es wichtig, den Mitarbeitern das Thema Informationssicherheit und deren Bedeutung für das Unternehmen nahe zu bringen. Doch um nicht nur die Awareness der Key User zu schärfen, sondern die der gesamten Belegschaft, wurden verpflichtende Online-Schulungen über die SoSafe-Plattform für alle Mitarbeiter eingeführt. Darin wird erklärt, wie die Informationssicherheit im Arbeitsalltag sichergestellt wird und wie mit Gefahren, wie z. B. Phishing, umgegangen wird.

Eine besondere Herausforderung stellte die Koordination der sieben Standorte dar. Mit einem Information Security Management System (ISMS) basierend auf der Software Q.wiki von der Modell Aachen GmbH stellten wir sicher, dass alle Richtlinien und Dokumente bezüglich TISAX zentral für alle Mitarbeiter zugänglich sind. In dieses System wurden auch die Informationssicherheitsassets, Risiken und Maßnahmen aufgenommen und miteinander verknüpft. Diese übersichtliche Verwaltung erleichtert die Pflege in der Zukunft erheblich im Vergleich zu umfangreichen Excellisten. Selbst der Freigabeprozess aller Dokumente ist im ISMS hinterlegt, sodass mithilfe einer Rollenzuweisung die Seitenverantwortlichen, der ISO und schließlich die Geschäftsführung den Inhalt prüfen und unternehmensweit veröffentlichen. Um die Richtlinien auch an jedem Standort umsetzen zu können, wurde das ISMS auf Englisch aufgebaut. Für die Mitarbeiter, die die englische Sprache nicht beherrschen, wurden ausgewählte Dokumente in die jeweilige Landessprache übersetzt, was im Fall der Willi Elbe Group fünf weitere Sprachen bedeutet. Schnell wurde klar, dass neben dem zentral agierenden Information Security Officer (ISO) pro Standort ein Local Information Security Officer (LISO) benötigt wird, der sich für den Wissensaustausch und die Umsetzung der notwendigen Maßnahmen einsetzt und die Einhaltung der Informationssicherheit in den einzelnen Werken verantwortet. Hierfür wurden geeignete Mitarbeiter von der Managementebene ausgewählt, für die ein spezielles Schulungskonzept entwickelt wurde.

Um die Willi Elbe Group auf das TISAX-Audit vorzubereiten, fanden zuvor interne Audits durch den ISO und die LISOs statt, um den Stand der bisherigen Umsetzungen im Sinne der Informationssicherheit zu prüfen und falls nötig, weitere Maßnahmen zu definieren, sodass die Anforderungen erfüllt sind.

Schließlich fand Anfang des Jahres das Audit durch den TÜV Süd statt, welches Dank der guten Zusammenarbeit aller Mitarbeiter und trotz der Herausforderungen zu einem ausgezeichneten Ergebnis mit voller Punktzahl im Reifegrad und ohne Abweichungen geführt hat. Mit Blick auf die Zukunft ist es wichtig, dass trotz erfolgreich erworbenen TISAX Labels die Informationssicherheit fortlaufend in einem iterativen PDCA-Zyklus überprüft und verbessert wird. In einem jährlichen internen Audit wird dies sichergestellt, sodass auch in drei Jahren die TISAX-Labels ohne Abweichungen an die Willi Elbe Group bestätigt werden können.

Ein initiales TISAX-Audit mit dem höchstmöglichen Reifegrad zu bestehen ist ein hervorragendes Ergebnis, das auf die gute Zusammenarbeit der Teams unter dem Management von Ida Mußack der Firma digatus zurückzuführen ist.

Lukas Krahé
CRO
Willi Elbe Gelenkwellen GmbH & Co. KG

Kundennutzen

Ob als gesetzliche Vorgabe oder als Forderung der OEMs, die Bedeutung der Informationssicherheit nimmt enorm zu und wird zunehmend geprüft. Jedoch bieten die Anforderungen auch dem Unternehmen selbst einen großen Vorteil, da Prozesse verbessert und die IT-Infrastruktur modernisiert wird. Die Fortschrittlichkeit des Unternehmens zeigt sich zudem durch den Einsatz einer Cloud-Lösung als ISMS, wodurch Richtlinien und Dokumente von sieben Standorten weltweit zentral verwaltet und eingesehen werden können.

Als ein zukunftsorientiertes Unternehmen kann die Willi Elbe Group ihren Kunden die nötige Sicherheit im Austausch und Umgang mit Informationen garantieren. Das stärkt nicht nur das Vertrauen, sondern legt auch den Grundstein für eine gute und sichere Zusammenarbeit in der Zukunft.

Ida Mußack

Ida Mußack
Als Consultant im Bereich M&A Transformation verantwortet sie weltweit IT-Carve-Out-Projekte unserer Kunden im Bereich Private Equity. Als Information Security Officer des TÜV Süd betreut sie zusätzlich die Informationssicherheit, den Erhalt der ISO27001-Zertifizierung und die Einführung des TISAX Labels renommierter internationaler Kunden. Ida hat an der Hochschule Kempten ihren Master in Wirtschaftsingenieurwesen Maschinenbau erworben und konnte sich in den letzten Jahren in den Bereichen M&A Transformation und Information Security spezialisieren

Kontakt

Nehmen Sie Kontakt mit unseren Experten auf.
Gerne telefonisch unter +49 89 2 62 07 56 12 oder per Kontaktformular:

Mit dem Absenden dieses Formulars erkläre ich mich mit der Verarbeitung personenbezogener Daten gemäß der Datenschutzrichtlinie einverstanden. *

Ähnliche Beiträge

Christoph Pscherer
Im Vorfeld führte digatus bereits die IT Due Diligence durch und unterstützt die Infrareal Holding GmbH & Co. KG nun auch während der Übernahme und Eingliederung des Pharma- und Biotech-Standorts.
Maximilian Maier
Für die Stumpp + Schüle GmbH, einen Automobilzulieferer, markierte die IT Due Diligence und der darauffolgende IT Carve-out aus der Lesjöfors-Gruppe einen entscheidenden Schritt in Richtung Eigenständigkeit. Ziel war es, die IT-Infrastruktur unabhängig und zukunftssicher zu gestalten, um den Weg für ein autonomes und flexibles Handeln als eigenständiges Unternehmen zu ebnen. Dabei stand die Herausforderung im Vordergrund, die bestehenden Systeme und Prozesse losgelöst von der Muttergesellschaft weiterzuführen, ohne den laufenden Betrieb zu beeinträchtigen. Dank einer durchdachten Planung und professionellen Umsetzung wurde diese Vision erfolgreich realisiert.
Adrian Liepert
Augsburg, 1. August 2024: Der Geschäftsbetrieb des IT-Dienstleisters adminservice24 GmbH wurde zum 01.07.2024 durch digatus erworben und agiert zukünftig als Teil der digatus technology GmbH. Die IT-Dienstleitungsgruppe digatus setzt somit ihre Wachstumsstrategie weiter fort und stärkt ihre Marktpräsenz durch den neuen Standort in Stuttgart.