digatus_logo
Search
Generic filters
Filter by Standorte
Filter by Funktionen
Search
Generic filters
Filter by Standorte
Filter by Funktionen

Erfolgreiche Vorbereitung der IFA Group auf das TISAX Label

Bei der IFA Group handelt es sich um einen Automobilzulieferer mit sieben Entwicklungs- und Produktionsstandorten weltweit. Wie viele andere Lieferanten und Dienstleister, die mit sensiblen Informationen arbeiten, wurde auch die IFA von den OEM’s dazu aufgefordert, das TISAX Label nachzuweisen. Bei TISAX handelt es sich um einen Prüf- und Austauschmechanismus, um nachzuweisen, ob die Anforderungen zur Informationssicherheit erfüllt werden.

Kunde: IFA Group

Die IFA Group entwickelt und produziert in Ländern wie Deutschland, USA, China und Polen mit ca. 2.600 Mitarbeitenden Längswellen, Seitenwellen, Gelenke und Komponenten für namhafte Automobilhersteller. Dadurch gehört sie zu den Top-50-Unternehmen der deutschen Zulieferindustrie und darf BMW, Ferrari, Ford, GM, Mercedes-Benz, Porsche und Volkswagen zu ihren Kunden zählen.

Zu den Erfolgsfaktoren des Unternehmens gehören die zukunftsweisende Forschung sowie nachhaltige Entwicklung, weshalb aktuell Wellen für elektrische Antriebe im Fokus stehen. Interessant zu wissen ist, dass gerade die in Hybrid- und reinen Elektrofahrzeugen eingesetzten Längs- und Seitenwellen besonders hohen Drehmomenten standhalten müssen und gleichzeitig nur eine sehr geringe Geräuschentwicklung aufweisen dürfen.

Ausgangssituation und Herausforderungen

Aktuell werden viele Lieferanten und Dienstleister der OEMs (Original Equipment Manufacturer) kontaktiert, dass sie bis zu einer vorgegebenen Deadline das TISAX Label vorzuweisen haben. Bei TISAX (Trusted Information Security Assessment Exchange) handelt es sich um einen vom VDA (Verband der Automobilindustrie) und der ENX Association entwickelten Fragenkatalog, der auf der ISO 27001 basiert und um den Prototypen- sowie Datenschutz erweitert wurde. Im Mittelpunkt steht die Informationssicherheit, wofür Anforderungen definiert wurden, denen Dienstleister und Lieferanten gegenüber ihren Kunden nachkommen müssen.

Von der Planung und Vorbereitung bis hin zur tatsächlichen Umsetzung entsteht ein hoher Aufwand, der sich mit den strengen zeitlichen Fristen der OEM’s vereinbaren lassen muss.

Lösung

Um einen ersten Überblick zu dem aktuellen Stand der Informationssicherheit bei der IFA Group zu gewinnen, wurde eine GAP-Analyse anhand des VDA-ISA-Katalogs durchgeführt, wofür ausgewählte Key User interviewt wurden.

Für die anschließende Aufnahme des Asset Inventorys sowie des Risk Assessments, wurden alle Prozesse des Unternehmens hinsichtlich der Informationssicherheit dokumentiert und analysiert, sodass geeignete Maßnahmen definiert werden konnten.

Eine Voraussetzung für diesen Prozess ist es, für ausreichend Awareness bei den Mitarbeitenden zu sorgen, indem die Wichtigkeit der Informationssicherheit hervorgehoben wird. Um das Wissen regelmäßig zu erweitern, wird auf Schulungen gesetzt, die die Mitarbeiter selbstständig online durchführen können. Dadurch lernt der Mitarbeitende, wie er Informationssicherheit in den Arbeitsalltag integriert und wie mit Gefahren umgegangen wird, z. B. Phishing.

Für einen einheitlichen Ablageort aller für TISAX relevanten Informationen und Dokumente wurde zudem ein ISMS (Information Security Management System) eingeführt. Ein entscheidender Vorteil ist unter anderem die direkte Verknüpfung der Assets (Werte) mit den dazugehörigen Risiken und Maßnahmen. Im Gegensatz zu mehreren endlos langen Excellisten sorgt ein ISMS für einen guten Überblick und erleichtert die Pflege der Daten erheblich. Auch der Freigabeprozess der Dokumente ist deutlich geringer und kann mithilfe einer Rollenzuweisung gemanagt werden. Besonders wichtig bei dem Aufbau eines ISMS ist die Gewährleistung einer intuitiven Nutzung, sodass alle Mitarbeiter schnell und einfach auf die Informationen zugreifen können, die sie benötigen.

Schließlich folgte der Risikobewertung die Planung und Umsetzung geeigneter Maßnahmen, um die Eintrittswahrscheinlichkeit und/oder das Schadensausmaß zu reduzieren. Für diesen Schritt wurden sogenannte Controls herangezogen, die sich an der ISO 27002 anlehnen und auf die IFA Group angepasst wurden.

Sobald die Maßnahmen umgesetzt wurden bzw. sich zum Teil noch in der Implementierung befinden, wird ein internes Audit durch einen ISO (Information Security Officer) durchgeführt. Dadurch wird der aktuelle Reifegrad des ISMS analysiert, sodass ggf. weitere Maßnahmen eingeleitet werden können. Daraufhin folgt das finale Audit durch einen externen Auditor einer entsprechenden Zertifizierungsstelle, welche im Fall der IFA Group der TÜV Süd ist.

Mittlerweile hat das Audit durch den TÜV Süd stattgefunden. Trotz der Herausforderung vier Standorte mit einer Vielzahl an Mitarbeitenden gleichzeitig TISAX zertifizieren zu lassen, hat die IFA Group auf den ersten Anlauf mit einem sehr guten Ergebnis erfolgreich das TISAX Label erworben.

Da der Reifegrad der Informationssicherheit in einem PDCA-Zyklus (Plan-Do-Check-Act) verfolgt wird, steht jährlich ein internes Audit an, sodass das TISAX Label auch in Zukunft alle drei Jahre ohne Abweichungen bestätigt werden kann.

Kundennutzen

Als zukunftsorientiertes Unternehmen möchte die IFA Group ihren Kunden Sicherheit im Austausch und in der Verarbeitung von Informationen gewährleisten. Durch den Erhalt des TISAX Labels wird eben dieses Sicherheitsbewusstsein an die  OEMs kommuniziert, sodass das Jahrzehnte lange Vertrauen gestärkt und zusammen an weiteren Aufträgen gearbeitet wird.

Für die Fortschrittlichkeit des Unternehmens spricht außerdem das Vorantreiben der Digitalisierung durch den Einsatz einer Cloud-Lösung als ISMS. In naher Zukunft plant die IFA Group den Einsatz dieses prozessunterstützenden Systems auch in weiteren Unternehmensbereichen zur zentralen Verwaltung von Dokumenten und Abläufen.



Ida Mußack

Ida Mußack
Als Consultant im Bereich M&A Transformation verantwortet sie weltweit IT-Carve-Out-Projekte unserer Kunden im Bereich Private Equity. Als Information Security Officer des TÜV Süd betreut sie zusätzlich die Informationssicherheit, den Erhalt der ISO27001-Zertifizierung und die Einführung des TISAX Labels renommierter internationaler Kunden. Ida hat an der Hochschule Kempten ihren Master in Wirtschaftsingenieurwesen Maschinenbau erworben und konnte sich in den letzten Jahren in den Bereichen M&A Transformation und Information Security spezialisieren

Kontakt

Nehmen Sie Kontakt mit unseren Experten auf.
Gerne telefonisch unter +49 89 2 62 07 56 12 oder per Kontaktformular:

Mit dem Absenden dieses Formulars erkläre ich mich mit der Verarbeitung personenbezogener Daten gemäß der Datenschutzrichtlinie einverstanden. *

Ähnliche Beiträge

Stephan Bals
Im Rahmen unserer diesjährigen Jahreshauptversammlung der digatus it group AG stand die turnusgemäße Neubesetzung unseres Aufsichtsrats an.
Carl-Friedrich Heintz
München / Paris, Mai 2024. Die IT-Dienstleistungs- und Beratungsgruppe digatus setzt ihren Wachstumskurs fort und startet Aktivitäten zur Expansion auf dem französischen Markt.
Hannes Götz
Nach dem Verkauf der ehemaligen Siemens ITS-Sparte und der Umfirmierung in Yunex Traffic, musste das neue Unternehmen auf eigenen Beinen stehen, um die Verbindungen und Abhängigkeiten zu den Siemens Mobility Systemen zu lösen. Dank der langjährigen Erfahrung mit Carve-outs in großen Unternehmen, konnte digatus Yunex Traffic gezielt und effizient auf dem Weg der Transformation unterstützen.