Information security in organizations-dqs-man with laptop in server room

Informationssicherheit in Unternehmen: Die Mubea Unternehmensgruppe

André Säckel

DQS-Normexperte Informationssicherheit
Dez. 06 , 2022
# Informations­sicherheit im Unternehmen

Eine solide Informationssicherheit bringt heute weit mehr Vorteile für Unternehmen mit sich als lediglich die Absicherung der technischen Infrastruktur. Ganze Geschäftsabläufe hängen inzwischen maßgeblich davon ab – egal ob es um das sichere Handling von sensiblen Daten oder die rechtskonforme Verarbeitung derselben geht. Deshalb umfasst der Begriff mittlerweile den Schutz des gesamten Informationsflusses.

Dem Automobilzulieferer Mubea gelang es, durch die DQS-Zertifizierung nach ISO 27001 die Informationssicherheit in zehn europäischen Ländern zu standardisieren und sich damit im Wettbewerb gut zu positionieren. Mögliche IT-Risiken und der Umgang mit vertraulichen Informationen wurden dabei unter die Lupe genommen sowie kontinuierlich verbessert und weiterentwickelt.

INHALT

Informationssicherheit in zehn Ländern bringt Vorteile im Wettbewerb

Die Globalisierung stellt viele Unternehmen beim Thema Informationssicherheit vor enorme Herausforderungen. Die Infrastruktur und die gesetzlichen Regelungen unterscheiden sich in den einzelnen Ländern zum Teil massiv. Dennoch sind global agierende Unternehmen dazu verpflichtet, ein wirksames Schwachstellenmanagement einzuführenund geeignete Schutzmaßnahmen zu etablieren. Denn die Digitalisierung von Geschäftsprozessen über Ländergrenzen hinweg erfordert von allen Beteiligten ein vergleichbares Niveau an IT-Sicherheit, das über die gesamte Wertschöpfungskette gewährleistet sein muss.

Auch in der Automobilindustrie wird die Sicherheit schützenswerter Daten und Informationen immer wichtiger, wenn es um die internationale Zusammenarbeit von verschiedenen Standorten, Tochtergesellschaften oder Dienstleistern geht. Der Automobilzulieferer Mubea stand dabei vor der großen Hürde, das Niveau der IT-Sicherheit in zehn Ländern mit insgesamt 20 Tochtergesellschaften auf das gleiche Level heben zu wollen.

Informationssicherheit in Unternehmen – Ein Vorsprung, auf den Kunden achten

Bereits vor Jahren hat der Leichtbau-Spezialist für Karosserie, Fahrwerk und Antrieb begonnen, sich intensiv mit der Informationssicherheit auseinanderzusetzen: „Unsere Kunden verankerten das Thema immer öfter in ihren Einkaufsbedingungen. Und um im Wettbewerb weiterhin gut aufgestellt zu sein, wollten wir schnell handeln“, berichtet Christiane Habbel, Head of IT – Information Security & Compliance im Unternehmen.

Aber das war nicht der einzige Grund: „Wir sind ohnehin bestrebt, unser Managementsystem für Informationssicherheit ständig zu verbessern und unsere Mitarbeiter für das Thema zu sensibilisieren. So haben wir uns 2017 entschlossen, eine Zertifizierung nach der anerkannten ISO-Norm 27001 durchführen zu lassen. Das hilft uns bei diesem Vorhaben enorm“, so Habbel.

ISO 27001 – Zertifizierung bringt Vorteile

ISO 27001 ist eine internationale Norm für Informationssicherheit für private, öffentliche oder gemeinnützige Organisationen. Die Norm beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Die Zertifizierung wird immer an die Gegebenheiten des jeweiligen Unternehmens angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Thema Informationssicherheit beschäftigt sich die Norm besonders mit der Analyse und der Behandlung der damit verbundenen Risiken. Für Unternehmen bietet sie damit einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.

Zertifikate nach der weltweit anerkannten Norm sind generell drei Jahre gültig. Mit Blick auf eine fortlaufende Verbesserung und die anhaltende Wirksamkeit des Managementsystems erfolgt aber jährlich ein Überwachungsaudit.

TISAX® – Prüfungsverfahren für den Automobilbereich

Zwar existiert seit 2017 mit TISAX® (Trusted Information Security Assessment Exchange) ein von der Automobilindustrie definierter Standard für Informationssicherheit und somit eine weitere Möglichkeit zur Zertifizierung, die viele Automobilhersteller und Zulieferer inzwischen von Geschäftspartnern verlangen. Allerdings war TISAX® zunächst nur ein europäischer Standard für die Branche und noch nicht global etabliert.

„Das ging uns nicht weit genug“, erinnert sich Habbel. Deshalb entschied sich das Attendorner Unternehmen zunächst für eine ISO 27001-Zertifizierung, um sich in puncto Informationssicherheit einen Vorsprung im Wettbewerb zu sichern.

tisax-vorbereitet-ins-assessment-dqs-whitepaper-kostenfrei

TISAX®: Gute Planung für erfolgreiche Assessments

Stehen Sie vor der Aufgabe, den automobilen Branchenanforderungen in puncto Informationssicherheit nachzukommen? Dann sollten Sie schon im Vorfeld eines TISAX®-Assessments einige wichtige Entscheidungen treffen. Unser kostenfreies Whitepaper zum ISA Prüfkatalog 5.1 gibt Orientierungshilfen.

Gute Informationen für gute Planung. Jetzt Whitepaper lesen.

Doppelte Zertifizierung durch die DQS

Mit diesem Entschluss machte sich Mubea auf die Suche nach einem geeigneten Partner und entschied sich kurzerhand für die DQS.

habbel-christiane-quelle-mubea

Wir stießen bei unseren Recherchen relativ schnell auf die DQS und stellten in einem Erstgespräch fest, dass wir sehr gut zusammenpassen.

Christiane Habbel Head of IT – Information Security & Compliance bei Mubea

Zunächst wurde von den DQS-Auditoren vor Ort das Funktionieren des Informationssicherheits-Managementsystems (ISMS) unter die Lupe genommen. Außerdem musste Mubea für die ISMS-Zertifizierung ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit nachweisen: Vertraulichkeit, Integrität und Verfügbarkeit. Das sind die drei Schutzziele der Informationssicherheit.

Mögliche IT-Risiken oder die Informationssicherheit gefährdende Prozesse wurden in diesem Zusammenhang aufgelistet und optimiert. „Die Zusammenarbeit mit DQS war sehr praxisnah und kundenorientiert. Wir haben sehr von den fundierten Branchenkenntnissen der Auditoren profitiert, die uns in allen Belangen unterstützten“, so Habbel. „Dies trifft sowohl für die Zertifizierung nach ISO 27001 als auch TISAX® zu.“

Europaweite Informationssicherheit im Unternehmen

Mit Hilfe der DQS ist es Mubea aber nicht nur gelungen, die Sicherheit sensibler Daten und Informationen des Headquarters zu optimieren. Das Unternehmen hat auch 20 Tochterunternehmen an zehn Standorten in Europa auf ein neues Sicherheitslevel gehoben und einen gemeinsamen Sicherheitsstandard etabliert.

Gegenüber Kunden und Partnern kann Mubea nun die eigene Informationssicherheit durch die beiden Zertifikate verlässlich dokumentieren. Dies verschafft dem Automobilzulieferer einen Wettbewerbsvorteil im Markt, konstatiert Habbel:

„Mit ISO 27001 haben wir nicht nur europaweit einen hohen Sicherheitsstandard ins Unternehmen gebracht. Wir schützen uns auch vor Cyberangriffen von außen und konnten unsere Mitarbeiter für die Sicherheit unserer vertraulichen Unternehmenswerte sensibilisieren. Denn Informationssicherheit ist weit mehr als nur IT-Sicherheit. Nun bleiben wir aber nicht stehen. Wesentliche Komponenten unseres Managementsystems werden jährlich auditiert, um weitere Verbesserungen zu erzielen. Das ohnehin sehr gute Level unserer Informationssicherheit entwickelt sich somit kontinuierlich weiter.“

informationssicherheit-bei-mubea_zdf-daten und fakten

Zahlen, Daten, Fakten

Die Mubea Unternehmensgruppe ist Weltmarktführer in Bezug auf die Entwicklung und Herstellung von komplexen Automobilkomponenten, die zu einer Gewichtsreduzierung von Fahrzeugen führen und durch einen verminderten CO2-Ausstoß zu einem verbesserten Umweltschutz beitragen. Das inhabergeführte Familienunternehmen aus Attendorn legt seinen Fokus dabei auf technische Innovationen und operative Exzellenz. Es wird durch den Anspruch getrieben, nachhaltig unter den Top 100 globalen Automobilzulieferern zu sein.

Zum Produktspektrum zählen unter anderem Fahrwerkskomponenten wie Achsfedern, Stabilisatoren, Faserverbundfedern und Präzisionsstahlrohre sowie Motorkomponenten wie auch Ventilfedern, automatische Riemenspannsysteme und Federbandschellen, aber auch Getriebekomponenten wie Antriebswellen und Getriebetellerfedern. Das Tochterunternehmen Mubea Flamm entwickelt und fertigt zudem Komponenten und Baugruppen für die Luftfahrt- und Haushaltsgeräteindustrie.

www.mubea.com/de

Informationssicherheits-Managementsystem gemäss internationaler Norm

Die international anerkannte Norm ISO 27001 für ein Informationssicherheitsmanagement gilt weltweit. Sie bietet Organisationen aller Größen und Branchen einen Rahmen zur Planung, Umsetzung und Überwachung der Informationssicherheit. Dabei geht es um mehr, als nur die Aspekte der IT-Sicherheit. Besonders wertvoll für die Praxis ist die Umsetzung der Maßnahmen in Anhang A der Norm.

iso 27001-whitepaper-fragen-antworten

„Die Neue“ für Informationssicherheit

Wertvolles Wissen: 44 Fragen und Antworten zu ISO/IEC 27001:2022

Zusammenstellung wissenswerter Details zur revidierten ISO 27001 von Anwendern und Experten:

  • Was hat es mit den neuen Controls auf sich?
  • Wann sollen wir auf die neue Norm umsteigen?
  • und vieles anderes mehr
Fragenkatalog kostenfrei herunterladen

Die Normanforderungen sind generell anwendbar und gelten sowohl für private und öffentliche Unternehmen als auch gemeinnützige Institutionen. Mit Blick auf Datenschutz und den sicheren, integren Umgang mit personenbezogenen Daten stellt die internationale Norm ISO 27701 eine sinnvolle Ergänzung von ISO 27001 dar.

Ihr Nutzen eines ISMS

Durch den systematischen Aufbau und die Umsetzung eines prozessorientierten ISMS erzielen Unternehmen entscheidende Vorteile, zum Beispiel:

  • Schutz von vertraulichen Informationen vor Missbrauch, Verlust und Offenlegung als integrativer Bestandteil der Unternehmensprozesse
  • Sensibilisierung der Mitarbeiter: Bedrohungen im Unternehmen werden zuverlässig erkannt und reduziert
  • Einhaltung relevanter Compliance-Anforderungen, mehr Handlungs- und Rechtssicherheit
  • Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit
  • Steigerung der Wettbewerbsfähigkeit
  • Optimierung von Prozess- und IT-Kosten

ISO 27001 wurde einer Revision unterzogen und am 25.10.2022 in englischer Sprache neu verööfentlicht. Die deutsche Norm ist beim Beuth Verlag erhältlich:

DIN EN ISO/IEC 27001:2024-01  Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Welche Änderungen und Fristen mit der Revision einhergegangen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.

Über die DQS GmbH

DQS ist auf Audits und Zertifizierungen für Managementsysteme und Prozesse spezialisiert. Mit der Expertise aus mehr als 35 Jahren ist das Unternehmen aus Frankfurt am Main ein kompetenter Partner des Managements. Wir auditieren nach rund 200 anerkannten Normen und Regelwerken oder nach Ihren unternehmensspezifischen Vorgaben – regional, national und international.

Unparteilichkeit und Objektivität sind für uns wesentliche Elemente bei der Durchführung von Audits und Zertifizierungen. Und das gilt nicht nur für die normativen Bereiche, sondern auch für die Durchführung sämtlicher Audittätigkeiten. Lesen sie mehr über unsere Auditphilosophie.

Gerne helfen wir Ihnen weiter, wenn Sie das Informationssicherheits-Managementsystem Ihres Unternehmens oder Ihrer Organisation zertifizieren lassen möchten.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Zertifizierung nach ISO 27001

Wir zeigen Ihnen auf, mit welchem Aufwand und welchen Kosten Sie für eine Zertifizierung Ihres Informationssicherheits-Managementsystems rechnen müssen. Informieren Sie sich kostenfrei und unverbindlich.

Fragen? Wir sind für Sie da.

Vertrauen und Expertise

Unsere Texte und Whitepaper werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns