Information security in organizations-dqs-man with laptop in server room

In­for­ma­ti­ons­si­cher­heit in Un­ter­neh­men: Die Mubea Un­ter­neh­mens­grup­pe

André Säckel

DQS-Norm­ex­per­te In­for­ma­ti­ons­si­cher­heit
Dez. 06 , 2022

Eine solide In­for­ma­ti­ons­si­cher­heit bringt heute weit mehr Vorteile für Un­ter­neh­men mit sich als le­dig­lich die Ab­si­che­rung der tech­ni­schen In­fra­struk­tur. Ganze Geschäftsabläufe hängen in­zwi­schen maßgeblich davon ab – egal ob es um das sichere Handling von sen­si­blen Daten oder die rechts­kon­for­me Ver­ar­bei­tung der­sel­ben geht. Deshalb umfasst der Begriff mitt­ler­wei­le den Schutz des gesamten In­for­ma­ti­ons­flus­ses.

Dem Au­to­mo­bil­zu­lie­fe­rer Mubea gelang es, durch die DQS-Zer­ti­fi­zie­rung nach ISO 27001 die In­for­ma­ti­ons­si­cher­heit in zehn europäischen Ländern zu stan­dar­di­sie­ren und sich damit im Wett­be­werb gut zu po­si­tio­nie­ren. Mögliche IT-Ri­si­ken und der Umgang mit ver­trau­li­chen In­for­ma­tio­nen wurden dabei unter die Lupe genommen sowie kon­ti­nu­ier­lich ver­bes­sert und wei­ter­ent­wi­ckelt.

Informationssicherheit in zehn Ländern bringt Vorteile im Wettbewerb

Die Globalisierung stellt viele Unternehmen beim Thema Informationssicherheit vor enorme Herausforderungen. Die Infrastruktur und die gesetzlichen Regelungen unterscheiden sich in den einzelnen Ländern zum Teil massiv. Dennoch sind global agierende Unternehmen dazu verpflichtet, ein wirksames Schwachstellenmanagement einzuführenund geeignete Schutzmaßnahmen zu etablieren. Denn die Digitalisierung von Geschäftsprozessen über Ländergrenzen hinweg erfordert von allen Beteiligten ein vergleichbares Niveau an IT-Sicherheit, das über die gesamte Wertschöpfungskette gewährleistet sein muss.

Auch in der Automobilindustrie wird die Sicherheit schützenswerter Daten und Informationen immer wichtiger, wenn es um die internationale Zusammenarbeit von verschiedenen Standorten, Tochtergesellschaften oder Dienstleistern geht. Der Automobilzulieferer Mubea stand dabei vor der großen Hürde, das Niveau der IT-Sicherheit in zehn Ländern mit insgesamt 20 Tochtergesellschaften auf das gleiche Level heben zu wollen.

Informationssicherheit in Unternehmen 

Ein Vorsprung, auf den Kunden achten

Bereits vor Jahren hat der Leichtbau-Spezialist für Karosserie, Fahrwerk und Antrieb begonnen, sich intensiv mit der Informationssicherheit auseinanderzusetzen: „Unsere Kunden verankerten das Thema immer öfter in ihren Einkaufsbedingungen. Und um im Wettbewerb weiterhin gut aufgestellt zu sein, wollten wir schnell handeln“, berichtet Christiane Habbel, Head of IT – Information Security & Compliance im Unternehmen.

Aber das war nicht der einzige Grund: „Wir sind ohnehin bestrebt, unser Managementsystem für Informationssicherheit ständig zu verbessern und unsere Mitarbeiter für das Thema zu sensibilisieren. So haben wir uns 2017 entschlossen, eine Zertifizierung nach der anerkannten ISO-Norm 27001 durchführen zu lassen. Das hilft uns bei diesem Vorhaben enorm“, so Habbel.

ISO 27001 – Zertifizierung bringt Vorteile

ISO 27001 ist eine internationale Norm für Informationssicherheit für private, öffentliche oder gemeinnützige Organisationen. Die Norm beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Die Zertifizierung wird immer an die Gegebenheiten des jeweiligen Unternehmens angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Thema Informationssicherheit beschäftigt sich die Norm besonders mit der Analyse und der Behandlung der damit verbundenen Risiken. Für Unternehmen bietet sie damit einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.

Zertifikate nach der weltweit anerkannten Norm sind generell drei Jahre gültig. Mit Blick auf eine fortlaufende Verbesserung und die anhaltende Wirksamkeit des Managementsystems erfolgt aber jährlich ein Überwachungsaudit.

TISAX® – Prüfungsverfahren für den Automobilbereich

Zwar existiert seit 2017 mit TISAX® (Trusted Information Security Assessment Exchange) ein von der Automobilindustrie definierter Standard für Informationssicherheit und somit eine weitere Möglichkeit zur Zertifizierung, die viele Automobilhersteller und Zulieferer inzwischen von Geschäftspartnern verlangen. Allerdings war TISAX® zunächst nur ein europäischer Standard für die Branche und noch nicht global etabliert.

„Das ging uns nicht weit genug“, erinnert sich Habbel. Deshalb entschied sich das Attendorner Unternehmen zunächst für eine ISO 27001-Zertifizierung, um sich in puncto Informationssicherheit einen Vorsprung im Wettbewerb zu sichern.

Cover sheet for German whitepaper tisax with pdf
Kostenfreies Whitepaper

TISAX®

Gut vor­be­rei­tet ins As­sess­ment star­ten!

Ste­hen Sie vor der Aufgabe, den au­to­mo­bi­len Bran­chen­an­for­de­run­gen in puncto In­for­ma­ti­ons­si­cher­heit nach­zu­kom­men? Dann sollten Sie schon im Vorfeld eines TISAX®-Assessments einige wichtige Ent­schei­dun­gen treffen. 

Zum Autor: Hol­ger Schme­ken, DQS-Pro­dukt­ma­na­ger und Norm­ex­per­te

Zum kos­ten­frei­en Download

Doppelte Zertifizierung durch die DQS

Mit diesem Entschluss machte sich Mubea auf die Suche nach einem geeigneten Partner und entschied sich kurzerhand für die DQS.

habbel-christiane-quelle-mubea

Wir stießen bei unseren Re­cher­chen relativ schnell auf die DQS und stellten in einem Erst­ge­spräch fest, dass wir sehr gut zu­sam­men­pas­sen.

Christiane Habbel Head of IT – Information Security & Compliance bei Mubea

Zunächst wurde von den DQS-Auditoren vor Ort das Funktionieren des Informationssicherheits-Managementsystems (ISMS) unter die Lupe genommen. Außerdem musste Mubea für die ISO 27001 Zertifizierung ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit nachweisen: Vertraulichkeit, Integrität und Verfügbarkeit. Das sind die drei Schutzziele der Informationssicherheit.

Mögliche IT-Risiken oder die Informationssicherheit gefährdende Prozesse wurden in diesem Zusammenhang aufgelistet und optimiert. „Die Zusammenarbeit mit DQS war sehr praxisnah und kundenorientiert. Wir haben sehr von den fundierten Branchenkenntnissen der Auditoren profitiert, die uns in allen Belangen unterstützten“, so Habbel. „Dies trifft sowohl für die Zertifizierung nach ISO 27001 als auch TISAX® zu.“

Europaweite Informationssicherheit im Unternehmen

Mit Hilfe der DQS ist es Mubea aber nicht nur gelungen, die Sicherheit sensibler Daten und Informationen des Headquarters zu optimieren. Das Unternehmen hat auch 20 Tochterunternehmen an zehn Standorten in Europa auf ein neues Sicherheitslevel gehoben und einen gemeinsamen Sicherheitsstandard etabliert.

Gegenüber Kunden und Partnern kann Mubea nun die eigene Informationssicherheit durch die beiden Zertifikate verlässlich dokumentieren. Dies verschafft dem Automobilzulieferer einen Wettbewerbsvorteil im Markt, konstatiert Habbel:

„Mit ISO 27001 haben wir nicht nur europaweit einen hohen Sicherheitsstandard ins Unternehmen gebracht. Wir schützen uns auch vor Cyberangriffen von außen und konnten unsere Mitarbeiter für die Sicherheit unserer vertraulichen Unternehmenswerte sensibilisieren. Denn Informationssicherheit ist weit mehr als nur IT-Sicherheit. Nun bleiben wir aber nicht stehen. Wesentliche Komponenten unseres Managementsystems werden jährlich auditiert, um weitere Verbesserungen zu erzielen. Das ohnehin sehr gute Level unserer Informationssicherheit entwickelt sich somit kontinuierlich weiter.“

informationssicherheit-bei-mubea_zdf-daten und fakten

Zah­len, Daten, Fak­ten

Die Mubea Un­ter­neh­mens­grup­pe ist Weltmarktführer in Bezug auf die Ent­wick­lung und Her­stel­lung von kom­ple­xen Au­to­mo­bil­kom­po­nen­ten, die zu einer Ge­wichts­re­du­zie­rung von Fahr­zeu­gen führen und durch einen ver­min­der­ten CO2-Ausstoß zu einem ver­bes­ser­ten Um­welt­schutz bei­tra­gen. Das inhabergeführte Fa­mi­li­en­un­ter­neh­men aus At­ten­dorn legt seinen Fokus dabei auf tech­ni­sche In­no­va­tio­nen und ope­ra­ti­ve Ex­zel­lenz. Es wird durch den Anspruch ge­trie­ben, nach­hal­tig unter den Top 100 globalen Au­to­mo­bil­zu­lie­fe­rern zu sein.

Zum Pro­dukt­spek­trum zählen unter anderem Fahrwerkskomponenten wie Achs­fe­dern, Sta­bi­li­sa­to­ren, Fa­ser­ver­bund­fe­dern und Präzisionsstahlrohre sowie Mo­tor­kom­po­nen­ten wie auch Ven­til­fe­dern, au­to­ma­ti­sche Rie­men­spann­sys­te­me und Fe­der­band­schel­len, aber auch Ge­trie­be­kom­po­nen­ten wie An­triebs­wel­len und Ge­trie­betel­ler­fe­dern. Das Toch­ter­un­ter­neh­men Mubea Flamm ent­wi­ckelt und fertigt zudem Kom­po­nen­ten und Bau­grup­pen für die Luft­fahrt- und Haushaltsgeräteindustrie.

www.mu­bea.com/de

Informationssicherheits-Managementsystem gemäss internationaler Norm

Die international anerkannte Norm ISO 27001 für ein Informationssicherheitsmanagement gilt weltweit. Sie bietet Organisationen aller Größen und Branchen einen Rahmen zur Planung, Umsetzung und Überwachung der Informationssicherheit. Dabei geht es um mehr, als nur die Aspekte der IT-Sicherheit. Besonders wertvoll für die Praxis ist die Umsetzung der Sicherheitsmaßnahmen (Controls) in Anhang A der Norm.

Cover sheet for german whitepaper iso 27001 new controls with pdf
Kostenfreies Whitepaper

ISO 27001 – Controls im Anhang A

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist. Profitieren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Jetzt Gra­tis-Ex­em­plar down­loa­den

Die Normanforderungen sind generell anwendbar und gelten sowohl für private und öffentliche Unternehmen als auch gemeinnützige Institutionen. Mit Blick auf Datenschutz und den sicheren, integren Umgang mit personenbezogenen Daten stellt die internationale Norm ISO 27701 eine sinnvolle Ergänzung von ISO 27001 dar.

Ihr Nutzen eines ISMS

Durch den systematischen Aufbau und die Umsetzung eines prozessorientierten ISMS erzielen Unternehmen entscheidende Vorteile, zum Beispiel:

  • Schutz von vertraulichen Informationen vor Missbrauch, Verlust und Offenlegung als integrativer Bestandteil der Unternehmensprozesse
  • Sensibilisierung der Mitarbeiter: Bedrohungen im Unternehmen werden zuverlässig erkannt und reduziert
  • Einhaltung relevanter Compliance-Anforderungen, mehr Handlungs- und Rechtssicherheit
  • Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit
  • Steigerung der Wettbewerbsfähigkeit
  • Optimierung von Prozess- und IT-Kosten

ISO 27001 wurde einer Revision un­ter­zo­gen und am 25.10.2022 in eng­li­scher Sprache neu veröffentlicht. Die deutsche Norm ist bei DIN Media erhältlich:

DIN EN ISO/IEC 27001:2024-01  Informationssicherheit, Cy­ber­si­cher­heit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen 

Welche Änderungen und Fristen mit der Revision ein­her­ge­gan­gen sind, erfahren Sie in unserem Bei­trag „Die neue ISO/IEC 27001:2022“.

Über die DQS

DQS ist auf Audits und Zertifizierungen für Managementsysteme und Prozesse spezialisiert. Mit der Expertise aus mehr als 40 Jahren ist das Unternehmen aus Frankfurt am Main ein kompetenter Partner des Managements. Wir auditieren nach rund 200 anerkannten Normen und Regelwerken oder nach Ihren unternehmensspezifischen Vorgaben – regional, national und international.

Unparteilichkeit und Objektivität sind für uns wesentliche Elemente bei der Durchführung von Audits und Zertifizierungen. Und das gilt nicht nur für die normativen Bereiche, sondern auch für die Durchführung sämtlicher Audittätigkeiten. Lesen sie mehr über unsere Auditphilosophie.

Gerne helfen wir Ihnen weiter, wenn Sie das Informationssicherheits-Managementsystem Ihres Unternehmens oder Ihrer Organisation zertifizieren lassen möchten.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Zer­ti­fi­zie­rung nach ISO 27001

Wir zeigen Ihnen auf, mit welchem Aufwand und welchen Kosten Sie für eine Zer­ti­fi­zie­rung Ihres In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems rechnen müssen. In­for­mie­ren Sie sich kos­ten­frei und un­ver­bind­lich.

Fragen? Wir sind für Sie da.

Vertrauen und Expertise

Unsere Texte und Whitepaper werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor

André Säckel

Pro­dukt­ma­na­ger bei der DQS für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment. Als Norm­ex­per­te für den Bereich In­for­ma­ti­ons­si­cher­heit und IT-Si­cher­heits­ka­ta­log (Kri­ti­sche In­fra­struk­tu­ren) ver­ant­wor­tet André Säckel unter anderem folgende Normen und bran­chen­spe­zi­fi­sche Stan­dards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie). Zudem ist er Mitglied in der Ar­beits­grup­pe ISO/IEC JTC 1/SC 27/WG 1 als na­tio­na­ler De­le­gier­ter des DIN.

Das könnte Sie auch in­ter­es­sie­ren. 

Weitere Fach­bei­trä­ge und Ver­an­stal­tun­gen der DQS 
Blog

NIS-2 für Ge­schäfts­füh­rer: Pflich­ten, Haftung und Um­set­zung im Un­ter­neh­men

Wei­ter­le­sen
Blog

Kri­sen­kom­mu­ni­ka­ti­on beim Ran­som­wa­re Angriff

Wei­ter­le­sen
Blog

Der Si­cher­heits­drei­klang der Zukunft

Wei­ter­le­sen