Als ein mittelständischer Zulieferer von seinem OEM aufgefordert wurde, sich der TISAX®-Prüfung zu unterziehen, war er zunächst etwas ratlos. Mit fachkundiger Unterstützung vom Cyber-Security Team der Sulzer AG und von der niteflite networxx GmbH, einem IT-Systemhaus aus Weilheim bei München, erlangte das Unternehmen dennoch in kürzester Zeit höchst erfolgreich das TISAX® Label.

Goekhan Kurtbay, Senior Consultant bei der Sulzer GmbH, und Stephan Fenzl, Leiter Projekte und Prokurist bei niteflite networxx, berichten.

Die Automobilbranche rüstet sicherheitsmäßig auf und hat mit TISAX® einen umfangreichen Standard gesetzt, der die Informationssicherheit innerhalb der Industrie gewährleisten und den Datenaustausch zwischen Auftraggeber und Zulieferer absichern soll.
Der mittelständische Zulieferer, der das Cyber-Security Team der Sulzer GmbH engagierte, um sein Unternehmen auf das TISAX® Assessment vorzubereiten,
hatte sich vorher nur marginal mit dem Thema auseinandergesetzt.

Goekhan Kurtbay berichtet: „Bei einem ersten Check hatten wir festgestellt, dass die ganze IT neu aufgesetzt werden musste. Weil das unsere eigenen Kapazitäten übertraf, holten wir die Experten von niteflite networxx dazu. Wir wussten, dass sie die IT-Seite in der TISAX® Beratung gut abwickeln können.“ Stephan Fenzl ergänzt: „Wir hatten bereits Erfahrung in der TISAX® Beratung und wussten, welche Eckpunkte wichtig sind. Wir reden hier von Hardware, Prozessen und der für das Label natürlich unumgänglichen Dokumentation.“

Ein ISMS für unternehmensweite Informationssicherheit
Grundlage für ein erfolgreiches TISAX® Assessment ist die Einführung eines Informationssicherheitssystems (ISMS), das Prozesse definiert, welche die Informationssicherheit auf das von der Industrie geforderte hohe Niveau bringen. Stephan Fenzl sagt: „Diese Leitlinien machen Sinn, da man sich gründlich mit dem Sicherheitsaspekt seines Unternehmens beschäftigt. Viele darin enthaltenen Punkte sind relativ leicht umzusetzen, andere sind etwas aufwändiger.“

Zu den letzteren gehört sicherlich die geforderte Dokumentation, vor allem, wenn noch keine entsprechenden Prozesse und Systeme etabliert sind.
Das Dokumentenmanagement ist zentraler Bestandteil in der Umsetzung der TISAX® Vorgaben. Es müssen Prozesse und Herangehensweisen eingeführt werden, die alle Maßnahmen lückenlos dokumentieren und eine fortlaufende Aktualisierung ermöglichen.

Individuelle Beratung in Sachen Dokumentation für Compliance
Stephan Fenzl sagt: „Hier muss man in der Beratung langfristig planen, da einzelne Fachabteilungen Aufgaben umsetzen und Dokumente erstellen müssen.“
Das Unternehmen war jedoch so klein, dass es manche dieser Abteilungen gar nicht gab – auch keinen IT-Verantwortlichen. Stattdessen gab es viele Angestellte, die als Allrounder fungierten, jedoch kaum Zeit und auch nicht das nötige Knowhow hatten, um die komplexen Vorgaben des Standards umzusetzen.

Also erarbeiteten die Sicherheitsexperten von Sulzer und niteflite networxx die Fragen nach Best Practice Vorgaben, um sie dem Kunden „schlüsselfertig“ übergeben zu können. Stephan Fenzl: „Dabei hatten drei bis vier Techniker immer gut zu tun. Da wir einen knappen Zeitrahmen hatten, mussten wir sicherstellen, dass alles eng getaktet und auch unsere Prozesse optimiert waren.“ Mit einer guten und effizienten Planung gelang dies trotz COVID-Einschränkungen innerhalb der gesetzten Frist.

Herausforderung COVID und volle Unterstützung der Geschäftsführung
„Eine weitere Herausforderung lag darin, die Angaben des Auftraggebers zu überprüfen, was durch COVID nicht vor Ort möglich war“, gibt Goekhan Kurtbay zu bedenken. Viele Analysen konnten mit den entsprechenden technischen Tools per Fernabfrage durchgeführt werden. „Mit sogenannter Remote Management and Monitoring Software (MMS) kann beispielsweise das gesamte Netzwerk gescannt und eine Bestandserfassung gemacht werden“, erläutert Stephan Fenzl.

Die Berater trafen auf eine offene Geschäftsführung mit realistischen Vorstellungen, die uneingeschränkt kooperierte. Unterstützung vom Management ist unerlässlich, da, so Stephan Fenzl: „man die Mitarbeiter mitnehmen muss. Sie müssen die Maßnahmen verstehen, akzeptieren und leben.
Die Unterstützung aus der Unternehmensleitung ist dabei das A und O.“ Goekhan Kurtbay ergänzt: „Die Geschäftsführung wollte gleich alles für die Zukunft richtig machen. Das ist wichtig, da nach drei Jahren die Rezertifizierung ansteht. Wenn man dann von vorne anfangen muss, hat man viel Zeit und Ressourcen verbrannt.“

Dream Team für die Compliance
Beide Sicherheitsberater heben die gute Zusammenarbeit hervor: „Wir haben viel telefoniert, um die jeweils nächsten Schritte zu koordinieren. Wir mussten uns ja immer wieder fragen, was weiter realisiert werden muss, damit unser Auftraggeber Compliance erhält“, sagt Stephan Fenzl.

Sie betonen, dass sie auch in Zukunft ihre Kräfte bündeln werden und erfolgreich Unternehmen zum TISAX® Zertifikat verhelfen. Dabei ist die Rollenverteilung klar definiert: Das Cyber-Security Team von Sulzer übernimmt die organisatorische Beratung, niteflite networxx kümmert sich fachkundig um die IT. „TISAX® oder ISO Zertifizierungen nehmen zu. Da wir uns sehr gut ergänzen, werden wir in Zukunft sicher weitere Projekte zusammen machen“, sagt Stephan Fenzl. Goekhan Kurtbay ergänzt: „Die IT-Spezialisten von niteflite networxx haben ein enormes Wissen rund um Zertifizierungen und TISAX®. Und dass Stefan Fenzl beim Audit mit dabei war, um Fragen des Auditors auf den Punkt zu beantworten, ist ja nicht nur für uns eine große Unterstützung, sondern auch für das beratende Unternehmen ein immenser Vorteil.“

Ein Muss: das TISAX® Label für die Automobilindustrie
Das TISAX® Label wird für Zulieferer in der Automobilbranche immer wichtiger, da OEMs damit gewährleisten wollen, dass die gesamte Lieferkette mit einem einheitlichen, hohen Sicherheitsniveau flächendeckend operieren kann. Die TISAX® Vorgaben bauen auf dem Sicherheitsstandard ISO 27001 auf und leiten sich aus dem vom VDA definierten Informationssicherheits-Standard für die Automobilindustrie ab (VDA ISA). Dabei werden alle Bereiche aus der Organisation, IT und dem Datenschutz abgedeckt. Speziell für die Automobilindustrie wichtige Themen wie der Prototypen- und der Datenschutz nehmen zudem eine wichtige Rolle ein. Mit dem Assessment soll nicht nur eine Momentaufnahme abgeben, sondern die notwendigen Prozesse und Maßnahmen langfristig und ausbaufähig im gesamten Unternehmen etabliert werden.

Managed IT-Services von niteflite networxx
niteflite networxx stellt IT-Services und IT-Sicherheit als Managed Services zur Verfügung.

niteflite networxx wurde 1998 gegründet und hat sich vom klassischen IT-Dienstleister zu einem professionellen Full-Service-Systemhaus für IT-Infrastruktur, IT-Service (Managed Service) und IT-Sicherheit entwickelt. Das Unternehmen bietet ganzheitliche IT-Lösungen für Unternehmen und übernimmt auf Wunsch ganz oder teilweise die lückenlose, proaktive IT-Betreuung.
Im Bereich TISAX® unterstützt niteflite networxx Firmen mit dem notwendigen technischen IT-Knowhow, um die Zertifizierung erfolgreich zu absolvieren.

Zum Kundenkreis zählen zahlreiche mittelständische Unternehmen aus unterschiedlichen Branchen. niteflite networxx hat seinen Firmensitz in Weilheim, 50 km südlich von München.

TISAX® Beratung von Sulzer: Sicher und auf Augenhöhe
Persönlich und kompetent berät das Cyber-Security Team der Sulzer GmbH Unternehmen in der Automobilbranche in Sachen Informationssicherheit, Datenschutz sowie Compliance und bereitet auf das TISAX®-Assessment vor. Nach zahllosen erfolgreichen Beratungen auf Augenhöhe klären die Sulzer-Sicherheitsexperten die wichtigsten Fragen im Vorfeld und geben konkrete Handlungsanweisungen.

Nutzen Sie unsere persönliche Beratungsleistung und lassen Sie sich von unseren Experten bis zur TISAX®-Prüfung begleiten.

Damit es auch für Sie heißt: Ausgezeichnet mit Erfahrung.

 

TISAX® ist eine eingetragene Marke der ENX Association.

Weitere Informationen zum Förderprogramm go-digital finden Sie unter: http://www.bmwi-go-digital.de/

Diese Pressemeldung können Sie hier downloaden.

.