Projektmanagement im Mittelstand: Agilität und KI als Erfolgsfaktoren
Beim mittelstand.digital.forum standen zwei zentrale Themen im Fokus: Agile Methoden und der Einsatz von KI-Tools im Projektmanagement. Während ...
Revisionssicherheit, Software as a Service, Datenzentralisierung in der Cloud: Das sind nur einige Beispiele dafür, was Can Do ausmacht und wie die PM-Software die tägliche Arbeit im Projektmanagement vereinfacht. Und wie stets in der IT gilt auch hier: Je höher der Nutzerkomfort, umso wichtiger ist, dass die Produkte und Dienstleistungen, die ihn möglich machen, maximale Anforderungen an die Informations- und Datensicherheit erfüllen. Wir erläutern, welche Maßnahmen Can Do umsetzt und wieso dies für Interessenten und Kunden ein bedeutendes Auswahlkriterium ist.
Das kennt jede und jeder aus dem Alltag: Das Handy bringt uns auf intelligentem Weg ans Ziel, die Kreditkarte ermöglicht kontaktloses Zahlen, und die Bonuspunkte-App belohnt uns dafür. Der Preis dafür ist eine unablässige Herausgabe von Informationen über uns: Unsere Handys scheinen mehr Daten mit ihrem Anbieter auszutauschen, als wir Gespräche über sie führen.
Damit (und mit den einhergehenden Risiken) haben sich viele von uns im Privatleben arrangiert – ob wissentlich oder nicht.
Im Geschäftsbereich ist ein solch laxer Umgang mit Daten und Informationen natürlich undenkbar – das beginnt schon bei der DSGVO und geht weiter bis hin zur Wahrung von Betriebsgeheimnissen.
Deshalb pflegen immer mehr Unternehmen ein Information Security Management System (ISMS) und unterziehen sich externen Audits oder auch Zertifizierungen wie ISO / IEC 27001. Dies bringt den Unternehmen, die ein aktives ISMS betreiben, eine Reihe an Vorteilen:
» Sie demonstrieren gegenüber ihren Kunden ein hohes Maß an Informations-Verantwortung.
» Sie sichern ihre Interessen bezüglich der Informationshoheit, Datensicherheit und Betriebsgeheimnisse.
» Sie sind auf eventuelle behördliche Kontrollen bestens vorbereitet.
» Sie empfehlen sich als vertrauenswürdiger und verlässlicher Lieferant.
Um die Informationssicherheit zu wahren, nutzen Unternehmen diverse „Security Frameworks“, also Rahmenbedingungen, die durch Prüf- oder Zertifizierungsmechanismen vorgegeben sind. Weil die zuvor genannte ISO / IEC 27001 aufgrund ihrer Allgemeingültigkeit für einige Branchen zu unspezifisch oder deren Sicherheitsbedürfnis anders gelagert ist, existieren auch spezialisierte Mechanismen – zum Beispiel TISAX.
Nur wenige Branchen haben einen ähnlich ausgeprägten Bedarf an Daten- und Informationssicherheit wie das Automobilsegment: Die Produktentwicklung benötigt Jahre und kostet Milliardenbeträge, die Fertigung erfordert zahlreiche externe Partner – und die nötigen Tests mit Prototypen sind potenzielle Informationslecks. Ursprünglich ausgehend von ISO / IEC 27001, wurde Version 1 des TISAX Standards im Jahr 2017 geschaffen. TISAX wurde von der ENX Association entwickelt und wird vom Verband der Automobilindustrie (VDA) veröffentlicht. TISAX folgt dem branchenspezifischen Standard VDA-ISA. Es steht für Trusted Information Security Assessment Exchange, ist ein eingetragenes Warenzeichen der ENX Association und wird von ihr verwaltet.
Auch Can Do hat sich für TISAX als ISMS-Standard entschieden und ist Trusted Partner von TISAX. Zum einen, weil wir auch Unternehmen aus der Automobilbranche als Kunden haben. Zum anderen, weil TISAX für uns ein optimales Security Framework darstellt. Warum, kann am besten ein TISAX Experte erläutern: Wir haben Herrn Hess befragt, der die Entwicklung vieler Sicherheits-Frameworks seit der ersten Stunde kennt. So z.B. auch den Weg der Entstehung von TISAX bzw. dessen Sicherheits-Frameworks.
Can Do: Herr Hess, weshalb sind Themen wie ISMS und Informations-Sicherheit überhaupt von Bedeutung?
R. Hess: Weil, so habe ich den Eindruck, die Sensibilität für das digitale Gefährdungspotential bei vielen Menschen – und damit Unternehmen – nicht mit der Digitalisierung Schritt hält. Menschen nehmen die Segnungen und den Komfort von Technik und Digitalisierung gerne an - blenden dabei aber zunehmend aus, dass sie sich zugleich um die Sicherheit kümmern müssen. Seit wir Türen verschließen können, ist uns diese Tätigkeit zur Routine geworden. Aber: Seit wir bargeldlos zahlen können, verdrängen wir höchst erfolgreich, dass damit nicht nur die Supermarktkasse unser Geld abfischen kann. Die Inhalte eines ISMS sollen verhindern, dass solche Verhaltensmuster auf Unternehmen übertragen werden.
Can Do: Und weshalb TISAX? Genügt nicht auch die ISO / IEC 27001 Zertifizierung?
R. Hess: „Genügen“ ist relativ: Natürlich bildet die ISO / IEC 27001 ein starkes Framework für ein Informationssicherheits-Management-System ab. Aber sie ist eben auch die Norm für sämtliche Unternehmen, die ein ISMS umsetzen – quer durch alle Branchen – eben ein generisches ISMS, welches gut anpassbar ist. Da bleibt es nicht aus, dass manche Marktsegmente ihre spezifischen Anforderungen nicht erfüllt sehen. So war es auch bei der Automobilindustrie, die durch TISAX ihren Bedarf an Datensicherheit, Prototypen-Schutz, Datenschutz und insbesondere an eine sichere Informationsverarbeitung entlang der Lieferkette umgesetzt sehen wollte. TISAX hat ein eigenes Paradigma beim Thema Sicherheit: TISAX baut auf ein Reifegradmodell auf und hat klar umrissene Forderungen an die Umsetzungen der Informationssicherheit in Unternehmen.
Can Do: Stichwort Lieferkette – was bringt es, Trusted Partner bei TISAX zu sein?
R. Hess: Der große Vorteil steckt im Namen: „Trusted Information Security Assessment Exchange“ – TISAX sorgt dafür, dass Sicherheits-Prüfergebnisse unter den Partnerunternehmen ausgetauscht werden können. Das beschleunigt die Lieferantenauswahl und ermöglicht entlang der Lieferkette ein ununterbrochen hohes Sicherheits-Level.
Can Do: Ist TISAX also vor allem ein Verkaufsargument gegenüber Interessenten?
R. Hess: Mitnichten! Es wäre zu einfach, TISAX nur als Merkmal für die Erfüllung von Auflagen durch die Auftraggeber zu sehen. Entscheidend ist doch, dass im eigenen Unternehmen für Sicherheit hinsichtlich Informationen und Daten gesorgt wird! In einer Business-Welt, die in großen Teilen von disruptiven Transformationsprozessen erfasst wird, brauchen wir ein starkes Security-Regelwerk. Wer würde heute schon ohne Straßenverkehrsordnung unterwegs sein wollen – obwohl sie erst fast fünfzig Jahre nach Erfindung des Automobils eingeführt wurde? Nicht anders verhält es sich derzeit beim Sicherheitsthema: Die Digitalisierung läuft bereits eine Weile, und allerspätestens jetzt muss sie eingehegt werden, bevor aus dem Wettbewerbsvorteil ein Sicherheitsnachteil wird.
Wenn sich ein Unternehmen einer TISAX-Prüfung unterzieht, empfiehlt es sich nicht nur als Partner für die Automobilindustrie: Es signalisiert ganz allgemein, wie wichtig ihm das Thema Informationssicherheit ist und dass es sich reibungslos in Lieferketten mit höchsten Security-Standards einfügen kann.
Can Do: ISMS ist aber auch ein Kostenfaktor …
R. Hess: Ganz klar: Die Umstellung von Prozessen, die Sensibilisierung und Schulung der Mitarbeiter und nicht zuletzt die Audits und Prüfungen verursachen Kosten. Aber: Jeder Unternehmer sollte sich einmal vor Augen führen, was ein Informationsleck zu einem unveröffentlichten Produkt oder ein wegen unsicherer IT erfolgter Hacker-Angriff bzw. ein Verschlüsselungs-Trojaner an Schaden anrichten kann. Jeder möchte Sicherheit. Sicherheit im Umfeld, Sicherheit in der Planung, Sicherheit der erarbeiteten Wertschöpfung, usw..… Und hier gehört auch die Absicherung von IT-Infrastrukturen dazu. Letztendlich verursacht die IT und ein ISMS nicht nur Kosten, sondern ist mit seinen Ausprägungen auch Business-Enabler!
Can Do: Herr Hess, was können Sie zur Sicherheitsstrategie von Can Do sagen? Sie begleiten uns ja von Anfang an auf dem Weg zum Trusted Partner.
R. Hess: Schon bevor man sich bei Can Do dazu entschloss, TISAX Trusted Partner zu werden, war das Unternehmen bezüglich Datenschutz, Compliance und Informationssicherheit sehr gut aufgestellt. Das beginnt schon bei der Wahl des Cloud Computing-Partners: AWS operiert im Rahmen von C5 (Cloud Computing Compliance Controls Catalogue) – einem Prüfschema, vorgestellt vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Aber am besten hat mir die Einstellung gefallen, dass TISAX nicht wegen TISAX umgesetzt wurde, sondern weil man sich der Verantwortung um die Sicherheit von Daten und Informationen einfach bewusst war. Eigentlich genau mein Credo: TISAX ist auch sinnvoll – oder ein anderes Sicherheits-Framework, es gibt ja einige, – selbst wenn es nicht unmittelbar von einem Partner oder Kunden dazu aufgefordert wird. Es geht schließlich um die eigene Absicherung von Vermögenswerten. Hier war man im Management der Sache weit voraus!
Can Do hat diesen Sommer eine dreijährige Freigabe als TISAX Partner erhalten, und auf der TISAX-Plattform können (potenzielle) Kunden die TISAX Prüfung auf Wunsch einsehen. Im Anschluss erfolgt turnusgemäß nach drei Jahren ein neues Audit. Neben der beständigen Weiterentwicklung des ISMS wird Can Do zusätzliche Sicherheits-Frameworks und Zertifizierungen umsetzen.
Can Do: Herzlichen Dank, Herr Hess, für das Gespräch und die wertvollen Infos rund um TISAX!
R. Hess: gerne!
Neben dem Studium zu Management (Univ.) und IT/Informationssicherheit (Univ.), Zertifizierungen zu IT-Sicherheitsframeworks / Management-Systemen, Zertifizierung zum Auditor ISO 27001, zertifizierter Datenschutzbeauftragter, kennt Herr Hess viele Frameworks seit deren Entstehung und blickt somit auf eine sehr lange und solide Projekterfahrung zurück. Zu den Schwerpunkten zählen vor allem TISAX (Automotive), ISO 27001, Datenschutz (EU-DSGVO), die immer wichtiger werdenden Anforderungen an ein Risikomanagement (ISO 27005 / ISO 31000), ein Business Continuity Management (BCM; ISO 22301) bzw. Krisenmanagement (ISO 22361) und präventive Cyber-Security-Strategien (ISO 27032, BSI, etc.). Mit weiteren konkreten Kenntnissen zu Frameworks, wie „National Institute Standards Technology (NIST; USA)“ oder COBIT, dem Cyber Security Law (CSL; VR China), etc., bietet Herr Hess auch spezifische Erfahrungen an, weit über deutsche Grenzen hinweg.
Als erfahrener Experte unterstützt Herr Hess viele Unternehmen und Organisationen bei den Umsetzungen ihrer Sicherheitsprojekte bzw. Zertifizierungsanforderungen und oftmals auch in Vertretung als externer Informationsbeauftragter (ISB) oder als externer Datenschutzbeauftragter (DSB).
Kontakt zu Herrn Hess:
rhess@it-systeme-hess.de
Sie haben als Anwender von Can Do Fragen zu TISAX? Sie interessieren sich für unsere Projektmanagement-Software und möchten im Vorfeld mehr über unsere Compliance, den Datenschutz und den Informationsschutz wissen?
Nehmen Sie Kontakt mit uns auf: Wir erläutern Ihnen gerne, welche Information Security-Vorteile wir Ihnen als Trusted Partner von TISAX bieten und wie wir Sie aktiv unterstützen können!
Beim mittelstand.digital.forum standen zwei zentrale Themen im Fokus: Agile Methoden und der Einsatz von KI-Tools im Projektmanagement. Während ...
Wir freuen uns, Ihnen unser Modul zur Analyse Ihrer KI-gestützten Daten vorstellen zu dürfen: Can Do BI. Dieses innovative Business Intelligence...
Als Projektmanagerin habe ich gelernt, dass ein guter Projektplan der Schlüssel zum Projekterfolg ist – doch er darf nie in Stein gemeißelt sein....